• All Blogs
Bedrohungserkennungsstrategien für EDR

Erweiterte Bedrohungserkennungsstrategien für EDR

| Jul 2, 2018

Fortschritte bei Cybersecurity-Produkten und die weite Verbreitung von HTML5 und dem Chrome-Browser haben die Ausführung von browserbasierten Exploits für Malware-Entwickler wesentlich arbeitsintensiver gemacht. Daher haben sie ihren Schwerpunkt auf Human Engineering verlagert. In der heutigen Zeit sind Menschen viel einfacher zu täuschen als die Technik. Untersuchungen zeigen, dass ca. 5 % der Unternehmensanwender auf raffinierte Tricks des Human Engineering hereinfallen und auf einen bösartigen E-Mail-Anhang oder -Link klicken. Die Anti-Phishing Working Group (APWG) meldete einen Anstieg der Gesamtzahl der Phishing-Angriffe im Jahr 2016 um 65 %. Sobald ein ahnungsloser Benutzer die Malware in das Unternehmen eindringen lässt, müssen hochentwickelte Ansätze zur Bedrohungserkennung genutzt werden, um die Malware rasch zu erkennen, bevor gravierende Schäden entstehen. Ich werde einige der ausgefeilten Strategien zur Erkennung von Bedrohungen vorstellen, die wir im Cyberbit Malware-Forschungslabor einsetzen.

10 ausgefeilte Strategien zur Bedrohungserkennung


#1: Umfangreiches und valides Testrepository

Die moderne Bedrohungserkennung beginnt mit einer repräsentativen Stichprobe. Konzentrieren Sie sich auf die Erstellung einer validen Repräsentation sowohl der Bedrohungslandschaft als auch der gutartigen Softwarelandschaft. Das Malware-Ökosystem ist in ständiger Bewegung, da Bedrohungsakteure kommen und gehen und neue Malware-Techniken veröffentlicht und durch Sicherheitstools abgeblockt werden. Erzeugen Sie eine genaue Darstellung der realen Bedrohungslandschaft, die einen riesigen Datensatz einzigartiger Malware-Varianten enthält, einschließlich dynamischem Analyseverhalten, statischen Analyseattributen, Netzwerkverkehrsprofiling und lokalen forensischen Daten, die vom Endpoint gesammelt wurden. Der Datensatz sollte Stichproben von aktiver mehrphasiger Dropper-Malware mit erweiterten Ausweichoperationen enthalten, um ein zu stark vereinfachtes Modell auf der Grundlage einfacher Malware-Stichproben zu vermeiden.

Erstellen Sie außerdem ein realistisches Modell einer normalen Arbeitsumgebung, in der gutartige Programme regelmäßig installiert und aktualisiert werden und Benutzer validen Datenverkehr erzeugen. Diese beiden Aspekte sind entscheidend, um die tatsächlichen Erkennungsraten und die Menge der von den Sicherheitsteams erzeugten Fehlalarme zu testen.


#2: Gewichtetes Scoring-Modell generieren

Ein Scoring-Modell ist wichtig, da nicht alle bösartigen Indikatoren gleich sind. Einige weisen auf eine konkrete Bedrohung hin, während andere von gutartigen Programmen genutzt werden können. Ein robustes Bedrohungsmodell berücksichtigt nicht nur das Verhalten, sondern auch die Wahrscheinlichkeit, dass es von gutartiger Software genutzt wird, die Höhe des Risikos, wie verbreitet es ist und welche Indikationen davon betroffen sein können. Genau wie menschliche kriminelle Superhirne wird auch die gefährlichste Malware irgendwann einen Fehler machen. Obwohl die meisten Verhaltensweisen verborgen bleiben, ist es fast unmöglich, alle Aktivitäten im Dunkeln zu lassen. Das Erkennungsmodell sollte den Schwellenwert für die Erkennung erhöhen, indem möglichst viele Indikatoren über die gesamte Threat-Kill-Kette verwendet werden.

Das Scoring-Modell hilft zudem bei der Priorisierung von Vorfällen. Wenn wir mehr Belege dafür erhalten, dass es sich bei einem Prozess tatsächlich um eine Malware handelt, muss die Punktzahl steigen. Auf diese Weise können die Krisenreaktionsteams ihren Umgang mit Warnungen testen. Die dringendsten Vorfälle werden zuerst behandelt und diejenigen mit gutartigen Verhaltensprofilen bleiben für eine spätere Analyse im Backlog.


