Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Malware-Payloads und Beacons: Techniken zur Abschwächung der Auswirkungen

Michael Adjei
Direktor, Systems Engineering, EMEA
Illumio Editorial
17Dezember 2021
23 min. lesen

Im ersten Artikel dieser Serie wurde erläutert, wie bösartige Kommunikation beginnt, unterstützt durch die Infrastruktur des Angreifers und die damit verbundenen Beacons und Payloads. Im zweiten Artikel haben wir die Kategorien und Arten von Payloads zusammen mit den In-Memory-Manipulationstechniken untersucht. Im letzten Teil dieser Serie konzentrieren wir uns auf einige der Verschleierungstechniken, die zur Verschleierung von Nutzlasten verwendet werden, und untersuchen Abwehrtechniken, die Verteidiger einsetzen können.

Eine wichtige Kennzahl in der Cybersicherheit ist die mittlere Zeit bis zur Erkennung (MTTD), auch bekannt als "Time to Detection". Dies ist die Zeitspanne von einem ersten Eintrag eines Angreifers bis zu dem Zeitpunkt, an dem der Angriff von der Zielorganisation erkannt wird. Ein erfolgreicher Einstieg oder Exploit ist meist nur der Anfang. Bedrohungsakteure setzen oft unterschiedliche Verschleierungstechniken ein, um in kompromittierten Netzwerken unentdeckt zu bleiben.

Es ist sinnvoll, die folgenden umfassenden Ansätze zur Risikominderung in Betracht zu ziehen, die reaktive und präventive Techniken umfassen:

1. Reactive-First-Ansatz

  • Nur Detektion
  • Erkennung und Reaktion

2. Präventiver Ansatz

  • Nur präventiv
  • Prävention und Reaktion

Nach dem reaktiven Ansatz ist die reine Erkennung das, was Technologien wie alte Intrusion Detection Systeme (IDS) sind. Solche Systeme verwenden in der Regel eine Reihe bekannter Signaturen von bösartigem Code oder Nutzlasten, um Bedrohungen zu erkennen. Diese lassen sich leicht umgehen, indem die Hashes oder Signaturen geändert werden. Die Erkennung von Bedrohungen hat sich seitdem stark weiterentwickelt. Zu den modernen Erkennungstechniken gehören Verhaltens- und Heuristiken, maschinelles Lernen, Selbstlernen und Funktionen der künstlichen Intelligenz.

Aufbauend auf dem Reactive-First-Ansatz umfasst Detection and Response die Möglichkeit, eine Bedrohung zu stoppen, nachdem sie erkannt wurde. Dies baut auf der Erkennungsfähigkeit auf, zu blockieren oder zuzulassen.

In diesem Fall sollte das Konfidenzniveau des Erkennungsmoduls extrem hoch sein, um falsch positive Ergebnisse (Blockieren legitimer Dateien, die fälschlicherweise für Bedrohungen gehalten werden) oder falsch negative Ergebnisse (Zulassen von Bedrohungen, die mit legitimen Dateien oder Code verwechselt werden) zu vermeiden. Bei beiden reaktiven Ansätzen muss zuerst eine als verdächtig eingestufte Aktion ausgeführt werden, bevor diese Systeme eine reaktive Aktion auslösen.

Auf der anderen Seite verlässt sich der präventive Ansatz, insbesondere der rein präventive, nicht darauf, dass etwas zuerst passiert, um zu handeln. Es gibt eine Reihe von Always-on-Regeln dafür, was unabhängig davon erlaubt oder blockiert werden muss. Dies ist auch der Ansatz, der bei der Zero-Trust-Segmentierung (auch als Mikrosegmentierung bezeichnet) verwendet wird.

Dieser Ansatz kann auch adaptiv sein, abhängig von der Technologie, um in Fällen zu reagieren, in denen eine reaktive Reaktion erforderlich ist. Wir werden diese beiden Ansätze in diesem Artikel untersuchen.

