Beispiel für Hypothesen zur Bedrohungssuche: Bereiten Sie sich auf eine gute Jagd vor!
Inhaltsverzeichnis:
Eine gute Hypothese zur Bedrohungsjagd ist der Schlüssel zur Identifizierung von Schwachstellen in der digitalen Infrastruktur eines Unternehmens. Lernen Sie einfach, die richtigen Fragen zu stellen, und Sie werden die Antworten erhalten, die Sie suchen. In diesem Blogbeitrag stellen wir eine proaktive Methode zur Bedrohungsjagd vor: Hypothesengetriebene Bedrohungsjagd. Lassen Sie uns direkt eintauchen!
Erkennen & Jagen Erforschen Sie den Kontext der Bedrohung
Was ist eine Hypothese zur Bedrohungsjagd?
Eine Hypothese zur Bedrohungsjagd ist eine fundierte Annahme über einen Cyberangriff oder dessen Komponenten. Genau wie in der wissenschaftlichen Forschung bilden in der hypothesengetriebenen Bedrohungsjagd Hypothesen die Grundlage der Ermittlungen von Threat Hunters.
Sobald eine Hypothese aufgestellt wurde, muss ein Threat Hunter Schritte unternehmen, um sie zu testen. Es ist die Strategie zum Testen der Hypothese, bei der der Großteil der Bedrohungsjagd-Arbeit erledigt wird (z.B. dauert das Erstellen einer nützlichen Abfrage oft länger als deren Ausführung). Dies umfasst häufig die Identifikation verwandter Datenquellen (Sicherheitsereignisse, Systemprotokolle usw.), relevanter Analysetechniken (Abfragen, Stapelzählung usw.) und die Umsetzung dieser Strategie.
Hypothesen zur Bedrohungsjagd erleichtern eine proaktive Cyberverteidigungsroutine. Eine der vielen Varianten der letzteren besteht aus:
- Vorhersage des Verhaltens von Gegnern
- Vorschläge zur Bedrohungserkennung
- Erkennung von Anomalien, Eindringlingen, Grundwert-/Schwellenüberschreitungen
- Studie der Ereigniskorrelation
- Testen von Proben in Sandkästen, honigtöpfen und emulierten Umgebungen
- Dokumentation der Ergebnisse
- Verbesserung des Schutzes von Assets und Infrastruktur
- Durchführung von Eindämmungsmaßnahmen
- Meldung an Behörden (falls zutreffend)
Insgesamt hängt der Erfolg der Bedrohungsjagd stark von einer aufschlussreichen Hypothese ab. Schauen wir also, wie man eine erstellt.
Wie erstellt man eine Hypothese für die Bedrohungsjagd?
Um den Einstieg zu erleichtern, können Sie Bedrohungsjagd-Hypothesen als eine Art User Stories betrachten, allerdings aus der Perspektive der Malware.
Hypothese zur Bedrohungsjagd #1
- Als [bösartiges Skript] möchte ich [eine Anfrage über TCP-Port 50050 senden], um [eine Verbindung herzustellen].
- Als [infizierte ZIP-Datei] möchte ich [WMI verwenden], um [Persistenz zu bewahren].
- Als [Javascript-Code] möchte ich [BITSAdmin ausnutzen], um [Module herunterzuladen].
Alternativ lassen Sie uns eine Hypothese aus der Perspektive eines Angreifers aufstellen.
Hypothese zur Bedrohungsjagd #2
Als APT37 (Nordkorea) möchte ich die US-Regierung aus politischen Gründen angreifen, also werde ich Cobalt Strike in T1218.011verwenden, um rundll32 zur Proxy-Ausführung von bösartigem Code einzupflanzen.
Es gibt jedoch keine einzelne Vorlage eines „richtigen“ Formats für eine Hypothese zur Bedrohungsjagd. Beispielsweise können sie auch komplexer sein als nur ein Satz. Für Malware, die eine mehrstufige Angriffskette ausführt, könnte eine Hypothese zur Bedrohungsjagd auch einige Punkte enthalten.
Hypothese zur Bedrohungsjagd #3
Malware X:
Führt einen Befehl über EXE-Datei aus
Importiert und führt PowerShell-Cmdlets aus einer externen Quelle aus
Führt eine lokale .NET-Binärdatei aus
Verwendet die Funktion setenv(), um die Variable zur Umgebung hinzuzufügen
Kommen wir nun zu komplexeren Beispielen.
Fortgeschrittene Hypothesen zur Bedrohungsjagd
Hypothesen zur Bedrohungsjagd können operationell, wie die oben genannten Beispiele, oder taktisch und strategisch sein. Erfahrene Threat Hunters können umfassendere Hypothesen aufstellen, die dennoch zu gezielten Tests führen können. Dazu müssen sie Folgendes einbeziehen:
- Domänenexpertise – Erfahrung haben, Wissen teilen
- Situative Bewusstsein – interne Infrastruktur, Schwachstellen, Kernvermögenswerte kennen
- Intelligenz – Bedrohungsinformationen wie IOCs und TTPs abrufen
All dies anwenden, um eine tief analytische Hypothese darüber zu formulieren, welche Systeme Angreifer ins Visier nehmen und was sie zu erreichen versuchen.
