Anzeige

Trojaner Falle

Techniken, die den Endpunktschutz umgehen, gibt es schon seit langer Zeit. Das kürzlich veröffentlichte Boothole ist ein Beispiel dafür.

„Warum aber schreiben viele IT-Sicherheitsverantwortliche weiterhin inkrementelle Verbesserungen zusätzlich zu den gleichen alten Lösungen vor, um dieses Problem zu lösen?“, fragt Andreas Müller, Director DACH bei Vectra AI. „Es ist an der Zeit, die Erkennung und Reaktion zu überdenken und Daten aus der einen Quelle zu verwenden, die Angreifer nicht umgehen können - dem Netzwerk.“

Es ist nicht ungewöhnlich, dass APT-Gruppen (Advanced Persistent Threats) es auf Linux-Server in einer Umgebung abgesehen haben – als Sammelpunkt für Persistenz und Exfiltration. Die Fähigkeit, auch nach einer Neuinstallation des Betriebssystems auf diesen Servern bestehen zu können, ist das Sahnehäubchen auf dem Kuchen. Eine solche Schwachstelle mit dem Codenamen „Boothole“ haben kürzlich Forscher von Eclypsium entdeckt. Diese Schwachstelle im GRUB2-Bootloader ist in den meisten Linux-Systemen gegeben. Sie kann dazu verwendet werden, während des Boot-Prozesses beliebige Codeausführung zu erreichen, selbst wenn Secure Boot aktiviert ist. Angreifer, die diese Schwachstelle ausnutzen, können persistente und datenstehlende Boot-Kits oder böswillige Bootloader installieren. Damit würden sie sich nahezu vollständige Kontrolle über das gekaperte Endgerät verschaffen, während sie die Neuinstallation des Betriebssystems überstehen.

Klassische Endpunkt-Erkennungstools arbeiten oberhalb dieser Schicht, so dass sie für die Aktivität des Angreifers blind sind. Es gibt jedoch einen einzigen Ansatz, um Angreifer, die solche Techniken ausnutzen, zu erkennen und hinauszuwerfen. Dieser besteht darin, sich ihre Netzwerkspuren anzusehen, die sie hinterlassen, wenn sie das Gerät fernsteuern. Kein Wunder, dass Blackberry Research dieses Jahrzehnt als „Jahrzehnt des RAT (Remote Access Trojan)“ bezeichnet hat.

 

Vectra AI fragt deshalb: Wie lässt sich also ein RAT mit Hilfe von Netzwerkdaten ausfindig machen?

Das Geheimnis liegt in der Bedrohungsmodellierung des Verhaltens. Durch die Analyse zahlreicher Muster von RATs hat Vectra zur Erkennung von Bedrohungen Unterschiede in den Kommunikationsmustern einer RAT-Kommunikation im Vergleich zu einer regulären Kommunikation identifiziert.

Das folgende Beispiel zeigt Zeitreihendiagramme für die während zweier TCP-Sessions übertragenen Daten. Die erste TCP-Session stellt den Verkehr für ein RAT und die zweite den normalen Internetverkehr dar. In der RAT-Zeitreihe sind Spitzen bei den empfangenen Bytes zu sehen, gefolgt von gesendeten Bytes. Diese abwechselnden Spitzen sind Befehle, die vom externen Angreifer ausgegeben werden und auf die der infizierte Host antwortet. Vergleicht man dies mit dem normalen TCP-Session-Traffic, so zeigt sich ein deutlicher Unterschied. In Live-Netzwerken sind diese Unterschiede für einen Menschen kaum wahrnehmbar aufgrund der schieren Datenmenge und der feinen Unterschiede in der Kommunikation. Hinzukommt die Tatsache, dass die Kommunikation innerhalb einer einzigen TCP-Session erfolgt, die verschlüsselt sein kann.

Für den Menschen dürfte es daher immer schwierig sein, die Unterschiede zu erkennen, wenn er sich den realen Datenverkehr ansieht. KI-Modelle hingegen, die Tausende von Samples erfasst haben, sind hervorragend in der Lage, diese Unterscheidung zu treffen. Dies gilt insbesondere für eine Deep-Learning-Architektur, die als LTSM (Long-Short Term Memory) bekannt ist. Rekurrierende neuronale Netzwerke behalten ihr „Gedächtnis“ über die Zeit und wurden speziell für die Arbeit mit dieser Art von Daten entwickelt. Durch die Anwendung von LSTM-basierten KI-Modellen zur Suche nach dem Kommunikationsmuster eines RAT in Netzwerkdaten lassen sich diese in Echtzeit mit hoher Genauigkeit auf der Grundlage des beobachteten Verhaltens erkennen. Die Eleganz dieses Ansatzes liegt in der Effektivität. Er funktioniert unabhängig vom spezifischen Tool und ist unabhängig von der Verschlüsselung, da keine Entschlüsselung des Datenverkehrs erforderlich ist. 

„Eine effizienter Ansatz zur Enttarnung von Remote Access Trojanern und zur Erkennung ähnlicher  Bedrohungen verbindet menschliches Fachwissen mit einer breiten Palette von Data Science und fortschrittlichen Techniken des maschinellen Lernens“, schließt Andreas Müller. „Solch ein Modell liefert einen kontinuierlichen Zyklus von Bedrohungserkennungen auf der Grundlage von Spitzenforschung, globalen und lokalen Lernmodellen, Deep Learning und neuronalen Netzwerken.“

www.vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Phishing
Aug 06, 2020

Mögliche Gefahr durch KI-generiertes Spear Fishing

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das…
Antivirusprogramm
Jul 24, 2020

Warnung: 28 angreifbare Antivirenprogramme entdeckt

Antivirenprogramme haben den Zweck, Viren oder Trojaner zu erkennen, vor der Bedrohung zu…
Trojaner
Dez 05, 2019

Ermittlern gelingt Schlag gegen RAT-Betreiber

Als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von IM-RAT…

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!