:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Deep Learning und KI in der Threat Protection Mit (künstlicher) Intelligenz gegen Cyberkriminelle
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Machine Learning (ML) spielt eine wichtige Rolle bei der Analyse und Korrelation massiver Datenmengen. In der Abwehr von Cyberangriffen eingesetzt hilft ML, die zunehmenden Bedrohungen auf Geräten, in E-Mails und Dokumenten sowie in Anwendungen und Identitäten zu erkennen. Algorithmen und ML-Modelle sind in der Lage, ein vollständiges Bild von Angriffen sowie Handlungsanweisungen für das Abwehren und Bekämpfen von Attacken zu liefern.
An Endpunkten, also an den Schnittstellen von Netzwerken nach außen, erkennt unsere Sicherheitsplattform Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP Malware und bösartige Aktivitäten anhand verschiedener Arten von Signalen, die sich über das Verhalten dieser Endpunkte und der gesamten Netzwerke erstrecken. Diese Signale werden in der Cloud über heuristische Methoden und Modelle des maschinellen Lernens aggregiert und verarbeitet. In vielen Fällen reicht die Erkennung eines bestimmten Verhaltenstyps über ein einziges heuristisches oder maschinelles Lernmodell aus, um zum Beispiel die böswillige Modifikation der Windows- Registry oder eines PowerShell-Befehls zu erkennen und einen Alarm auszulösen.
Um komplexere Bedrohungen und bösartige Verhaltensweisen zu erkennen, sind aber umfangreichere Sichtweisen nötig. Solche „Big Pictures“ werden möglich durch die Aggregation von Signalen, die zu unterschiedlichen Zeiten auftreten. So ist zum Beispiel das singuläre Ereignis einer Dateierstellung allein kein Indikator für böswillige Aktivitäten. Wird dieses Ereignis aber durch Beobachtungen an anderen Stellen ergänzt und kommen weitere Signale hinzu, könnte das singulär eigentlich harmlose Ereignis sehr wohl ein signifikanter Indikator für böswillige Aktivitäten sein.
Um eine Ebene für diese Art von Abstraktionen zu schaffen, haben unsere Wissenschaftler*innen neue Signaltypen entwickelt. Diese sind in der Lage, einzelne Signale zu aggregieren und verhaltensbasierte Analysen durchzuführen, um komplexes, bösartiges Verhalten zu erkennen.
Bondat-Wurm durch Machine Learning enttarnt
In diesem Beitrag beschreiben wir eine Anwendung des Deep Learnings, die auf Algorithmen für maschinelles Lernen baut und unterschiedliche Verhaltensanalysen zu einem einzigen Entscheidungsmodell verdichtet. Seit seiner Veröffentlichung hat das Modell bereits zur Enttarnung zahlreicher komplexer Angriffe und Malware-Kampagnen beigetragen. So hat der Algorithmus zum Beispiel eine neue Variante des seit 2013 bekannten Bondat-Wurms enttarnt, der versucht, Computer in Zombies für ein Botnet zu verwandeln, also in von außen ferngesteuerte Computer. Bondat nutzt das Netzwerk von Zombie-Rechnern dafür, andere Websites zu hacken oder das rechenintensive Mining von Kryptowährungen durchzuführen.
Die neue Version des Wurms verbreitet sich über USB-Geräte und erreicht, wenn sie einen Rechner erfolgreich infiziert hat, eine sogenannte Fileless Persistence: Der Schädling arbeitet solange im Arbeitsspeicher eines Geräts, bis er durch einen Neustart deaktiviert wird, und hinterlässt keine Spuren in Form von Dateien auf dem befallenen Computer.
Leistungsstarkes, hochpräzises Klassifikationsmodell für umfangreiche Daten
Das Erkennen böswilliger Aktivitäten in großen Datenmengen erfordert von Microsoft Defender ATP den Einsatz intelligenter Automatisierungsmethoden und künstlicher Intelligenz (KI). Über maschinelles Lernen geschulte Classifier, also Funktionen, die Ereignisse erkennen und einer bestimmten Kategorie zuordnen, können große Mengen historischer Daten verarbeitet werden. Dieses erlernte Wissen wendet Microsoft Defender ATP dann automatisch an, um neue Datenpunkte verlässlich als gut oder böse zu bewerten.
