Indikator für einen Kompromiss

Was sind Kompromissindikatoren (IOCs)?

Anhaltspunkte für eine Gefährdung sind im Wesentlichen die Brotkrümel, die Angreifer hinterlassen, und können eine breite Palette von Datenpunkten umfassen, z. B:

1. URLs oder Domain-Namen: Anzeichen für Verbindungen zu phishing oder Command-and-Control-Servern.
2. IP-Adressen: Sie signalisieren Kommunikation mit bekannten bösartigen Quellen.
3. Dateinamen: Hinweis auf nicht autorisierte Änderungen, möglicherweise durch einen Angreifer.
4. Datei-Hashes: Einzigartig für bestimmte Teile von malware oder unautorisierter Software.

Vectra AI hilft bei der Identifizierung und Analyse dieser IoCs und versetzt SOC-Teams in die Lage, schnell auf Bedrohungen zu reagieren, potenzielle Schäden zu minimieren und die Sicherheitslage des Unternehmens zu verbessern.

Wie man IOCs (Indikatoren für Kompromisse) findet

Es ist wichtig, ein offenes Ohr zu haben und sicherzustellen, dass Sie über alle neuen Kompromisse, die angekündigt werden, informiert sind. Genauso wichtig ist es aber auch, in der Lage zu sein, auf neue Kompromissindikatoren zu reagieren, wenn Sie von ihnen erfahren. In diesem Abschnitt beschreiben wir gängige IOCs, worauf sie hinweisen können, warum Sie sich darum kümmern sollten und wie Sie in Ihren Netzwerk-Metadaten nach diesen IOCs suchen können.

Bereich IOCs

Jeder externe Akteur muss in der Lage sein, Einbrüche von außerhalb des Netzwerks zu verwalten, und Domänen sind ein wichtiges Instrument, um dies zu bewerkstelligen. Wie wir kürzlich beim SUNBURST-SolarWinds-Exploit gesehen haben, wurden Command & Control -Operationen über Domänen wie appsync-api. eu-west-1[.]avsvmcloud[.]com durchgeführt. Es ist auch ein gängiges Mittel bei phishing -Versuchen, Domänennamen zu verwenden, die populäre Websites imitieren, um bei ihrem Ziel keinen Verdacht zu erregen. Wenn beispielsweise versucht wird, über phishing die Anmeldedaten für das Outlook-Konto einer Person zu stehlen, könnte eine Domain wie outlook.com.enteryourpassword.tk verwendet werden, um keinen Verdacht zu erregen.

Domain Indicators of Compromise (IOCs) sind ein starkes Signal für eine Kompromittierung, da diese Domains von einem böswilligen Akteur registriert wurden und der Datenverkehr ausdrücklich zu diesem Zweck erfolgt. Wenn eine Kommunikation zu einer IOC-Domäne festgestellt wird, sollte dies unbedingt untersucht werden.

Bekannte schlechte Domains

Sie können eine Liste bekannter böser Domains aus jeder beliebigen Quelle in eine Recall -Abfrage umwandeln. Wir haben eine Excel-Datei für Sie erstellt, die Sie von einem Sicherheitsingenieur erhalten können, wenn Sie eine Liste wie diese haben:

• Baddomain1[.]com
• Baddomain2[.]com

Konvertieren Sie diese Abfrage zunächst in eine Lucene-Abfrage: Resp_domain:(baddomain1.com OR baddomain2.com)

Führen Sie dann diese Abfrage für Ihre iSession-Metadaten aus Stream

Verdächtig vertraute Domains

1. Erstellen Sie eine Liste der gängigen Domänen, auf die Benutzer in Ihrem Netzwerk zugreifen. Z.B.: Facebook, Google Mail, Outlook, Ihr Firmenintranet.  
2. Suchen Sie nach diesen Elementen in Ihrer Vectra Recall iSession-Aktivität. Z. B. Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. Diese Suche speichern
4. Erstellen Sie eine neue "Datentabellen"-Visualisierung mit dieser Suche als Quelle und teilen Sie die Zeilen nach "Term" auf und aggregieren Sie sie nach "resp_domain". Sie können die Zeilen auch nach "Significant Terms" aufteilen, wodurch interessante und ungewöhnliche Begriffe angezeigt werden, um das Rauschen zu reduzieren. Lesen Sie hier mehr: https://www.elastic.co/guide/en/elasticsearch/reference/current/searchaggregations-bucket-significantterms-aggregation.html  
5. Es wird eine Liste der am häufigsten aufgerufenen Websites angezeigt, die Ihrer Suche entsprechen. Legitime Domains sollten zuerst erscheinen. Bewegen Sie den Mauszeiger über legitime Elemente und klicken Sie auf , um diese Elemente auszuschließen.
6. Diese Visualisierung speichern