Zum Beispiel hat Threat Hunter Bob einige IOCs untersucht, die er durch einen Bedrohungsinformationsfeed erhalten hat. Nach einer Kronjuwelenanalyse (CJA) weiß er, dass das „Juwel in der Krone“ seines Unternehmens der Ort ist, an dem sie proprietäre Algorithmen speichern. Seine Erfahrung mit vorherigen Jagden und ein Gespräch mit einer Forscherkollegin namens Alice erlaubt es ihm, das wahrscheinlichste Verhalten des Gegners in einer bestimmten Situation zu suggerieren. So formuliert er eine Hypothese.
Hypothese zur Bedrohungsjagd #4
Angreifer, die versuchten, durch eine Phishing-E-Mail ersten Zugang zu erhalten, würden sich lateral bewegen und Beförderungen erlangen, um ins Herz des Systems zu gelangen und Daten zu exfiltrieren.
Hypothesen können auch darauf abzielen, nicht die zukünftigen Schritte der Angreifer vorherzusagen, sondern Muster, Abhängigkeiten usw. zu verstehen. Mit anderen Worten, das Ganze zu sehen.
Wo haben sie ihre C2-Server? Wie verschleiern sie diese? Wie bewahren sie die Persistenz auf? Was ist die Beziehung zwischen bestimmten Servern und verschiedenen Angriffskampagnen?
In diesem Fall geht es bei der Cybersicherheit nicht nur darum, Probleme zu sehen und schnell zu beheben. Es ist auch notwendig, Fragen zu stellen. Ein bisschen wie investigativer Journalismus mit seiner 5W-Regel:
- Who
- Was
- Wann
- Wo
- Why
Denn oft sieht die Situation so aus. Es gibt mehrere Ereignisse an mehreren Orten. Millionen von Skripten, geplanten Aufgaben, Dateien und Benutzeraktionen. Sie alle tun etwas. Diese verschiedenen Ereignisse könnten Phasen einer Angriffskette darstellen. Aber das wissen Sie nicht, weil ein Malware-Stück sich selbst verschlüsselt und sich irgendwo in einer legitimen Datei versteckt hat. Es hat auch Zertifikate gestohlen, damit es als Teil der anerkannten Software ausgeführt wird, die das Unternehmen gekauft hat. Sie haben sich möglicherweise um IOCs gekümmert, aber es war nicht genug. Das Unternehmen könnte ausspioniert werden, aber es gibt keine harten Beweise dafür. An der Oberfläche ist also nichts Katastrophales passiert. Eine Hypothese wird helfen, einen solch ausgeklügelten Angriff zu identifizieren oder seine Abwesenheit zu beweisen.
Hypothese zur Bedrohungsjagd #5
Ein staatlich unterstützter Bedrohungsakteur A verwendet dieselben C2-Server wie Bedrohungsakteur B, daher könnten sie Teil desselben Botnetzes sein. Sie nutzen eine Software-Pipeline-Infektion und pflanzen Malware mit einer 1-2 wöchigen Ruhephase, bevor sie die Erkundung auslösen, die 2-6 Monate dauert. Wenn unser Scan verschleierte Daten in legitimen Binärdateien zeigt, sollten wir nach Anzeichen für die Herstellung einer Verbindung mit einem C2-Server suchen, um zu dem Schluss zu kommen, dass diese Dateien Malware sind.
Fazit
Übung macht den Meister, also machen Sie sich keine Sorgen, wenn Dinge wie Bedrohungsberichte und Rohdaten Sie am Anfang ein wenig verwirren. Lernen Sie Informatikfächer wie Netzwerke, Low-Level-Sprachen und Anwendungsarchitektur, um sich wohler mit spezifischen Begriffen und numerischen Werten (wie Portnummern usw.) zu fühlen. Dennoch gibt es immer viele Informationen zu bearbeiten – lassen Sie sich nicht entmutigen, wenn Sie nicht alles verstehen, auf das Sie stoßen. Es ist kaum möglich, alles zu wissen, also hilft es manchmal auch, Google zu benutzen.
Eine gute Hypothese zur Bedrohungsjagd ermöglicht es, zu wertvollen Schlussfolgerungen zu gelangen und mögliche Angriffe zu verhindern. Darüber hinaus hilft sie Threat Hunters, zur richtigen Zeit die richtigen Daten zu untersuchen, anstatt Millionen von Protokollen nach Millionen von möglichen Gründen durchsuchen zu müssen. Treten Sie unserer Detection as Code-Plattform bei, um Zugang zu nahezu in Echtzeit arbeitenden Erkennungsalgorithmen zu erhalten, die mit mehr als 25 SIEM-, EDR- und XDR-Lösungen kompatibel sind, und sofort nach den neuesten Bedrohungen in Ihrer Umgebung zu suchen.
