Aristoteles sagte einst: „Sich selbst zu kennen ist der Anfang aller Weisheit.“ Dieses Sprichwort gilt heute für die moderne Gesundheitsorganisation genauso wie für die Menschen im antiken Griechenland.
Gesundheitsorganisationen werden immer noch in alarmierender Häufigkeit Opfer von Ransomware und anderen Cyber-Angriffen. Auch wenn die Verweildauer abnimmt, ist es immer noch nicht ungewöhnlich, dass Angreifer wochenlang in einem Netzwerk verweilen, um die interne Infrastruktur einer Organisation zu erkunden, Daten zu exfiltrieren und für eine weitreichende Verbreitung zu sorgen Kompromittierung von Geräten, bevor sie schädliche Payloads starten.
Wenn man bedenkt, dass dieses Verhalten so oft unentdeckt bleibt, kommt man zu dem Schluss, dass wir das Verhalten unserer eigenen IT-Infrastruktur vielleicht nicht gut genug kennen und verstehen. Wenn wir schließlich nicht mit Sicherheit sagen können, was in unserem Netzwerk normales Verhalten ist, wie sollen wir dann jemals rechtzeitig etwas identifizieren, das nicht normal ist?
Wir beschränken uns zu häufig darauf, uns nur auf Werkzeuge zu konzentrieren, die bekannte Fehler erkennen. Dabei vergessen wir jedoch oft, dass ein klares Verständnis bekannter Vorteile genauso wichtig, wenn nicht sogar wichtiger sein kann.
Dieses Verständnis davon, welche Verhaltensweisen in einem bestimmten Netzwerk wo auftreten sollten, ist in den letzten Jahren immer wichtiger geworden, da Angreifer immer mehr auf „Living-off-the-land“-Strategien umgestiegen sind, bei denen legitime Tools, die nativ in einem Betriebssystem enthalten sind oder allgemein auf Desktops und Servern installiert sind, für böswillige Zwecke missbraucht werden.
LOL stellt häufig eine effektive Möglichkeit dar, Sicherheitstools zu umgehen, da es für Sicherheitsanbieter schwierig ist, viele LOL-Techniken vollständig zu blockieren, ohne einen Teil ihrer Kundenbasis negativ zu beeinflussen.
Beispielsweise wird die Endpunktsicherheit manchmal dadurch umgangen, dass ein Angreifer den in Windows integrierten Befehl bcdedit aufruft, der es ermöglicht, Computer zur Fehlerbehebung und Reparatur im abgesicherten Modus zu starten.
Powershell, cscript, wscript, certutil und zahlreiche andere Befehle und Anwendungen werden routinemäßig auf ähnliche Weise missbraucht, wobei das LOLBAS-Projekt großartige Einblicke in eine Vielzahl von Möglichkeiten bietet, auf denen dieser Missbrauch auftreten kann.
Die Anzahl der LOL-Techniken mag zwar überwältigend erscheinen, doch können wir Maßnahmen ergreifen, um die Wirksamkeit verschiedener LOL-Techniken einzuschränken, wenn wir die Anwendung einiger grundlegender Datenanalysen in Betracht ziehen.
Wir können damit beginnen, EDR oder ein anderes Endpoint-Security-Tool zu verwenden, um die Ausführung von LOL-Binärdateien, die uns interessieren, zu erkennen und zu protokollieren, und dann über einen bestimmten Zeitraum einen Datensatz von Ausführungen sammeln, der uns helfen kann, uns ein Bild davon zu machen, wie das geht Oft wird eine bestimmte Binärdatei ausgeführt, wer sie ausführt, von wo aus sie ausgeführt wird usw.
Sobald wir diese Daten haben, können wir sehen, dass LOL-Techniken typischerweise in eine oder mehrere der folgenden Kategorien eingeteilt werden können:
Binär ist weit verbreitet. PowerPoint.exe oder eine andere MS Office-Anwendung wird beispielsweise weit verbreitet sein und kann wahrscheinlich nicht blockiert werden, ohne größere Probleme zu verursachen. Es wird wahrscheinlich auch zu einer sehr lauten und daher nutzlosen Warnung führen, es sei denn, es kann etwas unternommen werden, um es weiter zu verfeinern. Binärdateien in dieser Kategorie sollten entweder als normales Verhalten für die Umgebung betrachtet werden oder, wenn sie gesperrt werden müssen, mit anderen Elementen eines Ausführungspfads oder bestimmten Befehlszeilenargumenten kombiniert werden, die zum Aufrufen der Binärdatei verwendet werden. Beispielsweise wäre das Blockieren von PowerPoint katastrophal, aber es wäre durchaus möglich, PowerPoint daran zu hindern, Powershell, eine gängige Malware-Technik, zu starten. Das Hinzufügen eines Ausführungspfads oder von Befehlszeilenargumenten zur Erkennung kann dazu führen, dass Ihre Erkennung in eine der anderen Kategorien verschoben wird.
