2018-06-08 09:00:04

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind. Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.

Den Unterschied zwischen dem Verhalten des Angreifers und dem akzeptablen Benutzerverhalten ist anspruchsvoll. Dabei geht es darum, Nuancen zwischen den beiden Verhaltensmustern zu erkennen und in einem größeren Kontext zu betrachten, wie sich das Bedrohungsverhalten im Angriffszyklus entwickelt. Es ist noch schwieriger, angriffstypisches Verhalten zu erkennen, wenn die Angreifer Zugriff auf Sicherheitstools haben, die bereits im Netzwerk ausgeführt werden. Zum Beispiel ist ein Softwareverteilungstool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt ein Hintergrundrauschen, welches wie die Remote-Ausführung von Dateien aussieht, also genau das, was ein Angreifer tun würde. 

Sicherheitstools müssen Filter erstellen, um dieses Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn die Maschine Befehle ausführt, die nicht vertrauenswürdig sind. Den meisten Sicherheitstools fehlt dieses Angreiferverhalten, weil sie das zugehörige Rauschen bereits herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.

Mit Cognito bietet Vectra, führend in der automatisierten Erkennung bereits stattfindende Cyberangriffe mittels künstlicher Intelligenz (KI), eine KI-basierte Plattform für das Entdecken und Erkennen von Cyberbedrohungen. Wie solch eine Plattform vorgeht, erklärt das folgende Praxisbeispiel:

In der jüngsten Pen-Test-Übung bei einem Fertigungsunternehmen erwarb das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach exponierten Anlagen zu suchen. Das blaue Team hat dem Sicherheitsteam schon frühzeitig über den Nessus-Scanner unterrichtet, wie und von wem dieser benutzt wird. Das Sicherheitsteam wollte wissen, wann Scans auftreten, und wollte nicht, dass Nessus-Scans als Angriffe interpretiert werden, weil sie ein bestimmtes Verhalten darstellen. Das würde den Sicherheitsanalytikern mehr Arbeit bringen. Es ist die Aufgabe von Vectra Cognito, den Lärm herauszufiltern, damit sich Sicherheitsanalytiker eingehendere Untersuchungen von Vorfällen konzentrieren, Probleme beheben und lernen können, wie sich das Netzwerk anpassen lässt.

Als der Pen-Test weiterging, bemerkte die Sicherheitsplattform mehrere Erkundungen und seitliches Bewegungsverhalten, die vom Nessus-Scanner ausgingen. Dies trat in einer Sequenz auf, wie es vorher nicht zu sehen war, was den Schluss nahelegte, dass ein Unbefugter den Nessus-Scanner gekapert hatte. Das erste erkannte Verhalten des Angreifers waren klassische IP-Port-Sweeps und Port-Scans. Hinzu kam eine große Anzahl von internen Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.

Um Zeit zu sparen, wurden das Angriffsverhalten und die Kontextinformationen so korreliert, dass das blaue Team sehen konnte, dass das rote Team versucht hat, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk vorhanden waren.

Es folgte eine weitere Überwachung der Netzwerk-Scan-Aktivität. Obwohl das Verhalten bei der Erkennung verdächtig war, stufte die künstliche Intelligenz die Aktivitäten als einen mittleren Bedrohungsgrad ein, da später im Angriffszyklus keine damit verbundenen Verhaltensweisen darauf hindeuteten, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.

Nach dem Scannen für einige Zeit, bemerkte die Plattform, dass das rote Team eine Reihe von Servern entdeckt hatte, die anfällige Datenbanken und eine Datenbank mit schwachen Admin-Passwörter ausführten. Damit war schnell klar, dass das rote Team in die laterale Bewegungsphase des Angriffszyklus überging, die eine SQL-Injektion, automatisierte Replikation und einen Brute-Force-Angriff gegen die Admin-Passwörter beinhaltete.

In Echtzeit korrelierte die künstliche Intelligenz alle diese Angreiferverhaltensmuster mit dem Host, der vom roten Team und den Servern im Rechenzentrum verwendet wurde, das sie kompromittiert hatten. Beim Betrachten der Angriffe durch den Angriffszyklus wies Vectra Cognito dem Vorgang einen kritischen Bedrohungswert und einen hohen Sicherheitslevel zu.

