ADMIN

2022

06

2022-05-30T12:00:00

Storage und Backup

PRAXIS

058

Sicherheit

Intrusion-Detection

Angriffsspuren erkennen

Fährten lesen

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 06/2022 - PRAXIS

Zahlreiche IT-Security-Anbieter bieten Software zum Schutz vor Angriffen und zur Erkennung von Einbruchsversuchen feil. Solange die Produkte bei einer erkannten Bedrohung warnen, sind Admins im Bilde und wissen, dass der implementierte Schutz seinen Dienst verrichtet. Was aber, wenn Hinweise auf Angriffsversuche vorliegen, die vorhandenen Security-Werkzeuge aber nicht anschlagen? In diesem Beitrag zeigen wir, wie Sie mit Bedrohungsinformationen im Unternehmensnetzwerk umgehen.

Als Verantwortlicher für den Schutz der Unternehmensinfrastruktur haben Sie vermutlich verschiedene Security-Produkte im Einsatz, die Sie bei dieser Aufgabe unterstützen. Dabei unterscheiden wir zwischen Netzwerk- und Host-Sicherheit. Bei diesen Begrifflichkeiten geht es vor allem um die Frage, wo ein Sicherheitssystem im Einsatz ist. Firewalls oder Netzwerk-Intrusion-Detection-Systeme (NIDS) installieren Sie an zentralen Stellen im Netzwerk, Antivirus-Programme oder Host-Intrusion-Detection-Systeme (HIDS) auf möglichst allen Computern Ihres Unternehmens.
Bei Firewalls erlauben oder verhindern Sie Netzwerkverbindungen mit einem festen Regelsatz. So unterbinden Sie vor allem Anfragen aus dem Internet in das Unternehmensnetzwerk hinein. Je nach Größe Ihrer Umgebung trennen Sie mit Firewalls aber auch unterschiedliche Abteilungen voneinander. Ein NIDS kann neben einem festen Regelsatz auch dynamische oder heuristische Erkennungstechniken verwenden, die Netzwerkverbindungen anhand von Metadaten sowie der Kommunikationsinhalte klassifizieren und bei verdächtigen Verbindungen einen Alarm auslösen.
Klassische Antivirus-Programme schützen Ihren Computer mittels Signaturen des Bytecodes oder anhand von Heuristiken, die spezielle Systemaufrufe oder Datei- und Hardwarezugriffe kombinieren. HIDS überwachen darüber hinaus Benutzeraktionen, Dateien und Verzeichnisse, ebenso die Registrierung und Netzwerkverbindungen. Manche Anbieter erweitern ihre Virenscanner außerdem gezielt mit HIDS-spezifischen Funktionen, um eine umfassende Hostsicherheit zu ermöglichen.
Als Verantwortlicher für den Schutz der Unternehmensinfrastruktur haben Sie vermutlich verschiedene Security-Produkte im Einsatz, die Sie bei dieser Aufgabe unterstützen. Dabei unterscheiden wir zwischen Netzwerk- und Host-Sicherheit. Bei diesen Begrifflichkeiten geht es vor allem um die Frage, wo ein Sicherheitssystem im Einsatz ist. Firewalls oder Netzwerk-Intrusion-Detection-Systeme (NIDS) installieren Sie an zentralen Stellen im Netzwerk, Antivirus-Programme oder Host-Intrusion-Detection-Systeme (HIDS) auf möglichst allen Computern Ihres Unternehmens.
Bei Firewalls erlauben oder verhindern Sie Netzwerkverbindungen mit einem festen Regelsatz. So unterbinden Sie vor allem Anfragen aus dem Internet in das Unternehmensnetzwerk hinein. Je nach Größe Ihrer Umgebung trennen Sie mit Firewalls aber auch unterschiedliche Abteilungen voneinander. Ein NIDS kann neben einem festen Regelsatz auch dynamische oder heuristische Erkennungstechniken verwenden, die Netzwerkverbindungen anhand von Metadaten sowie der Kommunikationsinhalte klassifizieren und bei verdächtigen Verbindungen einen Alarm auslösen.
Klassische Antivirus-Programme schützen Ihren Computer mittels Signaturen des Bytecodes oder anhand von Heuristiken, die spezielle Systemaufrufe oder Datei- und Hardwarezugriffe kombinieren. HIDS überwachen darüber hinaus Benutzeraktionen, Dateien und Verzeichnisse, ebenso die Registrierung und Netzwerkverbindungen. Manche Anbieter erweitern ihre Virenscanner außerdem gezielt mit HIDS-spezifischen Funktionen, um eine umfassende Hostsicherheit zu ermöglichen.