ML-basierte Modelle können zum Beispiel Aktivitäten in der Registry verfolgen, über die das Betriebssystem alle Geräte und Anwendungen konfiguriert. Die Modelle erzeugen auf Basis ihrer Analysen einen Wert, der angibt, mit welcher Wahrscheinlichkeit das Schreiben in die Registry mit bösartigen Aktivitäten in Verbindung gebracht werden kann. Mehrere dieser Analysen können in einem virtuellen Process Tree verknüpft werden. Alle Signale, die mit einem Process Tree verbunden sind, werden aggregiert und dazu verwendet, Angriffe im Gesamtbild besser erkennen zu können.
Doch auch unter Verwendung von virtuellen Process Trees und den verschiedenen Signalen, die mit diesen Bäumen verbunden sind, gibt es immer noch große Datenmengen und „verrauschte“ Signale, die zu durchsuchen sind. Da jedes Signal im Kontext eines Prozessbaums auftritt, ist es notwendig, diese Signale in der chronologischen Reihenfolge der Ausführung innerhalb des Prozessbaums zu verschmelzen. Auf diese Weise geordnete Daten erfordern ein leistungsfähiges Modell zur Klassifizierung von bösartigen bzw. gutartigen Bäumen.
Die Microsoft-Lösung innerhalb des Microsoft Defender ATP umfasst mehrere Deep Learning-Bausteine, darunter künstliche neuronale Netze wie Convolutional Neural Networks (CNN) und Long Short-Term Memory Recurrent Neural Networks (LSTM-RNN). Ein neuronales Netzwerk kann Verhaltenssignale aufnehmen, die chronologisch im Prozessbaum auftreten, und jedes dieser Signale als eine Abfolge von Ereignissen behandeln. Diese Sequenzen können vom neuronalen Netz mit hoher Präzision und Erkennungsrate klassifiziert werden.
Auf Verhalten und auf maschinellem Lernen basierende Signale
Ein verhaltensbasierte Signal kann beispielsweise dazu dienen, einen Eintrag in folgendem Registry-Key zu erstellen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run Fügt jemand diesem Schlüssel einen Ordner oder eine ausführbare Datei hinzu, werden beide nach dem Start eines Geräts automatisch ausgeführt. Dies erzeugt eine Persistenz auf dem Rechner, also einen länger anhaltenden Zustand, und kann daher als Indicator of Compromise (IoC) angesehen werden, also als einen Indikator für einen unberechtigten Zugriff. Im Allgemeinen reicht ein IoC für eine sichere Angriffserkennung nicht aus, weil auch dafür legitimierte Anwendungen diesen Mechanismus nutzen.
Ein weiteres Beispiel für verhaltensbasierte Signale ist die Service Start Activity. Eine Anwendung, die einen Service per Befehlszeile und über legitimierte Windows-Prozesse wie net.exe startet, wird nicht per se als verdächtige Aktivität klassifiziert. Startet jedoch ein Service, der zuvor im selben Prozessbaum erstellt wurde, um Persistenz zu erhalten, liegt wahrscheinlich ein IoC vor.
Signale an unterschiedlichen Punkten eines möglichen Angriffsvektors werden auch von auf maschinellem Lernen basierenden Modelle erzeugt. Ein Modell, das mit historischen Daten trainiert wurde, um zwischen gut- und bösartigen Befehlszeilen zu unterscheiden, wird beispielsweise eine Bewertung für jede verarbeitete Befehlszeile erzeugen.
Betrachten wir die folgende Befehlszeile:
cmd /c taskkill /f /im someprocess.exeDiese Zeile sorgt dafür, dass die ausführbare Datei cmd.exe die Anwendung taskkill.exe aufruft, um einen Prozess mit einem bestimmten Namen („someprocess.exe“) zu beenden. Der Befehl selbst ist nicht bösartig. Dennoch kann das ML-Modell im Namen des zu beendenden Prozesses mögliche verdächtige Muster erkennen und einen Wahrscheinlichkeitswert über die Maliziösität, also die Bösartigkeit, zurückmelden, der mit anderen Signalen im Prozessbaum aggregiert wird. Das Ergebnis ist eine Abfolge von Ereignissen während einer bestimmten Zeitspanne für jeden virtuellen Prozessbaum.
