Proaktives Threat Hunting bietet die Chance, Angreifer im Netzwerk aufzuspüren und die Dwell Time, die Zeit bis zur Erkennung, zu minimieren. Dabei sind EDR- und XDR-Lösungen sehr nützliche Unterstützungs-Tools.

Jeden Tag wird in den Medien über neue IT-Sicherheitsvorfälle berichtet, die zudem immer perfider werden. Bei vielen Sicherheitsverantwortlichen und CISOs schwingt daher vermutlich täglich die Angst mit, eine Meldung über das eigene Unternehmen in der Presse zu finden und den Vorfall nicht selbst erkannt zu haben. Mittlerweile ist es ratsam, sich mit dem Gedanken vertraut zu machen, selbst Opfer eines Cyberangriffs zu werden beziehungsweise bereits zu sein. Dieser sogenannte »Assume Breach«-Ansatz stellt die Frage nach dem »wann« in den Fokus der Sicherheitsvorbereitungen, also nicht die Frage nach dem »ob«. Eine relevante Kenngröße in diesem Zusammenhang ist die sogenannte Dwell Time. Diese beschreibt den Zeitraum zwischen dem Beginn eines Einbruchs bis zur Erkennung. Laut M-Trends Report 2020 lag dieser Wert im globalen Mittel bei 56 Tagen [1]. Dieser Wert unterstreicht einmal mehr, dass präventive Maßnahmen nach wie vor essenziell sind. Automatisierte Erkennung – in den letzten Jahren immer stärker unterstützt durch Machine Learning – muss durch weitere, proaktive Ansätze unterstützt werden, um den Wert noch weiter zu senken.

Genau hier setzt Threat Hunting an, mit dem Ziel, bereits im Netz befindliche Angreifer zu identifizieren, die nicht durch existierende Detektionsmechanismen erkannt wurden. Proaktiv »gejagt« wird dabei primär nach sogenannten TTPs, »Tools, Techniques, Procedures«, also spezifischen Taktiken und Vorgehensweisen von Angreifern. Zur Erklärung bietet sich die altbekannte »Pyramid of pain« der IOCs an. TTPs stellen in dieser Pyramide Pyramidion dar, also das primäre Ziel des Threat Hunting.

Abbildung 1: In der »Pyramid of pain« der IOCs stellen TTPs Pyramidion dar, also das primäre Ziel des Threat Hunting.

Pyramid of pain. Die in den unteren Ebenen aufgeführten Indikatoren stellen den mengenmäßig überwiegenden Anteil der Indikatoren dar, der sich zwar am einfachsten erkennen und auch verhindern lässt, der aber vom Angreifer auch beliebig austauschbar und somit für das Threat Hunting qualitativ weniger gut geeignet ist. So ändern sich beispielsweise File Hashes quasi permanent, IP-Adressen und Domain-Namen von C2-Infrastrukturen ebenso. Schwerer und deutlich aufwendiger zu ändern sind für einen Angreifer seine verwendeten Angriffsmittel und seine TTPs, also seine spezifischen Taktiken und Vorgehensweisen.

Schlüssel zur Erkennung solcher TTPs sind daher keine einzelnen, atomaren Merkmale, sondern eine Kombination aus verschiedenen Indikatoren. Genau hierin liegt jedoch die Herausforderung. Diese Informationen werden an verschiedenen Orten erzeugt, sichtbar und sind darüber hinaus unterschiedlich volatil.

Zur Modellierung eines Threat-Hunting-Plans ist ein tiefes Verständnis der relevanten Angreifer-TTPs notwendig. Die klassische Lockheed Martin Cyber Kill Chain ist für die Modellierung nur eingeschränkt geeignet, da sie zum Mapping von Angreifertechniken nicht holistisch genug ist und eher ein Phasenmodell darstellt, dem es an angemessener Detailtiefe mangelt. Für Threat Hunting bietet sich vor allem das MITRE ATT&CK Framework an, die Wissensdatenbank aktueller »Real-world«-Angreifertechniken und Taktiken, das genau diese Detailtiefe und Taxonomie bietet.

Häufig werden im Kontext von Threat Hunting Begriffe wie Endpoint Detection and Response (EDR) sowie XDR, wobei das »X« für jede beliebige Quelle steht, genannt. Bei EDR handelt es sich um eine Technologie, die Endpunkte kontinuierlich auf schadhaftes Verhalten überwacht – häufig auf Basis von Machine Learning. Neben Schutzfunktionen, beispielsweise die Isolation eines infizierten Clients vom Netzwerk, die Abschaltung verdächtiger Prozesse oder Rücksetzung schadhafter Veränderungen am System, besteht auch immer öfter die Möglichkeit der kontinuierlichen Speicherung von Telemetriedaten (gestartete Prozesse, Registry-Zugriffe, Netzwerkzugriffe etc.) als Basis für spätere Analysen. XDR liefert eine erweiterte Sichtbarkeit über einzelne Schichten wie Endpoint oder Netzwerk hinweg, indem es zusätzlich relevante Meta-Daten zunächst zentral speichert und korreliert und somit den Kontext erweitert. EDR oder XDR stellen neben SIEM-Systemen Technologiebausteine in einer Sicherheitsarchitektur dar, die Threat Hunting effektiv unterstützen. Ausgeführt und vorangetrieben wird Threat Hunting letztendlich aber immer durch Menschen.

