Netskope betreut weltweit mehr als 3.400 Kunden, darunter mehr als 30 der Fortune 100
Kundenvisionäre im Rampenlicht
Lesen Sie, wie innovative Kunden mithilfe der Netskope One-Plattform erfolgreich durch die sich verändernde Netzwerk- und Sicherheitslandschaft von heute navigieren.
Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.
Netskope One ist eine konvergierte Sicherheits- und Network-as-a-Service-Plattform.
Ihr Netzwerk von morgen
Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.
Netskope arbeitet mit den stärksten Unternehmen im Bereich Unternehmenstechnologie zusammen.
Netskope Cloud Exchange
Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.
Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.
Die Plattform der Zukunft heißt Netskope
Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), and Private Access for ZTNA built natively into a single solution to help every business on its journey to Secure Access Service Edge (SASE) architecture.
Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert
Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.
Meistern Sie die Sicherheitsherausforderungen von heute und morgen.
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.
Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.
Security Visionaries Podcast
Prognosen für 2025 In dieser Folge von Security Visionaries diskutieren wir mit Kiersten Todt, President bei Wondros und ehemaliger Stabschef der Cybersecurity and Infrastructure Security Agency (CISA), über Prognosen für 2025 und darüber hinaus.
Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus
SASE Week 2024 auf Abruf
Erfahren Sie, wie Sie sich in den neuesten Fortschritten bei SASE und Zero Trust zurechtfinden können, und erfahren Sie, wie sich diese Frameworks an die Herausforderungen der Cybersicherheit und Infrastruktur anpassen
Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.
Unterstützung der Nachhaltigkeit durch Datensicherheit
Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.
Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.
Helfen Sie mit, die Zukunft der Cloudsicherheit zu gestalten
Bei Netskope arbeiten Gründer und Führungskräfte Schulter an Schulter mit ihren Kollegen, selbst die renommiertesten Experten kontrollieren ihr Ego an der Tür, und die besten Ideen gewinnen.
Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.
Die engagierten Service- und Support-Experten von Netskope sorgen dafür, dass Sie unsere Plattform erfolgreich einsetzen und den vollen Wert ihrer Plattform ausschöpfen können.
Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.
Lesen Sie, wie innovative Kunden mithilfe der Netskope One-Plattform erfolgreich durch die sich verändernde Netzwerk- und Sicherheitslandschaft von heute navigieren.
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.
Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.
Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.
Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), and Private Access for ZTNA built natively into a single solution to help every business on its journey to Secure Access Service Edge (SASE) architecture.
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert
Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.
Prognosen für 2025 In dieser Folge von Security Visionaries diskutieren wir mit Kiersten Todt, President bei Wondros und ehemaliger Stabschef der Cybersecurity and Infrastructure Security Agency (CISA), über Prognosen für 2025 und darüber hinaus.
Erfahren Sie, wie Sie sich in den neuesten Fortschritten bei SASE und Zero Trust zurechtfinden können, und erfahren Sie, wie sich diese Frameworks an die Herausforderungen der Cybersicherheit und Infrastruktur anpassen
Unterstützung der Nachhaltigkeit durch Datensicherheit
Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.
Helfen Sie mit, die Zukunft der Cloudsicherheit zu gestalten
Bei Netskope arbeiten Gründer und Führungskräfte Schulter an Schulter mit ihren Kollegen, selbst die renommiertesten Experten kontrollieren ihr Ego an der Tür, und die besten Ideen gewinnen.
Die engagierten Service- und Support-Experten von Netskope sorgen dafür, dass Sie unsere Plattform erfolgreich einsetzen und den vollen Wert ihrer Plattform ausschöpfen können.
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.
Angreifer fügen ihrer Malware neue und ausgeklügelte Command-and-Control-Funktionen (C2) hinzu, die gängige statische Abwehrmaßnahmen auf der Grundlage von IPS-Signaturen oder IP-/Domain-/URL-Sperrlisten leicht umgehen können, indem sie gängige, weit verbreitete C2-Framework-Tools wie Cobalt Strike, Brute Ratel, Mythic, Metasploit, Slover und Merlin verwenden. Diese Tools bieten Funktionen nach der Ausnutzung, einschließlich Command-and-Control, Privilegienausweitung und Aktionen auf dem Host und wurden ursprünglich für Penetrationstests und Red-Team-Operationen entwickelt.
Angreifer haben jedoch dieselben Toolkits zu böswilligen Zwecken gekapert und eingebettet, da viele Produkte wie Mythic und Merlin Open Source sind, während andere kommerzielle Produkte wie Cobalt Strike und Brute Ratel von Angreifern durch gehackte Kopien oder durchgesickerten Quellcode gestohlen wurden. Dies hat dieselben Tools effektiv in gegnerische C2-Frameworks für böswillige Post-Exploits verwandelt.
Die Tools können viele Parameter der C2-Kommunikation leicht formen und ändern, so dass Malware die aktuellen Abwehrmaßnahmen noch einfacher und über längere Zeiträume umgehen und größeren Schaden in den Netzwerken der Opfer anrichten kann, z. B. durch den Diebstahl von mehr Daten, die Entdeckung wertvollerer Daten, die Nichtverfügbarkeit von Geschäftsanwendungen/-diensten und die Aufrechterhaltung eines verborgenen Zugriffs auf Netzwerke für zukünftige Schäden.
Aktuelle Ansätze zur Erkennung der neuesten Malware mithilfe von C2-Frameworks verwenden statische Signaturen und Indikatoren, einschließlich der Erkennung von ausführbaren Implantatdateien, IPS-Signaturen zur Erkennung von C2-Datenverkehr und IP/URL-Filtern, die für den Umgang mit den dynamischen, formbaren Profilen der weit verbreiteten C2-Framework-Tools unzureichend sind.
Es ist ein neuer Ansatz erforderlich, der nicht so starr an bekannte Angriffe gebunden ist, sondern auf der Anomalieerkennung eines umfassenden Satzes von Signalen basiert, die in trainierte Machine-Learning-Modelle eingespeist werden, mit feingranularer Verfolgung des Geräte- und Benutzerrisikos. Dieser Ansatz ergänzt bestehende Ansätze, kann aber die Erkennungsraten drastisch erhöhen, während die Anzahl der Fehlalarme gering gehalten wird und die Zukunft gegen sich entwickelnde C2-Traffic-Muster gesichert ist, die mit denselben C2-Framework-Tools leicht ermöglicht werden können.
In diesem Beitrag werden die Lücken in den aktuellen Ansätzen und die erhöhte Wirksamkeit durch die Verwendung eines fokussierten Ansatzes des maschinellen Lernens mit zusätzlichen Netzwerksignalen und feinkörnigen Risikometriken auf der Grundlage von Modellen auf Benutzer- und Organisationsebene diskutiert. Wir besprechen auch einige der wichtigsten Herausforderungen beim Testen der Wirksamkeit einer C2-Beacon-Erkennungslösung.
