
Im Gespräch mit RATs: Bewertung des Unternehmensrisikos durch Analyse von RAS-Trojaner-Infektionen

Recorded Future analysierte die Netzwerkkommunikation im Zusammenhang mit einer Auswahl von RAT-Befehls- und Kontrollservern über mehrere Malware-Familien hinweg, um Profile der gezielt angegriffenen Organisationen und Sektoren zu erstellen. Dieser Bericht basiert auf Daten der Recorded FutureⓇ-Plattform, VirusTotal, Farsight DNS, Shodan, GreyNoise und anderen OSINT-Techniken.
Dieser Bericht ist von größtem Wert für Netzwerkverteidiger und Risikoexperten in Unternehmen, die über das Risiko besorgt sind, das von ihrer Lieferkette von Drittanbietern ausgeht. Um mehr darüber zu erfahren, wie Sie Recorded Future für die Überwachung und Untersuchung von Risiken durch Dritte nutzen können, lesen Sie unser neues Angebot für Drittparteirisiken. Diese Bewertung nutzt die Daten hinter unseren neuen Risikoregeln für die Netzwerkverkehrsanalyse im Hinblick auf Drittanbieterrisiken, um umsetzbare Erkenntnisse zu gewinnen.
Executive Summary
Remote Access Trojaner (RATs) auf einem Unternehmenssystem können als wichtiger Dreh- und Angelpunkt für den seitlichen Zugriff auf Informationen innerhalb eines Unternehmensnetzwerks dienen. Durch die Analyse der Netzwerkmetadaten konnten die Analysten von Recorded Future RAT-Command-and-Control-Server (C2) identifizieren und – noch wichtiger – feststellen, welche Unternehmensnetzwerke mit diesen Controllern kommunizierten. Mit diesem Ansatz kann Recorded Future Einblicke in Drittorganisationen gewähren, auf die sich unsere Kunden möglicherweise verlassen, und so ein besseres Verständnis der potenziellen Risiken Dritter für ihre eigenen Daten ermöglichen.
Die Insikt Group nutzte das gemeinsame Projekt Recorded Future und Shodan Malware Hunter und die Recorded Future-Plattform, um zwischen dem 2. Dezember 2018 und dem 9. Januar 2019 aktive Malware-Controller für 14 Malware-Familien zu identifizieren. Anschließend konzentrierten wir unsere Analyse auf eine Teilmenge von Schadsoftware – Emotet, Xtreme RAT und ZeroAccess –, um ein Profil der RAT-Kommunikation von Drittorganisationen mit den Controllern zu erstellen.
Wichtige Urteile
- Die Mehrheit der Emotet-Controller wurde auf IPs in lateinamerikanischen Ländern aufgelöst.
- Ein erheblicher Anteil der infizierten Emotet-Hosts hatte seinen Sitz in Lateinamerika, was die Beobachtungen der Community bestätigt, dass es Ende 2018 zu einem Anstieg der Emotet-Aktivitäten kam, die auf südamerikanische Unternehmen abzielten. Zu den infizierten Wirten zählen Unternehmen aus den Bereichen Automobil, Finanzen, Energie, Bau, Einzelhandel und Unterhaltung, Logistik und Technologie.
- Infizierte Xtreme RAT-Hosts wurden in folgenden Bereichen identifiziert:
- Ein Videospielunternehmen und ein Versorgungsunternehmen in Europa
- Telekommunikationsunternehmen im Nahen Osten, Südasien und Ostasien
- Ein Industriekonglomerat und ein IT-Unternehmen in Ostasien
Hintergrund
Öffentliche und private Organisationen auf der ganzen Welt erleben nach wie vor digitale Eingriffe, und Nachrichten über große Sicherheitsverletzungen sind fast täglich an der Tagesordnung. In seinem Jahresbericht 2018 berichtete das britische NCSC, dass es zwischen dem 1. September 2017 und dem 31. August 2018 557 Vorfälle direkt bearbeitet hat , was das Ausmaß des Problems allein in Großbritannien unterstreicht.