Selbst wenn Sie in Ihrem Unternehmen die gängigen Schutzmaßnahmen implementiert haben, gibt es jedoch Situationen, in denen Sie als Administrator oder als Sicherheitsanalyst noch einmal gezielt nachsehen möchten, ob nicht doch ein Angriff gegen Ihre Infrastruktur passiert. Das kann der Fall sein, wenn Mitarbeiter eigenartige IT-spezifische Vorgänge melden, so etwa ein untypisches Verhalten des eigenen PCs oder bestimmter Programme. Aber auch die regelmäßig in den Medien dargestellten Hackerangriffe auf hochrangige Ziele durch gewiefte Akteure können zum Nachsehen in der eigenen Infratstruktur bewegen samt der Suche nach Hinweisen auf Attacken.
Von TTPs, IoCs und CoAs
In veröffentlichten Medienberichten und Analysen im Netz finden Sie oft Beschreibungen der Angriffe sowie der eingesetzten Schadsoftware. Die Werkzeuge und Herangehensweise der Angreifer, soweit diese nachvollziehbar sind, werden in sogenannten "Tactics, Tools and Procedures" (TTPs) zusammengefasst. Diese enthalten Hinweise auf das Vorgehen während der Informationsbeschaffung, auf Angriffsziele, ausgenutzte Schwachstellen und Bewegungsinformation nach einem erfolgreichen Einbruch (Lateral Movement).
Die Spuren, die Angreifer bei ihren Aktivitäten im Netzwerk und auf den Computern hinterlassen, sind sogenannte "Indicators of Compromise" (IoC). Anhand dieser erkennen Sie, ob Sie von einem bestimmten Angriff betroffen sind oder waren. Dabei kann es sich um Dateien, Einträge in der Registry oder um installierte Dienste, Änderungen an der Hosts-Datei und Ähnliches handeln. Anweisungen darüber, wie Sie im Fall eines nachgewiesenen Angriffs verfahren, sind als "Course of Action" (CoA) bestenfalls auch Bestandteil der Online-Dokumentation von Hackerattacken.
Mit diesen Bedrohungsinformationen lässt sich ein Angriff über das Netzwerk oder mögliche Infektionen mit Schadsoftware also diagnostizieren. Bevor wir uns ansehen, wie Sie mit Werkzeugen gezielt nach IoCs suchen, besprechen wir, woher diese Informationen kommen können. Die Grundlage der Informationsbeschaffung (Threat Intelligence) sind IT-Sicherheitsanalysen.
Diese werden von spezialisierten Firmen, Forschungseinrichtungen oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt. Während das BSI oder Forschungseinrichtungen wie das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) gezielt Schadsoftware suchen und analysieren, erfolgen die Analysen durch Unternehmen häufig im Rahmen einer Vorfallanalyse, also der Aufarbeitung einer tatsächlichen Infektion mit Schadsoftware.
Security-Anbieter als Informationsquelle
Das Ergebnis der Analyse besteht dann neben einem ausführlichen Bericht häufig auch aus einer technischen Beschreibung der Erkenntnisse. Der Analyst sammelt alles, was zur Beschreibung der Schadsoftware beitragen kann, in einem dafür vorgesehenen Datenformat. Die bekanntesten sind vermutlich STIX/Cyb­OX und MISP, beide basieren auf JSON und gelten damit als menschenlesbar. Es gibt wenige wirklich umfassende Beispiele für die Verwendung von STIX/CybOX. Den besten Einblick erhalten Sie tatsächlich über die auf der offiziellen Webseite bereitgestellten Reports, etwa den der Schadsoftware "Poison Ivy", den das Sicherheitsunternehmen FireEye erstellt hat [1], sowie aus der technischen Beschreibung [2].
Wenn Sie selbst keine Möglichkeit zur Analyse von Schadsoftware haben, sind Sie bei Ihren Untersuchungen auf die Arbeitsergebnisse anderer angewiesen. Glücklicherweise teilen die meisten Analysten ihre Beschreibungen gern und stellen diese über entsprechende Tauschplattformen oder einfach zum direkten Download zur Verfügung.