Adversarial C2-Frameworks
Cobalt Strike, Metasploit, Mythic und Brute Ratel sind einige der kommerziellen und Open-Source-Simulationstools für Angreifer, die ursprünglich für Red-Team-Tests der Malware-Erkennung entwickelt wurden. Diese Toolkits werden manchmal als Bedrohungsemulationstools oder C2-Frameworks bezeichnet, da sie einen umfangreichen Funktionsumfang (Gill) für die Simulation realer Bedrohungsaktivitäten während Red-Team-Operationen bieten, wobei der Schwerpunkt auf den Command-and-Control-Teilen der Angriffskette nach dem Exploit liegt.
Wir mögen einige dieser Begriffe in diesem Dokument synonym verwenden, aber im Allgemeinen werden wir C2-Frameworks verwenden, um zu betonen, dass diese Tools von böswilligen Akteuren verwendet werden, um Produktionsumgebungen zu beeinflussen, und dass das zu lösende Problem viel mehr ist als Simulationen oder Emulationen durch befreundete interne Red Teams.
Diese C2-Framework-Tools wurden von zahlreichen Angreifern eingebettet, gehackt oder gestohlen und verwendet ("Cobalt Strike: International law enforcement operation tackles illegal uses of 'Swiss army knife' pentesting tool"), einschließlich nationalstaatlicher Akteure wie Russlands APT29 in SolarWinds ("SolarWinds Supply Chain Attack Uses SUNBURST Backdoor") und das TA415 der VR China (Larson und Blackford), um die heimlichen Kommunikationsfähigkeiten verschiedener RATs zu verbessern und weiterzuentwickeln. Botnets und C2-fähige Malware.
Cobalt Strike ist das beliebteste C2-Framework-Tool, und wir verwenden es als spezifisches Beispiel in diesem Artikel, obwohl die Beobachtungen auf alle ähnlichen Tools zutreffen. Das folgende Diagramm der High-Level-Architektur von Cobalt Strike zeigt die grundlegenden Komponenten (Rahman) und den Ablauf der Laufzeitangriffe.
Abbildung 1: High-Level-Architektur bei Cobalt Strike
#
Schritt "Angriff"
Description
1
Erstzugriff / Infektion
Anfänglicher Infektionsvektor, einschließlich Downloader und Loader für die Beacon-Nutzlast.
2
Rufen Sie nach Hause (C2)
Beacon ruft Team Server in der Regel über HTTP/HTTPS/DNS an. Kann Domain/IP-Verschleierung über Redirectors wie Proxys, Domain-Fronting (z. CDNs) oder Domain-Masquerading. Beacons können auch die Kommunikation verketten, um die interne Netzwerksegmentierung zu umgehen.
3
Befehl und Kontrolle des Angreifers
Der Angreifer kontrolliert Beacon und gibt verschiedene Befehle aus. Kann Aggressor-Skripte verwenden, um den Workflow zu automatisieren/optimieren.
4
Ausführen von Befehlen
Der Beacon kann Execute Assembly (ausführbare .NET-Dateien) in einem separaten Prozess oder Beacon-Objektdateien innerhalb der Beacon-Sitzung/des Beacon-Prozesses verwenden, um die Post-Exploit-Funktionen zu erweitern. Memory Injection wird verwendet, um der Erkennung durch Endpunktabwehrmaßnahmen zu entgehen, die sich auf Dateien und Festplattenaktivitäten im Zusammenhang mit bösartigen Dateien konzentrieren.
5
Aktionen auf dem Host
Zahlreiche eingebaute Aktionen werden für neue Funktionen über Erweiterungen wie BOFs oder Execute Assembly bereitgestellt.
Tabelle 1: Angriffskette mit dem Cobalt Strike C2 Framework
Cobalt Strike und ähnliche Toolkits ermöglichen eine einfache und breite Palette an Konfigurierbarkeiten im HTTP/S-Verkehr, wodurch C2-Verkehr erzeugt wird, der oft harmlos erscheint, wie normaler HTTP/Web-Verkehr aussieht und dem Datenverkehr von Webbrowsern oder gängigen Anwendungen ähnelt. Es gibt Standardkonfigurationen, die mit den Tools bereitgestellt werden, die sowohl bekannte Malware als auch bekannte gültige Anwendungen emulieren.
Obwohl DNS auch als C2-Protokoll unterstützt wird, konzentrieren wir uns in der Diskussion auf HTTP/S C2, da es den Großteil des Netzwerkverkehrs in/aus einem Unternehmen widerspiegelt, aufgrund der Vielzahl von Anwendungen, die HTTP/S verwenden, komplexer ist und die Mehrheit der böswilligen Akteure anzieht, die versuchen, sich inmitten des Netzwerkrauschens zu verstecken, einschließlich legitimer gutartiger C2-Beacons.
Die Toolkits sind hochgradig konfigurierbar (über formbare Profile) und können das Timing, die Frequenz, das Volumen, die Anwendungsprotokolle, die Ziel-IPs/-Domains, die Benutzeragenten, die HTTP-Header, die HTTP-Verben, die URIs, die Parameter, die SSL/TLS-Zertifikate, die Beaconing-Verzögerung mit zufälligem Jitter und die Nutzlast/den Inhalt leicht variieren. Die Tools des C2-Frameworks ermöglichen auch eine große Anzahl von Post-Exploitation-Aktionen, die verschlüsselt, heruntergeladen und im Arbeitsspeicher ausgeführt werden, was es sehr schwierig macht, Aktivitäten nach der Kompromittierung auf Endpunkten zu erkennen.
Wir konzentrieren uns auf die spezifischen C2-Kommunikationsfunktionen der C2-Framework-Tools (z. B. C2-Beaconing) und darauf, wie einfach die Kommunikation geändert werden kann (z. B. über die C2 Malleable Profiles von Cobalt Strike) und auf die Herausforderungen, die sich für Unternehmen stellen, die versuchen, heimliche Malware zu erkennen.
Es gibt mehrere gute Quellen, die die Funktionalität der formbaren Profile (Gill) von Cobalt Strike diskutieren, aber wir werden auf einige der am häufigsten verwendeten Funktionen hinweisen. Hier ist ein Ausschnitt des formbaren Profils zur Nachahmung der Gmail-Browseranwendung in Cobalt Strike (Mudge):
Abbildung 2: C2 Formbares Profil (gmail)
Einige der wichtigsten Funktionen und Bereiche des Profils sind:
Sektion | Einstellungen
Beschreibung | Fähigkeiten
https-Zertifikat
# Verwenden Sie ein vorhandenes Zertifikat oder generieren Sie ein selbstsigniertes Zertifikat, wie in diesem Beispiel zu sehen # Beispiel.
