Nicht alle Daten sind gleich erstellt

21. Mai 2019
Vectra AI Team für Sicherheitsforschung
Cybersecurity
Nicht alle Daten sind gleich erstellt

Vectra Kunden und Sicherheitsforscher reagieren auf einige der folgenreichsten Bedrohungen der Welt. Und sie sagen uns, dass es eine Reihe von Fragen gibt, die sie beantworten müssen, wenn sie ein bestimmtes Angriffsszenario untersuchen. Ausgehend von einer Warnung von Cognito Detect, einem anderen Sicherheitstool oder ihrer Intuition stellen die Analysten eine Hypothese auf, was vor sich geht.

Untersuchen von Daten auf der Suche nach Leuchtfeuern

Anschließend prüfen sie ihre Hypothese, indem sie die Daten untersuchen, um festzustellen, ob sie an der richtigen Stelle suchen oder in die richtige Richtung denken. Der Zugang zu den richtigen Daten und Erkenntnissen kann den Unterschied bei der Untersuchung ausmachen, sowohl in Bezug auf das Ergebnis als auch auf die Geschwindigkeit, mit der das Ergebnis erzielt wird.

Stellen Sie sich das folgende Szenario vor. Ihr Team hat von einem Banking-Trojaner erfahren, der ein gefälschtes Google-Chrome-Update nutzt, um auf dem Zielsystem eine Command-and-Control (C&C)-Stellung einzunehmen.

Nach einer anfänglichen Kompromittierung durch Spear-Fishing oder Drive-by-Download lädt der ausgenutzte Host die vollständige Nutzlast in Form eines Chrome-Updates herunter, bevor er den C&C-Kanal einrichtet und weitere Erkundungen und seitliche Bewegungen tiefer in das Netzwerk hinein ermöglicht.

In diesem Fall ruft das Implantat in regelmäßigen Abständen die C&C-Infrastruktur des Angreifers an, was wir als Beaconing-Verhalten beobachten würden. Beaconing kann ein schwacher Indikator für potenzielle bösartige Aktivitäten sein, die als Grundlage für einen C&C-Kanal oder den Rückruf zum Abrufen von malware dienen.

In den meisten Fällen ist das Beaconing jedoch Teil eines harmlosen Verhaltens, z. B. wenn Ihr Smart-TV oder Ihr Telekonferenzgerät eine Verbindung zu seinem Home Hub herstellt. Auch Börsenticker und Aktualisierungen von Sportergebnissen sind berüchtigt für Beaconing.

Wie können Sie die potenziell bösartige Kommunikation erkennen und identifizieren?

Und wenn Sie feststellen, dass die Kommunikation böswillig ist, wie reagieren Sie dann?

Genau aus diesem Grund verwendet Vectra KI-Engines, um Sicherheitserkenntnisse zu extrahieren, die in unsere Metadaten eingebettet werden, bevor sie von unseren Kunden direkt genutzt oder in unsere Erkennungsmodelle eingespeist werden. Im obigen Beispiel threat hunting/Untersuchung möchte ich beispielsweise Fragen beantworten können wie:

  • Gibt es in meinem Netz Fälle von Beaconing?
  • Welche externen Ziele werden angepeilt?
  • Welche Hosts sind potenziell infiziert, nicht nur die IP-Adresse?
  • Zeigt die Beaconing-Kadenz eine ungewöhnliche Anfrage/Antwort-Häufigkeit?
  • Ist die Größe der Nutzlast etwas, das ich normalerweise sehen würde?
  • Hat die Bake eine seltene oder ungewöhnliche JA3-Raute?
  • Geht der Verkehr zu einem ungewöhnlichen externen Ziel?
  • Welche Berechtigungsstufe haben die Hosts, die das Beaconing durchführen?
  • Werden Beaconing-Sitzungen innerhalb einer einzigen, langen Verbindung verschleiert?
  • Verwendet die Verbindung ungewöhnliche Dienste und Protokolle?

Aufdeckung von malware beaconing dank Cognito

Der erste Schritt besteht darin, dafür zu sorgen, dass die zur Beantwortung dieser Fragen erforderlichen Attribute dem Sicherheitsanalysten ohne weiteres zur Verfügung stehen.

Anfang dieses Jahres haben wir Cognito Stream veröffentlicht, das Data Lakes und SIEMs (Security Information Event Management) direkt mit Zeek-formatierten Netzwerk-Metadaten versorgt, die mit diesen Sicherheitsinformationen angereichert sind.

Vectra Kunden nutzen diese mit Sicherheitsinformationen angereicherten Netzwerk-Metadaten, um ihre vorhandenen benutzerdefinierten Tools zu nutzen oder um sie mit organisationsspezifischen Modellen zu analysieren, z. B. für Anwendungsfälle zur Erkennung von Richtlinien und Bedrohungen.

Im Folgenden finden Sie ein Beispiel für die eindeutigen Metadatenattribute, die als angereicherte Metadaten in Cognito Stream zur Verfügung stehen.

Das ist erst der Anfang. Wir haben ein ganzes Team von Sicherheitsforschern und Datenwissenschaftlern, die daran arbeiten, den Wert der Netzwerk-Metadaten in Cognito Stream durch Anreicherungen kontinuierlich zu erhöhen.

In zukünftigen Blogs werden wir Details über andere Anreicherungen wie JA3-Popularität von Clients und Servern, Webcluster und Domain-Popularität mitteilen.

Häufig gestellte Fragen