Verbindungen zwischen Einzelangriffen erkennen — und darauf reagieren

Originalartikel von Matsukawa Bakuei, Senior Threat Researcher

Die Analyse und Erforschung von gezielten Angriffen hat gezeigt, dass Attacken, die auf den ersten Blick nichts miteinander zu tun haben, dennoch in Verbindung stehen. Dieses Wissen kann viel dazu beitragen, die richtige Reaktion auf eine Attacke zu bestimmen.

Wie sehen Ähnlichkeiten zwischen den Angriffen aus?

Bevor ein Cyberkrimineller einen Angriff startet, muss er viele Dinge dafür vorbereiten: Es muss eine Liste von Empfängern zusammengestellt, Command-&-Control-Server ans Netz gebracht und Schadsoftware-Payloads ausgesucht werden. Idealerweise sollten Angreifer separate Attacken aufsetzen, doch häufig verwenden sie Teile oder Taktiken, die funktioniert haben, mehrmals. Kenntnisse zu den Ähnlichkeiten zwischen den Angriffen sind hilfreich dabei, eine adäquate Antwort zu finden.

Es gibt viele Möglichkeiten, wie scheinbar unabhängige Attacken dennoch miteinander in Beziehung stehen können:

  1. Dieselbe IP-Adresse versendet verschiedene Mail-Nachrichten.
  2. Dieselbe Mail-Adresse versendet verschiedene Nachrichten.
  3. Dieselbe Schadsoftware wird verschiedenen Nachrichten beigefügt.
  4. Mehrere (ähnliche) Hintertür-Schädlinge nutzen denselben C&C-Server.
  5. Verschiedene Backdoor-Typen nutzen denselben C&C-Server.
  6. Mehrere registrierte Domänen nutzen dieselbe Mail-Adresse.
  7. Es gibt Ähnlichkeiten in der Art und Weise, wie der C-&-CNetzwerkverkehr organisiert ist.

Wie lassen sich diese Informationen einsetzen?

Typischerweise müssen sich Organisationen zwei Arten von Bedrohungen stellen: sehr ausgeklügelten Angriffen, die speziell auf ein Ziel ausgerichtet sind und eher „zufälligen“ Angriffen, die ein breiteres Ziel im Visier haben. Es kann schwierig sein, lediglich aufgrund der Untersuchung von Spezifika eines bestimmten Angriffs zu erkennen, zu welcher der beiden Kategorien der Vorfall gehört. Hilfreich ist es auch, die oben genannten Ähnlichkeiten zu untersuchen, unter Umständen mithilfe von zusätzlichen Informationen aus dem Smart Protection Network.

Angenommen, ein Unternehmen erhält eine scheinbar gezielte E-Mail, die einen bösartigen Anhang umfasst. Die Schadsoftware installiert sich auf dem System und versucht Kontakt aufzunehmen mit einem externen C&C-Server, um sich über http weitere Befehle abzuholen. Auf den ersten Blick scheint dies ein umfassender gezielter Angriff zu sein.

Doch eine genauere Analyse wird zeigen, dass die Malware lediglich auf zwei Dateien auf dem C&C-Server zugegriffen hat: /kc1/data.bin und /kc1/gate.php. Der Zugriff auf zwei Dateien in demselben Verzeichnis mit .BIN und .PHP-Extensions ist ein übliches Verhalten von ZeuS/ZBOT-Varianten. Außerdem wurde die Domäne des C&C-Servers unter einer E-Mail-Adresse registriert, die auch einer anderen Domäne dient, die auf einer bekannten ZeuS Tracker Blacklist steht. All diese Informationen lassen darauf schließen, dass es sich nicht um einen umfassender Angriff handelt, sondern um eine „normale“ ZeuS/ZBOT-Infektion. Natürlich stellt diese eine Gefahr dar, doch von ganz anderer Natur als ein umfassender Angriff.

Diese Informationen lassen sich auch dazu nutzen, um die Schwere eines Angriffs einzuschätzen. Beispielsweise fanden die Trend Micro-Sicherheitsforscher im Herbst eine neue Poison Ivy-Variante (BKDR_POISON.AB), die 15 verschiedene Maschinen infiziert hatte, die sowohl Einzelpersonen als auch verschiedenen Organisationen gehörten. Die Experten fanden auch heraus, dass ein ähnlicher Angriff bereits einige Zeit vorher stattgefunden hatte und dabei eine sehr ähnliche Poison Ivy-Variane (BKDR_POISON.BJX) verteilt worden war. Zu den Ähnlichkeiten gehörten die Mutexe der Malware und die E-Mails, die den Angriff verbreitet hatten.

Daraus konnten die Sicherheitsforscher schließen, dass beide Angriffe nicht ein direktes Ziel hatten, sondern dazu dienen sollten, Informationen zu einer größeren Anzahl von möglichen Zielen für künftige direkte Attacken zu sammeln .

Die Verbindungen zwischen Angriffen können auch Hinweise auf andere mögliche Attacken liefern. Die Untersuchung von E-Mails und IP-Adressen, die mit C&C-Server-Domänen in Verbindung stehen, kann beispielsweise zu weiteren Domänen führen. Zusätzliche Informationen geben Hinweise auf mögliche Angriffe, die zu diesem Zeitpunkt nicht zu erkennen gewesen wären.

Fazit

Es zeigt sich, dass die Informationssammlung zu den Verbindungen zwischen den Angriffen viel über diese aussagen kann. Organisationen, die diese Art von Bedrohungsintelligenz nutzen, erhalten ein viel genaueres Bild über die Angriffe, denen sie ausgesetzt sind. Sie können scheinbar nicht miteinander in Verbindung stehende Angriffe in Beziehung setzen und feststellen, dass sie von nur einer Angreifergruppe ausgehen. Andererseits lassen sich auch Verbindungen zwischen Attacken von mehreren Gruppen unter Umständen als Zusammenarbeit erkennen. Zusätzliche Informationen zu gezielten Angriffen und deren Abwehr liefert das Whitepaper „Custom Defense – eine Lösung für flexiblen Schutz vor individuellen Bedrohungen“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*