Globale Optionen
# Die folgenden globalen Optionen setzen die Ruhezeit des C2-Beacons auf 60 Sekunden mit einem # zufälliger Jitter von +/- 15%, was die Möglichkeit zeigt, das Call-Home-Timing zu variieren, um # Einfache Erkennung. set sleeptime "60000"; set jitter "15";
# Andere globale Optionen geben Parameter für Post-Exploit-Aktionen auf dem Host an, wie z. B. die # Prozessname, der zum Ausführen von Befehlen mit In-Memory-Injection oder dem # Pipename, der für die IPC-Kommunikation verwendet wird. Diese sind für C2 nicht relevant. set pipename "interprocess_##"; set spawnto "userinit.exe";
http-get
# Der für die Beacon->Server-Kommunikation verwendete URI-Pfad kann mit einer Liste variiert werden set uri "/_/scs/mail-static/_/js/";
# Client-Kommunikation (Beacon->Server) einschließlich Cookies, Headern und Codierung # können alle auf HTTP-Protokollebene einfach spezifiziert und variiert werden client { metadata {} header {} }
# In ähnlicher Weise kann die Server->Beacon-Kommunikation auch über HTTP variiert werden # Protokollebene
server { header {} }
# Cobalt Strike ermöglicht die Gestaltung des 2-Wege-Kommunikationsflusses zwischen den # Beacon-Client und C2-Teamserver ("Eine Beacon-HTTP-Transaktionsanleitung"): # 0. http-stager {} optional stager to download full Beacon # 1. http-get {client} client -- call home → server # 2. http-get {server} server -- cmds → client # 3. http-post {client} client -- cmd output → server # 4. http-get {server} server -- confirm → client
Tabelle 2: Beschreibung des formbaren C2-Profils (gmail)
Wie oben zu sehen ist, können einfache Änderungen dieser Profile das C2-Kommunikationsverhalten leicht ändern, um gängige Anwendungen, ihre Beacons und den Webverkehr nachzuahmen. Allein für Cobalt Strike gibt es mehr als 240 öffentliche formbare Profile, die sofort verwendet oder leicht geändert werden können.
Aktuelle Detektionsansätze
Aktuelle Ansätze zur Erkennung von bösartigem C2-Datenverkehr neigen dazu, hartcodierte Byte-Signaturen abzugleichen oder reguläre Ausdrücke zu verwenden, um Nutzlasten oder Header (IPS-Signaturen) abzugleichen, oder basieren auf dem Abgleich von IP-/Domain-/URL-Listen. Diese Ansätze sind statisch und können leicht durch die dynamische, konfigurierbare Natur der C2-Framework-Toolkits umgangen werden, die von Angreifern eingebettet werden.
IPS-Signaturen
Um die Herausforderungen bei IPS-Lösungen zu veranschaulichen, hier eine der Snort-Regeln zur Erkennung des Zeus-Trojaners (Snort):
Abbildung 3: Snort-Regel (Zeus-Trojaner)
Snort und viele IPS-Lösungen ermöglichen verschiedene Übereinstimmungen von Inhalten oder Headern auf den Schichten 3 und 4 sowie auf Anwendungsebene, wie durch die Aktionsverben in der Regel angegeben. Viele Übereinstimmungen, wie z. B. die content Option rule, sind statische Byte-/Zeichenübereinstimmungen, während die pcre Option rule eine Übereinstimmung mit regulären Ausdrücken ist.
Wenn man sowohl die gegnerische Seite (z. B. das zuvor gezeigte C2 Malleable Profile für Gmail) als auch die defensive Seite (z. B. die Zeus-Snort-Regel) nebeneinander betrachtet, wird das statische, fest codierte Matching und die Fragilität deutlich. Stellen Sie sich vor, ein Angreifer hätte eine neue Zeus-Variante erstellt und bereitgestellt, die Cobalt Strike verwendet, und ein Snort-IPS verfügt über die oben genannte Zeus-Regel, die die neue Malware effektiv erkennt. Der Angreifer kann leicht ein Zeichen im Profil ändern, z. B. ein Leerzeichen hinzufügen MSIE , um eine Übereinstimmung zu vermeiden: content:"|3B 20|MSIE|20|"; und die Malware könnte die IPS-Signatur umgehen.
Es gibt zwar eine kontextbezogene Erkennung und Zustandsverfolgung, aber der IPS-Signaturansatz ist aufgrund seiner statischen Übereinstimmung von Natur aus eingeschränkt, was zu falsch negativen Ergebnissen und einer einfachen Umgehung führt (das buchstäbliche Ändern eines Zeichens in einem Feld könnte eine IPS-Regel umgehen).
Das soll nicht heißen, dass IPS-Lösungen nicht nützlich sind. Vielmehr sollten IPS-Signaturen beibehalten werden, da sie einer nützlichen Perimeterverteidigung dienen und viele bekannte Netzwerk-Exploits schnell und effizient blockieren. Selbst wenn ein IPS nur eine Erkennungsrate von 60 % erreicht, können diese 60 % in diesem Fall einfach blockiert/gewarnt werden, wodurch eine kostspielige nachgelagerte Verarbeitung vermieden wird.
IP/URL-Sperrlisten
Andere traditionelle Ansätze, wie z. B. die Verwendung von Sperrlisten (IP oder URLs), werden häufig angewendet, um den ersten Zugriff oder das Herunterladen von Malware beim Surfen im Internet zu verhindern und potenziellen C2-Datenverkehr zu blockieren.
Eine häufige Herausforderung bei Sperrlisten besteht darin, dass sie oft veraltet sind, was zu Fehlalarmen führt, und insofern reaktiv sind, als sie nach der Kompromittierung von Ziel #1 oder Patient Null aktualisiert werden.
Dies wird durch IP-/Domänenindirektionstechniken verschärft, die verwendet werden, um die Domäne oder IP-Adresse des C2-Servers zu verbergen. Cobalt Strike verfügt über Redirectors, die so einfach wie IP-Proxys sein können, um die wahre Domain oder IP des C2-Servers zu verschleiern. Es gibt auch andere Techniken wie Domain-Fronting mit CDNs oder Domain-Masquerading, die sich TLS (SNI) und HTTPS (Host) Diskrepanzen zunutze machen, um die endgültige bösartige Domain vor einigen URL-Sicherheitsfiltern zu verbergen.
Heuristiken des Netzwerkdatenverkehrs
Ein anderer Ansatz beinhaltet die Verwendung von Heuristiken, die in der Regel auf Netzwerkdatenverkehrsmuster basierend auf Volumen oder Zeit angewendet werden. Das klassische Beispiel besteht darin, regelmäßige ausgehende Kommunikation (z. B. alle 60 Minuten) zu erkennen, z. B. zu einer IP-Adresse ohne registrierten DNS-A-Eintrag.
Um der Erkennung zu entgehen, ermöglichen die C2-Framework-Toolkits die einfache Konfiguration eines Zufallsfaktors in der Beaconing-Verzögerung mithilfe der Jitter-Einstellung in einem Cobalt Strike Mformable Profile:
Diese Einstellungen geben ein Call-Home-Intervall von 60 Sekunden +/- 15 % an, was bedeutet, dass das tatsächliche Intervall zwischen 51 und 69 Sekunden liegt, wodurch einfache Überprüfungen auf wiederkehrendes Beaconing in konstanten Intervallen vermieden werden.
Wirksamkeit
Das Problem bei den derzeitigen Ansätzen besteht darin, dass sie formbare C2-Kommunikationen nicht effektiv erkennen und selbst bei gezielter Abstimmung leicht umgangen werden können. Sie erfüllen einen Zweck bei der effizienten Erkennung von Angriffstechniken, die statisch mit bekannten Indikatoren sind, aber dynamischere oder ausgefeiltere Angriffe übersehen oder eine große Anzahl von Fehlalarmen erzeugen.