Bei Angriffen werden häufig RATs verwendet, die es Angreifern ermöglichen, illegal die Kontrolle über ein Host-Gerät zu erlangen. RATs sind eine funktionsreiche Software, die im Allgemeinen von Angreifern verwendet wird, um Aktivitäten wie Keylogging, Dateiextraktion, Aufzeichnung von Audio- und Videoaufnahmen von Hosts und mehr durchzuführen.
Ein erheblicher Anteil dieser Angriffe wird mithilfe handelsüblicher RATs wie DarkTrack RAT, Xtreme RAT oder ZeroAccess durchgeführt. Die Motivationen der Angreifer reichen dabei von finanziellem Gewinn bis hin zur Steigerung der Glaubwürdigkeit innerhalb der Hacker-Communitys. Viele Administratoren von Hackerforen verlangen von neuen Mitgliedern einen Nachweis ihrer „Fähigkeiten“, um in das Forum aufgenommen zu werden. Die für die Verwendung herkömmlicher RATs erforderlichen relativ geringen technischen Kenntnisse und die umfangreiche Online-Dokumentation machen sie daher für unerfahrene Hacker äußerst attraktiv.
Am anderen Ende des Spektrums stehen staatlich unterstützte Advanced Persistent Threat (APT)-Gruppen und hochentwickelte kriminelle Gruppen, die möglicherweise ausgefeiltere Malware-Kampagnen durchführen, um ihre operativen Ziele zu erreichen. APTs verwenden weiterhin RATs, da sie einfach zu konfigurieren, zu ändern und zu verwenden sind. Zusammen mit ihrer relativen Effektivität gegenüber Antivirensoftware und der Möglichkeit, die Zuordnung durch „Verstecken im Rauschen“ zu erschweren, sorgt dies dafür, dass RATs weiterhin von APTs und Cyberkriminellen verwendet werden.
Cyberkriminelle sind häufig gezwungen, innovative Tools und Schadsoftware zu entwickeln, um ihre meist finanziell motivierten Ziele zu erreichen. Da RATs und andere von Cyberkriminellen eingesetzte Schadsoftware durch polizeiliche Maßnahmen gestört oder ihre Methoden durch koordinierte Brancheninitiativen entschärft werden, ist manchmal eine Änderung der Methodik oder sogar des Geschäftsmodells erzwungen. Dies war bei den Akteuren hinter Emotet der Fall.
Emotet hat sich von einem Banking-Trojaner, der auf europäische Bankkunden abzielte, zu einer modularisierten Malware-Bereitstellungsplattform entwickelt, die 2018 von mehreren hochkarätigen Kampagnen bekannt wurde. Emotet ist als sich selbst verbreitender Trojaner eine besonders virulente Malware, die netzwerkwurmähnliche Eigenschaften aufweist und so ein beachtliches Botnetz an infizierten Opfern aufbauen kann.
Analytischer Ansatz
Die Forscher von Recorded Future identifizierten eine Vielzahl von RAT- und Emotet-Controllern, die aus Bedrohungslisten in der Recorded Future-Plattform abgeleitet wurden, und verwendeten Netzwerkmetadaten, um die Kommunikation der Opfer mit den RAT-C2-IPs zu identifizieren. Die Bedrohungslisten enthielten Daten von:
- Die gemeinsam mit Shodan entwickelte Malware Hunter 1-Funktion von Recorded Future
- Die Abuse.ch Feodo Malware-Familie (auch bekannt als Dridex oder Emotet/Heodo) Blockliste
Anmerkung der Redaktion: Aufgrund technologischer Einschränkungen des Erfassungsmechanismus spiegelt die Anzahl der mit Malware Hunter identifizierten C2s nicht die tatsächliche Anzahl der C2s wider, die weltweit für jede analysierte Malware-Familie in dieser Studie vorhanden sind. Daher konzentriert sich diese Analyse auf die Methodik zur Identifizierung infizierter Clients mithilfe von Recorded Future, um Risiken für Dritte zu ermitteln.