Schauen wir uns zunächst einige Techniken an, die Bedrohungsakteure einsetzen, um ihre Aktivitäten zu verschleiern oder vor der Entdeckung zu verbergen. Anschließend untersuchen wir Beispiele für sowohl reaktive ("Erkennung" und "Erkennung und Reaktion") als auch präventive ("nur präventive" und "Prävention und Reaktion") Ansätze, um die Auswirkungen von Malware-Angriffen zu mildern.

Verschleierungstechniken

Techniken wie benutzerdefinierter Code, Code-Packing (z. B. mit UPX-Packer), Steganografie, verzögerte Ausführung, Backdooring, Codierung (Base64) und Verschlüsselung können von Bedrohungsakteuren verwendet werden, um zu versuchen, bösartige Nutzlasten zu verbergen oder zu verschleiern.

Bedrohungsakteure können auch "Living-off-the-Land"-Techniken einsetzen, um bereits vertrauenswürdige Systemdateien und Binärdateien wie Powershell oder WMI zu nutzen, oder sie können versuchen, bereits vertrauenswürdige Binärdateien und ausführbare Dateien von Drittanbietern zu nutzen.

Ausführbare Hintertüren

Es gibt verschiedene Techniken, die ein Angreifer anwenden kann, um sicherzustellen, dass seine Nutzlasten ausgeführt werden.

Eine Möglichkeit besteht darin, ihren bösartigen Code in einer legitimen ausführbaren Datei zu verstecken. Als wir uns den kompromittierten Opfercomputer im vorherigen Blog ansahen, bemerkten wir eine putty.exe ausführbare Datei im Downloads-Ordner des Benutzers. Putty.exe ist ein weit verbreiteter Telnet- und SSH-Client.

ausführbare Datei für Malware Putty

Mit dem Ziel, die bösartige Nutzlast als Hintertür in Kitt einzufügen, lädt der Angreifer zunächst die legitime putty.exe ausführbare Datei des Benutzers herunter.

Cyberangriff Putty ausführbare Datei herunterladen

Als Nächstes generiert der Angreifer eine neue Nutzlast, verwendet aber die legitime putty.exe Datei als ausführbare Vorlage für ihre Nutzlast. Sie benennen die resultierende ausführbare Datei putty_new.exe.

ausführbare Datei der Malware-Nutzlast putty

Sie können nun diese neue ausführbare Backdoor-Datei in das System des Benutzers hochladen, wie unten gezeigt.

ausführbare Datei für die Malware-Payload Backdoor

Als Lateral-Movement-Technik kann der Angreifer diese ausführbare Datei auf andere Systeme innerhalb des kompromittierten Netzwerks übertragen, um noch mehr Benutzer dazu zu bringen, die bösartige Nutzlast unwissentlich auszuführen.

Laterale Bewegung der Malware-Nutzlast

Nachdem der Benutzer die trojanisierte putty.exe ausgeführt hat, Sie können das Programm normal verwenden. Im Hintergrund wird die bösartige Nutzlast jedoch ausgeführt und führt einen Rückruf an den Command-and-Control-Listener des Angriffs aus, wie hier zu sehen.

Rückruf der Malware-Payload

Bei den laufenden Prozessen des kompromittierten Computers können wir sehen, dass der putty_new.exe Prozess eine TCP-Verbindung (Port 443) zurück zum Angreifer auf app12.webcoms-meeting.com hergestellt hat.

TCP-Verbindung der Malware-Payload
Codierung von Nutzlasten

In der Informatik ist Codierung der Prozess der Anwendung eines Algorithmus auf bestimmte Daten, um deren Format zu ändern. Die Codierung kann nützlich sein, um das Format eines Datentyps in einen anderen zu ändern, um die Übertragung, Speicherung oder Verwendung auf einem Zielsystem zu vereinfachen.

Hier ist ein Beispiel für ASCII-Text (normaler englischer Text) auf der linken Seite, der auf der rechten Seite in Base64 codiert ist. Obwohl die Daten identisch sind, ist das Format völlig unterschiedlich. Wenn man nur den unbekannten Base64-kodierten Text erhält, benötigt man einen Base64-Decoder, um ihn in den bekannteren ASCII-Text umzukehren.