Der nächste Schritt ist die Verwendung eines maschinellen Lernmodells, um diese Ereignisfolge zu klassifizieren.
Datenmodellierung
Die in den Prozessbäumen hinterlegten Ereignisabläufe lassen sich auf verschiedene Weise aufbereiten, um sie anschließend in ML-Modelle einzuspeisen. Der erste und einfachste Weg besteht darin, ein Lexikon aller möglichen Ereignisse zu erstellen und jedem Ereignis darin eine eindeutige Kennung (Index) zuzuweisen. Auf diese Weise entsteht ein Vektor, der die Abfolge von Ereignissen repräsentiert. Jeder Eintrag in diesen Vektor (Slot) steht für die Anzahl der Vorkommnisse eines bestimmten Ereignistyps. Wenn beispielsweise die möglichen Ereignisse in einem System X, Y und Z heißen, wird eine Ereignisfolge X,Z,X,X durch den Vektor [3, 0, 1] dargestellt: Die Folge enthält drei Ereignisse X, kein Ereignis Y und ein einzelnes Ereignis Z.
Dieses Darstellungsschema, im englischen Sprachraum als Bag-of-words (https://en.wikipedia.org/wiki/Bag-of-words_model) bezeichnet, eignet sich für traditionelle Modelle des maschinellen Lernens und wird seit langem dort genutzt. Allerdings gehen bei dieser Form der Vektorisierung jegliche Informationen über die Reihenfolge der Ereignisse in der Sequenz verloren.
Das zweite Darstellungsschema ist daher chronologisch. Abbildung 1 zeigt einen typischen Prozessbaum: Process A löst zum Zeitpunkt t1 das Signal X aus, Process B zum Zeitpunkt t2 das Signal Z und so weiter. So vektorisiert, wird die gesamte Sequenz X, Z, X, X (oder [1, 3, 1, 1], wobei die Ereignisse durch ihre Indices ersetzt werden,) an ein ML-Modell übergeben.
Bei der Erkennung von Bedrohungen ist die Reihenfolge verschiedener Ereignisse eine wichtige Information für die verlässliche Identifikation böswilliger Aktivitäten. Daher ist es sinnvoll, ein Darstellungsschema zu verwenden, das die Reihenfolge der Ereignisse bewahrt, sowie ML-Modelle, die auf diese Weise sortierte Daten verarbeiten können. Genau diese Fähigkeit findet sich in den im nächsten Abschnitt beschriebenen ML-Modellen.
CNN-BiLSTM
Deep Learning hat sich bei sequenziellen Aufgaben in der Verarbeitung natürlicher Sprache (Natural Language Processing, NLP) sowie bei Stimmungsanalysen und Spracherkennung als sehr leistungsfähig erwiesen. Microsoft Defender ATP verwendet Deep Learning daher auch zur Erkennung verschiedener Angriffstechniken, darunter auch die einer maliziösen PowerShell. Für die Klassifizierung von Signalabfolgen verwenden wir ein Deep Neural Network, das zwei Arten von Bausteinen (Schichten) kombiniert: Convolutional Neural Networks (CNN) und Bidirectional Long Short-Term Memory Recurrent Neural Networks (BiLSTM-RNN).
CNNs werden bei vielen Analysen von Bildern, Audiodateien und natürlicher Sprache verwendet. Eine Schlüsseleigenschaft von CNNs ist die Fähigkeit, die Komplettansicht eines Inputs in High-Level-Features zu komprimieren. Bei der Verwendung von CNNs in der Bildklassifizierung repräsentieren diese High-Level-Features Teile von oder vollständige Objekte(n), die vom Netzwerk erkannt werden.