Für unsere Untersuchung haben wir im Zeitraum vom 2. Dezember 2018 bis 8. Januar 2019 nach aktiven Controllern für die folgenden Malware-Familien gesucht:
- Bozok RAT
- Nanokern
- Giftiger Efeu
- Caféini
- NetBus
- ProRAT
- Dunkler Komet
- njRAT
- Xtreme RAT
- DarkTrack RAT
- Nukleare RAT
- Nullzugriff
- Emotet
- Orcus RAT
Anschließend analysierten wir die Netzwerkkommunikation für eine Teilmenge dieser Controller aus Opferorganisationen. Durch die Filterung wurde vermieden, dass Organisationen, die Internet-Hosting-Dienste für andere Organisationen bereitstellen, als direkte Opfer identifiziert wurden. Internet-Scanner wurden, sofern erkennbar, weggelassen. Diese Analyse basiert auf der Beobachtung von Verbindungen, die auf eine bestimmte Art und Weise zu als bösartig identifizierten Servern hergestellt werden. Es besteht die Möglichkeit, dass solche Verbindungen von Forschern oder anderen Personen hergestellt wurden, die in Wirklichkeit keine Opfer sind.
Aufschlüsselung der aktiven C2s nach identifizierter Malware-Familie (Gesamtstichprobengröße der erkannten C2s: 481).
Wir haben unsere Analyse auf Emotet-, Xtreme RAT- und ZeroAccess-Controller konzentriert, um die RAT-Kommunikation mit wahrscheinlich infizierten Hosts innerhalb der Infrastruktur kommerzieller Organisationen zu profilieren.
Das Drittparteirisikomodul von Recorded Future
Nach der Einführung des Third-Party Risk-Moduls von Recorded Future haben wir zusätzliche Funktionen integriert, die es Unternehmen ermöglichen, die Cyberrisiken zu bewerten, die von Firmen in ihrer Lieferkette, von Partnern und von ihnen selbst ausgehen. Mit Third-Party Risk können Sie die Integrität Ihres Drittanbieter-Ökosystems überwachen, die von Unternehmen ausgehenden Risiken untersuchen und bei Änderungen in der Bedrohungsumgebung der für Sie interessanten Unternehmen Warnmeldungen erhalten. Die Analyse in diesem Bericht wurde unter Verwendung derselben Datenquellen durchgeführt, die wir zur Information über Risikofaktoren und Kennzahlen Dritter in unserem neuen Modul verwenden, insbesondere unsere Risikoregeln für die Netzwerkverkehrsanalyse.
Globale Verteilung von RAT C2s, ermittelt mithilfe des Malware Hunter-Projekts von Recorded Future und Shodan sowie der Feodo-Blockliste von Abuse.ch. (Quelle: Aufgezeichnete Zukunft)
Bedrohungsanalyse
Emotet
Emotet ist ein fortschrittlicher, modularer Banking-Trojaner, der in erster Linie als Downloader oder Dropper für andere Banking-Trojaner fungiert. Emotet wurde ursprünglich entwickelt, um Finanzdaten zu stehlen. Mittlerweile wird es jedoch hauptsächlich als Downloader für andere Malware wie Trickbot und Qakbot verwendet. Emotet verwendet C2-Server, um Updates zu erhalten sowie zusätzliche Malware herunterzuladen und zu installieren. Emotet-Betreiber neigen dazu, nicht wählerisch zu sein, wenn es darum geht, eine bestimmte Branche oder Region ins Visier zu nehmen, sondern sich ohne Diskretion zu verbreiten, was zeigt, dass die Malware-Betreiber mehr an großen Infektionsmengen interessiert zu sein scheinen, um Gewinn zu erzielen.