ASCII-Text Base64

Diese Funktion ist auch äußerst nützlich für Bedrohungsakteure, um ihren bösartigen Code und ihre Nutzlasten effektiv zu verbergen und zu versuchen, der Erkennung zu entgehen. Die Codierung erschwert die statische Analyse einer Nutzlast, da eine Technik wie das Packen die gleiche Analyse erschwert, insbesondere das Erkennen von Zeichenfolgen.

Das folgende Beispiel zeigt, wie die Codierung im Rahmen der Generierung einer bösartigen Nutzlast durch den Angreifer verwendet werden kann.

Hier wird der Encoder-Algorithmus shikata_ga_nai. Die Nutzlast wird codiert, indem dieser Algorithmus in sechs Iterationen ausgeführt wird, wie in der Abbildung unten gezeigt. Dies trägt dazu bei, Aspekte der Nutzlast zu verschleiern und erschwert die Erkennung, insbesondere durch Signaturanalyse mittels Hashing oder sogar statische Analyse des Nutzlastcodes und der Zeichenfolgen.

Encoder-Algorithmus für die Malware-Nutzlast

Bedrohungsakteure können auch Microsoft Office-Dokumentmakros, Powershell-Skripte und andere native und legitime Binärdateien und Tools verwenden, um zu versuchen, bösartige Aktivitäten zu verbergen. Der Einsatz nativer Tools und Binärdateien auf einem kompromittierten System oder in einer angegriffenen Umgebung wird als "Leben vom Land" bezeichnet. Als Nächstes untersuchen wir einige Möglichkeiten zur Risikominderung.

Reactive-First-Ansatz: Nachweistechniken

Reactive-First-Ansätze hängen von der anfänglichen Fähigkeit ab, verdächtige oder bösartige Aktivitäten zu erkennen. Lassen Sie uns einige davon untersuchen.

Statische Analyse: Code-Analyse

Bei der statischen Analyse handelt es sich um die Analyse eines Codestücks einer ausführbaren Datei auf der Festplatte. Eine weitere statische Analyse erweitert diese Art der Analyse aus dem ersten Artikel und zeigt einige zusätzliche nützliche Indikatoren. Diese Nutzlastdatei verweist auf bestimmte riskante Zeichenfolgen und Bibliotheken und ruft einige Systemfunktionen auf, die für eine Untersuchung verdächtiger Aktivitäten von Interesse wären.

Statische Code-Analyse
Signaturanalyse: Antivirus

Bei der Signaturanalyse auf der grundlegenden Ebene wird ein Hash oder eine Signatur der Datei oder Nutzlast von Interesse mit einer großen Datenbank mit zuvor erkannten, bekannten Signaturen verglichen. Dies ist der Ansatz, den herkömmliche Antivirenlösungen verfolgen. Das folgende Beispiel zeigt die böswillige gestaffelte Payload aus dem ersten Artikel , der mit einer Gruppe von Antiviren-Scanmodulen verglichen wurde.

Analyse von Antivirus-Signaturen
Dynamische Analyse: Sandboxing

Die dynamische Analyse umfasst die Überwachung des Verhaltens, um bösartige Aktionen zu erkennen. Hier wird die Nutzlast oder Datei von Interesse in einer Sandbox-Umgebung ausgeführt, um ihr Verhalten zu untersuchen und es mit einer Reihe von guten oder schlechten Kriterien zu vergleichen. Jedes schlechte Verhalten wird mit einer Gewichtung verglichen, um eine endgültige Entscheidung über die böswillige oder nicht bösartige Erkennung zu treffen.

Bei einer Sandbox kann es sich um eine Anwendung handeln, z. B. einen Browser, der in einem geschützten Bereich ausgeführt und überwacht wird, um ein Betriebssystem, das in einer virtuellen Maschine ausgeführt wird, oder um eine vollständige Emulation von Computersoftware und Hardwarekomponenten wie Festplatte, Arbeitsspeicher und CPU – wobei letztere für Malware am schwierigsten zu umgehen sind.

