Adversary Infrastructure Report 2020: Die Sicht eines Verteidigers
Klicken Sie hier , um die komplette Analyse als PDF herunterzuladen.
_Die Insikt Group ® von Recorded Future hat im Jahr 2020 eine Studie zu bösartigen Command-and-Control-Infrastrukturen (C2) durchgeführt, die mithilfe proaktiver Scanmethoden identifiziert wurden. Alle Daten stammen von der Recorded Future ® -Plattform. Stand der Daten in diesem Bericht ist der 15. November 2020. _
Executive Summary
Recorded Future verfolgt die Erstellung und Änderung neuer bösartiger Infrastrukturen für eine Vielzahl von Post-Exploitation-Toolkits, benutzerdefinierten Malware-Frameworks und Open-Source-Remote-Access-Trojanern. Diese Bemühungen laufen seit 2017, als die Insikt Group Methoden zur Identifizierung des Einsatzes von Open-Source-Remote-Access-Trojanern (RATs) entwickelte. Recorded Future hat im Jahr 2020 über 10.000 einzigartige Befehls- und Kontrollserver aus mehr als 80 Familien gesammelt.
Wichtige Erkenntnisse
- Über 55 Prozent der erkannten Server (5.740 Server) wurden in offenen Quellen überhaupt nicht erwähnt. Sie wurden lediglich in einer proprietären Recorded Future-Liste von Befehls- und Kontrollservern identifiziert.
- Im Durchschnitt betrug die Lebensdauer von Befehls- und Kontrollservern (also die Zeit, in der der Server die bösartige Infrastruktur hostete) 54,8 Tage.
- Soweit möglich, wurde die Vorlaufzeit berechnet, wenn es sich bei der Erkennung um das erste Ereignis für eine IP-Adresse im Jahr 2020 handelte. Die Vorlaufzeit ist die Zeitspanne (in Tagen) zwischen der Erstellung eines C2-Servers und seiner Meldung oder Erkennung in anderen Quellen. Dadurch wurden 924 Server identifiziert, auf denen Vorlaufzeit generiert wurde, indem die erste Sichtung auf der Befehls- und Kontrollliste von Recorded Future mit der darauffolgenden Sichtung auf einer anderen Quelle verglichen wurde. Bei unseren Erkennungen betrug die durchschnittliche Vorlaufzeit 61 Tage, bevor eine IP-Adresse in offenen Quellen gefunden wurde.
- Die Überwachung ausschließlich „verdächtiger“ Hosting-Anbieter kann blinde Flecken hinterlassen, da 33 Prozent der von Recorded Future beobachteten C2s in den Vereinigten Staaten gehostet wurden, viele davon bei seriösen Anbietern.
- Die Hosting-Anbieter mit den meisten Command-and-Control-Servern in ihrer Infrastruktur waren alle in den USA ansässig: Amazon, Digital Ocean und Choopa.
- Das Erkennen offensiver Sicherheitstools ist ebenso wichtig wie das Erkennen maßgeschneiderter Implantate: Elite-Operatoren von APT-Gruppen, von Menschen gesteuerte Ransomware-Akteure und gewöhnliche Kriminelle nutzen diese Tools zur Kostensenkung ebenso wie Red Teams. Über 40 Prozent der Erkennungen waren Open-Source-Tools.
Hintergrund
Eine rechtzeitige Identifizierung bösartiger Server kann eine proaktive Maßnahme zur Neutralisierung von Bedrohungen sein. Bevor ein Bedrohungsakteur einen Server verwenden kann, muss dieser entweder durch Kompromisse oder einen legitimen Kauf erworben werden. Anschließend muss die Software installiert, Konfigurationen angepasst und Dateien zum Server hinzugefügt werden. Die Akteure müssen über Panel-Login, SSH oder RDP-Protokolle darauf zugreifen und dann den Malware-Controller auf einem Port freigeben, um die Datenübertragung vom Opfer zu ermöglichen und Befehle für Infektionen zu verwalten. Nur dann kann der Server für böswillige Zwecke missbraucht werden.
Beim Offenlegen, Konfigurieren und Zugreifen auf den Server hinterlässt der Angreifer jedoch seine Fingerabdrücke; manchmal in der auf dem Server bereitgestellten Software, manchmal über das Anmeldefenster, manchmal über SSL-Registrierungsmuster. Dadurch wird eine Erkennungsmöglichkeit geschaffen, die bereits vor dem Versand einer Phishing-E-Mail oder der Kompilierung eines Implantats erfolgen kann.