In unserem Fallbeispiel wollen wir lange Signalfolgen innerhalb des Prozessbaums modellieren, um High-Level-Features und lokalisierte Merkmale für die nächste Schicht des Netzwerks zu erzeugen. Diese Merkmale könnten Signalsequenzen repräsentieren, die zusammen in den Daten erscheinen. Das können Signale über die Erstellung, Ausführung oder Speicherung einer Datei sein oder über einen Eintrag in der Registry mit dem Ziel, die Datei beim nächsten Start des Rechners auszuführen. Die von den CNN-Schichten erstellten Merkmale sind aufgrund ihrer Klassifizierung und Komprimierung für die nachfolgende LSTM-Schicht leichter zu verdauen.
Die LSTM-Schichten genießen in Fachkreisen einen guten Ruf wegen der Ergebnisse, die sie bei Satzklassifizierung, Übersetzungen, Spracherkennung, Stimmungsanalysen und anderen Modellierungsaufgaben liefern. Bidirektionale LSTMs kombinieren zwei LSTM-Schichten, die die Sequenz in fortlaufender wie auch in rückwärtslaufender Richtung verarbeiten.
Die Kombination der beiden Arten von neuronalen Netzen CNN und RNN hat sich als sehr effizient erwiesen – auch, weil so lange Sequenzen von Hunderten von Ereignissen und Signalen schnell klassifiziert werden können. Am Ende der Klassifizierung steht ein Modell, das aus mehreren Schichten besteht: aus einer Einbettungsschicht, aus zwei CNNs und aus einem einzigen BiLSTM. Der Input für dieses Modell besteht aus einer Sequenz aus Hunderten ganzer Zahlen, die als Vektor die ursprünglichen Signale repräsentieren, die während eines konkreten Zeitraums mit einem einzigen Prozessbaum verbunden waren. Abbildung 2 zeigt die Architektur dieses Modells.
Da die Anzahl der möglichen Signale in einem System sehr hoch sein kann, werden Eingangssequenzen durch eine Einbettungsschicht geleitet. Diese komprimiert hochdimensionale Eingaben in niedrigdimensionale Vektoren, die vom Netzwerk verarbeitet werden können. Hochdimensionale Daten sind Informationen, die aufgrund ihrer zahlreichen Variablen nicht in zwei- oder dreidimensionalen Ansichten dargestellt und analysiert werden können. Außerdem erhalten ähnliche Signale im niedrigdimensionalen Raum einen ähnlichen Vektor, was ebenfalls bei der endgültigen Klassifizierung hilft.
Die ersten Schichten eines neuronalen Netzwerks erzeugen immer höherwertige Merkmale, während die letzte Schicht die Klassifizierung der Sequenz durchführt. Das Ergebnis der letzten Schicht ist stets eine Bewertung zwischen 0 und 1. Sie gibt die Wahrscheinlichkeit an, zu der eine Sequenz von Signalen bösartig ist. Die Bewertung wird in Kombination mit anderen Modellen verwendet, um vorherzusagen, ob damit auch der komplette Prozessbaum bösartig ist.
Bedrohungen aus der realen Welt begegnen
Microsoft Defender ATP nutzt das CNN-BiLSTM-Modell, um Bedrohungen aus der realen Welt zu erkennen und im Falle eines tatsächlichen Angriffs Alarm zu schlagen. Wie schon erwähnt, hat dieses Modell bereits eine neue Variante des Bondat-Wurms entdeckt, der sich in mehreren Unternehmen über USB-Geräte verbreitete.
Das Schadprogramm hält sich hartnäckig in Organisationen, solange einzelne Nutzer*innen weiter infizierte USB-Geräte einsetzen. Wir haben die Malware in einer Organisation auf Hunderten von Rechnern gefunden. Und obwohl wir den Angriff schon während des Infektionszeitraums entdeckten, verbreitete er sich so lange weiter, bis alle befallenen USB-Laufwerke aus dem Verkehr gezogen wurden.
Bondat legt bei seinen Angriffen ein JavaScript Payload, ein Code-Snippet, auf den befallenen Geräten ab, das er mit wscript.exe direkt im Speicher ausführt. Die Snippets verwenden einen zufällig generierten Dateinamen, um ihrer Entdeckung zu entgehen. Ein Antimalware Scan Interface deckt jedoch das bösartige Verhalten des Skripts auf.
