Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk besteht darin, dass sich ihr Verhalten an das normale Benutzerverhalten anpasst. Angreifer suchen als erstes nach den Netzwerk-Admin-Tools, da diese standardmäßig vertrauenswürdig sind.

Vectra, Experte für automatisierte Sicherheitsanalytik durch künstliche Intelligenz und maschinellem Lernen, beschreibt, wie der Missbrauch von Admin-Tools dennoch enttarnt werden kann.

Anzeige

Den Unterschied zwischen dem Verhalten des Angreifers und dem akzeptablen Benutzerverhalten ist anspruchsvoll. Dabei geht es darum, Nuancen zwischen den beiden Verhaltensmustern zu erkennen und in einem größeren Kontext zu betrachten, wie sich das Bedrohungsverhalten im Angriffszyklus entwickelt. Es ist noch schwieriger, angriffstypisches Verhalten zu erkennen, wenn die Angreifer Zugriff auf Sicherheitstools haben, die bereits im Netzwerk ausgeführt werden. Zum Beispiel ist ein Softwareverteilungstool wie Microsoft SCCM in einem Unternehmen völlig legitim. Aber es erzeugt ein Hintergrundrauschen, welches wie die Remote-Ausführung von Dateien aussieht, also genau das, was ein Angreifer tun würde.

Sicherheitstools müssen Filter erstellen, um dieses Rauschen zu entfernen. Es handelt sich jedoch wahrscheinlich um einen Angriff, wenn die Maschine Befehle ausführt, die nicht vertrauenswürdig sind. Den meisten Sicherheitstools fehlt dieses Angreiferverhalten, weil sie das zugehörige Rauschen bereits herausgefiltert haben. Angreifer wissen, wie diese Sicherheitstools funktionieren.

Mit Cognito bietet Vectra, führend in der automatisierten Erkennung bereits stattfindende Cyberangriffe mittels künstlicher Intelligenz (KI), eine KI-basierte Plattform für das Entdecken und Erkennen von Cyberbedrohungen. Wie solch eine Plattform vorgeht, erklärt das folgende Praxisbeispiel:

In der jüngsten Pen-Test-Übung bei einem Fertigungsunternehmen erwarb das rote Team heimlich Zugang zu einem Nessus-Scanner, der normalerweise vom blauen Team verwendet wird, um nach exponierten Anlagen zu suchen. Das blaue Team hat dem Sicherheitsteam schon frühzeitig über den Nessus-Scanner unterrichtet, wie und von wem dieser benutzt wird. Das Sicherheitsteam wollte wissen, wann Scans auftreten, und wollte nicht, dass Nessus-Scans als Angriffe interpretiert werden, weil sie ein bestimmtes Verhalten darstellen. Das würde den Sicherheitsanalytikern mehr Arbeit bringen. Es ist die Aufgabe von Vectra Cognito, den Lärm herauszufiltern, damit sich Sicherheitsanalytiker eingehendere Untersuchungen von Vorfällen konzentrieren, Probleme beheben und lernen können, wie sich das Netzwerk anpassen lässt.

Als der Pen-Test weiterging, bemerkte die Sicherheitsplattform mehrere Erkundungen und seitliches Bewegungsverhalten, die vom Nessus-Scanner ausgingen. Dies trat in einer Sequenz auf, wie es vorher nicht zu sehen war, was den Schluss nahelegte, dass ein Unbefugter den Nessus-Scanner gekapert hatte. Das erste erkannte Verhalten des Angreifers waren klassische IP-Port-Sweeps und Port-Scans. Hinzu kam eine große Anzahl von internen Darknet-Scans gegen IP-Bereiche, die das Sicherheitsteam normalerweise nicht scannen würde.

Um Zeit zu sparen, wurden das Angriffsverhalten und die Kontextinformationen so korreliert, dass das blaue Team sehen konnte, dass das rote Team versucht hat, Hosts in Subnetzbereichen zu finden, die zuvor nicht im Netzwerk vorhanden waren.

Es folgte eine weitere Überwachung der Netzwerk-Scan-Aktivität. Obwohl das Verhalten bei der Erkennung verdächtig war, stufte die künstliche Intelligenz die Aktivitäten als einen mittleren Bedrohungsgrad ein, da später im Angriffszyklus keine damit verbundenen Verhaltensweisen darauf hindeuteten, dass ein Angreifer tiefer in das Netzwerk eingedrungen war.

Nach dem Scannen für einige Zeit, bemerkte die Plattform, dass das rote Team eine Reihe von Servern entdeckt hatte, die anfällige Datenbanken und eine Datenbank mit schwachen Admin-Passwörter ausführten. Damit war schnell klar, dass das rote Team in die laterale Bewegungsphase des Angriffszyklus überging, die eine SQL-Injektion, automatisierte Replikation und einen Brute-Force-Angriff gegen die Admin-Passwörter beinhaltete.

In Echtzeit korrelierte die künstliche Intelligenz alle diese Angreiferverhaltensmuster mit dem Host, der vom roten Team und den Servern im Rechenzentrum verwendet wurde, das sie kompromittiert hatten. Beim Betrachten der Angriffe durch den Angriffszyklus wies Vectra Cognito dem Vorgang einen kritischen Bedrohungswert und einen hohen Sicherheitslevel zu.

Die blauen Teamkollegen hatten schnell Maßnahmen ergriffen, um das rote Team zu isolieren und es zu stoppen, bevor es zu noch gefährlicheren Angriffsphasen wie der Datenexfiltration übergehen konnte. Genau dies gelang es mittels künstlicher Intelligenz zu verhindern.

www.vectra.ai
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.