Cybersicherheitsanalysten werden mit Sicherheitsereignissen überhäuft, die triagiert, analysiert, korreliert und priorisiert werden müssen. Wenn Sie ein Analyst sind, verfügen Sie wahrscheinlich über unglaubliche Fähigkeiten, werden aber durch mühsame, manuelle Arbeit behindert.
In meinem letzten Blog habe ich über einen Kunden aus dem Fertigungssektor berichtet, bei dem wir das blaue Team dabei unterstützt haben, sein rotes Team aufzuspüren, das die vorhandenen Verwaltungstools nutzte, um sein Verhalten zu verbergen. Dieses Mal möchte ich über unsere neuen threat hunting und Deep Investigation-Funktionen sprechen.
Vor kurzem habe ich das Sicherheitsteam eines Kunden unterstützt, der Opfer eines phishing -Angriffs wurde. Mein Ziel war es, ihnen zu helfen, ein Ereignis, das sie ursprünglich ohne meine Hilfe entdeckt hatten, genauer zu untersuchen. Ich bin zwar sehr gut darin, Angreifer zu finden, aber mein Ziel ist es, Menschen zu unterstützen, damit Sicherheitsanalysten schneller und effizienter Bedrohungen aufspüren und auf Vorfälle reagieren können. Sicherheit ist besser, wenn wir zusammenarbeiten.
Wie auch immer, wir begannen mit einem Mitarbeiter, der eine E-Mail phishing erhielt, in der er um E-Mail-Zugangsdaten zu einem Website-Link gebeten wurde, der in einer angehängten PDF-Datei enthalten war. Sobald der Angreifer die E-Mail-Anmeldeinformationen erhalten hatte, schickte er - in der Rolle des Mitarbeiters - eine zweite E-Mail phishing an andere Mitarbeiter des Unternehmens.
Die zweite E-Mail enthielt eine weitere bösartige PDF-Datei, mit der der Angreifer seine Präsenz im Unternehmen weiter ausbauen wollte. Glücklicherweise wurde die zweite E-Mail phishing von einem aufmerksamen Mitarbeiter bemerkt und das Sicherheitsteam wurde sofort über den Vorfall informiert. Das Sicherheitsteam wandte sich schnell an Recall um herauszufinden, was passiert war.
PDF-Analyse und phishing Bereich
Durch die Speicherung angereicherter Netzwerk-Metadaten in einem durchsuchbaren Index konnte ich das Sicherheitsteam in die Lage versetzen, die Vorgänge nach dem Verdacht, Opfer eines phishing -Angriffs zu sein, genauer zu untersuchen. Das Sicherheitsteam wollte die Details über die verdächtige PDF-Datei besser verstehen, um versteckte malware zu identifizieren.
Obwohl die PDF-Datei keine malware enthielt, führte die Untersuchung zu einer Datei, die von Office 365 gehostet wurde, und zu einem Link zu einer Website phishing , auf der der Mitarbeiter aufgefordert wurde, seine Office 365-Anmeldedaten einzugeben.
Der Autor der PDF-Datei und die Domain phishing wurden in den Metadaten identifiziert, die ich so lange aufbewahre, wie Sie sie benötigen. Der Name des Autors ermöglichte es dem Sicherheitsteam, ähnliche Dokumente über Open-Source-Recherchen zu finden.
Ich habe es dem Sicherheitsteam außerdem ermöglicht, mit Hilfe meiner Funktionen zur Untersuchung von Vorfällen die Domäne phishing in der ursprünglichen E-Mail zu finden und festzustellen, welche Hostgeräte mit dieser Domäne kommunizierten.
Primäre Host-Geräte
Um die Untersuchung zu beschleunigen, habe ich die gesammelten Metadaten mit bestimmten Host-Geräten und Konten korreliert. So kann das Sicherheitsteam anhand eines bestimmten Namens in einem bestimmten Datenbereich suchen.
Bei dieser Untersuchung ermittelte das Sicherheitsteam ein Zeitfenster, in dem die E-Mail phishing erstmals versendet wurde. Dies markierte den Beginn der Kompromittierung. Anschließend untersuchten wir die Aktivitäten auf dem Konto und den Host-Geräten im Zusammenhang mit der E-Mail, um genau festzustellen, was vor und nach dem Versand der E-Mail phishing geschah.
LDAP-Verwendung
Unsere Untersuchung der primären Host-Geräte ergab zwei anomale Zeiträume kurz nach der ersten Kompromittierung. Der erste Zeitraum fiel mit einer Spitze im LDAP-Datenverkehr im gesamten Netzwerk zusammen. Eine weitere Überprüfung ergab, dass diese Spitze bei mehreren, aber nicht allen sekundären Host-Geräten auftrat.
Die Untersuchung der anfänglichen LDAP-Spitze für die primären Hosts ergab sogar noch mehr Datenverkehr im Zusammenhang mit der LDAP-Erkundung - ein Zeichen für anomales Verhalten. Die LDAP-Spitze deutet darauf hin, dass die Bedrohung den Angriffslebenszyklus durchläuft und zu Aufklärungs- und Lateral Movement-Verhaltensweisen übergegangen ist.
DCE/RPC-Verwendung
Bei beiden Host-Geräten wurden während der Kompromittierung Spitzen im DCE/RPC-Datenverkehr (Distributed Computing Environment/Remote Procedure Call) festgestellt. Keine dieser Spitzen deckte sich mit den netzwerkweiten Anstiegen in der Kundenumgebung.
Es ist wichtig zu wissen, dass diese Aufrufe die Ausführung von Code auf den Host-Geräten erfordern. Dieser Datenverkehr wird durch Anwendungen, das Betriebssystem oder Skripte verursacht, die auf den Systemen der Host-Geräte laufen.
Bei den primären Host-Geräten fanden wir einen Fall von mehr als 10.000 Anrufen innerhalb von 10 Minuten, die die Art und Anzahl von Anfragen enthielten, die typisch für die Erkundung von Active Directory (AD) sind.
Sekundäre Host-Geräte
Nachdem die erste Kommunikation gesendet wurde, kommunizierten sekundäre Hostgeräte mit der Domäne phishing . Ähnliche Ausschläge wurden kurz nach der ersten Kommunikation mit der Domäne phishing beobachtet.
Nahezu die gesamte Kommunikation kam von einem sekundären Host-Gerät. Wie bei den Aktivitäten der primären Hosts wiesen der plötzliche Anstieg der Anfragen und die Art der Anfragen auf ein Aufklärungsverhalten hin.
Schlussfolgerung
Anhand der beobachteten Artefakte und Untersuchungen konnte mein Recall Fähigkeiten lieferten dem Sicherheitsteam schlüssige Informationen über den E-Mail-Angriff phishing und detaillierte Hinweise für eine schnelle Reaktion.
Gemeinsam ermittelten wir den Umfang der Bedrohung und identifizierten die gefährdeten Host-Geräte, bevor sich der Angriff weiter und tiefer im Netzwerk ausbreiten konnte.