Das folgende Beispiel zeigt eine Teilmenge der verdächtigen Aktivitäten, an denen eine ausführbare Datei oder Nutzlast nach dem Sandboxing oder der Emulation gemessen wird.

Verdächtige Aktivitäten der Malware-Payload

Reactive-First-Ansätze sind wichtig, und fast alle Organisationen haben diese in irgendeiner Form in ihren Netzwerken. Aber wie alles andere in der Sicherheitsbranche muss auch dieser Ansatz durch andere Schutzebenen ergänzt werden, um eine effektive Sicherheitsstrategie zu erhalten – unter Anwendung der Security-in-Depth-Philosophie. Da die Erkennung manchmal fehlschlägt oder umgangen werden kann, sind präventive Ansätze notwendig.

Präventiver Ansatz

Wie bereits beschrieben, fällt der präventive Ansatz im Allgemeinen unter "nur präventiv" und "Prävention und Reaktion". In den nächsten Schritten gehen wir zunächst die ersten Erkennungsaktionen durch, die ein Bedrohungsakteur ergreifen könnte, um andere Computer zu finden, auf die der von ihm kompromittierte Computer zugreifen kann. Anschließend untersuchen wir die Schritte, die Verteidiger unternehmen können, um Systeme im Netzwerk zu segmentieren, auch wenn sich diese im selben Subnetz befinden, um das Risiko einer lateralen Bewegung zu verringern.

Präventive Zero-Trust-Segmentierung

Im Anschluss an die verschleierte putty.exe Nutzlast kann ein Bedrohungsakteur einen Angriff fortsetzen, indem er mit dem kompromittierten Pivot-Point-Computer einen weiteren Discovery-Scan im Netzwerk durchführt. Bedrohungsakteure sind besonders an den üblichen Lateral-Movement-Kommunikationswegen wie Telnet, SSH, SMB und RDP interessiert, um im Netzwerk nicht aufzufallen.

Wir können sehen, dass einige dieser Kommunikationspfade in dem Subnetz geöffnet sind, in dem der Angreifer erfolgreich einen Computer kompromittiert hat. Dieser grundlegende Scan ist ein guter Hinweis darauf, dass sich sowohl Windows- als auch Linux-Systeme im Netzwerk befinden. Auf Windows-Systemen sind in der Regel SMB-Ports und auf Linux-Systemen SSH geöffnet.

Netzwerk-Discovery-Scan SSH SMB

Unter Berücksichtigung eines proaktiven, präventiven Ansatzes zur Risikominderung bietet eine Technologie wie Illumio Core eine äußerst nützliche Transparenz. Illumio Core kann die Aktionen des Angreifers deutlich anzeigen, selbst in einem "Nur-Monitor"-Modus – im folgenden Fall ein One-to-Many-Scan vom Pivot-Rechner zu den restlichen Systemen im Zielsubnetz. Die Sichtbarkeitskarte von Illumio Core, bekannt als Illumination, zeigt eine Geschäftsansicht des Unternehmensnetzwerks. Wir können auch sehen, dass diese Systeme über mehrere Standorte verteilt sind.

Illumio visibility map

Auf der Illumio-Karte zeigt die Kommunikation aus dem Scan an, dass sie von den HQ-Office-Workstations stammt, die für Datacenter-1 bestimmt sind. Die Identifizierung nützlicher und umsetzbarer Informationen ist einfach, da die Systeme alle mit Illumio-Labels (Tags oder Metadaten) verknüpft sind, um die Karte anzureichern. Dieselben Informationen werden später verwendet, um Richtlinien zu definieren, ohne sich auf Netzwerkkonstrukte wie IP-Adressen, VLANs (virtuelle LANs) oder Zonen verlassen zu müssen, um sicherzustellen, dass sich Sicherheitsrichtlinien automatisch an Änderungen anpassen.