Alle in dieser Datentabelle verbleibenden Elemente müssen weiter untersucht werden, und wenn sie harmlos sind, sollten sie ausgeschlossen werden. Zu Beginn haben Sie vielleicht viele interne Variationen des Domänennamens Ihres Unternehmens. Zum Beispiel haben wir bei Vectra AI eine große Anzahl von Vectra AI internen Domains wie dev.vectrai.ai, HR assets in hr.vectra.ai usw. Sie müssen diese Fehlalarme effektiv aussortieren, um gute, verwertbare Daten zu erhalten.

Wenn Sie nach einigen Tagen der manuellen Überprüfung dieser Visualisierung mit den verbleibenden Ergebnissen zufrieden sind, sollten Sie diese Suche in ein benutzerdefiniertes Modell umwandeln, indem Sie die zugrunde liegende Suche speichern und dann zum Abschnitt "Verwalten" der Detect-Benutzeroberfläche navigieren. Suchen Sie auf der Registerkarte "Benutzerdefinierte Modelle" Ihre neue gespeicherte Suche und aktivieren Sie sie in ihrem Bearbeitungsmodus.

IP-Adressen IOCs

Sie können eine Liste bekannter bösartiger IP-Adressen aus einer beliebigen Quelle leicht in eine Recall -Abfrage umwandeln. Wir haben dazu eine Excel-Datei erstellt, die Sie von jedem Sicherheitsingenieur erhalten können, wenn Sie eine Liste wie diese haben:

• 192.0.2.1  
• 192.0.2.2

Konvertieren Sie diese Abfrage zunächst in eine Lucene-Abfrage: Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

Führen Sie dann diese Abfrage auf Ihrer iSession Metatada Stream aus.

Häfen IOCs

Neuartige Anschlussverwendung

Die meiste Software verwendet einen Standardsatz externer Ports für die Kommunikation. Wenn neue Ports im Netzwerk auftauchen, kann dies auf die Installation neuer Software in der Umgebung hinweisen; oder in einigen Fällen auf die Kommunikation von einem kompromittierten Host. Vectra AI erstellt Info-Level-Detektionen, die melden, wenn neue externe Verbindungen in der Umgebung beobachtet werden.

Sie können diese Ereignisse mithilfe von Streams zusammenfassen, um zu überwachen, ob neue Software im Netzwerk verwendet wird oder ob möglicherweise bösartige C2-Kanäle eingerichtet werden. Diese Ereignisse werden meist durch harmlose Benutzeraktivitäten verursacht, aber wenn Ihr Unternehmen eine Richtlinie zur Beschränkung autorisierter Anwendungen hat, kann das Aufspüren neuartiger Ports von Systemen außerhalb Ihres IT-Administrationsteams ein Zeichen für bösartige Aktivitäten oder zumindest einen Verstoß gegen die Richtlinie sein.

Spitzen bei der Nutzung ungewöhnlicher Ports

Spitzen in der Netzwerkaktivität, die ungewöhnliche Ports betreffen, können signifikant sein und rechtfertigen weitere Untersuchungen, da dieser Port möglicherweise von malware zur Kommunikation genutzt wird. Ein sprunghafter Anstieg der Aktivität erfordert eine weitere Untersuchung.

Der beste Weg, diese Aktivität zu überprüfen, ist eine Zeitreihenvisualisierung. Wir haben bereits eine für Sie in Vectra Recall mit dem Titel "Hunting off Indicators: Spikes in Uncommon Port Usage - data" ? Y-Achse zum Zählen.

Unten sehen Sie ein Beispiel für die Aktivität. Die am häufigsten verwendeten Ports wurden ausgeschlossen, und es sind zwei Ports zu erkennen, deren Nutzung deutlich ansteigt. Port 3283 wird für iChat verwendet, was unbedenklich ist und daher ausgeschlossen werden konnte, aber Port 40063 ist neu und könnte eine weitere Untersuchung rechtfertigen. Sie sollten sich auch auf einzelne Punkte konzentrieren, die Spitzen im Datenverkehr anzeigen, die zu keinem anderen Zeitpunkt in Ihrem Suchzeitraum aufgetreten sind.