Ebenso kann eine solche Sammlung viel über Gegner ans Licht bringen. Anhand der Anzahl der erstellten Command-and-Control-Server (C2) lässt sich die Breite der Kampagnen eines Akteurs besser quantifizieren. Durch den Vergleich dieser Daten mit Einbruchsberichten im Zusammenhang mit diesen Familien kann ermittelt werden, wie viele Einbrüche erkannt werden und wie viele Ereignisse möglicherweise unerkannt in der Öffentlichkeit verbleiben. Und schließlich kann es neue Indikatoren und Informationen liefern, die sonst nicht öffentlich verfügbar sind.
Bedrohungsanalyse
Die am häufigsten beobachteten Familien wurden von Open-Source- oder kommerziell erhältlichen Tools dominiert. Die Erkennung unveränderter Cobalt Strike-Bereitstellungen (das vorkonfigurierte TLS-Zertifikat, der Team Server-Administrierungs- Port oder verräterische HTTP- Header) machte 13,5 Prozent aller identifizierten C2-Server aus. Metasploit und PupyRAT waren die anderen von Recorded Future identifizierten Top-Open-Source-Befehls- und Kontrollserver.
Die Top 10 der am häufigsten verwendeten offensiven Sicherheitstools (OST), basierend auf der Anzahl der beobachteten C2-Server, umfassten neue und alte Familien. Insbesondere hat Recorded Future 393 Cobalt-Strike-Server beobachtet, die außerhalb der üblichen Erkennungsmechanismen lagen. Wir gehen davon aus, dass diese Erkennungen nur einen Teil der gesamten Cobalt-Strike-Nutzung darstellen. PWC und Blackberry stellten fest, dass bei den meisten Cobalt Strike-Bereitstellungen, bei denen eine Nutzlast beobachtet wurde , geknackte Versionen oder Testversionen des im Handel erhältlichen Tools verwendet wurden.
Fast alle von Recorded Future erkannten OSTs wurden mit APT oder hochrangigen Finanzakteuren in Verbindung gebracht. Der einfache Zugriff und die einfache Nutzung dieser Tools, gepaart mit der Unklarheit einer möglichen Zuordnung, machen sie sowohl für unbefugte Eindringlinge als auch für Red Teams attraktiv. Dies und die Übernahme dieser Frameworks durch Ransomware-Akteure machen deren Erkennung zu einer Priorität.
Host(er) mit den meisten (C2s)
Durch die aufgezeichneten Future C2-Daten konnten wir die beliebtesten Hosting-Anbieter für C2-Server identifizieren. Wir haben die Erstellung einer C2-Infrastruktur bei 576 Hosting-Anbietern beobachtet. Dies entspricht nur einem kleinen Prozentsatz aller AS-Betreiber, die über 60.000 Anbieter umfassen.
Die am häufigsten verwendeten ASNs hängen zweifellos mit der Größe des Anbieters zusammen, was nicht unbedingt bedeutet, dass es sich um einen absolut sicheren Hosting-Anbieter handelt oder dass er an feindlichen Aktionen beteiligt ist. Die am häufigsten verwendeten Werkzeuge können als Dual-Use-Werkzeuge betrachtet werden, wodurch die Anzahl dieser Server in renommierteren AS-Bereichen erhöht wird.
Amazon.com, Inc. mit Sitz in den USA war Host der meisten von Recorded Future beobachteten C2s einer ASN. Auf sie entfielen 471 einzelne Befehls- und Kontrollserver (rund 3,8 Prozent). Die am häufigsten beobachtete Familie auf Amazon.com, Inc. war Cobalt Strike mit 167 identifizierten Servern. Der nächstgrößte Anbieter war Digital Ocean, ebenfalls in den USA tätig.
Unten sehen Sie die Server in den USA, die zu anderen Top-Hosting-Anbietern zählten. Der Einsatz von Cobalt Strike- und Metasploit-Controllern bei diesen Anbietern ist kein Hinweis auf Fehlverhalten oder nachlässiges Hosting, sondern eher darauf, dass autorisierte Red Teams diese Tools auf der Cloud-Infrastruktur verwenden.