Ein Datenpunkt: Beim Testen der gängigsten Cobalt Strike C2-Formbarprofile aus öffentlichen Repositorys erkannten Out-of-the-Box-IPS-Lösungen wie Snort und Suricata deutlich weniger als 20 % der C2-Kommunikation aus den gängigsten C2-Framework-Toolkits.
Selbst nach dem gezielten Hinzufügen von Regeln, die so vielen öffentlichen Profilen wie möglich entsprechen, und der Optimierung für diesen speziellen Test konnte die Abdeckung nur vernünftig auf ~60 % erhöht werden, ohne dass signifikante Fehlalarme eingeführt wurden, die in einer Produktionsumgebung sehr problematisch wären.
Es gibt zahlreiche Probleme mit der Wirksamkeit: Nicht nur höhere False Positives, sondern auch die resultierende Konfiguration ist starr für den jeweiligen Test konstruiert und kann durch geringfügige Optimierungen der Profile leicht umgangen werden. Und am Ende des Tages gibt es immer noch ~40% der Profile, die unentdeckt bleiben, was eine sehr hohe Falsch-Negativ-Rate ist. Ganz zu schweigen von den zusätzlichen False Negatives durch einen entschlossenen Angreifer, der die C2-Profile so anpasst, dass sie bestehende, bekannte Anwendungen auf eine etwas andere Art und Weise nachahmen.
Neuer Nachweisansatz
Es ist ein effektiverer Ansatz erforderlich, der nicht nur auf statischen Indikatoren basiert, sondern auf fokussierten Modellen des maschinellen Lernens, die Anomalien im Netzwerkverkehr anhand einer Vielzahl von Netzwerksignalen erkennen können, die auf verdächtige Command-and-Control-Aktivitäten hinweisen, verglichen mit dem, was gültige Anwendungen normalerweise für die spezifischen Benutzer innerhalb der jeweiligen Organisation tun. Darüber hinaus sollten fein abgestufte Risikometriken auf Benutzerebene verfolgt werden, um die genauesten und effektivsten Maßnahmen zur Risikominderung bereitzustellen. Innovationen in diesen drei Bereichen sind erforderlich, um die Erkennung von heimlichem C2-Beaconing durch die C2-Framework-Tools erheblich zu verbessern:
Abbildung 5: Neuer Ansatz C2 Beacon-Erkennung
Umfassende Signale
Ein umfassender Satz von Signalen ist erforderlich und sollte Quell-, Ziel- und Traffic-Merkmale wie SSL/TLS-Zertifikate enthalten, die sowohl auf der Quelle (Malware in der Umgebung) als auch auf dem Ziel (C2-Server) verwendet werden, Domäne/IP/URL, Quellenmerkmale wie die Eigenschaften des Benutzeragenten/-prozesses, Traffic-Größe/Burstiness/-Muster, HTTP-Header/Payload/URI, um nur einige zu nennen.
Bei der Betrachtung verschiedener Signale über Zeit, Volumen, Netzwerkschichten und die allgemeine Erstellung von Traffic-Profilen kann die Verhaltenserkennung einen allgemeinen und effektiven Mechanismus zur Erkennung der neuesten Malware über verdächtige und bösartige C2-Beaconing-Aktivitäten bieten.
Abbildung 6: Umfassende Signale
Die Signaltypen haben mehrere Dimensionen:
Netzwerkfluss: Quell- und Zielattribute sowie Datenverkehrsmuster
Netzwerkschichten: unterschiedliche Signale von Schicht 3 bis 7 (Anomalien bei TCP/IP-Headern, SSL/TLS-Fingerabdrücken, HTTP-Headern/Nutzlasten und Inhalten auf Anwendungsebene)
Zeit: Häufigkeit, anomale Timing-Muster zur Erkennung seltener und langsamer Aktivität
Daten: Inhalt und Volumen (anomale Paketgrößen, Bursts, kumulative Statistiken)
Darüber hinaus gibt es mehrere Signaltypen:
Basierend auf Traffic-Mustern (Volumen, Timing, Inhalt), einschließlich wiederholtem Beaconing in Verbindung mit ungewöhnlichem User-Agent oder Domäne.
Heuristiken (z. B. verdächtige Registrare oder bekannte bösartige SSL-Fingerabdrücke)
Anomalien (ungewöhnliche Domäne, Benutzeragenten oder SSL-Fingerabdrücke)
Ein wichtiger Punkt ist, dass einige der oben genannten Signale Teil aktueller Ansätze und bestehender Lösungen sind. Dies unterstreicht den Punkt, dass ein bestimmtes Signal, wie z. B. eine Verkehrsspitze (großes Volumen), für sich genommen weder gut noch schlecht, effektiv oder ineffektiv ist. Vielmehr ist der Kontext und die Verarbeitung des Signals der entscheidende Faktor. Wenn ein Signal, das anfällig für Fehlalarme ist, an einem Netzwerkperimeter verwendet wird, um Datenverkehr zu blockieren/zuzulassen, kann dies zu schwerwiegenden Betriebsproblemen führen. Wenn es jedoch in ein Anomalieerkennungssystem eingespeist wird, das dieses Signal in eine granulare Risikometrik (siehe unten) und ein gut trainiertes Modell einbezieht, kann es äußerst effektiv sein, neue Bedrohungen auf robuste Weise mit geringen Fehlalarmen zu erkennen.
Anomalieerkennung
Für die effektive Erkennung von C2-Beaconing aus C2-Framework-Toolkits sind Modelle für maschinelles Lernen erforderlich, die auf einer umfassenderen Palette von Signalen basieren, um die heutigen C2-Framework-Toolkits und zukünftiges verdächtiges Netzwerkverhalten zu identifizieren, das auf C2-Aktivität hinweisen könnte.
Abbildung 7: Erkennung von Anomalien
Die Anomalieerkennung sollte auf Modellen auf Benutzer-/Geräte-, Rollen- und Organisationsebene basieren. Das heißt, Anomalien setzen voraus, dass wir eine gültige "normale" Grundlinie der Aktivität oder des Verhaltens haben, mit der wir vergleichen können. Das Erkennen verdächtiger Aktivitäten kann unter verschiedenen Umständen auftreten. Es gibt Anomalien, die auf den Aktionen eines Benutzers im Vergleich zu seiner historischen "normalen" Baseline oder auf der "normalen" Baseline der Organisation oder auf den Personen in ähnlichen Rollen basieren. Alle haben ihre gültigen Anwendungsfälle, die sich von den anderen ausschließen, und ein guter Ansatz umfasst mehrere Modelle mit unterschiedlichen Bereichen.
Trainingsdaten
Trainingsdatasets sollten sowohl bösartigen als auch harmlosen Datenverkehr enthalten:
Bösartiger Datenverkehr kann mit allgemeinen C2-Testtools, spezifischen C2-Adversarial-Beaconing-Tests auf der Grundlage öffentlich verfügbarer Konfigurationen von C2-Framework-Tools sowie benutzerdefinierten Konfigurationen aus der Perspektive eines Red Teams und offiziellen Red Team-Übungen simuliert werden.
Gutartiger Traffic oder gültiger Traffic wird am besten von einer signifikanten Anzahl tatsächlicher Benutzer in realen Organisationen über genügend Zeit gesammelt, um sich gegen Benutzer- und Organisationsverzerrungen zu normalisieren.