Die oben genannten Schritte waren:

• Erstellen eines Datums-Histogramms mit 24 Stunden iSession-Daten, mit der Anzahl der Verbindungen als y-Achse
• Aufteilung der Daten in eine separate Reihe pro antwortendem Anschluss (id.resp_p)
• Herausfiltern sehr gängiger Ports, z. B. 80/443 usw.
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

Sie sollten versuchen, diese Visualisierung zu duplizieren und die Suchabfrage mit Ports zu aktualisieren, von denen Sie wissen, dass sie in Ihrer Organisation sicher sind. (Hinweis: Wenn Sie versuchen, Änderungen an der Standardvisualisierung Recall vorzunehmen, werden Ihre Änderungen überschrieben).

Ebenso ist eine Datenübertragungsspitze von einem ungewöhnlichen Anschluss etwas, das man untersuchen sollte, um sicherzustellen, dass es sicher ist.

Dies funktioniert genauso wie bei der Zählung des Datenverkehrs, aber Sie sollten die y-Achse so einstellen, dass sie die insgesamt gesendeten Daten anzeigt. Wir haben eine Visualisierung mit dem Namen "Hunting off Indicators" erstellt: Spikes in Uncommon Port Usage - data" erstellt, die Sie als Ausgangspunkt dafür verwenden können.

Siehe auch Abschnitt Link zu Protokollen über Nicht-Standard-Ports

Dateinamen IOCs

Bösartige Dateien können im Netzwerk über SMB oder andere Protokolle transportiert und dann auf den Zielhosts entweder durch Remote-Prozesse oder Social Engineering ausgeführt werden. Durch die Überwachung bestimmter bekannter bösartiger Dateierweiterungen, die von böswilligen Akteuren verwendet werden können, lassen sich Fälle finden, in denen Dateien zu bösartigen Zwecken übertragen werden.

Der SMB-Dateimetadatenstrom in Vectra Recall zeigt jeden Dateinamen an, mit dem interagiert wird, und diese Daten können ausgewertet werden, um Daten zu finden, die verdächtig sein könnten.

Es gibt 2 konkrete Beispiele, die wir hier beschreiben, aber das kann sich ändern.

• Verdächtige Dateinamen
• Verdächtige Pfade

Verdächtige Dateinamen

Dateinamen, die von Benutzern geschrieben werden, enthalten in der Regel echte englische Wörter, während Dateinamen erfahrungsgemäß ein schwacher Indikator für Kompromisse sein können.

Beispiele hierfür sind:

• Sehr lange Dateinamen, z.B.. TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• Dateien ohne Vokale, z. B. dwtdfh.doc

Ohne organisatorischen Kontext können solche Suchen jedoch sehr unübersichtlich sein.

Sie können nach solchen Dateinamen mit regulären Ausdrücken (regex) suchen. Diese Suchvorgänge können recht langsam sein. Wir empfehlen daher, zunächst eine Suche über 15 Minuten durchzuführen und dann den Zeitbereich zu erweitern, sobald Sie das Rauschen reduzieren.

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

Diese Suche ist ein regulärer Ausdruck, wobei die Logik des regulären Ausdrucks in den Schrägstrichen / enthalten ist

• .* = Übereinstimmung mit einem beliebigen Pfad
• \\ = Backslash zur Kennzeichnung des Beginns eines Dateinamens
• [bcdfghjklmnpqrstvwxyz]{{4,} = 4 oder mehr Konsonanten in einer Reihe
• . = Punkt (bezeichnet den Beginn der Erweiterung)
• .* = entspricht einer beliebigen Erweiterung

Sie können auch ähnliche Suchen in metadata_httpsessioninfo durchführen, um unverschlüsselten http-Verkehr zu überwachen.

Mit der obigen Suche sollten Sie darauf achten, häufige Dateinamen zu entfernen, von denen Sie wissen, dass sie nicht bösartig sind. Wenn beispielsweise ein Microsoft-Update-Server einem bestimmten Ordner Dateien mit einem langen Dateinamen hinzufügt, können Sie diese Dateien mit einem Ausschlussfilter von der Suche ausschließen. Sobald Sie diese Fehlalarme aus dem Netzwerk entfernt haben, sollten Sie den Suchzeitraum auf den gesamten Aufbewahrungszeitraum ausweiten. Wenn nur sehr wenige Dateien betroffen sind und Sie der Meinung sind, dass diese für die Sicherheit von Bedeutung sind, sollten Sie Ihre Suche in ein benutzerdefiniertes Modell umwandeln und Erkennungen für diese Dateinamen durchführen.

