Wenn ein Analytiker ein Eindringen feststellt, ist der wichtigste Faktor die Analyse des Kontextes des Eindringens. Dazu müssen wir die Taktiken, Techniken und Verfahren (TTPs) des Angreifers identifizieren. Threat-Intelligence-Modelle (Kill-Chain- und Diamond-Modell) beschleunigen die Analyse von Eindringlingen, indem sie diese schnell ermitteln:
- Wie die (zahlreichen) Angreifer vorgehen
- In welcher Phase des Eindringens sich der Angriff befindet
- Was als Nächstes von dem Angriff zu erwarten ist
Mit den zusätzlichen Erkenntnissen der Vectra AI-driven Threat Detection and Response-Plattform, die von Attack Signal Intelligence™ unterstützt wird, sehen Sie kontextualisierte Erkennungen während eines Eindringens.
Echtzeit-Analyse von Eindringlingen für eine fundierte Entscheidungsfindung
Werfen wir einen genaueren Blick darauf, wie die Vectra AI-gesteuerte Plattform zur Erkennung und Abwehr von Bedrohungen die Analyse von Eindringlingen in Echtzeit ermöglicht, so dass Sie fundierte Entscheidungen mit kontextbezogenen automatischen Reaktionen treffen können.
Korrelierte Erkennungen geben dem Eindringling einen Quadrantenwert für den Kontext
Mehrere korrelierte Erkennungen lösten einen Alarm aus und brachten den Opfer-Host in den HIGH-Quadranten von Vectra.
VectraDas Quadranten-Scoring bewertet die Dringlichkeit eines Angriffs anhand der Anzahl der von einem Angreifer verwendeten Techniken und des Fortschritts des Angriffs selbst. Hosts und Konten im hohen und kritischen Quadranten werden als dringend eingestuft und bedürfen sofortiger Aufmerksamkeit.
Dieser hohe Quadrantenwert wurde durch endpoint Alarme des EDR des Kunden bestätigt. Mit diesen wichtigen Informationen ausgestattet, setzten die Analysten von Vectra MDR ihre Untersuchung fort.
Ausgelöste Erkennungen und Vectra Bedrohungsdaten Match
Diese Erkennung löste weitere Analysen aus, die ergaben, dass der Host entweder DNS-Aktivitäten erzeugte oder direkte Verbindungen zu bösartigen externen IPs oder Domänen herstellte. In diesem Fall wird die Domäne rotation.craigconnors[.]com (im Folgenden als "rotation" bezeichnet) direkt über Port 8080 kontaktiert und als bösartig eingestuft. Es werden Daten ausgetauscht (einige KB gesendet und empfangen). Die Angriffsphase steht im Zusammenhang mit C&C, was auf eine externe gegnerische Infrastrukturkommunikation hinweist.
Vgl:
Durch das Verständnis und die detaillierte Beschreibung der Aktivitäten der Bedrohungsgruppe war Vectra MDR in der Lage, das Verhalten zu kontextualisieren, anstatt sich zu fragen: War es ein Fingerprinting? Wurde es über wscript ausgeführt? Was war das Ziel des Angreifers in der Kill Chain?
Vectra Die MDR verschafft uns Klarheit und Kontext zum Bedrohungsverhalten.
Privilegienanomalie: Ungewöhnlicher Service - Insider
Eine weitere Entdeckung wurde ausgelöst, als ein Konto mit einer niedrigen Privilegienbewertung von einem Host mit einer ebenfalls niedrigen Privilegienbewertung verwendet wurde, um auf einen Dienst zuzugreifen, der eine wesentlich höhere Privilegienbewertung aufweist. Auf der anderen Seite des Vorhangs führte dieser infizierte Host einen Kerberoasting -Angriff durch, und indem er den HTTP-Dienst durch die Anforderung eines TGS-Tickets auslöste, entdeckten wir die privilegierte Anomalie.
Was ist eine Privilegienbewertung und wie hoch ist das Risiko?