Um sich über USB-Geräte zu verbreiten, nutzt die Malware die Windows Management Instrumentation. Damit kann sie aus dem Netzwerk auf fast alle Einstellungen eines Windows-Computers zugreifen. Über WMI kann der Wurm die Festplatten des Rechners mit dem folgenden Aufruf abfragen:
SELECT * FROM Win32_DiskDriveWenn die Malware eine Übereinstimmung für /usb findet (siehe Abbildung 5), kopiert sie den JavaScript-Code auf das USB-Gerät und erstellt in seinem Root-Verzeichnis eine Batch-Datei mit dem Ausführungsbefehl für das JavaScript. Um die Nutzer*innen der USB-Geräte über Social Engineering dazu zu verleiten, die Malware auf dem Wechseldatenträger auszuführen, erstellt das Skript eine .lnk-Datei auf dem USB-Gerät, die auf die Batch-Datei verweist.
Eine der Aufgaben des Bondat-Wurms ist das Beenden von Prozessen einer Antiviren-Software oder von Debugging-Tools. Zudem öffnet die Schadsoftware nach dem Beenden eines Prozesses ein Fenster, das wie eine Windows-Fehlermeldung aussieht. Die Nutzer*innen sollen glauben, dass der Prozess abgestürzt ist (siehe Abbildung 6). Der Manipulationsschutz von Microsoft Defender ATP verhindert allerdings genau das.
Die Malware kommuniziert über die Implementierung eines Web-Clients (MSXML) mit einem entfernt arbeitenden Command-and-Control-Server (C2 oder C&C), der quasi die Steuereinheit eines verzweigten Botnets bildet. Jede Anfrage wird mit RC4 unter Verwendung eines zufällig generierten Schlüssels verschlüsselt, der innerhalb der „PHPSESSID“ gesendet wird. Damit sollen Angreifer*innen in der Lage sein, einen Code innerhalb des POST-Bodys zu entschlüsseln.
Jede Anfrage sendet Informationen über die befallene Maschine und ihren Zustand nach der Ausgabe des zuvor ausgeführten Befehls. Die Antwort wird auf der Festplatte gespeichert und dann so weiterverarbeitet („geparst“), dass Befehle innerhalb eines HTML-Kommentars extrahiert werden. Die ersten fünf Zeichen des Code-Snippets werden als Schlüssel zum Dechiffrieren der Daten verwendet, die Befehle werden mit der Methode eval() ausgeführt. Die Abbildungen 7 und 8 zeigen die C2-Kommunikation und die beschriebene Methode.
Sobald der Befehl geparst und von der JavaScript-Engine ausgewertet ist, kann jeder beliebige Code auf einer betroffenen Maschine ausgeführt werden. Das kann das Nachladen weiterer Codes sein, das Entwenden sensibler Informationen oder der Export gestohlener Daten (Exfiltration). Bei der aktuellen Version des Bondat-Wurms führt die Malware Coin-Mining oder koordinierte Distributed-Denial-of-Service (DDoS)-Angriffe durch.
Die Aktivitäten der Bondat-Schadsoftware lösten in der gesamten Angriffskette mehrere Signale aus. Das Deep Learning-Modell hat diese Signale sowie die Reihenfolge untersucht, in der sie auftraten. Dabei stellte der Algorithmus fest, dass der Prozessbaum bösartig war, und löste eine Warnung aus:
- 1. Persistenz: Die Schadsoftware kopiert sich in den Autostart-Ordner und legt eine .lnk-Datei ab, die auf die beim Systemstart geöffnete Kopie von Bondat verweist.
- 2. Umbenennen eines bekannten Programms: Die Malware benennt wscript.exe mit einem zufällig generierten Dateinamen um.
- 3. Ablegen einer Datei mit einem unverfänglichen Dateinamen: Die Malware gibt sich als legitimes Systemtool aus, indem sie eine Datei mit einem ähnlichen Namen wie ein bekanntes Tool ablegt.
- 4. Verdächtige Befehlszeile: Bondat versucht, sich selbst vom vorherigen Speicherort zu löschen. Dafür verwendet der Wurm eine Befehlszeile, die von dem Prozess wscript.exe ausgeführt wird.