Emotet wurde ursprünglich im Jahr 2014 als neuer Banking-Trojaner identifiziert und wird oft als Geodo oder Feodo bezeichnet. Die Malware war das Produkt einer natürlichen Weiterentwicklung des Banking-Trojaners Feodo (manchmal auch Cridex oder Bugat genannt), der weitere Nachkommen hervorbrachte. In den letzten 12 Monaten hat es sich jedoch von einer eigenständigen Bedrohung zu einem Verteiler für andere Trojaner entwickelt, wobei im Sommer 2018 zahlreiche große Kampagnen stattfanden. Die Malware ist insofern einzigartig, als sie eine Litanei von Open-Source-Bibliotheken und -Code verwendet, die ausreichen, um einen Ordner in ihrem Codeverzeichnis als "Open Source" zu bezeichnen . Eine Reihe von Emotet-Modulen enthalten von Nirsoft entwickelte Dienstprogramme, um Passwörter auf dem Opfercomputer zu kratzen und zu sammeln.
Emotet fungiert seit Kurzem als Spam versendende Schadsoftware, die Zielsysteme infiziert, um anschließend andere Schadsoftware-Familien auf den Host zu laden. Die infizierten Hosts, die Spam verteilen und gelegentlich als Proxys für die C2-Server fungieren, stellen ein dezentrales Netzwerk dar, sodass Verteidiger nur schwer ihren Perimeter blockieren können.
Die Berichterstattung hat ergeben, dass die Betreiber von Emotet wahrscheinlich mindestens zwei Emotet-Infrastruktureinrichtungen parallel unterhalten, was wahrscheinlich die Redundanz fördert und eine koordinierte Abschaltung durch die Strafverfolgungsbehörden erschwert.
Emotet: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten
Während unserer Untersuchungen haben wir 26 Organisationen identifiziert, deren Hosts mit Emotet infiziert sind. Diese Organisationen waren über eine Vielzahl von Branchen verteilt, darunter:
- Automobilindustrie
- Finanzen und Banken
- Energie
- Herstellung medizinischer Geräte
- Konstruktion
- Einzelhandel und Unterhaltung
- Logistik, kommerzielle Dienstleistungen und Lieferungen
- ES
- Hilfsmittel
Das obige Diagramm zeigt uns die Aufschlüsselung der infizierten Hosts, die mit identifizierten Emotet-Controllern kommunizieren. Zwei Controller stechen hervor, mit denen über 40 infizierte Hosts kommunizieren konnten: die südkoreanische IP 115.88.75[.]245 und die US-amerikanische IP 192.155.90[.]90.
Emotet-C2s wurden zwischen dem 2. Dezember 2018 und dem 8. Januar 2019 bei aktiven Infektionen mit Unternehmensopfern identifiziert.
Die obige Tabelle identifiziert die IP-Adresse, das Land und den Internetdienstanbieter (ISP) jedes Emotet C2-Servers, der von Recorded Future eingehend analysiert wurde.
Anmerkung der Redaktion: ISPs bieten ihren Kunden Internetzugang an und haben möglicherweise keine direkte Kontrolle über die Geräte und Systeme, die unter einer bestimmten IP-Adresse innerhalb eines dem ISP zugewiesenen Netzblocks verwendet werden.
Eines der aktivsten Emotet C2s, basierend auf der Anzahl der einzelnen Unternehmensopfer, die in unseren Forschungsdaten mit ihm kommunizierten, war die südkoreanische IP 115.88.75[.]245. Basierend auf unserem neuen Algorithmus, der zu einer neuen Risikoregel für Kunden entwickelt wurde, die die Recorded Future-Plattform verwenden, wurden IP-Adressen erkannt, die zu mindestens vier verschiedenen infizierten Unternehmen aufgelöst wurden, die mit dem C2 kommunizieren. Drei der infizierten Unternehmen befanden sich in Lateinamerika, das in letzter Zeit einen Anstieg der Emotet-Infektionen erlebt hat , da eine leicht modifizierte Emotet-Ausbreitungsmethode angewendet wurde. Bei zwei der entdeckten Opfer handelte es sich um Finanzunternehmen in Mexiko und Ecuador, bei dem dritten handelte es sich um ein chilenisches Industriekonglomerat. Das verbleibende Unternehmensopfer war ein kanadisches Unternehmen zur Herstellung von Medizinprodukten.
