Cybersicherheitsanalysten werden mit Sicherheitsereignissen überhäuft, die triagiert, analysiert, korreliert und priorisiert werden müssen. Wenn Sie ein Analyst sind, verfügen Sie wahrscheinlich über unglaubliche Fähigkeiten, werden aber durch mühsame, manuelle Arbeit behindert.
In meinem letzten Blog habe ich über einen Kunden aus der Fertigungsbranche berichtet, bei dem wir das blaue Team bei der Erkennung des roten Teams unterstützt haben, das vorhandene Admin-Tools verwendet, um sein Verhalten zu verbergen. Dieses Mal möchte ich über unsere neuen Funktionen zur Bedrohungsjagd und Tiefenuntersuchung sprechen.
Kürzlich habe ich das Sicherheitsteam eines Kunden unterstützt, der Opfer eines Phishing-Angriffs geworden war. Mein Ziel war es, ihnen zu helfen, ein Ereignis, das sie zunächst ohne meine Hilfe entdeckt hatten, genauer zu untersuchen. Ich bin zwar sehr gut im Aufspüren von Angreifern, aber mein Ziel ist es, Menschen zu unterstützen, damit Sicherheitsanalysten schneller und effizienter Bedrohungsjäger werden und auf Vorfälle reagieren können. Sicherheit ist besser, wenn wir zusammenarbeiten.
Wie auch immer, wir begannen mit einem Mitarbeiter, der eine Phishing-E-Mail erhielt, in der er um E-Mail-Zugangsdaten für einen Website-Link gebeten wurde, der in einer angehängten PDF-Datei eingebettet war. Sobald der Angreifer die E-Mail-Anmeldeinformationen erhalten hatte, schickte er - in der Rolle des Mitarbeiters - eine zweite Phishing-E-Mail an andere Mitarbeiter des Unternehmens.
Die zweite E-Mail enthielt eine weitere bösartige PDF-Datei, mit der der Angreifer seine Präsenz im Unternehmen weiter ausbauen wollte. Glücklicherweise wurde die zweite Phishing-E-Mail von einem aufmerksamen Mitarbeiter bemerkt und das Sicherheitsteam wurde sofort über den Vorfall informiert. Das Sicherheitsteam wandte sich schnell an Recall um herauszufinden, was passiert war.
PDF-Analyse und Phishing-Domäne
Durch die Speicherung angereicherter Netzwerk-Metadaten in einem durchsuchbaren Index ermöglichte ich es dem Sicherheitsteam, die Vorgänge nach dem Verdacht, Opfer eines Phishing-Angriffs geworden zu sein, genauer zu untersuchen. Das Sicherheitsteam wollte die Details der verdächtigen PDF-Datei besser verstehen, um versteckte Malware zu identifizieren.
Obwohl die PDF-Datei keine Schadsoftware enthielt, führte die Untersuchung zu einer von Office 365 gehosteten Datei und einem Link zu einer Phishing-Website, auf der der Mitarbeiter aufgefordert wurde, Office 365-Anmeldedaten einzugeben.
Der Autor der PDF-Datei und die Phishing-Domäne wurden in den Metadaten identifiziert, die ich so lange aufbewahre, wie Sie sie benötigen. Der Name des Autors ermöglichte es dem Sicherheitsteam, ähnliche Dokumente über Open-Source-Recherchen zu finden.
Ich habe es dem Sicherheitsteam außerdem ermöglicht, meine Fähigkeiten zur Untersuchung von Vorfällen zu nutzen, um die Phishing-Domäne in der ursprünglichen E-Mail zu finden und festzustellen, welche Host-Geräte mit dieser Domäne kommuniziert haben.
Primäre Host-Geräte
Um die Untersuchung zu beschleunigen, habe ich die gesammelten Metadaten mit bestimmten Host-Geräten und Konten korreliert. So kann das Sicherheitsteam anhand eines bestimmten Namens in einem bestimmten Datenbereich suchen.
Bei dieser Untersuchung stellte das Sicherheitsteam ein Zeitfenster fest, in dem die Phishing-E-Mail zum ersten Mal gesendet wurde. Dies markierte den Beginn der Kompromittierung. Anschließend untersuchten wir die Aktivitäten auf dem Konto und den Host-Geräten im Zusammenhang mit der E-Mail, um genau zu sehen, was vor und nach dem Versand der Phishing-E-Mail geschah.
LDAP-Verwendung
Unsere Untersuchung der primären Host-Geräte ergab zwei anomale Zeiträume kurz nach der ersten Kompromittierung. Der erste Zeitraum fiel mit einer Spitze im LDAP-Datenverkehr im gesamten Netzwerk zusammen. Eine weitere Überprüfung ergab, dass diese Spitze bei mehreren, aber nicht allen sekundären Host-Geräten auftrat.
Die Untersuchung der anfänglichen LDAP-Spitze für die primären Hosts ergab sogar noch mehr Datenverkehr im Zusammenhang mit der LDAP-Erkundung - ein Zeichen für anomales Verhalten. Die LDAP-Spitze deutet darauf hin, dass die Bedrohung den Angriffslebenszyklus durchläuft und zu Aufklärungs- und Lateral Movement-Verhaltensweisen übergegangen ist.
DCE/RPC-Verwendung
Bei beiden Host-Geräten wurden während der Kompromittierung Spitzen im DCE/RPC-Datenverkehr (Distributed Computing Environment/Remote Procedure Call) festgestellt. Keine dieser Spitzen deckte sich mit den netzwerkweiten Anstiegen in der Kundenumgebung.
Es ist wichtig zu wissen, dass diese Aufrufe die Ausführung von Code auf den Host-Geräten erfordern. Dieser Datenverkehr wird durch Anwendungen, das Betriebssystem oder Skripte verursacht, die auf den Systemen der Host-Geräte laufen.
Bei den primären Host-Geräten fanden wir einen Fall von mehr als 10.000 Anrufen innerhalb von 10 Minuten, die die Art und Anzahl von Anfragen enthielten, die typisch für die Erkundung von Active Directory (AD) sind.
Sekundäre Host-Geräte
Nach dem Versand der ersten Mitteilung kommunizierten weitere Host-Geräte mit der Phishing-Domäne. Ähnliche Ausschläge wurden kurz nach der ersten Kommunikation mit der Phishing-Domäne beobachtet.
Nahezu die gesamte Kommunikation kam von einem sekundären Host-Gerät. Wie bei den Aktivitäten der primären Hosts wiesen der plötzliche Anstieg der Anfragen und die Art der Anfragen auf ein Aufklärungsverhalten hin.
Schlussfolgerung
Anhand der beobachteten Artefakte und Untersuchungen konnte mein Recall Fähigkeiten gaben dem Sicherheitsteam einen schlüssigen Kontext über den Phishing-E-Mail-Angriff und eine detaillierte Anleitung, wie man schnell reagieren kann.
Gemeinsam ermittelten wir den Umfang der Bedrohung und identifizierten die gefährdeten Host-Geräte, bevor sich der Angriff weiter und tiefer im Netzwerk ausbreiten konnte.