Befehl und Kontrolle
Wichtige Erkenntnisse
- Eine Studie von Palo Alto Networks ergab, dass über 90 % der entdeckten malware eine Form der C2-Kommunikation verwendet, um dem Angreifer Bericht zu erstatten.
- Laut dem Data Breach Investigations Report von Verizon waren fast 70 % der Sicherheitsverletzungen in irgendeiner Form mit C2-Aktivitäten verbunden, was ihre Rolle bei Cyberangriffen unterstreicht.
Die Command and Control (C2) ist für Angreifer von zentraler Bedeutung, um die Kontrolle über kompromittierte Systeme zu behalten und sie zur Ausführung bösartiger Aktivitäten oder zur Exfiltration von Daten zu veranlassen. Diese Kommunikation stellt eine kritische Phase im Lebenszyklus eines Angriffs dar, da sie einen dauerhaften, unbemerkten Zugriff auf die Umgebung des Opfers ermöglicht. In diesem Leitfaden wird betont, wie wichtig es ist, die C2-Kommunikation zu identifizieren und zu unterbrechen, um Bedrohungen zu entschärfen und Unternehmenswerte zu schützen.
Verstehen, wie Angreifer Command and Control nutzen
Bei jedem netzwerkbasierten Angriff stützt sich der Angreifer auf einen Befehls- und Kontrollkanal (C2), um seine Aktionen auszuführen. Indem er bösartige Software auf einem Host-Rechner installiert, stellt er eine Verbindung mit einem externen Server her. Überraschenderweise sind es die vom externen Server erhaltenen Anweisungen, die die Aktionen des infizierten Host-Rechners diktieren und es dem Angreifer ermöglichen, seinen Angriff fortzusetzen.
Command-and-Control-Tools wie Cobalt Strike und Metasploit werden von Angreifern häufig verwendet. Diese Tools unterstützen die Verschlüsselung des Kanals und setzen Techniken wie Domain Fronting und Session Jitter ein, um die Erkennung zu umgehen.
Erkennung von Command and Control unabhängig von der Verschlüsselung
Vectra AI verfolgt einen anderen Ansatz bei der Erkennung von Command-and-Control-Kanälen. Unabhängig von Verschlüsselungs- oder Umgehungstechniken gewährleistet der sicherheitsorientierte Ansatz von Vectra die Erkennung. Anstatt sich auf einen mathematischen Ansatz zu verlassen, konzentriert sich das Sicherheitsforschungsteam von Vectra auf Verhaltensmuster.
Bei der Untersuchung des Verhaltens eines Command-and-Control-Kanals stellte das Team von Vectra fest, dass die deutlichsten Indikatoren in der Form des Netzwerkverkehrs im Zeitverlauf liegen. Bei der Analyse dieser Zeitreihendaten setzten die Datenwissenschaftler von Vectra Deep-Learning-Modelle ein, insbesondere LSTM (Long Short Memory), die sich durch das Verständnis von Ereignissen auf verschiedenen Zeitskalen auszeichnen. Dies ermöglicht es Vectra, die Art einer Befehls- und Kontrollkonversation unabhängig von den verwendeten Tools effektiv zu identifizieren.
Wie sieht der normale Verkehr aus?
Nachstehend ein repräsentatives Beispiel für gutartigen Datenverkehr von einem externen System.
Im obigen Beispiel sendet ein Host-Rechner regelmäßig Signale an einen externen Server. Diese als Beacons bezeichneten Signale werden häufig von verschiedenen Diensten verwendet, um die Verbindung zwischen den Systemen aufrechtzuerhalten und effektiv zu kommunizieren.
Beacons können jedoch auch für böswillige Zwecke ausgenutzt werden. Es ist wichtig, die feinen Unterschiede zwischen einer legitimen Verwendung von Beacons, wie z. B. in Börsentickern oder Chat-Apps, und ihrer Verwendung für bösartige Befehls- und Kontrollkanäle zu verstehen.
Wie sieht der verdächtige Verkehr aus?
Um das Konzept besser zu verstehen, wollen wir einen speziellen Fall eines bösartigen verschlüsselten Tunnels untersuchen:
Erkennen Sie die deutlichen Muster in der obigen Grafik? Diese Spitzen zeigen an, dass die Befehle des Angreifers gesendet werden und das infizierte System darauf reagiert. Die anfängliche Spitze bei den "Empfangsbytes" tritt ohne Aufforderung auf und wird sofort von der Reaktion des infizierten Computers gefolgt.
Durch die Analyse dieser Muster haben die Datenwissenschaftler von Vectra eine effektive Methode zur Erkennung dieses Verhaltens entdeckt. Die Zeitreihendaten, die das Verhalten des Command-and-Control-Kanals darstellen, weisen Ähnlichkeiten mit den Daten auf, die bei der Spracherkennung und der Verarbeitung natürlicher Sprache verwendet werden. Diese Ähnlichkeit hat das Team dazu veranlasst, ein Deep-Learning-Modell zur Identifizierung einzusetzen.
Vectra nutzt ein leistungsstarkes neuronales Netzwerk, das als LSTM (Long Short Memory) bekannt ist, um Angriffsverhalten zu erkennen. Diese spezialisierte Architektur ist in der Lage, Ereignisse über mehrere Zeiträume hinweg zu analysieren und ermöglicht so ein umfassendes Verständnis der Daten aus Befehls- und Kontrollgesprächen. Das LSTM wird mit einer Vielzahl von realen und algorithmisch generierten Beispielen trainiert, die verschiedene Szenarien, Tools, Konfigurationen und Umgebungen abbilden. Dadurch ist das Modell in der Lage, die übergreifenden Muster zu erkennen, die auf einen Kontrollkanal hinweisen, unabhängig von den verwendeten spezifischen Tools.
