Angriffswerkzeuge und -techniken können sich im Laufe der Zeit ändern, aber das Angriffsverhalten bleibt ein stabiler Indikator für Angreifer im Netz. Wenn Sie das Angriffsverhalten als zuverlässiges Signal nutzen, können Sie schnell Maßnahmen ergreifen, um Angriffe zu stoppen oder weiteren Schaden zu verhindern.
Mithilfe von Netzwerk-Metadaten können Sie Erkennungen erstellen, die auf bestimmte Angriffstools, Exploits oder Techniken abzielen. Diese Erkennungen können verwendet werden, um einen frühen Hinweis auf Angreiferaktivitäten auf niedriger Ebene zu geben oder um die von Angreifern verwendeten Tools und Exploits für verhaltensbezogene Erkennungen zu kennzeichnen.
Vectra liefert erstklassige KI- und ML-Modelle zur Entlarvung von Angreifern in Ihrem Netzwerk, indem es sich auf diese stabilen Verhaltensweisen von Angreifern konzentriert. Wir stellen auch Zeek-formatierte Netzwerk-Metadaten zur Verfügung, die Sie entweder mit unserem Vectra Recall Produkt oder direkt in Ihr Security Information Event Management (SIEM) mit unserem Vectra Stream Angebot. Sie können unsere Netzwerk-Metadaten nutzen, um die integrierten KI- und ML-basierten Verhaltenserkennungen zu ergänzen und Angreifer-Tools und Exploits zu entdecken.
Die Bausteine zum Auffinden von Angreifer-Tools und Exploits
Die Kombination von Vectra Netzwerk-Metadaten und einer Reihe von Techniken kann helfen, Tools und Exploits von Angreifern in Ihrem Netzwerk zu identifizieren. Diese Techniken können einzeln oder zusammen verwendet werden, um entweder einen allgemeinen Abgleich mit Klassen von Tools oder Exploits oder einen sehr speziellen Abgleich mit bestimmten Tools oder Exploits vorzunehmen.
Einige der grundlegenden Netzwerk-Metadaten-Bausteine zum Auffinden von Angreifer-Tools und Exploits sind:
- DNS-Domänen
Ist die DNS-Domäne eine bekannte böse Domäne? WannaCry beispielsweise nutzte DNS-Domänen als Kill Switch, aber auch andere nutzen DNS für C2 und für die Datenexfiltration.
- Aussteller des Zertifikats
Ist der Zertifikatsaussteller die erwartete und vertrauenswürdige Wurzel? Billige oder kostenlose Zertifikatsaussteller werden häufig beim Domain Squatting verwendet, um den Datenverkehr über Man-in-the-Middle-Angriffe (MITM) abzufangen und Anmeldedaten zu stehlen.
- Quell- und Ziel-IPs
Ist das Quell- oder Ziel-Subnetz als schlecht oder verdächtig bekannt? IP-Adressen können verwendet werden, um ungewöhnlichen oder verdächtigen Datenverkehr innerhalb Ihres Netzes zu identifizieren.
- Benutzer-Agenten
Werden die Benutzeragenten in diesem Netzwerk oder Subnetz erwartet? Benutzer-Agenten werden zur Beschreibung des verwendeten Browsers oder Frameworks verwendet und können auf eine ungewöhnliche oder verdächtige Nutzung hinweisen.
- JA3/JA3S-Hashes
Ist der Client oder Server ein bekannter böser Akteur? JA3 erstellt Fingerabdrücke von Clients (JA3) und Servern (JA3S), indem es eine Vielzahl von Informationen untersucht, die während des TLS-Handshakes offengelegt werden. (In diesem Blog finden Sie weitere Möglichkeiten zur Verwendung von JA3/JA3S-Hashes bei der Untersuchung und Suche nach Bedrohungen).
Kuratierte Suche mit Vectra Recall
Gute Recherchen zu erstellen kann schwierig sein, selbst wenn man die besten Werkzeuge und Bausteine zur Verfügung hat! Manche Recherchen sind zu breit und zu verrauscht, während andere eine echte Bedrohung übersehen könnten, weil der Suchbereich etwas eingegrenzt wurde.
Aber Vectrahält Ihnen den Rücken frei! Unser Sicherheitsforschungs- und Data-Science-Team investiert kontinuierlich in neue Suchvorgänge, die auf spezifische Exploits, Tools und Frameworks abzielen. Diese Suchvorgänge werden auf unserer Plattform Recall veröffentlicht und verschaffen Ihnen einen Vorsprung beim Auffinden und Kennzeichnen von Low-Level-Angriffsverhalten in Ihrem Netzwerk.
In der jüngsten Vergangenheit haben wir unter Recall qualitativ hochwertige Recherchen zu den folgenden Bedrohungen und Schwachstellen durchgeführt und veröffentlicht:
- Citrix ADC-Schwachstelle (CVE-2019-19781)
- Curveball-Schwachstelle in kryptografischen Bibliotheken von Microsoft (CVE-2020-0601)
- Pupy Remote Access Trojaner, der von bekannten APTs eingesetzt wird
- Fox-Kitten-Kampagne, die von APTs genutzt wird, die auf VPN-Schwachstellen abzielen
Diese Neuzugänge ergänzen unsere umfangreiche Bibliothek bestehender Suchen, die dabei helfen können, Bedrohungen mit den folgenden Exploits und Tools zu finden und zu kennzeichnen:
- EternalBlue
- Cobalt Strike
- Metasploit
- Kali Linux
- Empire
- Und viele weitere bekannte schlechte Taktiken, Techniken und Verfahren (TTPs)
Automatisierung der Suche mit Vectra Recall Benutzerdefinierte Modelle
Qualitativ hochwertige Recherchen sind wertvoll für Ermittlungen, aber sie können zeitaufwendig sein, um sie zu erstellen und zu testen. Lassen Sie Vectra die harte Arbeit machen. Mit Recall Custom Models können wir diese Suchen nach Erkennungen nahezu in Echtzeit automatisieren. Aktivieren Sie einfach "Custom Model"-Erkennungen für eine Suche auf Vectra Recall , um automatisch einen Abgleich durchzuführen und eine Warnmeldung zu erhalten, wenn Übereinstimmungen gefunden werden.
Durch die Aktivierung von benutzerdefinierten Modellen für ein Angriffstool, einen Exploit oder eine TTP können Sie schnell und einfach das Verhalten von Angreifern auf niedriger Ebene in Ihrem Netzwerk verfolgen, bevor es zu einem ausgewachsenen Angriff kommt. Die Kennzeichnung solcher Aktivitäten ermöglicht auch eine schnellere und effektivere Reaktion durch die Identifizierung der Playbooks der Angreifer.
Um einen genaueren Einblick in die Verwendung von Vectra Recall um Angreifer-Tools und Exploits zu finden, vereinbaren Sie einen Termin für eine Demo.