Trainingsdatasets sind die Kehrseite des Testens von Datasets, und es sollte viel Zeit für die Analyse und Validierung guter Trainings- und Testdaten aufgewendet werden. Einige der Faktoren, die bei der Erstellung guter Testdatensätze zu finden sind, werden in einem nachfolgenden Abschnitt erläutert.
Granulare Risikometriken
Die Ausgabe der Anomalieerkennung ist entscheidend. Der beste Ansatz führt keine einfachen Block-/Allow- oder Alert-/Stille-Bestimmungen auf der Grundlage eines Rohsignals durch, sondern verfolgt und passt stattdessen fein abgestufte Risikometriken auf Benutzer-, Rollen- und Organisationsebene an, die dann für Abhilfemaßnahmen wie Warnungen, Coaching oder Blockieren verwendet werden können.
Dieser Ansatz zur Verfolgung und Reaktion auf Risiken unterscheidet sich grundlegend von dem, was heute typischerweise verwendet wird. Die meisten Perimeterschutzmaßnahmen, die präventiv sind und in der Regel Datenverkehr blockieren/warnen/zulassen, sind im Allgemeinen statisch und anfällig für hohe Falsch-Positiv-Raten. Das Endergebnis ist, dass diese Lösungen mit einer konservativen Politik ausgestattet sind, um bestimmte und bekannte Risiken zu blockieren, was dann eine große Anzahl von False Negatives eröffnet. Bei Firewalls sehen wir False-Positive-Probleme mit übermäßig aggressiven Blockierungsaktionen, die auf IP-Bedrohungsinformationen basieren. Bei IPS-Lösungen haben wir die False-Positive-Herausforderungen bei statischen Signaturen diskutiert, die versuchen, hochgradig konfigurierbaren und dynamischen C2-Datenverkehr zu erkennen.
Aber Fehlalarme auf einer Perimeterschicht können als Signal für eine intelligentere Schicht sehr nützlich sein. In diesem Szenario würden wir es nicht für eine binäre Bewertung (Zulassen/Blockieren, Melden/Ignorieren) verwenden, sondern als feinkörnige Risikometrik, die im Laufe der Zeit angepasst wird (z. Benutzerrisikobewertung) mit einem abgestimmten Schwellenwert, bevor Maßnahmen ergriffen werden. Eine granulare Risikometrik, z. B. eine Risikobewertung von 1000 (kein Risiko) bis 0 (extremes Risiko) für einen Benutzer oder ein Gerät oder sogar eine IP-Adresse, ermöglicht es uns, das Grauspektrum zu modellieren, das mit realen Bedrohungen verbunden ist, bei denen es selten klare 100 % bösartige oder 100 % gutartige Bewertungen gibt.
Konzeptionell wird dies in der folgenden Abbildung dargestellt, in der drei verschiedene Signale erkannt werden können, die für sich genommen anfällig für falsch positive Ergebnisse wären. Wenn sie jedoch mit einem inkrementellen Risiko verbunden sind und von einem abgestimmten Machine Learning-Modell bewertet werden, bewerten dieselben Signale das kumulative Risiko im Laufe der Zeit und liefern letztendlich eine Anomalieerkennung mit hoher Zuverlässigkeit.
Abbildung 8: Granulare Risikometriken
Beachten Sie, dass die Signale in diesem Beispiel möglicherweise nicht so einfach sind wie statische Signale. Zum Beispiel könnte ein "ungewöhnlicher Domain-Benutzeragent und SSL/TLS-Zertifikat" eine Anomalie sein, wenn man sie mit der vergangenen "normalen" Datenverkehrsbasis für diesen bestimmten Benutzer oder mit ähnlichen Jobrollen von Benutzern oder der gesamten Organisation vergleicht. Ein "verdächtiger Registrar" kann eine Verschmelzung von Domain-Reputationen sein, die im Laufe der Zeit korreliert sind. Und "periodisches Beaconing" ist nicht mehr nur eine einfache Übereinstimmung mit einer festen Rate oder Dauer, sondern kann stattdessen abnormale, aber regelmäßige und wiederholte Aktivitäten innerhalb eines Zeitfensters erkennen, das der Bot-bezogenen Aktivität im Gegensatz zu gültigen Anwendungs-Daemon-Callouts ähnelt.
In der Praxis können wir so einen Risikobewertungswert schrittweise und angemessen auf der Grundlage eines Low-Fidelity-Signals anpassen. Es führt zu keiner Blockierungs- oder Warnaktion, bis die kumulative Risikobewertung einen abgestimmten, oberen Schwellenwert überschreitet. Auf diese Weise können wir Fälle erfassen, in denen es viele leicht riskante Indikatoren mit geringer Genauigkeit gibt, die in Kombination mit einem Indikator mit höherer Genauigkeit und höherem Risiko für einen bestimmten Benutzer oder ein bestimmtes Gerät kumulativ eine kritische Risikowarnung und -maßnahme mit einer drastisch geringeren Wahrscheinlichkeit von Fehlalarmen erzeugen.
Evaluierung und Prüfung
Ein neuer Ansatz kann theoretisch solide sein und in der Praxis kläglich scheitern, und der Beweis liegt oft in den Daten oder Tests. Anbieter, die Lösungen anbieten, und Organisationen, die nach Lösungen suchen, benötigen einen robusten Ansatz zum Testen neuer Bedrohungen und zur Bewertung von Lösungen. Um genaue Ergebnisse zu erzielen, ist es wichtig, mit einem vielfältigen Datensatz zu testen, der sowohl bösartigen als auch gutartigen Datenverkehr enthält.
Harmloser Verkehr Gutartiger Traffic sollte realistisch und umfassend sein und in Bezug auf die Anzahl der Benutzer und die Aktivität der Produktion ähneln. Guter Traffic, der oft nutzerabhängig ist, sollte über eine große Stichprobe von Nutzern und einen angemessenen Zeitraum untersucht werden. Mit diesem Testdatensatz werden die Falsch-Positiv-Raten (FP) gemessen. Die wichtigste Varianz in den Datensätzen sind Clientsignale, wie z. B. die verwendeten Anwendungen, Benutzeragenten und Client-SSL/TLS-Zertifikate, Zielsignale, die in den Zieldomänen/IP-Adressen angezeigt werden, und Verkehrsmustersignale in den Headern, der Nutzlast, der Größe und dem Timing.
Die gute Nachricht ist, dass gutartiger Traffic leicht aus dem täglichen Betrieb der Benutzer des Unternehmens entnommen werden kann, während die schlechte Nachricht ist, dass er als gutartig validiert werden muss. Der praktische Ansatz besteht darin, den gutartigen Datenverkehr statistisch auf einen bestimmten angemessenen Konfidenzfaktor abzutasten und sich dann die meiste Zeit auf die Warnungen der zu testenden C2-Erkennungslösung zu konzentrieren und die Warnungen als richtig positiv oder falsch positiv zu überprüfen. Mit anderen Worten: Führen Sie vorab eine Stichprobe durch und verifizieren Sie, um eine Baseline zu bilden, gehen Sie davon aus, dass der gutartige Datensatz sauber ist, und fahren Sie dann mit der Identifizierung falsch positiver Ergebnisse auf der Grundlage von Tests fort.
