Einführung in Sigma-Regeln und Erkennung von Credential Harvesting

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.

Die Insikt Group von Recorded Future hat Erkennungen für die Ausführung mit SIEM-Software sowie Leitfäden zur Reaktion auf Vorfälle für vier beliebte Tools zum Erfassen von Anmeldeinformationen erstellt. Zu den Quellen gehörten die Recorded Future ® -Plattform, Malpedia, PolySwarm, Reverse Engineering und Open-Source-Intelligence-(OSINT-)Anreicherungen. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die daran interessiert sind, Organisationen vor Tools zum Abgreifen von Anmeldeinformationen zu schützen.

Executive Summary

Der Einsatz von Tools zum Erfassen von Anmeldeinformationen ist für Bedrohungsakteure eine gängige und wirksame Methode, um zusätzlichen Zugriff auf Ihre Infrastruktur zu erhalten. Details eines aktuellen Ryuk-Vorfalls zeigen ein 15-stufiges Verfahren zur Kompromittierung des Opfers, von denen zwei den Einsatz der Tools zum Erfassen von Anmeldeinformationen Mimikatz und LaZagne beinhalten. Diese Tools wurden verwendet, um sich seitlich durch die Umgebung des Opfers zu bewegen und andere Hosts im Netzwerk zu kompromittieren.

Dieser Artikel beschreibt unsere Forschung zu Sigma-basierten Erkennungsregeln für Mimikatz, LaZagne, T-Rat 2.0 und Osno Stealer. Darüber hinaus stellen wir eine anfängliche Vorfallprioritätsstufe und ein Reaktionsverfahren auf hoher Ebene bereit, um Sicherheitseinsatzteams bei der Reaktion auf Vorfälle im Zusammenhang mit dem Abgreifen von Anmeldeinformationen zu unterstützen.

Die Sigma-Regeln aus dem Open-Source- Sigma-Projekt und die benutzerdefinierten Regeln von Recorded Future (nur für bestehende Kunden verfügbar) bieten leistungsstarke Möglichkeiten zum Erkennen und Reagieren auf den Zugriff auf Anmeldeinformationen mithilfe bestehender SIEM-Lösungen. In Kombination mit richtig konfigurierter hostbasierter Protokollierung und mithilfe von Tools wie Sysmon können Sigma-Regeln die Fähigkeit eines Unternehmens steigern, Bedrohungen genauer und effizienter zu erkennen und darauf zu reagieren.

Sigma ist eine standardisierte Regelsyntax, die in viele verschiedene SIEM-unterstützte Syntaxformate konvertiert werden kann. Über die Recorded Future-Plattform können Kunden auf von der Insikt Group entwickelte Sigma-Regeln zugreifen und diese herunterladen, um sie in ihren Organisationen zu verwenden.

Wichtige Urteile

• Die meisten Tools zum Erfassen von Anmeldeinformationen bergen ein hohes Risiko, da sie zusätzliche Taktiken, Techniken und Verfahren (TTPs) ermöglichen, wie etwa Lateral Movement und Rechteausweitung. Normalerweise werden Tools zum Erfassen von Anmeldeinformationen als Tool der zweiten Stufe eingesetzt und weisen darauf hin, dass der Host bereits kompromittiert ist.
• Eine erfolgreiche Erkennung und Reaktion auf Aktivitäten zum Abgreifen von Anmeldeinformationen kann verhindern, dass Eindringlinge ihre Ziele erfolgreich erreichen.
• Sigma-Regeln sind eine effektive Möglichkeit, Erkennungen zwischen mehreren Plattformen zu teilen. Die Verwendung der Prioritätsstufen und Reaktionsverfahren von Recorded Future mit Sigma-Regeln bietet Cybersicherheitsteams eine einfach zu implementierende Erkennungs- und Reaktionsfähigkeit.

Anmerkung des Herausgebers: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, um den Bericht als PDF herunterzuladen.