Eine weitere nützliche Funktion ist die proaktive Durchführung einer Prüfung des Netzwerks mit dem Risikoanalyse- und Ermittlungstool von Illumio. Dies kann uns die Risikopfade aufzeigen, für die dieses Netzwerk anfällig ist, z. B. die Pfade, die häufig von Malware und Ransomware genutzt werden, um sich in einem kompromittierten Netzwerk zu verbreiten. Wir müssen nicht auf einen Cybervorfall warten, bevor wir handeln. Eine empfohlene präventive Risikoanalyse wird uns diese Informationen klar und einfach liefern, wie unten gezeigt.

Traffic-Analyse des Illumio Explorers

In dieser Untersuchungsansicht oben zeigt die Consumer-Seite die Quelle und die Provider-Seite das Ziel der Kommunikation. Wir können auch die verwendeten Ports und ganz rechts die Prozesse sehen, die mit dieser Kommunikation verbunden sind. Bei Bedarf können wir die Namen der einzelnen Maschinen weiter aufschlüsseln.

Zum Beispiel können wir uns für eine Always-On-Präventivmaßnahme entscheiden, indem wir standortbasierte Kontrollen zwischen unseren HQ-Office-Workstations und unseren Datacenter-1-Workloads einrichten. Dies wird als Erzwingungsgrenze bezeichnet. Es blockiert einfach die gesamte Kommunikation zwischen den Workstations und den definierten Workloads oder Servern.

Grenzen der Illumio-Durchsetzung

Ein anderer Ansatz besteht darin, den Zero-Trust-Ansatz für die Zulassungsliste (Standardverweigerung) zu verwenden. Unabhängig davon, für welchen Ansatz wir uns entscheiden, zeigt ein weiterer Discovery-Scan nach dem Erzwingen dieser vorbeugenden Maßnahme, dass die Kommunikationspfade, die innerhalb des Netzwerks geöffnet wurden, jetzt alle als gefiltert angezeigt werden.

Discovery-Scan

Zurück zur Illumio-Sichtbarkeitskarte: Diese Kommunikationslinien sind jetzt rot, was darauf hinweist, dass der Scan dieses Mal nicht nur überwacht, sondern blockiert wurde.

Illumio Sichtbarkeit Verkehrsströme

Das bedeutet, dass wir unser Lateral-Movement-Risiko erfolgreich proaktiv über mehrere Systeme hinweg gemindert haben, die gleichzeitig auf verschiedenen Plattformen ausgeführt werden – und das alles von einem einzigen Managementpunkt aus. Wir können mit diesem speziellen System noch weiter gehen, indem wir den rein präventiven Ansatz um Prävention und Reaktion erweitern, um dieses System für weitere Untersuchungen zu isolieren.

Prävention und Reaktion: Adaptive Zero-Trust-Segmentierung

Wir haben gerade gesehen, wie ein präventiver Ansatz, wie z. B. im Fall der Zero-Trust-Segmentierung, eine stets aktive Sicherheitsrichtlinie gewährleisten kann, um die Ausbreitung von Malware und anderen Angriffen zu verhindern.

Es kann jedoch bereits zu einem Vorfall gekommen sein, auf den wir in einigen Fällen reagieren müssen. Es kann sein, dass wir unsere präventive Sicherheitspolitik noch nicht aktiviert hatten. Hier kann die gleiche Illumio Core-Technologie verwendet werden, um zu reagieren und zu reagieren, immer noch mit einem präventiven Ansatz, aber mit einer zusätzlichen Anpassungsfähigkeit.

In den Beispielen, die wir bisher gezeigt haben, werden Sie feststellen, dass die Richtlinien alle durch Metadaten oder Bezeichnungen definiert wurden, nicht durch Netzwerkkonstrukte oder IP-Informationen. Diese Bezeichnungen werden auch verwendet, um die Workloads, Server und Workstations logisch zu gruppieren.

Im Screenshot unten sehen wir, dass wir bereits eine Richtlinie mit dem Namen "Ransomware-Quarantine" definiert haben.

