Best-Practice-Tipps für Threat Intelligence

Viele Leute sagen, dass Threat Intelligence (TI) gut schmeckt, aber nur wenige verstehen, wie man sie zubereitet. Es gibt sogar noch weniger von denen, die wissen, welche Prozesse eingesetzt werden müssen, damit TI funktioniert und Gewinn bringt. Darüber hinaus wissen nur wenige Menschen, wie man einen Feed-Anbieter auswählt, wo man einen Falsch-Positiv-Indikator überprüft und ob es sich lohnt, eine Domain zu sperren, die Ihnen Ihr Kollege über WhatsApp geschickt hat.

Wir hatten zwei kommerzielle APT-Abonnements, zehn Informationsbörsen, etwa ein Dutzend kostenlose Feeds und eine umfangreiche Liste von TOR-Exit-Knoten. Wir haben außerdem ein paar leistungsstarke Reverser, Master-Powershell-Skripte, einen Loki-Scanner und ein kostenpflichtiges VirusTotal-Abonnement verwendet. Nicht, dass ein Security Incident Response Center ohne all dies nicht funktionieren würde, aber wenn Sie in der Lage sind, komplexe Angriffe abzuwehren, müssen Sie aufs Ganze gehen.

Was mich besonders beschäftigte, war die mögliche Automatisierung der Überprüfung auf Kompromittierungsindikatoren (Indicators of Compromise, IOCs). Es gibt nichts Unmoralischeres als den Ersatz eines Menschen durch künstliche Intelligenz bei einer Tätigkeit, die Denken erfordert. Mir wurde jedoch klar, dass mein Unternehmen früher oder später vor dieser Herausforderung stehen würde, da die Zahl unserer Kunden wuchs.

Während meiner mehrjährigen ständigen TI-Tätigkeit bin ich auf eine Reihe von Rechen getreten und möchte einige Tipps geben, die Neulingen helfen, häufige Fehler zu vermeiden.

Tipp 1: Setzen Sie nicht zu viele Hoffnungen darauf, Dinge mithilfe von Hashes abzufangen: Heutzutage ist die meiste Malware polymorph

Threat-Intelligence-Daten gibt es in verschiedenen Formaten und Erscheinungsformen. Dazu können IP-Adressen von Botnet-Kommando- und Kontrollzentren sowie beteiligte E-Mail-Adressen gehören Phishing-Kampagnenund Artikel über Umgehungstechniken, die APT-Gruppen bald nutzen werden. Um es kurz zu machen: Das können verschiedene Dinge sein.

Um dieses ganze Durcheinander in Ordnung zu bringen, schlug David Bianco vor, das sogenannte zu verwenden Pyramide des Schmerzes. Es beschreibt eine Korrelation zwischen verschiedenen Indikatoren, die Sie zur Erkennung eines Angreifers verwenden, und dem Ausmaß an „Schmerz“, den Sie dem Angreifer zufügen, wenn Sie einen bestimmten IOC identifizieren.

Wenn Sie beispielsweise den MD5-Hash der schädlichen Datei kennen, kann diese einfach und genau erkannt werden. Für den Angreifer stellt dies jedoch keine große Belastung dar, da das Hinzufügen von nur einem Bit an Informationen zu dieser Datei deren Hash vollständig verändert.

Tipp 2: Versuchen Sie, Indikatoren zu verwenden, deren Änderung für den Angreifer technisch kompliziert oder kostspielig ist

Im Vorgriff auf die Frage, wie man herausfinden kann, ob eine Datei mit einem bestimmten Hash in unserem Unternehmensnetzwerk vorhanden ist, sage ich Folgendes: Es gibt verschiedene Möglichkeiten. Eine der einfachsten Methoden besteht darin, eine Lösung zu verwenden, die die Datenbank der MD5-Hashes aller ausführbaren Dateien im Unternehmen verwaltet.

Kehren wir zur Pyramide des Schmerzes zurück. Im Gegensatz zur Erkennung anhand eines Hash-Werts ist es produktiver, die TTP (Taktiken, Techniken und Verfahren) des Angreifers zu identifizieren. Dies ist schwieriger und erfordert mehr Aufwand, aber Sie werden dem Gegner mehr Schmerz zufügen.

Wenn Sie beispielsweise wissen, dass das APT-Team, das Ihren Wirtschaftszweig ins Visier nimmt, Phishing-E-Mails mit *.HTA-Dateien versendet, dann wird die Erstellung einer Erkennungsregel, die nach solchen E-Mail-Anhängen sucht, den Angreifer unter der Gürtellinie treffen. Sie müssen die Spam-Taktik ändern und möglicherweise sogar etwas Geld für den Kauf von 0- oder 1-Tages-Exploits ausgeben, die nicht billig sind.