Abbildung 9: Gutartige Traffic-Tests
Bösartiger Datenverkehr Die Verwendung öffentlicher Profile aus beliebten C2-Framework-Tools bietet eine solide Grundlage für das Testen von schädlichem Datenverkehr. Diese Profile stellen praktische, häufig verwendete Konfigurationen dar, die Abwehrmaßnahmen umgehen und bei der Messung von Falsch-Negativ-Raten (FN) helfen. Es muss jedoch viel darüber nachgedacht werden, einen repräsentativen Datensatz für "schlechten Traffic" zu erstellen, da die Abdeckung und die Tests der Datensätze potenziell mehrere Ebenen umfassen, wie im folgenden Diagramm dargestellt:
Abbildung 10: Testen von bösartigem Datenverkehr
Tools zur Simulation von Sicherheitsverletzungen und Angriffen wie SafeBreach eignen sich hervorragend für Abdeckungstests und wiederholte Tests. Ihre C2-Testfälle beinhalten in der Regel zumindest eine Simulation der Aktivität von C2-Frameworks. Der Vorteil besteht darin, dass eine große Bandbreite an Funktionen verfügbar ist, einschließlich allgemeiner Malware-Angriffe, mit gut gestalteten GUIs und Architekturen sowie wiederholbaren Testverfahren und -berichten. Diese Tools bieten Ihnen eine breite Palette von Szenarien, darunter: Low-Slow-Aktivität, IaaS/CSP-Infrastruktur, HTTP- und Nicht-HTTP-Datenverkehr bis hin zu SSL/HTTPS-Datenverkehr und Spoofing einer Vielzahl von Benutzeragenten.
C2-Framework-Tools (öffentliche Profile). Das tiefgreifende Testen von C2-Frameworks erfordert konzentrierte Arbeit. Ein Ansatz besteht darin, einen Testdatensatz zu erstellen, der auf den spezifischen öffentlichen Profilen von C2-Framework-Tools, z. B. Cobalt Strike, basiert. Diese öffentlichen, formbaren Profile werden in der Regel weit verbreitet und von vielen Benutzern und böswilligen Akteuren verwendet, da sie nützliche Emulationen von gutartigen Anwendungen wie Google Mail enthalten. Dieser Ansatz bietet in der Regel umfassendere Tests rund um die spezifischen C2-Frameworks.
C2-Framework-Tools (benutzerdefinierte Profile). Die interne Anpassung der C2 Malleable Profiles kann ein noch realistischeres Testen von C2-Frameworks ermöglichen. Diese benutzerdefinierten Konfigurationen können während interner Red Team-Vorgänge vorgenommen werden. Dies erfordert mehr Arbeit und Investitionen, da die Red-Team-Operatoren die Tools des C2-Frameworks fließend beherrschen müssen.
Realistische Angriffe. Die realistischsten Tests sind Black-Box-Tests mit externen Pen-Testing- oder Bug-Bounty-Programmen. In diesen Szenarien sind die Anforderungen der Übung sorgfältig konstruiert, um tatsächliche POC-Exploits zu erfordern oder zu fördern, die bestimmte C2-Framework-Tools oder C2-Beaconing-Verhalten verwenden, mit Einschränkungen, die eine Erkennung über einen bestimmten Zeitraum vermeiden. Die Ziele der Übungen sind nicht nur das Testen von Erstzugriffsvektoren, was die Norm ist, sondern auch die Konzentration auf die Aktivität nach dem Verstoß, indem die Fähigkeit gezeigt wird, eine Backdoor-Nutzlast mit demonstrierter C2-Aktivität zu installieren. Dies bereichert den Testdatensatz über die C2-Frameworks hinaus und kann Backdoor-POC-Code mit benutzerdefinierter C2-Kommunikation testen und ist auch ein hervorragender Test für die Widerstandsfähigkeit eines Erkennungstools gegenüber einem erfahrenen "Angreifer", der andere oder benutzerdefinierte TTPs verwendet.
Das Testen kann mehrere oder mehrere Ansätze umfassen, aber es sollten explizite Entscheidungen darüber getroffen werden, wie die Testdatensätze erstellt, gesammelt und validiert und wie die erwarteten Ergebnisse gemessen werden. Das Erstellen und Sammeln der Testdatensätze ist sehr wichtig, damit das Testen automatisiert und einfach wiederholt werden kann.
Es ist auch wichtig, während des Tests vollständige Metriken zu messen: Richtig und falsch positiv, richtig und falsch negativ. Während das Sammeln aller Metriken offensichtlich klingt, ist es schwierig, präzise in der Definition und klar und wiederholbar in der Messmethodik zu sein, was zu irreführenden Ergebnissen führt.
Falsch positive und falsch negative Ziele Mit den neuen ausweichenden Bedrohungen, die durch C2-Frameworks geschaffen werden, werden allen neueren Erkennungslösungen die weithin akzeptierten FP- und FN-Raten fehlen. Es ist jedoch wichtig, FP- und FN-Ziele zu erstellen. Mit Testdatensätzen von bekannter Qualität können Baselines für die aktuelle Umgebung und Benutzer/Geräte erstellt werden, wodurch dann vernünftige Ziele relativ zu diesen Baselines erstellt werden können.
Angenommen, ein Unternehmen, das nur über ein IPS verfügt, beginnt mit der Evaluierung neuer C2-Erkennungslösungen und es ist unklar, welche FP/FN-Raten akzeptabel sind. Das Unternehmen kann immer noch vernünftige Ziele festlegen, indem es eine Testmethodik befolgt, wie z. B.:
Erstellen Sie qualitativ hochwertige Testdaten für gutartigen Traffic auf der Grundlage von Produktionsdaten und bösartigen Traffic auf der Grundlage von z. B. öffentlichen C2-Formbarprofilen für Cobalt Strike und durch manuelle Validierung von Stichproben dieser Datensätze.
Erstellen Sie eine klare, wiederholbare Testmethodik, indem Sie Test- und Messwerkzeuge definieren.
Messen Sie alle Metriken (TP/TN/FP/FN) während des Tests
Testen Sie neue Lösungen und vergleichen Sie Metriken. Zum Beispiel könnte das IPS speziell für bessere TP-Raten für den bösartigen Datenverkehr abgestimmt werden, aber sicherstellen, dass auch FP/TN/FN-Raten gemessen und validiert werden. Dann kann die Wirksamkeit verschiedener Lösungen richtig bewertet werden, insbesondere in Bezug auf die Gesamtauswirkungen auf die Organisation, wie im Abschnitt "Auswirkungen" unten beschrieben.
Testen Sie neue Datensätze und vergleichen Sie sie. Achten Sie darauf, die Datasets so anzupassen, dass sie angemessene Anpassungen durch einen Angreifer widerspiegeln. Es gibt mehrere Möglichkeiten, dies zu tun.
Beim Testen von Cobalt Strike können beispielsweise die C2 Malleable Profiles leicht modifiziert werden, um gutartige Apps etwas anders zu emulieren oder völlig neue gutartige Apps, die innerhalb des jeweiligen Unternehmens verwendet werden. Dies kann durch das Sniffing von ausgehendem HTTP/S-Datenverkehr über einen Proxy erfolgen.