Die am häufigsten in OSTs verwendeten ASNs sind weniger vorhersehbar, da sie für Red-Team-Übungen und unbefugte Eingriffe leicht verfügbar sind.
Empfehlungen
- Durch die proaktive Erkennung haben Verteidiger einen Vorteil, da sie Zeit haben, um sicherzustellen, dass zusätzliche datei- und netzwerkbasierte Erkennungsmaßnahmen vorhanden sind.
- Recorded Future-Clients können Infektionen schnell identifizieren, indem sie IP-Adressen erkennen, die sich in der Recorded Future-Befehls- und Kontrollliste befinden.
- Benutzer von Recorded Future können mithilfe der Befehls- und Kontrollliste der Quelle Recorded Future beliebige Malware-Entitäten abfragen, um eigene ähnliche Untersuchungen durchzuführen.
- Nutzen Sie die Tiefenerkennung für gängige Open-Source-Tools über Korrelationssuchen für SIEMs auf verdächtiges Verhalten, YARA auf verdächtige Dateiinhalte und SNORT auf verdächtigen oder böswilligen Netzwerkverkehr.
- Die Erkennungen für jede Familie zeigen eine verstärkte Nutzung von Open-Source-Tools über die Familien hinaus, die große Publizität erhalten. Diese anderen Familien sollten bei der netzwerk- und hostbasierten Erkennung in Unternehmensumgebungen priorisiert werden.
- Die Einführung weniger bekannter Open-Source-Tools wie OctopusC2, Mythic und Covenant durch APT- und kriminelle Gegner unterstreicht die Notwendigkeit für Threat Intelligence-Experten, die Nutzung dieser Tools zu verfolgen und auszuwerten.
Ausblick
Recorded Future erwartet im Laufe des nächsten Jahres eine weitere Verbreitung von Open-Source-Tools, die in letzter Zeit an Popularität gewonnen haben, insbesondere Covenant, Octopus C2, Sliver und Mythic. Drei dieser Tools verfügen über eine grafische Benutzeroberfläche, wodurch sie für weniger erfahrene Bediener einfacher zu verwenden sind, und alle vier verfügen über eine ausführliche Dokumentation zu ihrer Verwendung. Diese Tools wurden nach ihrer Veröffentlichung schnell angenommen und sowohl von Red Teams als auch von nicht autorisierten Akteuren verwendet. Trotz der erwarteten Erfolge dieser Open-Source-Frameworks wird Cobalt Strike aufgrund seiner Allgegenwärtigkeit und Nützlichkeit höchstwahrscheinlich seinen Vorsprung an der Spitze unserer Erkennungslisten behalten. Da der Quellcode des Frameworks durchgesickert ist, erwarten wir eine noch stärkere Nutzung von Cobalt Strike durch Bedrohungsakteure aller Art.
Wir gehen außerdem davon aus, dass es bei spionageorientierten Akteuren weniger wahrscheinlich ist, dass sie ihre serverseitigen Komponenten verändern, obwohl in verschiedenen Veröffentlichungen ausführliche Informationen zu Erkennungsmethoden veröffentlicht werden. Bedrohungsakteure, die staatlich geförderte Spionage betreiben, werden alle notwendigen Mittel einsetzen, um ihre Ziele zu erreichen. Wenn die angegriffenen Organisationen nicht in der Lage sind, ihr Netzwerk vor offengelegten Tools zu schützen, haben die Bedrohungsakteure wenig Anreiz, sich neue Fähigkeiten anzueignen. Finanziell motivierte Akteure, die benutzerdefinierte Tools verwenden, reagieren auf Erkennungen jedoch sehr wahrscheinlich, indem sie entweder ihre Komponenten neu erstellen (wie es bei den Akteuren von BazarBackdoor und TrickBot der Fall war) oder völlig neue Tools einführen (was bei FIN7 bekannt ist).
Aufgrund dieser Faktoren ist es wichtig, Sicherheitskontrollen und Abwehrmaßnahmen gegen diese Malware-Familien zu implementieren. Durch die proaktive Erkennung der Befehls- und Kontrollserver lassen sich zwar Vorfälle verhindern, doch zum Erkennen von Eindringaktivitäten auf dem betroffenen Host, am Perimeter und im Netzwerk werden mehrstufige Verteidigungsansätze empfohlen.
Verwandt