Zum Zeitpunkt dieser Untersuchung gab es für die südkoreanische C2-IP keine Domäne, die dorthin aufgelöst wurde. Die Daten von VirusTotal deuten jedoch darauf hin, dass von infizierten Opfern Verbindungen mit der IP-Adresse hergestellt wurden, die in der URL ausdrücklich als Host angegeben ist. Wir haben mehrere bösartige Microsoft Word-Dokumente identifiziert, die verschleierten VBA-2- Code als Makros enthielten, die PowerShell starten sollten, um dann eine Emotet-Nutzlast vom südkoreanischen C2 abzurufen und auszuführen.
Clustering von Emotet-C2s und kommunizierenden Opferorganisationen, erkannt mithilfe von Recorded Future-Risikoanalysen von Drittanbietern und Risikoregeln für die Netzwerkverkehrsanalyse.
Eine weitere Analyse der Emotet-C2s und der IPs der Opferorganisationen ergab, dass es mehrere unterschiedliche Aktivitätsgruppierungen gab, wie in der obigen Maltego-Grafik dargestellt. Das äußerst aktive südkoreanische C2, das zuvor der LG DACOM Corporation zugeordnet wurde, befand sich innerhalb eines stark vernetzten Aktivitätsclusters, der auf der linken Seite der Grafik dargestellt ist. Im Mittelpunkt dieses Clusters standen 17 erkannte Emotet-C2s, die größtenteils auf Infrastrukturen gehostet wurden, die zu Telekommunikationsdienstleistern und Hosting-Anbietern mit Sitz in Lateinamerika führten. Die in diesem Aktivitätscluster angegriffenen Organisationen waren auf der ganzen Welt ansässig, wobei ein erheblicher Anteil der Opferorganisationen in Lateinamerika und Europa ansässig war.
Primärer Cluster der Emotet-Aktivität, wobei sich die Mehrheit der C2s im lateinamerikanischen IP-Raum befindet.
Der zweitgrößte Aktivitätscluster, den wir beobachtet haben, konzentrierte sich auf einen Emotet-Controller, der auf der indischen IP 45.123.3[.]54 gehostet wurde und zu den Blue Lotus Support Services in Indien aufgelöst wurde. Der auf diese IP verweisende C2-Hostname war campus.miim.ac[.]in, was dem Marian International Institute of Management entspricht, einer Universität in Kerala, Indien. Unsere Analyse ergab, dass bei folgenden Unternehmen anhaltende Emotet-Infektionen im Zusammenhang mit diesem C2 vorliegen:
- Ein japanischer Maschinenbauer
- Ein chinesischer Technologiekonzern
- Eine ecuadorianische Bank und ein US-amerikanisches Finanzberatungsunternehmen
- Ein österreichischer Energieversorger
- Kanadische und australische Kabelfernsehanbieter
Xtreme RAT
Xtreme RAT ist ein Rohstoff-RAT, der erstmals im Jahr 2010 öffentlich gesichtet wurde. Die RAT ist kostenlos erhältlich und der Quellcode dafür ist durchgesickert, so dass Angreifer ihn frei ändern können, um die Netzwerkverteidigung zu umgehen. Obwohl es ihn schon seit fast einem Jahrzehnt gibt und die Nutzung geringer zu sein scheint als in den Vorjahren, handelt es sich immer noch um einen potenten Trojaner, der weithin für gezielte Angriffe und Cyberkriminalität verwendet wird. Diese RAT verwendet ein Client-Server-System, das vom Autor in einer Umkehrung des üblichen Schemas definiert wurde. Der "Server"-Teil der Malware wird auf dem Computer des Opfers installiert, und der "Server" des Opfers verbindet sich somit mit dem "Client", bei dem es sich in Wirklichkeit um einen Controller handelt, der auf einem oder mehreren entfernten C2-Systemen betrieben wird.