Testen Sie nicht nur eines, sondern mehrere C2-Framework-Tools, da sie sich in Fähigkeiten und Techniken unterscheiden. Die Verwendung eines anderen C2-Framework-Tools ist ebenfalls eine gute Änderung, da das C2-Traffic-Shaping anders sein wird.
Das Erstellen einer benutzerdefinierten Test-Payload mit einer eigenen, handcodierten C2-Kommunikation ist eine weitere Möglichkeit, die Test-Datasets zu ändern, erfordert jedoch die meiste Zeit und Investition.
Prüfung der Belastbarkeit Durch das Testen mit neuen Datensätzen über verschiedene Lösungen hinweg gewinnen wir auch wertvolle Einblicke in die Steifigkeit vs. Resilienz verschiedener Lösungen. In diesem Artikel haben wir das Problem angesprochen, dass hartcodierte und signaturbasierte Ansätze nicht nur weniger effektiv für die Erkennung von C2-Frameworks sind, sondern auch starr sind, was zu hohen FP/FN-Raten führt und eine einfache Umgehung mit einfachen Angriffsänderungen, wie z. B. formbaren Profiländerungen, ermöglicht.
Die Resilienz jeder Lösung kann getestet werden, indem sichergestellt wird, dass die Datensätze innerhalb des Vernünftigen modifiziert werden (d. h. innerhalb derselben TTP-Kategorie bleiben). Mit anderen Worten, wir können einen realistischen Resilienztest durchführen, indem wir die C2-Kommunikation innerhalb des bösartigen Datenverkehrsdatensatzes mit Hilfe von C2-formbaren Profilen ändern und die TP/TN/FP/FN-Raten überwachen. Wir sehen, wie die Abdeckung variiert, und wir verstehen auch, welche Änderungen an der Erkennungslösung vorgenommen werden müssen, um die Abdeckung für bestimmte TP/TN/FP/FN-Ziele aufrechtzuerhalten.
Ein erneutes Testen mit geänderten Datensätzen auf diese Weise ist vergleichbar mit einem Angreifer, der seine TTP ändert. Es bewertet die Ausfallsicherheit und Effektivität der neuen Erkennungslösung, da wir sehen können, ob sie immer noch in der Lage ist, Änderungen innerhalb derselben Bedrohungstechnikkategorie (C2-Kommunikation über HTTP/S) zu erkennen.
Falsch positive und falsch negative Auswirkungen Die Messung der FP/FN-Raten ist gut und ermöglicht eine relative Verbesserung, aber wir müssen auch die Auswirkungen von FPS und FNs messen oder zumindest schätzen, da es sonst unmöglich ist, den tatsächlichen Nutzen einer Nachweislösung zu bewerten. Mit anderen Worten, ein RP-Satz von 1 % oder eine Verbesserung des RP-Satzes um 5 % hat keinen Kontext, es sei denn, wir können die Auswirkungen dieses 1 % oder +5 % auf eine Weise messen, die für die Entscheidungsträger im Sicherheitshaushalt sinnvoll ist.
Hier sind zwei Ansätze, die dabei helfen können, TP/TN/FP/FN-Sätze in eine quantifizierbarere Wirkung zu übersetzen:
Auswirkungen auf die Benutzer im Zeitverlauf: Betrachten Sie die absolute Anzahl falsch positiver Ergebnisse, die den FP-Raten entspricht, und normalisieren Sie sie im Laufe der Zeit als Rate pro Benutzer. Dies ist ein qualitatives Maß, aber oft sinnvoller als %-Sätze oder absolute Zahlen. Anstelle von 1 % FPs oder 2.437 falsch positiven Ergebnissen kann es beispielsweise einfacher sein, die Auswirkungen von 0,1 falsch positiven Ergebnissen pro Benutzer und Tag zu bewerten. Wenn es sich um ein sicheres Web-Gateway handelt, könnte jemand im Unternehmen anhand der Auswirkungen auf die Benutzer im Laufe der Zeit bestimmen, ob ein bestimmtes FP-Ziel akzeptabel ist. In diesem Fall führt C2-Framework-fähige Malware zu Sicherheitsverletzungen, und die Auswirkungen auf die Benutzer sind eher als Ausfallzeiten oder Datenverluste pro Benutzer über einen bestimmten Zeitraum gekennzeichnet. Wir haben eine Wahrscheinlichkeit von N%, jedes Jahr einen Verlust pro Benutzer zu $X. Dies sind oft grobe Schätzungen, aber jeder Anfang ist nützlich, da er durch regelmäßige Iteration überarbeitet und verbessert werden kann. Wenn die Auswirkungen im Laufe der Zeit in Bezug auf die Benutzer bewertet werden, wird es einfach, Erkennungs- oder Schutzlösungen zu bewerten, die oft nach der Anzahl der Benutzer pro Jahr berechnet werden.
Auswirkungen auf den Sicherheitsbetrieb in Bezug auf Zeit, Geld und Wahrscheinlichkeit von Sicherheitsverletzungen. Neben den Auswirkungen auf die Endbenutzer sollten auch die administrativen Auswirkungen bewertet werden, insbesondere auf die Betriebsmitarbeiter, die häufig Zeit mit der Bearbeitung von Erkennungswarnungen verbringen. Die Zeit, die für die Reaktion auf laute Warnungen aufgewendet wird, kann direkt in die VZÄ-Gehaltskosten umgerechnet werden. Der zusätzliche Faktor der Alarmmüdigkeit ist eine reale Auswirkung, die in Bezug auf die Wirksamkeit (Zeit bis zur Reaktion) und vor allem als Zeit- und Aufmerksamkeitsverlust für wirklich schwerwiegendere Bedrohungen, die verloren gehen oder nicht untersucht werden, abgeschätzt werden kann. Diese letztgenannte Auswirkung wird zu einem Faktor für die Auswirkungen von Sicherheitsverletzungen – Sicherheitsverletzungen sind wahrscheinlicher, wenn Sicherheitsvorgänge zu viele Fehlalarme aufweisen, die untersucht und gelöscht werden müssen.
Eine Folgenabschätzung ist oft der einzige Weg, um wichtige Erkenntnisse zu verstehen, wie z. B. die tatsächlichen Kosten der Erkennungswirksamkeit. Beispielsweise ist eine übermäßig aggressive Erkennungslösung mit einer Konfiguration aus niedrigen FNs und hohen FPs nutzlos und schädlich, da Sicherheitsvorgänge übermäßig viel Zeit mit der Reaktion auf Low-Fidelity-Warnungen verschwenden, anstatt sich an Aktivitäten mit höherer Hebelwirkung zu beteiligen. Ebenso setzt eine zu konservative Erkennungslösung mit niedrigen FPs, aber hohen FNs das Unternehmen einem hohen Risiko für eine potenzielle Sicherheitsverletzung aus, was aus Sicht der Gesamtrisikobewertung inakzeptabel sein kann.
Die Auswirkungen sollten gleichzeitig mit den Kernmetriken TP/FP/TN/FN geschätzt und bewertet werden.