Bild 1: Das Anlegen einer Anfrage an GRR-Clients. In unserem Beispiel suchen wir nach "notepad.*" im System32-Ordner.
Austausch von Informationen via MISP
Die "MISP Threat Sharing Plattform" [3] ist derzeit das Mittel der Wahl bei der Verarbeitung von Threat Intelligence. Lokal installierte Instanzen können sich mit Community-Servern verbinden, was
einen Austausch von Bedrohungsinformationen über Unternehmensgrenzen hinweg ermöglicht. Dabei können Sie innerhalb von MISP durchaus die Sichtbarkeit einzelner Einträge so festlegen, dass die Inhalte Ihr eigenes Unternehmen nicht verlassen. Dann haben Sie stets im Blick, was Sie mit anderen Unternehmen teilen (möchten) und welche Informationen intern bleiben. Eine Übersicht über einige durchaus interessante MISP-Communities erhalten Sie unter [4].
MISP bietet einige sinnvolle Erweiterungen an. Wenn Sie etwa Snort als NIDS einsetzen, können Sie vorhandene Regeln direkt im Snort-Format exportieren und unmittelbar nach dem Erhalt auch ausrollen. Hier sollten Sie mit der ungeprüften Übernahme von Fremdregeln natürlich vorsichtig sein und bei diesen automatisch hinzugefügten Kriterien zunächst lediglich Warnmeldungen ausgeben. Alternativ können Sie natürlich auch ohne laufende MISP-Instanz an Bedrohungsinformationen kommen. Häufig sind die angebotenen Downloads auf bestimmte Bereiche spezialisiert. So finden Sie viele Listen mit IP-Adressen, die etwa beim Versand von SPAM oder bei Bruteforce-Angriffen gegen SSH-Login-Server aufgefallen sind. Die enthaltenen Informationen sind leider oft nur für einen bestimmten Zeitraum nutzbar, da es sich sehr häufig um dynamisch zugeteilte IP-Adressen von Internetanbietern handelt.
Weitere Quellen
Neben strukturierten Informationen finden Sie an unterschiedlichen Stellen auch einfach verbale Beschreibungen von Analyseergebnissen. Das Unternehmen Proofpoint beispielsweise veröffentlicht in seinem Blog ausführliche Berichte [5]. Darin beschreiben und referenzieren die Autoren die TTPs und IoCs, die sie im Rahmen ihrer Untersuchung ermitteln konnten. Zur Übersicht sind am Ende der Beiträge alle IoCs noch einmal übersichtlich dargestellt und mit zusätzlichen Daten wie URLs und Hashwerten von Dateien und Programmen oder Bibliotheken angereichert. Unter manchen Beiträgen finden Sie zusätzlich Yara-Signaturen. Das sind im Grunde reguläre Ausdrücke, die Sie bei der Suche nach Mustern in Text- und Binärdaten mit unterschiedlichen Werkzeugen verwenden können.
Je mehr Quellen Sie aufspüren und zu Rate ziehen, desto mehr Beschreibungen von Angriffen, Schadsoftware und Vorgehensweisen finden Sie. Allein mit diesem Wissen haben Sie aber noch keine Informationen über eine mögliche Betroffenheit Ihrer eigenen Systeme. Diese können Sie an unterschiedlichen Stellen in Ihrer Infrastruktur sammeln. Netzwerkbasierte IoCs lassen sich in den meisten Fällen an zentralen Stellen ausfindig machen. IP-Adressen blocken Sie direkt im Paketfilter und nutzen Ihren internen DNS-Server dafür, aufgelistete Domains auf lokale Ziele umzuleiten und die Anfragen ins Leere laufen zu lassen. Die anfragenden Computer sollten Sie natürlich loggen und falls möglich automatisiert zur weiteren Analyse in speziellen Netzbereichen isolieren. Dasselbe gilt für URLs, die Sie einfach in Ihren HTTP-Proxy übernehmen können, um Zugriffsversuche zu protokollieren und zu verhindern.
Um Host-basierte IoCs auf den Computern Ihrer Organisation zu ermitteln, benötigen Sie technische Unterstützung. Eine Möglichkeit dafür ist das bekannte Open-Source-Werkzeug "GRR Rapid Response" [6]. Mit einer Client-Server-Architektur ermöglicht es GRR, Anfragen (sogenannte Hunts) zentral zu verwalten und asynchron auf den Clients abarbeiten zu lassen. Für eine definierte Laufzeit erhalten Clients die Anfragen, sobald sie mit dem Unternehmensnetzwerk verbunden sind.