Tipp 3: Setzen Sie keine übermäßigen Hoffnungen auf Erkennungsregeln, die von jemand anderem erstellt wurden, denn Sie müssen diese Regeln auf Fehlalarme prüfen und sie verfeinern

Wenn Sie mit der Erstellung von Erkennungsregeln beginnen, besteht immer die Versuchung, leicht verfügbare Regeln zu verwenden. Sigma ist ein Beispiel für ein kostenloses Repository. Es handelt sich um ein SIEM-unabhängiges Format von Erkennungsmethoden, mit dem Sie Regeln aus der Sigma-Sprache in ElasticSearch sowie Splunk- oder ArcSight-Regeln übersetzen können. Das Repository umfasst Hunderte von Regeln. Es scheint eine großartige Sache zu sein, aber der Teufel steckt wie immer im Detail.

Werfen wir einen Blick auf eine der Mimikatz-Erkennungsregeln. Diese Regel erkennt Prozesse, die versucht haben, den Speicher des Prozesses lsass.exe zu lesen. Mimikatz führt dies aus, wenn es versucht, NTLM-Hashes abzurufen, und die Regel identifiziert die Malware.

Für uns – Experten, die Vorfälle nicht nur erkennen, sondern auch darauf reagieren – ist es jedoch von entscheidender Bedeutung, sicherzustellen, dass es sich tatsächlich um einen böswilligen Akteur handelt. Leider gibt es zahlreiche legitime Prozesse, die den Speicher von lsass.exe lesen (z. B. einige Antiviren-Tools). Daher führt eine solche Regel in einem realen Szenario zu mehr Fehlalarmen als zu Vorteilen.

Ich bin nicht bereit, irgendjemandem diesbezüglich Vorwürfe zu machen – alle Lösungen führen zu Fehlalarmen; es ist normal. Dennoch müssen Threat-Intelligence-Spezialisten verstehen, dass eine doppelte Überprüfung und Feinabstimmung der aus offenen und geschlossenen Quellen erhaltenen Regeln weiterhin notwendig ist.

Tipp 4: Überprüfen Sie Domänennamen und IP-Adressen nicht nur auf dem Proxyserver und der Firewall, sondern auch in den DNS-Serverprotokollen auf bösartiges Verhalten – und konzentrieren Sie sich sowohl auf erfolgreiche als auch auf fehlgeschlagene Lösungsversuche

Schädliche Domänen und IP-Adressen sind die optimalen Indikatoren im Hinblick auf die Einfachheit der Erkennung und das Ausmaß des Schmerzes, den Sie dem Angreifer zufügen. Allerdings scheinen sie nur auf den ersten Blick einfach zu handhaben. Zumindest sollten Sie sich fragen, wo Sie das Domänenprotokoll abrufen können.

Wenn Sie Ihre Arbeit nur auf die Überprüfung von Proxy-Server-Protokollen beschränken, können Sie bösartigen Code übersehen, der versucht, das Netzwerk direkt abzufragen oder einen nicht vorhandenen, mit DGA generierten Domänennamen anfordert, ganz zu schweigen vom DNS-Tunneling – nichts davon wird im aufgeführt Protokolle eines Unternehmens-Proxyservers. Kriminelle können das auch VPN-Dienste nutzen mit erweiterten Funktionen verfügbar oder erstellen Sie benutzerdefinierte Tunnel.

Tipp 5. Überwachen oder blockieren – entscheiden Sie erst, welche Option Sie wählen möchten, nachdem Sie herausgefunden haben, welche Art von Indikator Sie entdeckt haben, und sich der möglichen Folgen einer Blockierung bewusst sind

Jeder IT-Sicherheitsexperte stand schon einmal vor einem nicht trivialen Dilemma: eine Bedrohung zu blockieren oder ihr Verhalten zu überwachen und mit der Untersuchung zu beginnen, sobald sie Warnungen auslöst. Einige Anweisungen ermutigen Sie eindeutig dazu, sich für das Blockieren zu entscheiden, aber manchmal ist es ein Fehler, dies zu tun.

Wenn der Indikator für eine Kompromittierung ein von einer APT-Gruppe verwendeter Domänenname ist, Blockiere es nicht – Beginnen Sie stattdessen mit der Überwachung. Die heutigen Taktiken gezielter Angriffe setzen das Vorhandensein eines zusätzlichen geheimen Verbindungskanals voraus, wie beispielsweise Handy-Tracking-Apps Das lässt sich nur durch eine eingehende Analyse herausfinden. Die automatische Blockierung verhindert, dass Sie diesen Kanal in diesem Szenario finden. Darüber hinaus werden die Gegner schnell merken, dass Sie ihre Machenschaften bemerkt haben.