Binär wird überhaupt nicht verwendet. Es ist nicht ungewöhnlich, dass nicht alle bei LOL-Angriffen verwendeten Binärdateien in einer bestimmten Organisation einen legitimen Nutzen haben. Möglicherweise stellen Sie fest, dass es für bestimmte LOL-Binärdateien auch nach Monaten der Datenerfassung keine Ausführungen gibt. Beispielsweise ist der AT-Befehl ein veralteter Windows-Befehl, der aufgrund seiner veralteten Natur möglicherweise nicht mehr in einer Organisation verwendet wird. Binärdateien, die in diese Kategorie fallen, sind gute Kandidaten für eine Blockierung und/oder einen Alarmauslöser, da das Verhalten für Ihr Netzwerk nicht normal ist.
Binär wird von einer bestimmten Untergruppe von Benutzern und/oder Maschinen verwendet. Binärdateien in dieser Kategorie bieten die Möglichkeit, Verhaltensweisen auf nur Teile des Netzwerks zu beschränken und Warnungen für jede nicht genehmigte Verwendung zu erstellen. Beispielsweise kann es durchaus sinnvoll sein, dass jemand in der Finanzabteilung Zugriff auf einen FTP-Client zum Austausch von Rechnungsdaten hat oder jemand in der IT einen SSH-Client verwendet, um eine Verbindung zu Servern und der Netzwerkinfrastruktur herzustellen. Das Starten dieser ausführbaren Dateien kann für diese Benutzer/Maschinen eine normale Aktivität sein, aber der Start von FTP oder SSH von einem Pflegearbeitsplatz aus ist wahrscheinlich ein guter Indikator für Datenexfiltration oder laterale Bewegung. Wir haben hier die Möglichkeit, Regeln zu erstellen, die das Verhalten einiger Benutzer/Maschinen zulassen und das Verhalten anderer blockieren und darauf aufmerksam machen, damit wir den normalen Betrieb ungehindert fortsetzen und gleichzeitig unsere Widerstandsfähigkeit gegen Angriffe stärken können. Denken Sie daran, dass das Konzept der Herdenimmunität auch für die Cybersicherheit gilt. Wenn Sie einen großen Teil unseres Netzwerks gegen eine bestimmte Angriffstechnik resistent machen, kann dies zum Schutz des gesamten Unternehmens beitragen. Blöcke müssen nicht immer universell sein.
Binär wird in Verbindung mit bestimmten Standorten verwendet. Ein gewisses Maß an Automatisierung ist in vielen Unternehmen keine Seltenheit, insbesondere wenn sie größer werden und Anmeldeskripts (oder andere Skripts) zum Zuordnen von Druckern und zum Ausführen anderer routinemäßiger IT-Aufgaben keine Seltenheit sind. Wenn eine grundlegende Organisation eingerichtet ist, wie zum Beispiel das Speichern all dieser Skripte an einem definierten Ort (sollte für Ihre Organisation eindeutig sein und kein allgemeiner Betriebssystempfad wie C:\Programme\), können ein wenig Organisationskenntnisse genutzt werden um Ihre Umgebung zu verhärten. Wenn beispielsweise alle Anmeldeskripts in einer gesicherten Netzwerkfreigabe namens „LoginScripts“ gespeichert sind und diese Skripts die einzigen Skripts sind, die zur Verwaltung von Benutzerendpunkten benötigt werden, ist es durchaus möglich, die Verwendung des Wscript-Interpreters (oder einer anderen Binärdatei des Interpreters) einzuschränken genutzt) auf nur Skriptausführungen, die von dieser bestimmten „LoginScripts“-Freigabe stammen. Auf diese Weise kann das Unternehmen Tools wie wscript und Powershell nutzen, aber auch seinen Schutz vor Malware verbessern, die versucht, die gleichen Tools wie die Malware-Samples zu nutzen, um die Ausführung von einem anderen und nicht genehmigten Ort aus zu starten, was ein ideales Szenario für die Erstellung schafft eine Erkennungs- oder Blockierungsrichtlinie. Wie bei der oben genannten Kategorie gibt es möglicherweise einige Forscher, Datenanalysemitarbeiter usw., die an anderen Orten gespeicherte Skripte ausführen müssen, aber auch hier müssen Blöcke nicht immer universell sein, um effektiv zu sein, und die Verwendung in den meisten Fällen einschränken Endpunkte können einen großen positiven Einfluss auf die Sicherheit haben.
Eine gründliche Analyse Ihrer Umgebung kann auch einige zusätzliche Kategorieoptionen aufdecken, die eine Grundlage für weitere Baseline-Bemühungen bilden können. Der Schlüssel besteht darin, mit der Nutzung solcher Analysen zu beginnen, um herauszufinden, welches Verhalten für Ihre spezielle Umgebung normal ist, und die Definition von „normal“ zu verwenden, um die Blockierung und/oder Warnung vor Verhaltensweisen zu verbessern, die von dieser Definition von „normal“ abweichen.
Indem wir uns selbst kennen, erlangen wir die nötige Weisheit, um Bedrohungen für unsere Organisationen effektiver zu erkennen und proaktiv zu stoppen.
am Mount Sinai in Süd-Nassau.
