Befehl und Kontrolle
Command and Control (C2) bezieht sich im Kontext der Cybersicherheit auf die Phase eines Cyberangriffs, in der Angreifer eine zentrale Infrastruktur einrichten, um mit kompromittierten Systemen oder Geräten innerhalb eines Zielnetzes zu kommunizieren und diese zu kontrollieren.
- Eine Studie von Palo Alto Networks ergab, dass über 90 % der entdeckten malware eine Form der C2-Kommunikation nutzen, um dem Angreifer Bericht zu erstatten.
- Laut dem Data Breach Investigations Report von Verizon waren fast 70 % der Sicherheitsverletzungen in irgendeiner Form mit C2-Aktivitäten verbunden, was ihre Rolle bei Cyberangriffen unterstreicht.
Command and Control (C2)-Kommunikation ist für Angreifer von zentraler Bedeutung, um die Kontrolle über kompromittierte Systeme zu behalten und sie zur Ausführung bösartiger Aktivitäten oder zur Exfiltration von Daten zu veranlassen. Diese Kommunikation stellt eine kritische Phase im Lebenszyklus eines Angriffs dar, da sie einen dauerhaften, unbemerkten Zugriff auf die Umgebung des Opfers ermöglicht. In diesem Leitfaden wird betont, wie wichtig es ist, die C2-Kommunikation zu identifizieren und zu unterbrechen, um Bedrohungen zu entschärfen und Unternehmenswerte zu schützen.
Verstehen, wie Angreifer Command and Control Kanäle nutzen
Bei jedem netzwerkbasierten Angriff stützt sich der Angreifer auf einen Befehls- und Kontrollkanal (C2), um seine Aktionen auszuführen. Indem er bösartige Software auf einem Host-Rechner installiert, stellt er eine Verbindung mit einem externen Server her. Überraschenderweise sind es die vom externen Server erhaltenen Anweisungen, die die Aktionen des infizierten Host-Rechners diktieren und es dem Angreifer ermöglichen, seinen Angriff fortzusetzen.
Command-and-Control-Tools wie Cobalt Strike und Metasploit werden von Angreifern häufig verwendet. Diese Tools unterstützen die Verschlüsselung des Kanals und verwenden Techniken wie Domain Fronting und Session Jitter, um die Erkennung zu umgehen.
Erkennung von Command and Control unabhängig von der Verschlüsselung
Vectra AI verfolgt einen anderen Ansatz zur Erkennung von Command-and-Control-Kanälen. Unabhängig von Verschlüsselungs- oder Umgehungstechniken gewährleistet der sicherheitsorientierte Ansatz von Vectra die Erkennung. Anstatt sich auf einen mathematischen Ansatz zu verlassen, konzentriert sich das Sicherheitsforschungsteam von Vectra auf Verhaltensmuster.
Bei der Untersuchung des Verhaltens eines Command-and-Control-Kanals stellte das Team von Vectra fest, dass die deutlichsten Indikatoren in der Form des Netzwerkverkehrs im Zeitverlauf liegen. Bei der Analyse dieser Zeitreihendaten setzten die Datenwissenschaftler von Vectra Deep-Learning-Modelle ein, insbesondere LSTM (Long Short Memory), die sich durch das Verständnis von Ereignissen auf verschiedenen Zeitskalen auszeichnen. Dies ermöglicht es Vectra, die Art einer Befehls- und Kontrollkonversation unabhängig von den verwendeten Tools effektiv zu identifizieren.
Wie sieht der normale Verkehr aus?
Nachstehend ein repräsentatives Beispiel für gutartigen Datenverkehr von einem externen System.
Im obigen Beispiel sendet ein Host-Rechner regelmäßig Signale an einen externen Server. Diese als Beacons bezeichneten Signale werden häufig von verschiedenen Diensten verwendet, um die Verbindung zwischen den Systemen aufrechtzuerhalten und effektiv zu kommunizieren.