#3: Gutartiges Softwareverhalten studieren

Malware kann ihre Aktivitäten verbergen, aber gutartige Prozesse tun dies nicht. Die fortschrittliche Bedrohungserkennung erfordert auch, dass man so viel wie möglich darüber lernt, wie sich ein gutartiger Prozess verhält, um das Auffinden der bösartigen Akteure zu erleichtern. Das Studium des Verhaltens gutartiger Prozesse reduziert auch den Grad des erzeugten Rauschens und der Fehlalarme.

Zwei allgemeine Ansätze zur Untersuchung des gutartigen Softwareverhaltens:

  1. Richten Sie ein Download-Lab ein, um viele verschiedene Anwendungen herunterzuladen und deren APIs, forensische Daten und Netzwerkaktivitäten aufzuzeichnen – das ist einfacher gesagt als getan, da dieser Vorgang einen komplexen Automatisierungsprozess erfordert, bei dem ständig viele Anwendungen aus verschiedenen Quellen heruntergeladen, installiert und ausgeführt werden. Noch komplexer ist die Tatsache, dass sich diese Anwendungen ständig ändern und aktualisieren. Es handelt sich um eine Live-Stichprobendatenbank, die gepflegt und erweitert werden muss.
  2. Sammeln und speichern Sie mit einem Recording-Client so viele echte Live-Daten wie möglich von großen Live-Systemen. Dies reduziert die Automatisierungsaufgaben angesichts der Größe und Vielfalt Ihrer Umgebung. Diese Maßnahme hat jedoch einen Nachteil, wenn sie in einem realen Netzwerk eingesetzt wird.


#4: Alles sammeln und analysieren

Alle Daten, die während der Laufzeit eines Prozesses gesammelt werden, sind von Bedeutung. Es mag auf den ersten Blick überflüssig erscheinen, aber eine umfassende Datenerfassung wird zu fortschrittlichen Methoden der Bedrohungserkennung führen. Große Datenmengen zu erfassen, führt zu einer Leistungsbeeinträchtigung. Daher ist eine echte Big-Data-Lösung gefragt. Heutzutage verstehen Security-Anbieter die Vorteile der forensischen Datenerfassung gegenüber der schlanken Datenerfassung. Mehr Informationen ermöglichen eine bessere Erkennung und weniger Fehlalarme. Außerdem eröffnet dieses Vorgehen bessere forensische Möglichkeiten durch Incident-Response-Teams, wenn diese die Auswirkungen der Verletzung auf das Unternehmen analysieren.


#5: Daten im Zeitverlauf sammeln

Wie bereits erwähnt, ist es wichtig, Daten über einen großen Zeitraum zu analysieren, da Malware Verhaltensweisen erzeugen kann, die in großen Zeitabständen auftreten.

Es gibt immer einen Kompromiss zwischen Erkennung und Leistung. Malware-Entwickler haben längst erkannt, dass Endpoint-Security-Produkte einen „zeitlichen toten Winkel“ aufweisen und nutzen die verzögerte Ausführung, um selbst die fortschrittlichsten Bedrohungserkennungssysteme zu umgehen.


#6: Punkte mithilfe von gemeinsamen Entitäten verbinden

Genau wie traditionelle Polizeiermittler versuchen Cybersecurity-Ermittler, eine Verbindung zwischen Verdächtigen herzustellen. Security-Produkte müssen ebenfalls Verbindungen zwischen Vorfällen und Entitäten auffinden.

Die Entitäten und Vorfälle werden so abgeglichen, dass Korrelationen zwischen scheinbar zusammenhanglosen Verhaltensweisen aufgedeckt werden.

Nehmen wir zum Beispiel ein bösartiges Word-Dokument, das WMI verwendet. Zu einem späteren Zeitpunkt wird der WMI-Befehl ein PowerShell-Objekt erzeugen, das eine bösartige Payload herunterlädt und den Wordprozess, der WMI aufgerufen hat, mit dem scheinbar unabhängigen wmiprev.exe-Prozess verbindet, der die PowerShell-Instanz hervorgebracht hat. Diese Verbindung zu finden ist entscheidend, um zu verstehen, dass das Word-Dokument diesen Netzwerkverkehr erzeugt hat.

Dies kann der Schlüssel zum Verständnis bösartiger Aktivitäten sein. Es gibt viele Vorfälle, die keine wirkliche Bedeutung zu haben scheinen, es sei denn, sie sind mit einer Entität verbunden, die später bösartige Aktivitäten ausführen könnte. Daher ist es wichtig, ein vollständiges Ablaufdiagramm zu erzeugen.


