Deception übersetzt, bedeutet einfach Täuschung. Wenn man den Blick auf die IT-Security legt, nutzen Angreifer wie Verteidiger verschiedenste Technologien und Methoden: Phishing, Scamming, Social Engineering auf der einen, Honey-/User-Token und Honeypots auf der anderen Seite. Waren Honeypots zu ihrer Zeit mit der Funktion Erkennung noch State-of-the Art, haben sich die Angriffe weiterentwickelt. Denn nur zu wissen, dass jemand einen Honeypot angefasst hat, ist nicht mehr ausreichend, um die dringendsten Fragen zu beantworten: Wer ist warum in meinem Netz, wo kommt er her, wo will er hin und vor allem: wie lange befindet er sich bereits hier?
Um diese Fragen zu beantworten, muss man wissen, wonach man in seinem Datenmeer sucht. Es ist weniger ein Big-Data, eher ein Analyse Problem. Die Suche nach der Nadel im Heuhaufen.
Einfacher wäre es, den Angreifer zu fragen. Er sollte ja diese Fragen am besten beantworten können. Wenn es möglich wäre, ihm während seiner Arbeit unentdeckt über die Schulter zu schauen, dann würde er uns die Nadel frei Haus liefern.
Und da kommt die neue Deception Technologie ins Spiel. Wenn wir davon ausgehen, dass irgendwann ein Endpoint kompromittiert wird (Phishing-Mail, Konfigurationsfehler, fehlende Patches etc.), beginnt der Angreifer sich möglichst leise im Netzwerk zu bewegen (lateral movement). Hier kommt immer mehr die Methode „Living-Off-The-Land“ zum Einsatz. Der Angreifer nutzt Informationen (Credentials, SMB Shares etc.) und legitime Tools (Active Directory Abfragen, powershells, etc.), um bis zu seinem Ziel zu kommen.
Und das ist die empfindlichste Phase für den Angreifer, die Deception Technologie ausnutzt, da er nicht weiß, was ihn auf dem Endpoint und dahinter, im Netzwerk, erwartet.
Deception Technologie bietet dem Angreifer genau diese Informationen, die er dringend braucht, an. Diese Dateifragmente (RDP-Credentials, versteckte Shares, Putty-Anmeldinformationen, Zugangsdaten in Skripten, Browserhistorie, etc.) haben folgende Haupteigenschaften:
- unsichtbar für den normalen Nutzer
- führen zu interessanten Zielen und
- vor allem: sie müssen authentisch sein
Hier fängt der erste Schritt der Täuschung an.
Der zweite Schritt, erfolgt für den Angreifer nicht sichtbar: bei der Nutzung dieser, für ihn „echten“ Köder, wird er in eine für ihn nicht erkennbare Falle geführt. Diese Fallen sind Kopien echter Produktivsysteme, die abgekapselt vom Produktivnetz installiert sind und von wo es keinen Rückweg zum Produktivsystem gibt.
Nun kann der dritte Schritt beginnen. Ein Monitoring informiert über alle Phasen seines Angriffs: und beantwortet Fragen, wie z.B. von welchem Endpoint kommt er (Patient Zero), welche Köder hat er genutzt (mit Mimikatz ausgelesene RDP-Credentials), was sucht er auf den Fallen (gefakte Datenbankinformationen oder bestimmt Dokumente), zu welchen Zeiten arbeitet er, ist er allein oder handelt es sich um eine arbeitsteilige Gruppe, welche Tools nutzt und hinterlässt er, wenn seine Pause begonnen hat?
Somit bekommen die Verteidiger gänzlich neue Einblicke und Erkenntnisse über einen aktuell durchgeführten Angriff in Echtzeit und direkt vom Angreifer frei Haus geliefert. Sie können bequem über die Schulter zusehen.
FAQ – DECEPTION TECHNOLOGIE
Was sind False-Positives?
