Sieben Punkte für die Suche nach Anzeichen eines gezielten Angriffs

Originalartikel von Ziv Chang, Director, Cyber Threat Solution

Gezielte Angriffe sind darauf ausgerichtet, vorhandene Policies und Sicherheitslösungen im anvisierten Netzwerk zu umgehen, sodass ihre Erkennung zur Herausforderung wird. Wie bereits im Zusammenhang mit den häufig auftretenden Missverständnissen in Bezug auf gezielte Angriffe dargelegt, gibt es keine Einheitslösung dagegen. Unternehmen müssen Schutzmaßnahmen aufsetzen, die dort, wo es erforderlich ist, Sensoren platzieren. Zudem benötigen sie IT-Mitarbeiter, die genügend Wissen besitzen, um Auffälligkeiten innerhalb des Netzwerks zu erkennen.
Um Auffälligkeiten zu erkennen, müssen IT-Administratoren jedoch erst wissen, wonach sie suchen. Angriffe sind meist derart aufgesetzt, dass sie nur wenige Spuren hinterlassen. Deshalb ist es wichtig zu wissen, wo potenzielle Indikatoren für eine Kompromittierung zu finden sind.

Suche nach eingefügten DNS Records

Angreifer manipuliren häufig DNS Records, um sicherzustellen, dass die Verbindungen zu ihren C&C-Servern nicht blockiert werden. Administratoren sollten nach folgenden Anzeichen für eingefügte DNS Records suchen:

  1. Unbekannte Domänen, die in IPs wie 127.0.0.1, 127.0.0.2, 255.255.255.254, 255.255.255.255, 0.0.0.0 und 1.1.1.1 „geparkt“ sind. Diese IPs werden typischerweise von Angreifern als Platzhalter für noch nicht genutzte C&Cs eingesetzt.
  2. Unbekannte Domänen, die erst kürzlich, etwa vor drei Tagen, registriert wurden. Lässt sich mit whois prüfen.
  3. Domänen, die aus zufälligen Zeichen zu bestehen scheinen (z.B. aeeqvsfmtstjztqwlrqknoffmozu.com oder zxcmpfwqwgqnbldzhdqsrqt.com)
  4. Domänen, die bekannte Sites zu imitieren scheinen (z.B. microsoft-dot .com deor goooogle.com)

Audit-Konten für fehlgeschlagene/irreguläre Anmeldungen

Sobald ein Angreifer sich in einem Netzwerk festgesetzt hat und die Kommunikation mit seinem C&C steht, beginnt er in vielen Fällen mit lateralen Bewegungen durchs Netz. Er sucht das Active Directory, den Mail- oder Dateiserver und greift über einen Exploit und eine Server-Sicherheitslücke darauf zu. Wenn Administratoren ihre wichtigen Server gegen Sicherheitslücken gepatcht und gesichert haben, so versucht der Kriminelle, Admin-Konten mit Gewalt zu knacken. Deshalb ist der Login Record die beste Referenz für jeden diesbezüglichen Versuch. Die Suche nach fehlgeschlagenen aber auch erfolgreichen Logins zu verdächtigen Zeiten zeigt die Versuche eines Angreifers, sich innerhalb des Netzes lateral zu bewegen.

Warnungen aus den Sicherheitslösungen

Manchmal kennzeichnen Sicherheitslösungen scheinbar harmlose Tools als verdächtig. Nutzer ignorieren die Warnungen, denn die Datei ist entweder bekannt oder scheint harmlos. Doch immer wieder kommt es vor, dass die Warnungen tatsächlich auf einen Angreifer im Netzwerk hinweisen. Die Kriminellen könnten entweder schlecht aufgesetzte Hacker-Tools verwenden oder manchmal solche wie PsExec und andere aus der Sysinternals Suite, um damit Diagnosen im System oder Netzwerk durchzuführen. Manche Sicherheitslösungen kennzeichnen diese Tools als verdächtig, wenn sie nicht auf dem Computer des Nutzers vorinstalliert sind. Der IT-Admin muss nachfragen, warum der Nutzer das entsprechende Tool einsetzt. Falls kein guter Grund vorliegt, könnte es ein Angreifer sein.

Suche nach merkwürdigen großen Dateien

Admins müssen unbekannte große Dateien in einem System prüfen, da sie Daten enthalten können, die aus dem Netzwerk gestohlen wurden. Angreifer speichern diese Dateien vor der Exfiltrierung häufig in den Systemen ihrer Opfer und verstecken sie hinter normal aussehenden Dateinamen und Dateitypen.

Audit von Netzwerk-Logs auf von der Norm abweichende Verbindungen

Es ist wichtig, die Netzwerk-Monitoring-Logs zu auditieren, um Abweichungen in den Verbindungen zu entdecken. Dafür müssten Admins das Netzwerk und die Aktivitäten darin zu jeder Zeit genau kennen. Nur wenn der Normalzustand des Netzwerks bekannt ist, lassen sich Abweichungen davon erkennen.

Abweichende Protokolle

Im Zusammenhang mit abweichenden Verbindungen sollten auch die dabei genutzten Protokolle geprüft werden, vor allem diejenigen, die von innen nach draußen gehen. Häufig nutzen die Angreifer ein Protokoll, das in dem entsprechenden Netzwerk erlaubt ist. Das heißt, Verbindungen müssen auch dann inspiziert werden, wenn sie normale Protokolle nutzen.

Beispielsweise haben Angreifer https (port 443) für die Verbindung nach draußen genutzt, doch bei der Prüfung des Inhalts wurde festgestellt, dass nur http-Datena darin enthalten waren. Admins denken nicht daran, https-Verbindungen zu prüfen, da sie davon ausgehen, dass diese immer verschlüsselt sind.

Erhöhte Email-Aktivität

IT-Admins können Mail-Logs prüfen, um zu sehen, ob es merkwürdige Spitzen für einzelne Nutzer gab. Diese müssen weiter erforscht werden, weil der Nutzer sich unter Umständen in einem gezielten Spear-Phishing-Angriff befindet. Ein Angreifer, der seine Hausaufgaben gemacht hat, könnte darüber Bescheid wissen, dass ein Mitarbeiter ein wichtiges Meeting haben wird und ihm bereits drei Monate vorher Spear-Phishing-Mails schicken.

Gegenmaßnahmen

Traditionelles AV-Blacklisting reicht nicht mehr aus, um ein Unternehmensnetzwerk gegen gezielte Angriffe zu schützen. Es bedarf einer Sicherheitslösung, die fortschrittliche Techniken zur Entdeckung von Bedrohungen einsetzt sowie Indikatoren für die Kompromittierung und Intelligenz für die Erkennung, Analyse und Reaktion auf Angriffe umfasst. Weitere Informationen gibt es auf der Webseite Threat Intelligence Resources on Targeted Attacks.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*