Untersuchung einer DNSpionage-Kampagne mithilfe von Cisco Threat Response, einschließlich Remote-Arbeit

Ich habe bereits über die kostenlose Cisco Threat Response (CTR) -Lösung gesprochen, mit der sich die Zeit für die Untersuchung von Vorfällen erheblich verkürzen lässt, die durch viele verschiedene Arten von Kompromissindikatoren gekennzeichnet sind - Datei-Hashes, IP-Adressen, Domain-Namen, E-Mail-Adressen usw. Frühere Anmerkungen widmeten sich jedoch entweder Beispielen für die Verwendung von CTR mit separaten Cisco-Lösungen oder der Integration in GosSOPKA und FinCERT. Heute möchte ich beschreiben, wie CTR verwendet werden kann, um einzelne Hacker-Kampagnen zu untersuchen, die viele Vektoren gegen viele verschiedene Ziele innerhalb des Unternehmens verwenden können. Nehmen Sie als Beispiel die DNSpionage-Kampagne, die ich in einem früheren Artikel erwähnt habe .

Das letzte Mal habe ich gezeigt, wie es mit nur einer Lösung erkannt werden kann - dem Cisco Stealthwatch Enterprise-System zur Analyse von Netzwerkanomalien. Anschließend haben wir die Interaktion des böswilligen Client-Teils mit dem Befehlsserver mithilfe des DNS-Protokolls aufgezeichnet, das als Indikator dafür diente, ob es auf nicht autorisierten Knoten im Unternehmensnetzwerk verwendet wurde. Tatsächlich haben wir nach Anomalien im Netzwerkverkehr gesucht, um nach Anzeichen eines Vorfalls zu suchen. Lassen Sie uns nun sehen, wie Sie die DNSpionage-Kampagne anhand bekannter Indikatoren für böswillige Aktivitäten (IOC) identifizieren können.

Die Liste der Indikatoren finden Sie in jedem Threat Intelligence-Bulletin. In diesem Fall werden wir die Website von Cisco Talos nutzen, der weltweit größten Untersuchungsgruppe für nichtstaatliche Vorfälle, die erstmals die DNSpionage-Kampagne enthüllte (hier und hier ).



Im Newsletter sehen wir eine Liste von Indikatoren - Datei-Hashes, IP- und Domänenadressen der am Angriff beteiligten Befehls- und Phishing-Server.



Wenn wir jeden der Indikatoren durch geeignete Schutzmaßnahmen „fahren“, dauert es zu lange. In Cisco AMP for Endpoints, einer Lösung der EDR-Klasse, geben wir beispielsweise einen oder mehrere für uns interessante Hashes in die Suchleiste (oben rechts) ein:



und wir erhalten das gewünschte Ergebnis - wir haben einen Knoten gefunden, auf dem die Aktivität eines Schadprogramms erkannt wurde, für das wir den Hash haben .



Übrigens möchte ich darauf hinweisen, dass die Hash-Suche nicht nur zur Erkennung böswilliger Aktivitäten, sondern auch zur Bekämpfung von Informationslecks verwendet werden kann. Erinnern Sie sich daran, dass eine der Technologien für den Umgang mit Lecks (zusammen mit Containern / Tags und Inhaltsanalysen) die Verwendung digitaler Fingerabdrücke ist, die nur mit den von AMP4E kontrollierten Hashes (sowie anderen Cisco-Lösungen, die möglicherweise enthalten sind) implementiert werden können implementierte AMP-Engine - Cisco Firepower, Cisco Email Security Appliance, Cisco Web Security Appliance, Cisco Umbrella usw.). Ein solcher Mechanismus funktioniert zwar nur für selten geänderte Dateien. Wenn Sie daran interessiert sind, was Cisco zur Behebung von Lecks anbietet, kann ich die Aufzeichnung und Präsentation empfehlen .unser aktuelles Webinar, das wir diesem Thema gewidmet haben.

Aber zurück zu unserer Geschichte. Wenn Sie versuchen, den Zugriff auf die Domänen von Befehls- oder Phishing-Servern zu verfolgen, kann Cisco Umbrella uns helfen.



Da der Hauptinfektionsvektor bei den meisten Vorfällen E-Mail ist, müssen wir auch per E-Mail nach Indikatoren suchen, die für uns von Interesse sind. Dazu geben wir den Hash des entsprechenden Indikators in der Cisco Security Management Appliance oder der Cisco E-Mail Security Appliance an:



Wir finden 5 Postfächer, in denen Spuren der gesuchten Dateien gefunden werden.



Schließlich hilft uns Cisco Firepower, die Firewall der nächsten Generation mit integriertem Intrusion Prevention-System, die IP-Adressen zu verfolgen (und zu blockieren), mit denen der Client-Teil der böswilligen Kampagne interagiert.



In diesem Beispiel erkennen wir die Anzeichen von DNSpionage zwar nicht, aber nicht so schnell, wie wir es wollten. Wir wechseln zwischen Konsolen. Wir führen viele Kopiervorgänge durch und 4 verschiedene Produkte suchen nach 4 verschiedenen Arten von Kompromissindikatoren, wodurch sich die Zeit für Untersuchungen und Reaktionen verlängert. Kann dieser Prozess beschleunigt werden? Na sicher. Sie können SIEM verwenden, das in TI-Quellen integriert werden kann, oder in das Sie Kompromissindikatoren von externen TI-Quellen herunterladen können. Aber es ist teuer, wenn es kommerziell ist oder hohe Kompetenzen erfordert, wenn es aus der Kategorie Open Source stammt. Es gibt eine einfachere und umso kostenlosere Lösung - Cisco Threat Response, die sich hauptsächlich auf Cisco-Lösungen sowie auf Lösungen anderer Anbieter konzentriert.Mit dem Browser-Plug-In „ziehen“ wir alle Indikatoren von der Cisco Talos-Blogseite, die die DNSpionage-Kampagne beschreibt.



