Persistenztechniken, die den Schutz von endpoint umgehen, gibt es schon seit langem. Das kürzlich veröffentlichte Boothole(CVE-2020-10713) ist ein weiteres Beispiel dafür. Warum also verschreiben so viele Sicherheitsexperten weiterhin schrittweise Verbesserungen auf denselben alten Lösungen, um dieses Problem zu lösen?Es ist an der Zeit, Erkennung und Reaktion zu überdenken und Daten aus der einzigen Quelle zu nutzen, die Angreifer nicht erkennen oder umgehen können - dem Netzwerk.
Es ist nicht ungewöhnlich, dass APT-Gruppen (Advanced Persistent Threats) es auf Linux-Server in einer Umgebung abgesehen haben, die als Sammelpunkt für Persistenz und Exfiltration dienen. Die Fähigkeit, die Persistenz auf diesen Servern aufrechtzuerhalten, selbst nach einer Neuinstallation des Betriebssystems, ist das Tüpfelchen auf dem i. Eine solche Schwachstelle mit dem Codenamen "Boothole" wurde kürzlich von Forschern bei Eclypsium entdeckt. Diese Schwachstelle im GRUB2-Bootloader, der von den meisten Linux-Systemen verwendet wird, kann dazu genutzt werden, während des Bootvorgangs beliebigen Code auszuführen, selbst wenn Secure Boot aktiviert ist. Angreifer, die diese Schwachstelle ausnutzen, können dauerhafte und heimliche Bootkits oder bösartige Bootloader installieren, die ihnen die nahezu vollständige Kontrolle über das Gerät des Opfers geben und die Neuinstallation des Betriebssystems überleben.
Endpoint Erkennungswerkzeuge arbeiten oberhalb dieser Schicht und sind daher für die Aktivitäten des Angreifers blind. Die einzige Möglichkeit, Angreifer, die solche Techniken ausnutzen, zu erkennen und zu vertreiben, besteht darin, die Netzwerkspuren zu untersuchen, die sie bei der Fernsteuerung des Geräts hinterlassen. Kein Wunder, dass BlackBerry Research dieses Jahrzehnt als "Jahrzehnt der Remote Access Trojaner (RAT)" bezeichnet hat.
Wie können wir also die RAT mithilfe von Netzwerkdaten aufspüren? Das Geheimnis liegt in der Bedrohungsmodellierung des Verhaltens. Durch die Analyse zahlreicher RAT-Samples hat das Bedrohungserkennungsteam von Vectra Unterschiede in den Kommunikationsmustern einer RAT-Kommunikation im Vergleich zu einer normalen Kommunikation festgestellt.
Betrachten Sie das folgende Beispiel von Zeitreihenplots für die während zweier TCP-Sitzungen übertragenen Daten. Die erste TCP-Sitzung repräsentiert den Verkehr für ein RAT und die zweite den normalen Internetverkehr. In der RAT-Zeitreihe sehen Sie Spitzen bei den empfangenen Bytes, gefolgt von den gesendeten Bytes. Bei diesen abwechselnden Spitzen handelt es sich um Befehle, die vom externen Angreifer erteilt werden und auf die der infizierte Host antwortet. Vergleicht man dies mit einem normalen TCP-Sitzungsverkehr, so ist ein deutlicher Unterschied festzustellen. In realen Netzwerken ist es für einen Menschen fast unmöglich, diese Unterschiede zu erkennen, da die Datenmenge sehr groß ist, der Unterschied in der Kommunikation sehr subtil ist und die Kommunikation innerhalb einer einzigen TCP-Sitzung stattfindet, die möglicherweise verschlüsselt ist.
Während Menschen bei echtem Verkehr nur schwer die Unterschiede erkennen können, sind KI-Modelle, die Tausende von Stichproben gesehen haben, hervorragend in der Lage, diese Unterscheidung zu treffen. Eine Deep-Learning-Architektur, die als rekurrente neuronale Netze mit Langzeit-Kurzzeitgedächtnis (LTSM) bekannt ist, behält ihr "Gedächtnis" über einen längeren Zeitraum und wurde speziell für die Arbeit mit dieser Art von Daten entwickelt. Durch die Anwendung von LSTM-basierten KI-Modellen auf die Suche nach dem Kommunikationsmuster einer RAT in Netzwerkdaten können diese in Echtzeit und mit hoher Genauigkeit auf der Grundlage des beobachteten Verhaltens erkannt werden. Das Schöne an diesem Ansatz ist seine Effektivität. Er funktioniert unabhängig von einem bestimmten Tool oder Implantat und ist unabhängig von der Verschlüsselung, da keine Entschlüsselung des Datenverkehrs erforderlich ist.
Der Vectra-Ansatz zur Erkennung von Bedrohungen verbindet menschliches Fachwissen mit einem breiten Spektrum an Datenwissenschaft und fortschrittlichen maschinellen Lernverfahren. Dieses Modell liefert einen kontinuierlichen Zyklus von Bedrohungserkennungen, die auf modernster Forschung, globalen und lokalen Lernmodellen, Deep Learning und neuronalen Netzen basieren. Wenn Sie mehr über unseren datenwissenschaftlichen Ansatz erfahren möchten, lesen Sie unser White Paper oder machen Sie eine Testfahrt mit Vectra Cognito, um sich selbst ein Bild zu machen.