Schon lange funktioniert das Aufspüren von Malware nicht mehr ausschließlich mithilfe von geeigneten Antivirus-Lösungen. Zu schlau sind die Hacker dieser Welt, zu ausgefeilt ihre Cyberattacken. Darüber hinaus stellt sich oft die Frage, ob es sich bei einem vermeidlichen Angriff überhaupt um einen solchen handelt – oder ob „nur“ eine Anwendung den Zugriff auf das System zu erlangen sucht, was vom Sicherheitssystem nicht vorgesehen ist.
Aus diesen und weiteren Gründen setzen Unternehmen mehr und mehr sogenannte XDR-Sicherheitslösungen wie Singularity XDR von SentinelOne ein, um für ein Höchstmaß an Sicherheit zu sorgen. Doch wie genau funktioniert so ein Security-Tool, und was lässt sich damit alles erreichen? Das soll dieser Beitrag zeigen.
[irp posts=“168385″ ]
Einem XDR-Tool wie Singularity XDR liegt eine bestimmte Vorgehensweise zugrunde, die sich primär an den voreingestellten Parametern orientiert. Das vorliegende Beispiel zeigt übrigens die Vorgehensweise eines Lockbit-Angriffs auf die Active Directory-Infrastruktur des attackierten Unternehmens. Diese Ransomware-Attacke besteht aus Gründen der reduzierten Komplexität aus einem AD-Server und drei Endpunkten. Für ein besseres Verständnis der Schadsoftware kommen weitere Datenquellen zum Einsatz. Dazu gehören Okta, Zscaler, etc.
Zu den bereits erwähnten Voreinstellungen zählen im wesentlichen zwei: Entweder wird ein Angriff unmittelbar abgewehrt (Protect-Modus), oder in einem ersten Schritt nur entdeckt (Detect-Modus).
[irp posts=“159992″ ]
Detect-Modus: Dem Hacker auf die Schliche kommen
Mithilfe des Detect-Modus lässt sich ziemlich genau herausfinden, wie der Hacker-Angriff vonstatten geht. Damit kann man – in Verbindung mit den zugrunde liegenden Daten – eine Menge über die Malware-Attacke lernen. Darum geht es bei XDR-Plattformen nämlich im Wesentlichen: Wie Cyberangriffe funktionieren, was die zuständigen Sicherheitsbeauftragten daraus lernen können, und so fort.
Protect-Modus: Dem Hacker sofort den Garaus machen
Im Gegensatz zum Detect-Modus besteht mit dem Protect-Modus die Möglichkeit, einen erfolgten Cyberangriff sofort zu unterbinden, indem die Malware in Quarantäne geschickt und eliminiert wird. Das ermöglicht zwar auch das Erfassen der vorliegenden Daten (woraus sich diverse Erkenntnisse ergeben können), aber in bestimmten Fällen soll ein Angriff zugelassen werden. Falls es sich dabei nämlich um gar keine echte Cyberattacke handelt.
Dem Ransomware-Angriff auf die Spur kommen
Egal also, ob man den Detect- oder Protect-Modus nutzt, die Erkenntnisse aus dem Angriff sind das maßgebliche Ziel einer XDR-Plattform. Denn nur so lässt sich von den Techniken und Taktiken der Hackergruppe wie Lockbit lernen, die für die Ransomware-Attacke verantwortlich sind. Dazu gehören beispielsweise die zugehörigen Warnhinweise, mit deren Hilfe man die betroffenen Endpunkte und die Art der Attacke leichter spezifizieren kann. Daraus lässt sich aber auch ableiten, ob es sich überhaupt um einen „echten“ Angriff handelt – oder auch nicht.
Aus diesen ersten Erkenntnisse lassen sich im nächsten Schritt die erforderlichen Aktionen ableiten. Dazu gehört beispielsweise das Entfernen der betroffenen Endpunkte aus der Netzwerkinfrastruktur, was die Malware davon abhalten soll, sich weiter auszubreiten. Das schafft ein wenig mehr Zeit für das Analysieren und Bewerten des Angriffs. Um dies bestmöglich zu unterstützen, setzt Singularity XDR auf die Erkenntnisse und Daten der Wissensdatenbank MITRE ATT&CK sowie auf andere Datenquellen wie Zscaler und Okta. Zudem weist das Tool die erfolgten Maßnahmen aus, die in Sachen Schadensbegrenzung vorgenommen wurden. Und das für jede einzelne betroffene Maschine.
[irp posts=“157885″ ]
Vier Maßnahmen, ein Ziel: Malware fernhalten und eliminieren
Der nächste Schritt, der sich aus den so gewonnenen Erkenntnissen ergibt, konzentriert sich auf die notwendigen Maßnahmen, die ergriffen werden sollten. Dazu gehören die folgenden vier:
- Stop: Das Anhalten sämtlicher Prozesse, die von dem Hackerangriff betroffen sind.
- Quarantäne: Das Verschlüsseln und Bewegen der Malware in einen separaten, geschützten Bereich.
- Remediate: Das Löschen aller betroffenen Dateien und Systemänderungen auf sämtlichen Endpunkten.
- Rollback: Das Wiederherstellen sämtlicher Dateien und Systemeinstellungen, wie sie vor dem Angriff vorlagen.
Die Schritte 3 und 4 sind natürlich nur dann erforderlich, wenn sich das XDR-Tool im Detect-Modus befunden hat. Denn nur im Protect-Modus wird die Malware unmittelbar vom System und seinen Endpunkten ferngehalten. Am Ende dieser vier Aktionen steht im besten Fall ein System derart zur Verfügung, als ob es die Malware-Attacke nie gegeben hätte.
Malware-Angriffe besser verstehen
Neben all den erforderlichen Maßnahmen leistet eine XDR-Plattform wie Singularity XDR weitere Erkenntnisse. Dazu gehört ein besseres Verständnis, wie die Malware überhaupt auf dem System und den angeschlossenen Endpunkten „landen“ konnte. Hierfür steht ein Tool namens Remote Shell zur Verfügung. Damit lässt sich der Angriff grafisch darstellen, mit all seinen Verzweigungen und Aktionen, die sich aus der Cyberattacke ableiten lassen.
Hier kommen wieder die externen Datenquellen wie die von Okta ins Spiel. Damit lassen sich weitere Erkenntnisse ableiten, wie die Malware möglicherweise auf dem System bzw. Endpunkt landen konnte. Hierfür lässt sich beispielsweise herausfinden, über welche Server ein Login stattgefunden hat. Das liefert möglicherweise wichtige Hinweise auf die Schwachstelle, die sich dann mithilfe der Integration des externen Tools in die XDR-Plattform direkt identifizieren und deaktivieren lässt.
Disclaimer: Diesen Blogpost habe ich im Auftrag von SentinelOne verfasst und veröffentlicht. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.