Um den Antwortprozess zu beschleunigen, können wir die relevanten Indikatoren direkt über das Plugin blockieren.



Wir sind jedoch daran interessiert, den Vorfall zu untersuchen, um zu verstehen, welche unserer Knoten und Benutzer kompromittiert wurden. Und es ist ratsam, alles auf einem Bildschirm zu sehen. CTR gibt uns nur diese Gelegenheit. Oben links in der grafischen Oberfläche sehen wir alle unsere Indikatoren. Unten links - eine Karte unserer "Infektion".



Die violette Farbe zeigt bereits betroffene Ziele in unserer Infrastruktur an - PCs, Postfächer, Subnetze usw. Im oberen rechten Teil sehen wir eine Zeitleiste, in der die Daten des Auftretens (einschließlich des ersten) von Indikatoren in unserer Netzwerkumgebung angezeigt werden. Im unteren rechten Bereich können wir schließlich detaillierte Informationen zu jedem Indikator abrufen, die durch externe TI-Quellen, z. B. VirusTotal oder Schutzwerkzeuge von Drittanbietern, angereichert und überprüft wurden.



Nachdem wir das Ausmaß der Infektion verstanden haben, können wir beginnen, angemessen auf die identifizierte Bedrohung zu reagieren, indem wir deren Auftreten über Cisco Umbrella blockieren, das die Interaktion mit Befehlsserverdomänen blockiert,



oder über Cisco AMP for Endpoints, das den Betrieb einer schädlichen Datei oder eines schädlichen Prozesses isoliert.



Unmittelbar über die CTR-Oberfläche können wir das Ergebnis der Blockierung einer Datei, Domäne oder eines anderen Indikators sehen.



Durch die Integration von CTR in die Cisco E-Mail Security Appliance oder Cisco Firepower können wir auch infizierte Postfächer bzw. gefährdete Sites isolieren.

Ist es möglich, dasselbe zu tun, jedoch ohne die Cisco Threat Response-Schnittstelle zu verwenden? Manchmal möchten Sie hierfür Ihre eigenen, bekannteren Tools verwenden. Ja, du kannst. Beispielsweise können wir CTR-Funktionen in jede Technologie einbetten, die einen Browser unterstützt (z. B. in unserem eigenen Portal), und aufgrund der Verfügbarkeit von APIs kann von überall auf CTR-Funktionen zugegriffen werden.

Angenommen, Sie bevorzugen eine Befehlszeilenschnittstelle und möchten nachforschen und antworten, indem Sie alle Befehle über die Tastatur eingeben. Dies ist auch einfach zu tun. Hier erfahren Sie beispielsweise, wie die CTR-Integration mit dem Teamwork-System von Cisco Webex Teams und dem dafür entwickelten AskWill-Bot am Beispiel der DNSpionage-Kampagne funktioniert. Cisco Webex Teams werden häufig von unseren Kunden verwendet, um die Interaktion von Informationssicherheitsspezialisten zu organisieren. Dieses Beispiel ist umso interessanter, als es zeigt, wie Sie einen Untersuchungs- und Reaktionsprozess aufbauen können, wenn Sie remote arbeiten. Das einzige, was SOC-Spezialisten vereint, ist ein Kommunikationssystem.

Zum Beispiel möchten wir den Status der Domain 0ffice36o.com erhalten, die vom Befehlsserver als Teil von DNSpionage verwendet wurde. Wir sehen, dass Cisco Umbrella uns den Status "bösartig" zurückgibt.



Und so wird das Team nach Informationen suchen, ob es mehrere Kompromissindikatoren für die von Cisco Talos gleichzeitig identifizierte DNSpionage-Kampagne in unserer Infrastruktur gibt.



Dann können wir die schädliche Domain über Cisco Umbrella oder Cisco Stealthwatch Cloud blockieren. Im letzteren Fall blockiert das Anomalieanalysesystem die Interaktion mit dem Befehlsserver für die von uns verwendeten Amazon AWS-, MS Azure-Cloud-Infrastrukturen usw.



Wenn wir einen Indikator versehentlich blockiert haben oder im Laufe der Zeit bekannt wurde, dass er keine Bedrohung mehr darstellt, können wir ihn von der schwarzen Liste der Schutzlösungen streichen.



So funktioniert die kostenlose Cisco Threat Response-Lösung, deren Hauptaufgabe darin besteht, die Zeit für die Untersuchung und Reaktion auf Vorfälle zu verkürzen. Und wie unsere Kunden sagen, können sie mit CTR diese deutlich reduzieren. 60% der Benutzer haben eine Reduzierung von 50%; weitere 23% haben mindestens 25%. Nicht schlecht für eine kostenlose Lösung, oder ?!

Weitere Informationen:

• Integration von Cisco Threat Response und Cisco Stealthwatch Enterprise
• Interaktion von Cisco-Lösungen in GosSOPKoy und FinCERT
• Warum kauft Cisco Splunk nicht oder spricht nicht darüber, wie die Cisco-Plattform für die Bedrohungssuche funktioniert?
• Bedrohungssuche mit Cisco-Sichtbarkeit
• Fallstudien zur Verwendung von Tools zur Analyse von Netzwerkanomalien: DNSpionage Campaign Discovery