Die Heatmap von Recorded Future zeigt die während des Forschungszeitraums aktiven Xtreme RAT-Controller, die mithilfe des Recorded Future- und Shodan Malware Hunter-Projekts erkannt wurden. (Quelle: Aufgezeichnete Zukunft)
Xtreme RAT: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten
Wir haben unser neues Third-Party Risk-Modul eingesetzt, um Kommunikationsknoten mit aktiven Xtreme RAT-Controllern zu identifizieren, die wir zwischen dem 8. Dezember 2018 und dem 2. Januar 2019 beobachtet haben. Auch dieses Mal stellten wir fest, dass Unternehmens-IPs mit den Xtreme RAT-Controllern auf eine Art und Weise kommunizierten, die auf eine mögliche Infektion hindeutete.
Drei einzelne Opfer kommunizierten mit einem marokkanischen Xtreme RAT C2, das auf 196.200.160[.]20,1 gehostet wurde. das zum Hostnamen ns2.marwan.ma aufgelöst wurde. Das geistige Eigentum ist beim Centre National pour la Recherche Scientifique et Technique (CNRST) registriert, einer technischen Universität in Rabat, Marokko. Zwei der infizierten Opfergeräte gelangten in die Infrastruktur multinationaler IT-Ausrüstungs- und Dienstleistungsunternehmen aus den USA und Japan. Das dritte Opfer war ein Gerät an einer brasilianischen Universität.
Xtreme RAT-Controller, gehostet in einem marokkanischen Universitätsnetzwerk.
Hostname test.zzjzpt[.]com wurde am 16. Dezember 2018 aktualisiert, sodass es auf die chinesische IP 116.62.60[.]109 verweist, und wurde bis mindestens 5. Januar 2019 weiterhin auf diese IP aufgelöst. In diesem Zeitraum wurde die IP als Xtreme RAT C2 bezeichnet. Dieser Controller sowie zwei weitere Xtreme RAT C2s, die auf der US-FDCServer-Infrastruktur (192.240.110[.]98) gehostet werden und 198.255.100[.]74), Es wurde beobachtet, dass der Empfang von Xtreme RAT-Netzwerkkommunikation von mehreren infizierten Hosts innerhalb eines europäischen Versorgungsunternehmens erfolgte. Bei den folgenden Opferorganisationen wurde eine Kommunikation mit diesen Xtreme RAT C2s beobachtet:
- Ein europäisches Videospielunternehmen
- Telekommunikationsunternehmen im Nahen Osten, Südasien und Ostasien
- Ein ostasiatischer Industriekonzern
- Ein ostasiatisches IT-Unternehmen
Xtreme RAT-Controller mit überlappender organisatorischer Zielausrichtung.
ZeroAccess-Trojaner
ZeroAccess wurde erstmals 2011 entdeckt und verwendet ein fortschrittliches Rootkit, um der Erkennung zu entgehen. Als Trojaner kann er ein verstecktes Dateisystem und eine Hintertür auf einem Host erstellen und das Herunterladen zusätzlicher Malware auf den Host erleichtern. ZeroAccess kann so konfiguriert werden, dass es einen Domain Generation Algorithm (DGA) verwendet, um seine C2-Server zu erkennen und eine Verbindung zu ihnen herzustellen, und kann auch Peer-to-Peer-Konnektivität verwenden. In der Vergangenheit wurde ZeroAccess unter Verwendung von Strategic Web Compromises (SWC) eingesetzt und in der Regel von Cyberkriminellen verwendet, um illegale Gelder durch Pay-per-Click-Werbemechanismen (Klickbetrug) zu generieren. Die Malware wurde auch zum Mining von Kryptowährung verwendet.