#7: Statische und dynamische Analyse verwenden
Dynamische Analyse ist aufgrund der Komplexität benutzerdefinierter Packer ein Muss, um bösartige Aktivitäten zu erkennen. Nicht zu vernachlässigen ist jedoch auch der Einsatz von statischen Analysewerkzeugen.

Viele Verhaltensweisen können nicht durch Hooking oder Traffic-Logs erkannt werden. Die statische Analyse muss angewendet werden, um Code zu erkennen, der nicht läuft oder herkömmlichen Hooks ausweicht. Beispielsweise kann ein Assembly-Code-Snippet nicht dynamisch erkannt werden. Neben einigen Speicherabfragen sind auch statische Dateiattribute wie Signatur- und PE-Abschnittsstruktur für die erweiterte Bedrohungserkennung von bösartiger Software entscheidend.

Der Nachteil dieser Methode ist die Tatsache, dass die meisten bösartigen Programme verpackt und verschleiert sind, was eine große Herausforderung darstellt. Daher ist ein hohes Maß an Unpacking- und Aufdeckungskompetenz erforderlich.


#8: Speicher analysieren
Viele Umgehungstechniken basieren stark auf der Speicherforensik. Das kann die Verwendung von Assembler-Code sein, der nicht gehooked werden kann, Speichermanipulationen wie das Laden von reflektierenden DLLs oder verschleierter Code, der erst zur Laufzeit im Speicher entschlüsselt wird.

Die Analyse des Speichers ist eine komplexe Aufgabe, da er eine hohe CPU-Auslastung aufweist und aufgrund der Flüchtigkeit des Speichers eine sorgfältige Behandlung erfordert. Angesichts der enormen Menge an Malware, die wir beobachten, ist die Speicheranalyse ein absolutes Muss für die fortschrittliche Bedrohungserkennung.


#9: Machine-Learning-Algorithmus
 mit Wissen über den Security-Bereich optimieren
Das maschinelle Lernen hat viel zur Entwicklung ausgereifter Tools für die Bedrohungserkennung beigetragen. Es ermöglicht einen Musterabgleich, der mit dem traditionellen regelbasierten Ansatz aufgrund der Vielzahl von Varianten und deren Abhängigkeiten nicht zu bewältigen war.

Aber maschinelles Lernen kann kein eigenständiges Tool sein.  Ermöglichen Sie die manuelle Überwachung und Erweiterung des Modells durch erfahrene Sicherheitsexperten mit Fachkenntnissen.

Die Ergebnisse müssen sorgfältig validiert werden, um zu überprüfen, welche Indikationen zur Erkennung beigetragen haben.

Beachten Sie, dass die blinde Verwendung von Algorithmen zu einer Erkennung führen kann, die auf Rauschen basiert und nicht auf echten Erkenntnissen oder einer Erkennung, die nur sehr häufige Malware-Merkmale identifiziert und die komplexeren und einzigartigen Szenarien nicht berücksichtigt.


#10: Bedrohungsaufklärung ist das Wichtigste

In der heutigen dynamischen Bedrohungslandschaft ist es unerlässlich, die Techniken, Kampagnen und Abwehrmechanismen neuer Malware-Familien zu verstehen.

In unseren Labors beobachten wir täglich neue Akteure mit neuen Techniken. Die Ausreißer aus den sich entwickelnden Trends auszusortieren und zu verstehen, wo wir unsere Anstrengungen konzentrieren müssen, ist wichtig, um die aktuellen Erkennungsraten so hoch und die Fehlalarmquote so niedrig wie möglich zu halten.

 

Cyberbit EDR – Fortschrittliche Bedrohungserkennung

Cyberbits Endpoint Detection and Response ist eine fortschrittliche Lösung zur Erkennung von Bedrohungen, die unbekannte Bedrohungen, einschließlich Ransomware, in Sekundenschnelle erkennt und eine fortschrittliche Forensik und Gefahrenabwehr bietet. Cyberbit EDR kombiniert Machine-Learning, Graphen basierte Malware-Analyse, Verhaltensanalyse und Big Data. Dadurch erkennt sie Gefahren schneller als konventionelle Systeme und automatisiert die Gefahrenabwehr, was wiederum Tage oder Wochen an Analysezeit einspart.

Über den Autor
Meir Brown ist Cybersecurity-Veteran mit 15 Jahren Erfahrung. Er begann seine Karriere als Softwareentwickler und Teamleiter bei CheckPoint und übernahm anschließend die Leitung der gesamten Endpoint Application Group. Danach leitete er die Gruppe für angewandte Forschung bei Verint. Brown ist Director of Research für EDR bei Cyberbit, wo er den Aufbau und das Management des Malware-Forschungslabors leitet.