Bei der nächsten Gelegenheit werden die Ergebnisse dann bereitgestellt. Damit sind dann auch mobile Geräte und Computer im Home Office abgedeckt, die sich nur sporadisch mit dem Unternehmensnetzwerk verbinden. Das setzt natürlich eine Installation der GRR-Clients auf Ihren Systemen voraus und ist damit nicht ad hoc einsatzbereit. Um das Tool zu testen, können Sie nach der Installation, wie in Bild 1 dargestellt, einfach eine Datei namens "notepad.*" im Windows-Systemordner suchen.
Nach dem Klick auf "Create Hunt" müssen Sie diesen anschließend noch aktivieren und einige Zeit abwarten, bis die ersten Clients diesen ausgeführt haben. Solange der Hunt aktiv ist, werden immer weitere Clients diesen erhalten und die Suche ausführen, bis Sie ihn wieder deaktivieren. Anschließend können Sie die Suche auswerten. Bild 2 zeigt Ihnen das Ergebnis für einen der Clients. Diese Antwort offenbart auch die Vielfalt der Suchmöglichkeiten mit GRR für Dateien im Hinblick auf Zeitstempel oder Hashwerte. Nutzen Sie doch zur Übung die Gelegenheit, anhand unterschiedlicher Hashwerte das Patchlevel Ihrer Windows-Installationen zu vergleichen.
Bild 2: Das Ergebnis eines GRR-Clients als Antwort auf unsere Anfrage.
Sicherheitsvorfälle selbst bearbeiten
Falls Sie in Ihrem Unternehmen die Möglichkeiten haben, selbst die Vorfallanalyse von Angriffen und Schadsoftwareinfektionen durchzuführen, können Sie neben GRR auch "The Hive" [7] zu diesem Zweck einsetzen. In Kombination mit Cortex haben wir Ihnen The Hive zur Vorfallanalyse in der August-Ausgabe 2021 [8] vorgestellt. Damit erhalten Sie nicht nur zeitnah einen Überblick und eine umfassende Organisation über die notwendigen Analysearbeiten. Cortex erlaubt Ihnen mit sogenannten Respondern auch automatisiert Schutzmaßnahmen in Ihrer Infrastruktur zu aktivieren.
Threat Intelligence lässt sich nicht zuletzt auch in die eigene Risikoanalyse einbeziehen. Wenn Ihr Unternehmen Teil einer Sharing-Community ist, erhalten Sie wertvolle Informationen, etwa zu den Angreifergruppen, Angriffen innerhalb Ihrer Branche oder gegen spezielle Softwareklassen. Setzen Sie diese oder ähnliche Software auch in Ihrem Unternehmen ein, sollten Sie das erhöhte Risiko berücksichtigen und versuchen, darauf zu reagieren. Mit der systematisierten Nutzung öffentlich verfügbarer Informationen über Verwundbarkeiten, sogenannter "Common Vulnerabilities and Exposures" (CVEs), sind Sie stets über Angriffsvektoren auf Ihre Infrastruktur im Bilde.
Fazit
Threat Intelligence ist eine Möglichkeit, um sich über die Vorgehensweise, die Methoden und die Werkzeuge von Angreifern zu informieren. Zusätzlich erhalten Sie wertvolle Hinweise, worauf Sie bei der Suche nach Schadsoftware oder Hintertüren auf Ihren Systemen achten müssen. Bei den Daten, die Sie in strukturierten Bedrohungsinformationen finden, handelt es sich zumeist um Signaturen, die so oder ähnlich auch von Virenscannern verwendet werden.
Polymorphe oder andersartig dynamische Schadsoftware lässt sich derweil mit den eher statischen Beschreibungen in STIX/CybOX oder ähnlichen Formaten nicht zuverlässig aufspüren. Im Netz finden Sie einige Anbieter kostenpflichtiger Threat-Intelligence-Feeds. Hier unterscheiden sich die Inhalte allerdings oftmals deutlich. Vor dem Abschluss eines Abonnements sollten Sie den Nutzen und die Aktualität eines Feeds noch einmal hinterfragen.
(dr)
Link-Codes
[3] MISP Threat Sharing Plattform: https://www.misp-project.org/
[6] GRR Rapid Response: https://github.com/google/grr
[7] Artikel "Vorfallanalyse mit The Hive und Cortex" in IT-Administrator 08/2021: https://www.it-administrator.de/magazin/heftarchiv/artikel/358629.html