Realitätsnahe Tests
Ein rotes Team mit Menschen, nicht nur mit automatisierten Sicherheitsverletzungen oder Pen-Test-Tools. Es wird dringend empfohlen, nicht nur Produktionsbenutzer und -umgebungen zum Testen von C2-Beaconing-Lösungen zu verwenden, sondern auch realistische gegnerische Szenarien wie Pen-Tests oder Bug-Bounties. Durch die Anpassung der Bounty-Beträge und -Anforderungen, um die explizite Implantation und erfolgreiche Post-Exploitation-Aktionen beliebter C2-Framework-Toolkits zu zeigen, können wir den "bösartigen Traffic" real und messbar machen. Dies könnte auf jede C2-Beaconing-Aktivität ausgeweitet werden, einschließlich benutzerdefiniertem Code zum Testen der Ausfallsicherheit der Erkennungslösung, und die Testanforderung sollte den Nachweis einer erfolgreichen täglichen Beaconing-Aktivität und Befehlsausführung über eine Woche ohne Erkennung umfassen.
Wenn ein externer Pentest oder ein Bug-Bounty-Programm wiederholt wird, sind die Unterschiede in den Erkennungsraten messbar und nützlich für die Bewertung der Wirksamkeit und des ROI.
Mit einem rigorosen Testansatz wird nicht nur die Wirksamkeit der Tests umfassend gemessen, sondern es können auch fortlaufende Ziele und Ziele relativ zu einem aktuellen/historischen Ausgangswert erstellt werden. Und wenn die gleichen Tests und Messungen für mehrere Lösungen durchgeführt werden, ist es sicherlich trivial, die Leistung zu vergleichen und Kauf-/Implementierungsentscheidungen zu treffen.
Überlegungen zum Design
Forschung und Design im Zusammenhang mit diesen Konzepten und dem Gesamtansatz werden ausführlicher diskutiert in: Sicherheitssysteme und Methoden zur Erkennung von formbarer Führung und Kontrolle (Mulugeta).
Vorteile
Anomalieerkennung neuer unbekannter Bedrohungen
Dieser Ansatz wehrt unbekannte Bedrohungen effektiv ab, indem er Machine Learning-Modelle nutzt, die auf das Anwendungsverhalten trainiert wurden, das für Benutzer innerhalb einer Organisation einzigartig ist. Die granulare Benutzerrisikometrik reduziert Fehlalarme erheblich.
Im Gegensatz dazu beruhen bestehende reaktive Ansätze auf der Identifizierung eines ersten Opfers oder Patienten Null (ein Opferlamm für das Allgemeinwohl), gefolgt von einer Anbieteranalyse und -forschung, die Tage oder sogar Monate dauern kann, bevor ein Anbieter eine neue Signatur oder Regel veröffentlicht, um die neue Bedrohung für die Kunden zu blockieren, die noch nicht angegriffen wurden. Dieser Ansatz ist von vornherein unwirksam, um neue und aufkommende formbare Bedrohungen zu blockieren.
Ein Ansatz zur Anomalieerkennung, der spezifische und abgestimmte Modelle des maschinellen Lernens nutzt, kann verdächtiges Verhalten eindeutig erkennen, ohne dass ein Analyse-Freigabe-Aktualisierungszyklus erforderlich ist. Der Ansatz bleibt auch dann robust, wenn sich die Bedrohungstaktiken weiterentwickeln.
Umfassende Signalanalyse
Die Anomalieerkennung über einen umfassenden Satz von Signalen wie Zeit, Volumen, TCP/IP-Kommunikation, SSL/TLS-Fingerabdruck und Anwendungsprotokoll-Payloads kann anspruchsvolle C2-formbare Kommunikation effektiv erkennen.
Erkennung von Angreifern im Toolkit
Dieser Ansatz kann die Verwendung der neuesten C2-Framework-Tools und C2-Frameworks sowie neue und verdächtige C2-Beaconing-Aktivitäten effektiv erkennen, indem er sich auf die Anomalieerkennung stützt, die eine breite Palette von Netzwerksignalen verwendet, die für die Benutzer in der Umgebung spezifisch sind, und mit gültigem, gutartigem Datenverkehr in der Umgebung vergleicht.
Wirksamkeit der Detektion
Aktuelle Ansätze (IPS-Signaturen + IP/Domain/URL-Blöcke) vermissen in der neuesten Malware einen hohen Grad der fortschrittlichen C2-Kommunikation (40% bis 80% je nach Testszenario).
Mit einem neuen Ansatz mit einem abgestimmten Machine-Learning-Modell, der Anomalieerkennung einer Vielzahl von Signalen und einer granularen Risikometrik können mehr als 85-95 % dieser derzeit vermiedenen Angriffe erkannt werden.
Dies führt zu einer True-Positive-Erkennungsrate von insgesamt 95 %+ bei minimalen False Positives.
Abschluss
Die C2-Framework-Toolkits haben Angreifer mit ausgefeilten Techniken ausgestattet, um die Command-and-Control-Erkennung (C2) zu umgehen. Insbesondere sind weit verbreitete Toolkits wie Cobalt Strike, Brute Ratel und Mythic entweder als Open-Source- oder gehackter/gestohlener kommerzieller Code zugänglich.
Herkömmliche statische Ansätze, die sich stark auf statische Signaturen und Indikatoren wie IP/URL-Sperrlisten stützen, sind starken Einschränkungen ausgesetzt und können von diesen sich entwickelnden Bedrohungen leicht umgangen werden.
Um diese Herausforderung zu bewältigen, ist ein grundlegend anderer Ansatz erforderlich, der Modelle des maschinellen Lernens nutzt. Diese Modelle umfassen einen umfassenden Satz von Netzwerksignalen, die sowohl auf Benutzer- als auch auf Organisationsebene speziell trainiert wurden. Darüber hinaus verwenden sie fein abgestufte Benutzerrisikometriken, um Fehlalarme zu verringern und das Grau zu messen, das häufig mit Bedrohungen verbunden ist.
Die Wirksamkeit von Ansätzen des maschinellen Lernens sollte von den Anwendern sorgfältig bewertet werden. Strenge Tests anhand einer robusten Testumgebung für bösartigen und gutartigen Datenverkehr sind unerlässlich, um deren Wirksamkeit bei der Erkennung und Abwehr dieser neuen Bedrohungen zu bestimmen.
Verweise
"Cobalt Strike: Internationale Strafverfolgungsoperation geht gegen illegale Verwendung des Pentest-Tools 'Schweizer Taschenmesser' vor." The Record aus Recorded Future News, 3. Juli 2024, https://therecord.media/cobalt-strike-law-enforcement-takedown. Abgerufen am 23. August 2024.
Gill, Andy. "Verständnis der Kobalt-Streichen-Profile – Aktualisiert für Kobalt-Streichen 4.6." ZSEC Blog, 13. April 2022, https://blog.zsec.uk/cobalt-strike-profiles/. Abgerufen am 23. August 2024.
Mulugeta, Dagmawi. "Sicherheitssysteme und -methoden zur Erkennung formbarer Befehls- und Kontrollmechanismen." Sicherheitssysteme und -methoden zur Erkennung verformbarer Befehls- und Kontrollsysteme, Free Patents Online, 20. August 2024, https://www.freepatentsonline.com/12069081.html.