Grenzen der Durchsetzung der Ransomware-Quarantäne

Wir müssen jetzt eine oder mehrere der 4-dimensionalen Beschriftungen des relevanten Systems auf die Quarantänebezeichnung umstellen, die auf der Seite "Workload-Inventar" unten angezeigt wird.

Beschriftungen für Erzwingungsgrenzen

Dies kann manuell oder automatisch erfolgen. Es kann je nach Bedarf auch über ein SoC (Security Operations Center) oder SOAR-Playbook ausgelöst werden. Als Ergebnis dieser Aktion isolieren wir automatisch dieses spezifische System und unterbrechen die gesamte Kommunikation von diesem System zum Rest des Netzwerks. Wir werden jedoch weiterhin zulassen, dass das Management Communications seine Maßnahmen überwacht und untersucht.

Aus dem folgenden Beispiel geht hervor, dass das infizierte System nun in einer eigenen Quarantäneblase isoliert wurde, die vom ursprünglichen HQ-Office-Standort und den zugehörigen Anwendungsgruppen entfernt ist. Es ist effektiv vom Rest unserer Systeme und sogar vom Internet abgeschnitten, wie die roten Kommunikationslinien anzeigen.

Illumio Sichtbarkeit Quarantäne

Wir können jedoch immer noch alle Aktionen dieses Systems sicher überwachen und alle Untersuchungen fortsetzen, die wir möglicherweise an diesem System durchführen müssen.

Darüber hinaus können wir für die kritischen oder "Kronjuwelen"-Server und -Workloads andere Best Practice-Konfigurationen für die Sicherheit anwenden, z. B.:

All diese Funktionen können in dieselbe Illumio Core-Lösung integriert werden, um Ihre allgemeine Sicherheitslage zu verbessern und bestehende Investitionen in die Detection-and-Response-Sicherheit zu unterstützen.

Conclusion

Bei allen Bedrohungstechniken, die in dieser Serie beschrieben werden, und auch bei denen, die noch entdeckt werden müssen, besteht das Ziel des Angreifers darin, sich seitlich durch die Umgebung zu bewegen, ohne entdeckt zu werden. Da die meisten Unternehmen bereits über eine Form von Reactive-First-Technologie wie Antivirus, Endpoint Detection and Response oder Sandboxing verfügen, ist es entscheidend, auch die Türen mit einer Always-On-Preventive-First-Technologie zu verschließen, die über adaptive Reaktionsfähigkeiten verfügt.

Um mehr über die Malware- und Ransomware-Eindämmungs- und Transparenzfunktionen von Illumio zu erfahren:

 

Verwandte Themen

No items found.

Verwandte Artikel

So stärken Sie Ihre Sicherheitslage
Cyber Resilience

So stärken Sie Ihre Sicherheitslage

Unternehmen führen schnell eine Zero-Trust-Sicherheitsstrategie ein, arbeiten so, als wären sie bereits verletzt worden, und ergreifen Maßnahmen, um zu verhindern, dass sich böswillige Akteure in ihrem Netzwerk ausbreiten.

Read more
Die Zukunft der sicheren Codeausführung: Kollaborative eBPF-Ansätze
Cyber Resilience

Die Zukunft der sicheren Codeausführung: Kollaborative eBPF-Ansätze

Erfahren Sie, was wir aus den großen IT-Ausfällen im Jahr 2024 über die Nutzung von eBPF für eine sicherere und zuverlässigere Codeausführung gelernt haben.

Read more
Mehr Cyberangriffe, Lähmung von Zero-Trust-Analysen und Cloud-Sicherheit
Cyber Resilience

Mehr Cyberangriffe, Lähmung von Zero-Trust-Analysen und Cloud-Sicherheit

Andrew Rubin, CEO und Mitbegründer von Illumio, spricht über die Lähmung der Arbeitsbelastung und darüber, wie traditionelle Sicherheitstools den heutigen katastrophalen Angriffen nicht standhalten können

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more