Der Bedrohungswert dieser Erkennung wird durch die Privilegienwerte bestimmt(siehe diesen Link für Details zu dem, was wir als "Privilegien" bezeichnen , im Abschnitt "AI Detection Case Study: Privilege Credential Abuse in the Network and Cloud ") der drei Kerberos-Entitäten (Account, Host und Service). Der Bedrohungswert wird durch den Grad der Diskrepanz zwischen den Privilegienwerten bestimmt, z. B. wenn ein Dienst mit hohen Privilegien von Hosts und Konten mit niedrigen oder mittleren Privilegien aufgerufen wird.
Diese Erkennung ist Teil des Versuchs eines Angreifers, sich seitlich zu bewegen. Seitliche Bewegungen innerhalb eines Netzwerks, die privilegierte Konten, Hosts oder Dienste einbeziehen, setzen eine Organisation einem erheblichen Risiko der Datenerfassung und -exfiltration aus.
Untersuchung - Metadaten und Pivots
Die Speicherung von Metadaten hat den Vorteil, dass Sie sowohl in Echtzeit als auch im Nachhinein nach verdächtigen Verhaltensweisen suchen können, die in Ihrer Umgebung beobachtet wurden.
Es ist immer schlecht, von einer dritten Partei über ein mögliches Eindringen informiert zu werden. Viel schlimmer ist es jedoch, wenn es sich um einen tatsächlichen Einbruch handelt und Sie feststellen, dass Ihre Überwachungs- und Datenerfassungsfunktionen eine Lücke aufweisen.
Dank unserer KI-gesteuerten Plattform für Bedrohungserkennung und -reaktion mit angereicherten und gespeicherten Metadaten können wir zur Untersuchung und Reaktion auf Vorfälle übergehen und Aktivitäten und ausgelöste Erkennungen kategorisieren, um eine Zeitleiste der Ereignisse zu erstellen.
Im Folgenden sind einige "Bereiche" aufgeführt, die wir durchsuchen konnten, um die bösartigen Aktivitäten zu rekonstruieren und Kommentare und Hypothesen aufzustellen.
* Zur Erinnerung: Ein IOC ist ein Indikator mit Kontext: Eine IP ist NICHT ein IOC. Eine IP, die auf eine C2- oder gegnerische Infrastruktur hinweist (z. B. ein kompromittiertes WordPress, das den Downloader des Gegners bedient, ist ein IOC).
** Downgrade-Cipher-Angriff beobachtet und untersucht.
*** Einzigartig für Vectra, nicht in der Standard-Bro-Ausgabe.
Intrusionsanalyse-Aktivitätsgruppen
Anschließend bewerten und gruppieren wir einige Aktivitäten nach ihrer Funktionsweise.
Im Folgenden beschreiben wir den "modus operandi" mehrerer miteinander verbundener Aktivitäten. Dazu verwenden wir das Kill-Chain-Modell, um die Phasen des Eindringens zu beschreiben und Indikatoren des Gegners für die Identifizierung (und anschließende Verhinderung) von Cyber-Eindringungsaktivitäten zu erfassen.
Im nächsten Teil dieses Artikels werden wir uns näher mit der oben dargestellten grünen Kill Chain beschäftigen. Wie in der obigen Abbildung zu sehen ist, können bei modernen Eindringlingen mehrere Aktivitätsgruppen identifiziert werden. Einige von ihnen haben nichts mit dem eigentlichen Eindringling zu tun, den wir untersuchen (hier die "Aktivitätsgruppe 1", die mit anderen Cybercrime-Fähigkeiten verbunden ist). Einige sind von anderen abhängig.
Was, wenn der Angriff nicht gestoppt wird?