Die blauen Teamkollegen hatten schnell Maßnahmen ergriffen, um das rote Team zu isolieren und es zu stoppen, bevor es zu noch gefährlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte. Genau dies gelang es mittels künstlicher Intelligenz zu verhindern.

mat

Druckversion

Zum Thema

  • 2018-06-06

    DATAKOM: Datenschutz mit Methode

    Der IT-Sicherheitsexperte DATAKOM unterstützt Unternehmen dabei, die Vorgaben der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) termingerecht und mit kalkulierbarem wirtschaftlichen Aufwand zu erfüllen. Dazu verwendet DATAKOM das DSMS Datenschutz-Managementsystem auf Basis des GRC-Systems CRISAM.  mehr

  • 2018-06-06

    Die letzte Verteidigungslinie

    Endpoint-Detection and Response (EDR) verspricht die Entdeckung von ausgefeilten Angriffen, die IT-Security-Lösungen nicht verhindern konnten. Mit einem neu entwickelten Ansatz der Verbindung von EDR mit Endpoint-Security können Unternehmen gegen "das letzte Prozent" möglicher IT-Bedrohungen vorgehen.  mehr

  • 2018-03-01

    USA-Zugriff auf Daten in Europa

    Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit dem er nach dem Willen der US-Regierung tief in den europäischen Datenschutz eingreifen würde. Im Februar 2018 entscheidet er darüber, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.  mehr

  • 2018-05-30

    Malware klaut Rechenleistung

    Sicherheitsexperten von Crowdstrike haben eine neue Malware dokumentiert, die es nicht auf Erpressungsgeld oder Daten, sondern auf Rechenleistung abgesehen hat. "WannaMine", so der Name des Schädlings, basiert auf Angriffsmethoden, die eigentlich vom US-Geheimdienst NSA entwickelt wurden und bereits in WannaCry zum Einsatz kamen.  mehr

  • 2018-06-06

    Top 10 Sicherheitstipps für die Public Cloud

    Kostenfokussierte Abteilungen in Unternehmen fordern die Verlagerung in die öffentliche Cloud, während das IT-Sicherheitsteam potenzielle Sicherheitsrisiken sieht und versucht, die Kontrolle nicht zu verlieren.  mehr

  • 2018-06-06

    Opfer von Ransomware: Jedes 2. Unternehmen war betroffen

    Wie stand es 2017 um die modernen IT-Gefahren für Unternehmen und wie haben sich Firmen gegen diese aufgestellt? Eine von Sophos beauftragte Befragung unter 2.700 IT-Entscheidern mittlerer Unternehmensgröße in zehn Ländern identifiziert Ransomware als eine der Hauptbedrohungen für die IT-Sicherheit: 54 Prozent aller befragten Unternehmen sahen sich 2017 Attacken durch die Erpressungssoftware ausgesetzt – und dies im Durchschnitt sogar zweifach.  mehr

  • 2018-05-30

    Phishing zielt verstärkt auf Cloud-Daten

    „Ihr Konto wurde gehackt!“ Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln.  mehr

  • © quelle it-sa
    2018-05-30

    Wachstumsplattform der IT-Security-Branche

    it-sa 2018: Ob Wirtschaft, Verwaltung oder Politik – Cybersicherheit ist im Zuge der Digitalisierung eine drängende Herausforderung, der sich Staats- und Unternehmenslenker stellen müssen. Auf der Münchner Sicherheitskonferenz und der Munich Cyber Security Conference steht das Thema deshalb prominent auf der Agenda.  mehr

  • 2018-06-06

    API-Sicherheit ist gefährdet

    Der Cybersicherheitsanbieter Imperva, Inc., der mit Best-in-Class-Lösungen Daten und Anwendungen vor Ort, in Clouds und hybriden Umgebungen schützt, hat die Ergebnisse einer Umfrage zur Sicherheit von Programmierschnittstellen (APIs) bekanntgegeben. Die Umfrage, für die 250 IT-Fachkräfte befragt wurden, zeugt von wachsender Besorgnis über die Cyberrisiken, die mit der Nutzung von APIs einhergehen.  mehr

  • 2018-05-30

    Europa ist Hauptziel von DDoS-Angriffe

    F5 Networks hat ermittelt, dass im Jahr 2017 die registrierten IT-Sicherheitsvorfälle um 64 Prozent angestiegen sind. Das zeigen Kundendaten aus dem F5 Security Operations Center (SOC) in Polen. Dabei steht das Gebiet Europa, Naher Osten und Afrika (EMEA) im Brennpunkt: 51 Prozent der weltweit gemeldeten DDoS-Angriffe trafen Unternehmen aus dieser Region.  mehr