- 5. Verdächtige Skriptinhalte: Der Wurm verschleiert den Code des JavaScripts, um die Absichten der Angreifer*innen zu verbergen.
- 6. Verdächtige Netzwerkkommunikation: Die Malware verbindet sich mit der Domäne legitville[.]com.
Microsoft Defender ATP: Intelligente, plattformübergreifende Sicherheit
Die Modellierung eines Prozessbaums, der verschiedene Signale aus unterschiedlichen Zeiten aggregiert, ist eine komplexe Aufgabe. Sie erfordert leistungsfähige Modelle, die sich lange Sequenzen merken, diese dennoch gut genug verallgemeinern können, um qualitativ hochwertige Entdeckungen zu liefern. Das Deep-CNN-BiLSTM-Modell, das wir in diesem Beitrag besprochen haben, ist eine solche leistungsfähige Technologie, die Microsoft Defender ATP bei dieser Aufgabe unterstützt. Heute trägt diese Deep Learning-Lösung dazu bei, dass Microsoft Defender ATP in der Lage ist, im Prinzip bekannte, sich aber evolutionär verändernde Bedrohungen wie Bondat zu erkennen und unschädlich zu machen.
Microsoft Defender ATP löst auf Basis der mit Deep Learning gewonnenen Erkenntnisse Warnmeldungen aus und ermöglicht es Sicherheitsteams in Unternehmen, auf Angriffe mit anderen Funktionen von Microsoft Defender ATP zu reagieren. Dazu zählen das Bedrohungs- und Schwachstellenmanagement, die Reduktion der Angriffsfläche, Schutzmaßnahmen der nächsten Generation, automatisierte Untersuchungen und Reaktionen sowie den Managed-Threat-Hunting-Service Microsoft Threat Experts. Insbesondere informieren die Warnmeldungen auch über die Möglichkeiten von verhaltensbasierten Blockaden und Eindämmungen, die eine weitere Schutzebene hinzufügen.
Die Auswirkungen tiefgreifender, lernbasierter Schutzmaßnahmen auf Endpunkte kommen auch der noch umfassenderen Microsoft Threat Protection zugute, die Signale von Endpunkten mit Daten aus E-Mails und Dokumenten, Identitäten und Anwendungen kombiniert, um eine domänenübergreifende Sichtbarkeit zu gewährleisten. MTP setzt auf die Leistungsfähigkeit der Sicherheitsprodukte, die Teil von Microsoft 365 sind. Damit bietet MTP eine beispiellos koordinierte Verteidigung, die Angriffe auf Unternehmen erkennt, blockiert, behebt – oder im Idealfall ganz verhindert. Durch maschinelles Lernen und KI-Technologien wie das von uns in diesem Beitrag besprochene Deep Learning-Modell analysiert MTP automatisch auch domänenübergreifende Daten, um ein vollständiges Bild jedes Angriffs zu erhalten. Dadurch entfällt die Notwendigkeit, ein Security Operation Center (SOC) zur manuellen Erstellung und Verfolgung der End-to-End-Angriffskette einzusetzen. Stattdessen können sich die SOCs auf kritische Aufgaben wie die Ausweitung der Untersuchungen und die Reaktion auf die Bedrohungen konzentrieren.
Über den Autor: Stratos Komotoglou verantwortet als Senior Subsidiary Product Marketing Manager Microsoft Cybersecurity bei Microsoft Deutschland das gesamte Portfolio von Sicherheitslösungen, u.a. mit Enterprise Mobility + Security, Microsoft Threat Protection, Identity & Access Management, Information Protection und Azure Cloud Security. Er blickt auf langjährige Erfahrung im Bereich Enterprise Mobility und Modern Workplace zurück und war zuletzt bei MobileIron für das EMEA-Marketing verantwortlich.
(ID:46992492)
:quality(80)/images.vogel.de/vogelonline/bdb/1901100/1901192/original.jpg "Mithilfe von künstlichen neuronalen Netzen, die funktionieren wie die im menschlichen Gehirn, ist die Technologie Deep Learning in der Lage, Cyberbedrohungen zu erkennen. (Yingyaipumi - stock.adobe.com)")