Bereiten Sie Ihre Microsoft-Umgebung auf einen identitätsbasierten Angriff vor.
Buchen Sie noch heute eine Analyse der Identitätslücke.

Duqu: Das Sequel

Juni 12, 2015
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Duqu: Das Sequel
Illustration mit den Wörtern Sicherheitsverletzung, Bedrohung und Hacking

Kürzlich hat Kasperky Labs bekannt gegeben, dass es Opfer eines ausgeklügelten Cyberangriffs geworden ist, der den Namen Duqu 2.0 erhalten hat. Das Team von Kaspersky Labs hat eine detaillierte Analyse von Duqu 2.0 veröffentlicht, die auf jeden Fall lesenswert ist.

Die ursprüngliche Duqu-Bedrohung

Der ursprüngliche Akteur der Duqu-Bedrohung war eine Malware-Familie, von der die meisten Forscher annehmen, dass sie von einem Nationalstaat entwickelt wurde und mit dem berüchtigten Stuxnet-Wurm verwandt ist. Während Stuxnet verwendet wurde, um Zentrifugen zur Urananreicherung zu beschädigen, schien der ursprüngliche Duqu-Wurm eher auf die Überwachung und das Sammeln von Informationen innerhalb eines kompromittierten Netzwerks ausgerichtet zu sein.

Die Analyse von Kaspersky bietet einige sehr interessante Einblicke in den Angriff und zeigt meiner Meinung nach deutlich die entscheidende Rolle verhaltensbasierter Systeme bei der Erkennung fortgeschrittener Angriffe.

Wie das ursprüngliche Duqu-Framework nutzt auch Duqu 2.0 in hohem Maße Zero-Day-Schwachstellen, um die Systeme der ersten Opfer zu kompromittieren. Nach dieser ersten Kompromittierung waren die Angreifer in der Lage, Folgendes zu tun:

  1. Führen Sie eine interne Erkundung durch, um die interne Netzwerktopologie abzubilden.
  2. Verwendung einer Kerberos-Angriffstechnik namens "pass-the-hash" zur seitlichen Ausbreitung im Netzwerk.
  3. Erhöhen Sie ihre Berechtigungen auf ein Domänenadministratorkonto.
  4. Verwenden Sie diese Domänenadministratorrechte, um MSI-Pakete zu liefern und weitere Hosts zu infizieren.

Anomalien entdeckt durch Vectra

Diese berechneten Schritte sind genau die Arten von Verhaltensweisen, die Vectra in Echtzeit und ohne Signaturen oder Reputationslisten von Dritten erkennt.

  • Interne Darknet-Scans und Port-Scans - Diese Vectra Erkennungen zeigen, dass ein Angreifer das interne Netzwerk abbildet und verfügbare Dienste auf allen neu gefundenen Hosts identifiziert.
  • Kerberos-Client-Aktivitäten - Diese Erkennung deckt eine Reihe von Angriffen auf, wie z. B. die Verwendung gestohlener Anmeldeinformationen und Pass-the-Hash-Angriffe, die es den Angreifern ermöglichten, sich seitlich im Kaspersky-Netzwerk zu bewegen. Obwohl es viele Varianten von Pass-the-Hash gibt, ist Vectra in der Lage, das grundlegende Verhalten zu identifizieren, das sie alle gemeinsam haben.
  • Automatische Replikation - Diese Erkennung zeigt, dass ein bestimmter Host ähnliche Nutzdaten im gesamten Netzwerk verbreitet, wie z. B. die bösartigen MSI-Pakete, die zur Infektion weiterer Hosts verwendet werden.

Diese Entdeckungen beleuchten zwar einige Punkte, aber es ist auch wichtig, das Gesamtbild zu sehen. In vielerlei Hinsicht ist Duqu 2.0 dem Original sehr ähnlich. Raffinierte Angreifer mit Kenntnissen über Zero-Day-Schwachstellen infizieren unbemerkt einen Host, verbreiten sich unauffällig und spionieren das Netzwerk aus. Es ist sehr wahrscheinlich, dass sich dieses Muster wiederholt, wenn auch das nächste Mal mit einer neuen Zero-Day-Schwachstelle.

Die raffiniertesten Angreifer werden immer wieder neue Schwachstellen aufdecken. Aber ihre grundlegenden Ziele und Handlungen bleiben, sobald sie in das Netzwerk eingedrungen sind, erstaunlich konstant.

Angreifer orientieren sich in einem Netzwerk, erweitern ihre Rechte und verbreiten sich im Netzwerk. Diese Verhaltensweisen sind für Produkte, die interne Netzwerke genau überwachen, direkt beobachtbar. Wenn wir nicht anfangen, Sicherheitsmodelle anzuwenden, die sich auf diese Verhaltensweisen konzentrieren, wird die Fortsetzung sehr ähnlich aussehen wie die Episode, die wir bereits gesehen haben.