Beacons können jedoch auch für böswillige Zwecke ausgenutzt werden. Es ist wichtig, die feinen Unterschiede zwischen einer legitimen Verwendung von Beacons, wie z. B. in Börsentickern oder Chat-Apps, und ihrer Verwendung für bösartige Befehls- und Kontrollkanäle zu verstehen.
Wie sieht der verdächtige Verkehr aus?
Um das Konzept besser zu verstehen, wollen wir einen speziellen Fall eines bösartigen verschlüsselten Tunnels untersuchen:
Erkennen Sie die deutlichen Muster in der obigen Grafik? Diese Spitzen zeigen an, dass die Befehle des Angreifers gesendet werden und das infizierte System darauf reagiert. Die anfängliche Spitze bei den "Empfangsbytes" tritt ohne Aufforderung auf und wird sofort von der Reaktion des infizierten Computers gefolgt.
Durch die Analyse dieser Muster haben die Datenwissenschaftler von Vectra eine effektive Methode zur Erkennung dieses Verhaltens entdeckt. Die Zeitreihendaten, die das Verhalten des Command-and-Control-Kanals darstellen, weisen Ähnlichkeiten mit den Daten auf, die bei der Spracherkennung und der Verarbeitung natürlicher Sprache verwendet werden. Diese Ähnlichkeit hat das Team dazu veranlasst, ein Deep-Learning-Modell zur Identifizierung einzusetzen.
Vectra nutzt ein leistungsstarkes neuronales Netzwerk, das als LSTM (Long Short Memory) bekannt ist, um Angriffsverhalten zu erkennen. Diese spezialisierte Architektur ist in der Lage, Ereignisse über mehrere Zeiträume hinweg zu analysieren und ermöglicht so ein umfassendes Verständnis der Daten aus Befehls- und Kontrollgesprächen. Das LSTM wird mit einer Vielzahl von realen und algorithmisch generierten Beispielen trainiert, die verschiedene Szenarien, Tools, Konfigurationen und Umgebungen abbilden. Dadurch ist das Modell in der Lage, die übergreifenden Muster zu erkennen, die auf einen Kontrollkanal hinweisen, unabhängig von den verwendeten spezifischen Tools.
Der in dieser Analyse verwendete algorithmische Ansatz wurde durch die Art und Weise ermöglicht, wie Vectra die Daten von Netzwerksitzungen formatiert. Vectra kann zwar Zeek-ähnliche Metadaten bereitstellen, sein benutzerdefinierter Parser geht jedoch über die Standardfunktionen von Zeek hinaus, indem er die Netzwerkkommunikation in Sub-Sekunden-Intervallen analysiert. Diese Detailgenauigkeit ermöglicht einen klaren Einblick sowohl in gutartige als auch in bösartige Kommunikationen und versetzt die Data-Science-Teams von Vectra in die Lage, die effektivsten Algorithmen für eine breite Palette von Problemen zu verwenden.
Die Kombination aus einzigartigen Metadaten und hochentwickelten Algorithmen ermöglicht es Vectra, Angreifer effektiv zu identifizieren. Durch die Konzentration auf die Kommunikationsdaten selbst und nicht nur auf oberflächliche Signale bleibt dieser Ansatz resistent gegenüber Änderungen bei den Angreifer-Tools und sogar verschlüsseltem Datenverkehr. Außerdem macht das eindeutige Verhaltenssignal Unterdrückungsfilter überflüssig, die versehentlich wichtige Informationen oder heimliche Angreiferaktionen herausfiltern könnten.
Command and Control Kommunikation ist ein Eckpfeiler von Cyberangriffen und erfordert proaktive Erkennungs- und Unterbrechungsstrategien. Vectra AI bietet fortschrittliche Lösungen, die Sicherheitsteams befähigen, C2-Bedrohungen in Echtzeit zu erkennen, zu untersuchen und zu neutralisieren. Wenden Sie sich noch heute an uns, um Ihre Verteidigung gegen hochentwickelte Cyberangriffe zu verbessern und Ihre kritischen Ressourcen zu schützen.