Der in dieser Analyse verwendete algorithmische Ansatz wurde durch die Art und Weise ermöglicht, wie Vectra die Daten von Netzwerksitzungen formatiert. Vectra kann zwar Zeek-ähnliche Metadaten bereitstellen, sein benutzerdefinierter Parser geht jedoch über die Standardfunktionen von Zeek hinaus, indem er die Netzwerkkommunikation in Sub-Sekunden-Intervallen analysiert. Diese Detailgenauigkeit ermöglicht einen klaren Einblick sowohl in gutartige als auch in bösartige Kommunikationen und versetzt die Data-Science-Teams von Vectra in die Lage, die effektivsten Algorithmen für eine breite Palette von Problemen zu verwenden.
Die Kombination aus einzigartigen Metadaten und hochentwickelten Algorithmen ermöglicht es Vectra, Angreifer effektiv zu identifizieren. Durch die Konzentration auf die Kommunikationsdaten selbst und nicht nur auf oberflächliche Signale bleibt dieser Ansatz auch bei Änderungen der Angreifer-Tools und sogar bei verschlüsseltem Datenverkehr widerstandsfähig. Außerdem macht das eindeutige Verhaltenssignal Unterdrückungsfilter überflüssig, die versehentlich wichtige Informationen oder heimliche Angreiferaktionen herausfiltern könnten.
Command and Control ist ein Eckpfeiler von Cyberangriffen und erfordert proaktive Erkennungs- und Unterbrechungsstrategien. Vectra AI bietet fortschrittliche Lösungen, die Sicherheitsteams in die Lage versetzen, C2-Bedrohungen in Echtzeit zu erkennen, zu untersuchen und zu neutralisieren. Setzen Sie sich noch heute mit uns in Verbindung, um Ihre Verteidigung gegen hochentwickelte Cyber-Angreifer zu verbessern und Ihre kritischen Ressourcen zu schützen.
Weitere Grundlagen der Cybersicherheit
Häufig gestellte Fragen
Was sind Command and Control (C2)?
C2-Kommunikation ist eine Methode, mit der Angreifer die Kommunikation mit kompromittierten Systemen innerhalb eines Zielnetzwerks aufrechterhalten. Über diese Kanäle können die Angreifer Befehle erteilen, Daten stehlen und zusätzliche malware einsetzen.
Wie funktioniert die C2-Kommunikation?
Bei der C2-Kommunikation wird in der Regel eine Fernverbindung zwischen dem Server des Angreifers und dem angegriffenen System hergestellt. Dies kann über verschiedene Protokolle wie HTTP, HTTPS, DNS oder eigene Protokolle erfolgen.
Warum ist das Aufspüren von C2-Kommunikation eine Herausforderung?
Die Erkennung von C2-Kommunikation ist eine Herausforderung, da sie oft heimlich erfolgt, verschlüsselt wird und den legitimen Netzwerkverkehr nachahmt, wodurch sie sich herkömmlichen Erkennungsmethoden entziehen kann.
Was sind gängige Indikatoren für C2-Aktivitäten?
Zu den üblichen Indikatoren gehören ungewöhnlicher ausgehender Netzwerkverkehr, wiederholte Verbindungen zu denselben IP-Adressen oder Domänen, unregelmäßige Datenströme und bekannte bösartige IP-Adressen oder Domänen.
Wie können Unternehmen C2-Kommunikation aufspüren und stören?
Unternehmen können eine Kombination aus endpoint Detection and Response (EDR), Netzwerkverkehrsanalyse (NTA oder NDR), Intrusion Detection Systems (IDS) und Threat Intelligence Feeds einsetzen, um Anomalien und bekannte C2-Muster zu erkennen.
Welche Rolle spielt die Bedrohungsanalyse bei der Identifizierung von C2-Kommunikation?
Threat Intelligence liefert Informationen über bekannte bösartige IP-Adressen, Domänen und Signaturen, die mit C2-Kommunikation in Verbindung stehen, so dass Sicherheitsteams diese Bedrohungen effektiver identifizieren und blockieren können.
Wie verschleiern Angreifer die C2-Kommunikation?
Angreifer verbergen die C2-Kommunikation mit Hilfe von Techniken wie Domain-Generierungsalgorithmen (DGAs), schnellen Flux-Netzen und Verschlüsselung, um ihren Datenverkehr in der normalen Netzaktivität zu verbergen.
Kann Sandboxing bei der Identifizierung von C2-Kommunikation helfen?
Ja, Sandboxing kann helfen, C2-Kommunikation zu identifizieren, indem verdächtige Dateien oder URLs in einer kontrollierten Umgebung isoliert werden, um ihr Verhalten zu beobachten, einschließlich der Versuche, Remote-Verbindungen herzustellen.
Was sind die Folgen einer unkontrollierten C2-Kommunikation?
Unkontrollierte C2-Kommunikation kann zu Datenschutzverletzungen, finanziellen Verlusten, Betriebsunterbrechungen und einer langfristigen Beeinträchtigung der Netzinfrastruktur führen.
Wie wichtig ist die Reaktion auf Zwischenfälle im Rahmen der C2-Kommunikation?
Die Reaktion auf einen Vorfall ist entscheidend für die Eindämmung und Minderung des Schadens durch C2-Kommunikation. Eine rasche Reaktion kann die Exfiltration von Daten, die Verbreitung von malware und eine weitere Gefährdung des Systems verhindern.