Wenn es sich bei dem IOC hingegen um eine Domäne handelt, die von Krypto-Ransomware verwendet wird, es sollte blockiert sein sofort. Vergessen Sie jedoch nicht, alle fehlgeschlagenen Versuche, die blockierten Domänen abzufragen, zu überwachen – die Konfiguration des bösartigen Encoders kann mehrere Command-and-Control-Server-URLs umfassen. Einige davon sind möglicherweise nicht in den Feeds enthalten und werden daher nicht blockiert. Früher oder später wird die Infektion sie erreichen, um den Verschlüsselungsschlüssel zu erhalten, der sofort zur Verschlüsselung des Hosts verwendet wird. Der einzige zuverlässige Weg, um sicherzustellen, dass Sie alle C&Cs blockiert haben, besteht darin, die Stichprobe umzukehren.

Tipp 6: Überprüfen Sie alle neuen Indikatoren auf Relevanz, bevor Sie sie überwachen oder blockieren

Bedenken Sie, dass Bedrohungsdaten von fehleranfälligen Menschen oder von Maschinen generiert werden Lernalgorithmen, die nicht fehlersicher sind entweder. Ich habe gesehen, wie verschiedene Anbieter kostenpflichtiger Berichte über die Aktivitäten von APT-Gruppen versehentlich legitime Samples zu den Listen bösartiger MD5-Hashes hinzugefügt haben. Angesichts der Tatsache, dass selbst bezahlte Bedrohungsberichte minderwertige IOCs enthalten, sollten diejenigen, die über Open-Source-Informationen erhalten wurden, unbedingt auf ihre Relevanz überprüft werden. TI-Analysten überprüfen ihre Indikatoren nicht immer auf Fehlalarme, was bedeutet, dass der Kunde die Überprüfung für sie erledigen muss.

Wenn Sie beispielsweise eine IP-Adresse erhalten haben, die von einer neuen Iteration von verwendet wird TrickBot, Bevor Sie es in Ihren Erkennungssystemen nutzen, sollten Sie sicherstellen, dass es nicht Teil eines Hosting-Dienstes ist oder von Ihrer IP stammt. Andernfalls wird es Ihnen schwer fallen, mit zahlreichen Fehlalarmen umzugehen, wenn Benutzer, die eine Website auf dieser Hosting-Plattform besuchen, auf völlig harmlose Webseiten wechseln.

Tipp 7: Automatisieren Sie alle Bedrohungsdaten-Workflows maximal. Beginnen Sie mit der vollständigen Automatisierung der Überprüfung auf Fehlalarme über eine Warnliste und weisen Sie gleichzeitig das SIEM an, die IOCs zu überwachen, die keine Fehlalarme auslösen

Um eine große Anzahl falsch positiver Ergebnisse im Zusammenhang mit Informationen zu vermeiden, die aus offenen Quellen stammen, können Sie eine vorläufige Suche nach diesen Indikatoren in Warnlisten durchführen. Um diese Listen zu erstellen, können Sie die Top-1000-Websites nach Datenverkehr, Adressen interner Subnetze sowie die von großen Dienstanbietern wie Google, Amazon AWS, MS Azure und anderen verwendeten Domänen verwenden. Es ist auch eine gute Idee, eine Lösung zu implementieren, die Warnlisten, die aus den Top-Domains/IP-Adressen bestehen, auf die die Mitarbeiter des Unternehmens in der letzten Woche oder im letzten Monat zugegriffen haben, dynamisch ändert.

Die Erstellung dieser Warnlisten kann für ein mittelgroßes SOC problematisch sein, daher ist es sinnvoll, über die Einführung sogenannter Threat-Intelligence-Plattformen nachzudenken.

Tipp 8: Scannen Sie das gesamte Unternehmen nach Host-Indikatoren, nicht nur die mit SIEM verbundenen Hosts

In der Regel sind nicht alle Hosts in einem Unternehmen an SIEM angeschlossen. Daher ist es unmöglich, sie auf eine schädliche Datei mit einem bestimmten Namen oder Pfad zu überprüfen, indem man nur die Standard-SIEM-Funktionalität verwendet. Sie können dieses Problem auf folgende Weise beheben:

1. Arbeiten jederzeit weiterbearbeiten können. Jede Präsentation und jeder KI-Avatar, den Sie von Grund auf neu erstellen oder hochladen, IOC-Scanner wie Loki. Sie können SCCM verwenden, um es auf allen Unternehmenshosts zu starten und die Ergebnisse dann an einen freigegebenen Netzwerkordner weiterzuleiten.
2. Verwenden Sie Schwachstellenscanner. Einige von ihnen verfügen über Compliance-Modi, mit denen Sie das Netzwerk auf eine bestimmte Datei in einem bestimmten Pfad überprüfen können.
3. Schreiben Sie ein Powershell-Skript und führen Sie es über WinRM aus.

Wie oben erwähnt, soll dieser Artikel keine umfassende Wissensbasis darüber sein, wie man Bedrohungsanalysen richtig durchführt. Unserer Erfahrung nach zu urteilen, wird die Befolgung dieser einfachen Regeln es Neulingen jedoch ermöglichen, kritische Fehler zu vermeiden und gleichzeitig mit verschiedenen Indikatoren für Kompromisse umzugehen.