Was hätte passieren können, wenn wir die "Aktivitätsgruppe 2" in Grün nicht gestoppt hätten? Die "Aktivitätsgruppe 3" in Rot wäre in der Lage gewesen, ihre Operationen fortzusetzen. Einige Bedrohungsgruppen sind von anderen abhängig, z. B. wenn "Aktivitätsgruppe 3" den vorherigen Zugriff von "Aktivitätsgruppe 2" nutzt, um ihre eigenen Schadprogramme und Nutzlasten zu laden (lesen Sie Cobalt Strike, Schadprogramme, dann ransomware deployment).
Dies könnte eine potenzielle geschäftliche Abhängigkeit sein, die darauf hindeutet, dass "Aktivitätsgruppe 2" einen kostenpflichtigen Dienst (Pay-per-Install) oder Initial Access Broker anbietet.
Diamant-Modell
Das aus der Welt der Nachrichtendienste stammende Diamantenmodell kann für bösartige Aktivitäten "sowie für die zentralen Analysekonzepte verwendet werden, die zur Entdeckung, Entwicklung, Verfolgung, Gruppierung und schließlich zur Bekämpfung sowohl der Aktivität als auch des Gegners eingesetzt werden." Dieses Modell kann auf jeder der unten beschriebenen Ereignisebene(n) des Eindringens (d. h. den KC-Phasen auf der linken Seite) angewendet werden.
Sie beschreibt die vier Hauptmerkmale, die jedes bösartige Ereignis aufweist: Für jedes Eindringungsereignis gibt es "Ein Angreifer, der einen Schritt in Richtung eines beabsichtigten Ziels unternimmt, indem er eine Fähigkeit über die Infrastruktur gegen ein Opfer einsetzt und ein Ergebnis erzielt."
Warum haben wir nicht MITRE ATT&CK nur? Das haben wir.
Als Analysten haben wir ein Modell verwendet, das nicht nur Fähigkeiten/Tradecraft und Angriffsmethoden umfasst, von denen MITRE ATT&CK ausgeht, sondern auch die vier Eckpunkte des Diamantenmodells (Gegner, Fähigkeiten, Infrastruktur und Opfer), um eine "Bedrohung" zu beschreiben, die sich nicht nur mit TTPs oder Malware(s) definieren lässt.
Schließlich können wir die Aktivitätsgruppe selbst abbilden, die mit dieser Modelldarstellung beobachtet wird.
Die rot markierten Punkte sind die Merkmale, die wir als "höchste" Vertrauensmerkmale dieser Aktivitätsgruppe ansehen. Das heißt, wenn sich eines dieser Merkmale ändert, ist die Aktivitätsgruppe anders.
Wir versuchen hier, die Kernkomponenten dieser Aktivitätsgruppe zu definieren, die z. B. sein können: Die Art und Weise, wie sie das JavaScript verschleiern, die beobachteten Angriffsmethoden oder die russischen Hosting-Nutzungspräferenzen können allesamt gemeinsame Punkte sein, um sie zu verfolgen.
Schlussfolgerung
KI-gesteuerte Erkennung und Priorisierung in Kombination mit menschlicher Analyse unter Verwendung angereicherter Metadaten für die Untersuchung können helfen, Bedrohungen in Ihrem Unternehmen zu identifizieren und zu bekämpfen. Diese Kombination aus KI-gesteuerten Tools, menschlichen Erkenntnissen und Metadaten liefert das erforderliche Fachwissen, den Kontext und die Klarheit in einem einheitlichen und wiederholbaren Prozess. Dieser Prozess ist bei der Anwendung von Threat Intelligence auf die Analyse von Eindringlingen von entscheidender Bedeutung. Er ermöglicht es Analysten, Bedrohungen im Laufe der Zeit mit der gleichen Sprache zu erfassen und zu beschreiben, was unsere Bedrohungsdaten vereinfacht und verbessert, indem es Klarheit über das bringt, was wir beobachten. Die Jagd- und Abwehrmaßnahmen, die sich aus diesen modellierten Bedrohungen ergeben, können für alle Kunden von Vorteil sein, da sie so schneller fundierte Entscheidungen im Lebenszyklus der Bedrohung treffen können.