False Positive ist ein „falscher“ Fehler, dessen Folgen massiv sein können, abhängig von den Einstellungen in den IT-Sicherheitslösungen und von den Reaktionen der Nutzer und Administratoren (z.B. Löschung wichtiger Emails). Über Schwellenwerte kann die False Positive Rate eingestellt werden. Ist er zu hoch, werden kritische Alarme übersehen, ist er zu niedrig, kann dies zu Überlastung des Security Teams und zu Alert Fatigue (Alarmmüdigkeit) führen – Alarme werden ignoriert.
Dadurch, dass Deception Technologie keine False-Positives Alarme verursacht und für den Analysten wichtigen Informationen mitgeliefert werden, erhöht sich die Effektivität eine Security Analysten um bis zu 30%.
Was bedeutet „Living-Off-The-Land“?
Nutzung bestimmter Taktiken und Tools, die sehr schwer zu entdecken sind, da sie im Kontext legitim für ein Monitoring sind: RDP, ssh, Powershaell, PSExec, gestohlene Zugangdaten, VPN Verbindungen. Allein Windows hat über 100 Systemtools vorinstalliert.
Durch die angepassten Köder, wird bei deren Nutzung der erste Versuch einer lateralen Bewegung alarmiert. Diese Köder bieten genau die Informationen für den Angreifer, die er benötigt, um unerkannt den ersten Schritt zu starten.
Was versteht man unter „Alert Fatigue“?
Alarmmüdigkeit. Viele Endpoints sind so konfiguriert, dass sie Alarme produzieren: Server, Firewall, Antivisrus etc. Aufgrund der hohen Anzahl der False-Positives, sowie anderer ineffektiver Tätigkeiten im Betrieb, werden Alarme ignoriert und dabei die kritischen Alarme übersehen.
Was ist Lateral Movement?
Dabei handelt es sich um die Phase eines Angriffs, in der sich der Angreifer von einem Endpoint zum nächsten bewegt. Je nach Modell/Framework (Cyber-Kill-Chain, MITRE ATT@CK, unified killchain), befindet sie sich an einer anderen Phasen-Position. Wenn sie nicht rechtzeitig erkannt wird (Angreifer nutzt Living-Off-The-Land Methoden), kann sich der Angreifer theoretisch auf jeden Endpunkt persistieren und über Backdoors wieder jederzeit das Netzwerk infiltrieren. Eine Bereinigung aller Endpoints ist sehr aufwändig bis unmöglich.
Deception Technologie unterstützt das Security-Team, in dem die ersten lateralen Bewegungen frühzeitig detektiert werden, die Security Analysten alarmiert und mit kontextbezogener spezifischer Threat-Intelligence versorgt werden.
Was sind Indicators of compromise?
Diese Artefakte (bspw. Logs, Zeitstempel, Einträge in der Registry, Datei HASH‘es ) dienen als forensischer Beweis für mögliche Eingriffe in ein Hostsystem oder -netzwerk und können über externe Threat Intelligence Services bezogen werden. Diese Informationen beruhen aber auf Wissen und ändern sich ständig, da Angreifer permanent ihre Techniken, Taktigen und Prozeduren ändern.
Deception Technologie benötigt dieses Wissen nicht. Deception Technologie unterstützt und entlastet Security Teams, da kontextbezogene und individuelle Threat Intelligence in Echtzeit zur Verfügung gestellt und der Einblick in einen laufenden Angriff gewährt wird. Hieraus lassen sich wiederum „eigene“ Informationen extrahieren, um das gesamte Netzwerk sicherer zu machen.
Was ist MITRE ATT@CK?
Das MITRE ATT&CK Enterprise Framework, ist eine sich ständig weiterentwickelnde, global zugängliche Wissensbasis für cyberkriminelle Taktiken und Techniken, die auf realen Beobachtungen der letzten Jahre basiert. In der Praxis können Unternehmen mit MITRE ATT&CK Angriffe besser verstehen und sich darauf vorbereiten.
Deception Technologie unterstützt weite Bereiche dieses Frameworks, in dem es kontextbezogene Threat-Intelligence zu den entsprechenden Taktiken und Techniken liefert (z.B. lateral movement, brute force, pass the hash, account discovery)
Über den Autor
Carsten Keil
Sales Director Northwest Europe at CYBERTRAP
c.keil@cybertrap.com