Laut BSI Lagebericht 2020 gingen die größten Bedrohungen von Schadprogrammen, wie Emotet, TrickBot und Ransomware, aus [2].

Beispiel einer Threat-Hunting-Abfrage. Ein Threat-Hunting-Plan für TrickBot-TTPs würde sich also zunächst an den von der TrickBot-Gang verwendeten Techniken orientieren [3]. MITRE ATT&CK liefert hierfür eine gute Übersicht, die bei der Ermittlung der dafür relevanten Datenquellen unterstützt (Abbildung 2).

Abbildung 2: MITRE ATT&CK: Verwendete Angreifertechniken im Rahmen von TrickBot.

Es geht zunächst darum, sicherzustellen, dass die benötigten Datenquellen zur Erkennung der jeweiligen Techniken zur Verfügung stehen. Anschließend werden zu den einzelnen Techniken Hypothesen formuliert, um daraus passende Threat-Hunting-Abfragen abzuleiten. Das nachfolgende Beispiel soll dies verdeutlichen.

Eine häufig (auch von TrickBot) verwendete Technik ist die Verwendung von Scheduled Tasks zur Persistierung schadhafter Kommandos (Abbildung 3). Die dafür primär benötigten Datenquellen liegen im Bereich Überwachung auf dem Endpoint (Abbildung 4). Eine EDR-Lösung, die solche Telemetriedaten speichert, kann hier unterstützen.

Abbildung 3: Verwendung von Scheduled Tasks zur Persistierung schadhafter Kommandos.

Abbildung 4: Die Datenquellen liegen im Bereich Überwachung auf dem Endpoint.

Bei der Formulierung von Threat-Hunting- Hypothesen wird genau definiert, wie ein Angreifer Scheduled Tasks zur Persistenz verwenden würde. Eine simple Hypothese wäre zum Beispiel, dass per Script die üblichen Windows CommandLine Utilities zur Erzeugung von Scheduled Tasks eingesetzt werden.

Das bedeutet, es würde also eine Suche nach dem Vorhandensein von at.exe oder schtasks.exe und nach Auffälligkeiten erfolgen. Dabei kann es sich unter anderem um das Starten von Executables aus User- oder Temp-Verzeichnissen sowie um das Erstellen von Scheduled Tasks auf Remote-Systemen handeln. Eine sehr simple Threat-Hunting-Abfrage zu Beginn könnte wie in Abbildung 5 dargestellt aussehen.

Abbildung 5: Threat-Hunting-Abfrage in SentinelOne Deep Visibility

Das Beispiel einer Threat-Hunting-Abfrage in Abbildung 6 brachte zwei verdächtige Scheduled Tasks zutage. Der erste Task erzeugt einen Scheduled Task via XML File (der letztendlich eine Backdoor installiert), der zweite Task führt offensichtlich eine Mimikatz-Variante aus, die Logon-Passworte in eine Textdatei exportiert, um sie später vermutlich dem Angreifer zu übermitteln.

Abbildung 6: Threat-Hunting-Ergebnis in SentinelOne Deep Visibility

Werden solche Angreifertechniken nicht durch bestehende Detektionslösungen erkannt, bietet proaktives Threat Hunting eine Möglichkeit, Angreifer im Netzwerk aufzuspüren und die Zeit bis zur Erkennung möglichst zu minimieren. EDR- und XDR-Lösungen sind hier äußerst sinnvolle Unterstützungs-Tools.

Fazit. Grundsätzlich sollte darauf hingewiesen werden, dass sich erfolgreiches Threat Hunting nur durch ein sinnvolles Zusammenspiel von technischen Lösungen und Expertenwissen realisieren lässt. Empfehlenswert ist es daher, einen Partner wie Controlware, Systemintegrator und Managed Service Provider, einzubeziehen – je nach Wunsch von der Beratung über die Realisierung bis hin zum Betrieb. Das Portfolio umfasst unter anderem individuelle Cyber Defense Services mit EDR- und XDR-Lösungen inklusive Threat Hunting als Managed Services. Die Experten von Controlware verfügen nicht nur über tiefes technisches Know-how, sondern auch über langjährige Praxiserfahrung in den unterschiedlichsten Branchen und sind somit in der Lage, auf die speziellen Kundenbedürfnisse einzugehen.

Benjamin Heyder,
Cyber Defense Consulting,
Controlware GmbH

www.controlware.de
blog.controlware.de

[1] https://www.fireeye.com/blog/threat-research/2020/02/mtrends-2020-insights-from-the-front-lines.html

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
Lageberichte/Lagebericht2020.html

[3] https://attack.mitre.org/software/S0266/

Illustration: © Shineprint/shutterstock.com

61 Artikel zu „Threat Hunting“

TRENDS 2020 | NEWS | TRENDS SECURITY | IT-SECURITY

Cyber Threat Report 2020: Microsoft-Office-Dateien häufiger infiziert, Ransomware auf dem Vormarsch

25. Juli 2020

Ransomware-Attacken weltweit steigen um 20 % (Höchststand in USA mit 109 %). Malware-Attacken gehen global um 24 % zurück. Wachstum um 7 % bei Phishing-Versuchen, die sich der Corona-Krise bedienen. Anstieg um 176 % bei Malware-Attacken mit infizierten Microsoft-Office-Dateien. 23 % der Malware-Angriffe über Nicht-Standard-Ports ausgeführt. IoT-Malware-Angriffe nehmen um 50 % zu. Im Bericht analysierte…