Verdächtige Dateipfade

Einige Pfade könnten in Ihrem Netzwerk verdächtig sein und eine Untersuchung rechtfertigen, und es sollte eine ähnliche Suche wie bei den verdächtigen Dateinamen durchgeführt werden.

Sie sollten eine Liste von Dateipfaden erstellen, von denen Sie wissen, dass sie in Ihrer Organisation von Bedeutung sind, und eine Suche erstellen, um die Zugriffe auf diese Pfade zu überwachen. In diesem Beispiel konzentrieren wir uns auf alle Zugriffe auf Dateien in /App/Data/Roaming/.

Die Suche, die Sie durchführen würden, lautet: name:/ /App/Data/Roaming/.*/

Diese Suche wird alle Dateizugriffe in diesem Verzeichnis abgleichen. In unserem System gab es eine Menge rechtmäßiger Zugriffe von 2 Update-Servern. Um das Rauschen dieser Suche zu reduzieren, suchen Sie nach legitimen Servern, von denen Sie erwarten würden, dass sie auf den betreffenden Ordner zugreifen, und klicken Sie auf das Verkleinerungssymbol neben der IP-Adresse, um Anfragen von diesem Server auszuschließen.

Ja3 & Hassh

Ja3 und Hassh sind Fingerprinting-Methoden, die die Quelle von SSL- bzw. SSH-Aktivitäten anhand der verfügbaren Informationen aus den Klartextpaketen erkennen können, die vor Abschluss des Verschlüsselungs-Handshakes gesendet werden.

Ja3

Ja3 ist eine Methode zur Erstellung von SSL/TLS-Fingerprints, die zur Erkennung des Clients oder Servers in einer bestimmten Sitzung verwendet werden können. Ein Standard-Tor-Client hat zum Beispiel einen Ja3-Fingerprint von e7d705a3286e19ea42f587b344ee6865.

Ja3-Fingerabdrücke können Aktivitäten anzeigen, die von derselben Anwendung auf mehreren Clients durchgeführt wurden, und können auch zur Überprüfung von IOCs verwendet werden. Dies ist keine narrensichere Lösung, da es für fortgeschrittene Angreifer möglich ist, die zugrunde liegenden Fingerabdrücke zu verändern. Um zum Beispiel zu überprüfen, ob TOR-Aktivitäten in Ihrem Netzwerk beobachtet wurden, gehen Sie zum metadata_ssl*-Stream und suchen Sie nach: Ja3:e7d705a3286e19ea42f587b344ee6865

Sie können mehr über Ja3 auf dem Github-Profil lesen, dem von der Community betriebenen Repository von Ja3-Fingerprints. Eine Liste der malicius JA3-Fingerprints finden Sie auf abuse.ch.

Hassh & HasshServer

Hassh verwendet eine ähnliche Logik wie Ja3 in SSH-Verbindungen und erstellt Fingerabdrücke von SSH-Verbindungen. Dies kann verwendet werden, um festzustellen, wo ein bestimmter Client über SSH mit mehreren verschiedenen Servern kommuniziert hat, und um zu sehen, ob eine Aktivität, die auftritt, neu ist.

Hassh ist besonders in streng kontrollierten Umgebungen nützlich. Wenn es in einem Netzwerk wichtige Abschnitte gibt, können Sie speziell die SSH-Aktivitäten in diesem Subnetz durchsuchen, um zu sehen, welche Hassh-Verbindungen dort verwendet werden. Diese Verbindungen sollten mit der gebotenen Sorgfalt geprüft werden, um sicherzustellen, dass keine dieser Aktivitäten bösartig ist, und dann sollte jeder sichere Hassh von der Suche ausgeschlossen werden, indem man auf das Feld neben dem Feld klickt. Schließlich sollten Sie keine neuen Hassh in diesem Subnetz sehen, so dass Sie diese Suche speichern und als benutzerdefiniertes Modell aktivieren können (über Verwalten -> Benutzerdefinierte Modelle in der detect UI).

Das Github-Community-Profil für Hassh listet viele weitere Verwendungen dieser Daten auf.

Um Ihre Sicherheitslage zu verbessern und sicherzustellen, dass Ihr Unternehmen gut gerüstet ist, um Bedrohungen schnell zu erkennen und darauf zu reagieren, ist die Erkennung von IoCs unerlässlich. Vectra AI bietet fortschrittliche Lösungen, die sich nahtlos in Ihre bestehende Sicherheitsinfrastruktur integrieren lassen und Echtzeit-Erkennung und verwertbare Informationen liefern. Kontaktieren Sie uns noch heute, um Ihre Cyberabwehr zu stärken.