ZeroAccess: Bewertung des Drittanbieterrisikos anhand von Netzwerkmetadaten
Während unseres Untersuchungszeitraums haben wir einen einzelnen Fall identifiziert, in dem eine Opferorganisation mit einem ZeroAccess-Trojaner C2 kommunizierte, der auf der rumänischen IP 31.5.229[.]224 aktiv war. Bei der Opferorganisation handelte es sich um ein ostasiatisches IT-Unternehmen.
Ausblick
Banking-Trojaner wie Emotet und andere RATs stellen nach wie vor eine erhebliche Bedrohung für Regierungs- und Unternehmensnetzwerke auf der ganzen Welt dar. Die Entwickler hinter Emotet arbeiten weiterhin an Innovationen und modularisierten Funktionen, um die Wirksamkeit der Ausbreitung zu unterstützen und traditionelle Netzwerkabwehrmaßnahmen zu umgehen, was zu weit verbreiteten Infektionen führt, die laut einer im Juli 2018 veröffentlichten US-CERT-Warnung staatliche, lokale, Stammes- und Territorialregierungen (SLTT) bis zu 1 Million US-Dollar pro Vorfall gekostet haben, um sie zu beheben.
Diese Untersuchung unterstreicht den Nutzen der Identifizierung und Verfolgung bösartiger RAT-Controller-Netzwerkinfrastrukturen für die Ermittlung der Sicherheitslage Ihres Unternehmens. Kunden können das Drittanbieter-Risikomodul von Recorded Future nutzen, indem sie die entsprechenden Risikoregeln beachten, die innerhalb unserer Plattform ausgelöst werden. Beim Drittanbieterrisiko lösen dieselben Daten, die wir zum Identifizieren und Analysieren der Malware-Kommunikation in dieser Bewertung verwendet haben, Risikoregeln aus und geben einen Alarm aus, wenn ein Unternehmen auf der Drittanbieterrisiko-Beobachtungsliste eines Kunden ähnliche Aktivitäten aufweist.
Risikoregel für die Analyse des Netzwerkverkehrs von Drittanbietern, die ein hohes Risiko im Zusammenhang mit der in der Infrastruktur eines Unternehmens beobachteten Xtreme RAT-Kommunikation anzeigt.
Während wir die Abdeckung von RAT-Controllern weiter ausbauen, werden wir diese Signaturen automatisch hinzufügen, sodass sie Drittanbieter-Risikoregeln in der Recorded Future-Plattform auslösen, wenn wir beobachten, dass die Netzwerkinfrastruktur von Unternehmen mit diesen Controllern kommuniziert.
Empfehlungen zur Netzwerkverteidigung
Recorded Future empfiehlt Unternehmen, proaktiv auf Bedrohungen zu suchen und bei der Abwehr illegaler RAT-Aktivitäten die folgenden Abwehrmaßnahmen zu ergreifen:
- Verwenden Sie die API von Recorded Future, um die in diesem Bericht aufgeführten Indikatoren (Anhang A) in Ihre Endpoint Detection and Response (EDR)-Plattform zu importieren.
- Konfigurieren Sie Ihre Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei den in Anhang A aufgeführten externen IP-Adressen und Domänen eine Warnung ausgeben und die Blockierung unzulässiger Verbindungsversuche in Erwägung ziehen.
- Überwachen Sie den Endpunktverkehr, um vor Verbindungen zu Indikatoren in Anhang A zu warnen und diese zu blockieren.
Laden Sie den Anhang herunter, um eine vollständige Liste der zugehörigen Kompromittierungsindikatoren anzuzeigen.
1Weitere Einzelheiten zu dieser Funktion finden Sie im Whitepaper von Recorded Future zur proaktiven Bedrohungsidentifizierung.
2Visual Basic for Applications ist eine Implementierung der Programmiersprache Visual Basic 6 von Microsoft und wird in Microsoft Office-Produkten wie Excel zum Entwickeln von Makros verwendet.