Video: DNS Based Botnet C&C (Dezember 2024)
Das erste Quartal dieses Jahres war voller Nachrichten über Datenschutzverletzungen. Die Zahlen waren alarmierend - zum Beispiel 40 Millionen oder mehr betroffene Zielkunden. Aber die Dauer einiger Verstöße war auch ein Schock. Die Systeme von Neiman Marcus waren drei Monate lang offen, und die Verletzung von Michael, die im Mai 2013 begann, wurde erst im Januar entdeckt. Also, sind ihre Sicherheitsleute total bescheuert? Ein kürzlich veröffentlichter Bericht von Damballa, einem Anbieter für die Wiederherstellung von Sicherheitsverletzungen, weist darauf hin, dass dies nicht unbedingt der Fall ist.
In dem Bericht wird darauf hingewiesen, dass die Anzahl der Warnungen sehr hoch ist. In der Regel muss ein menschlicher Analytiker feststellen, ob die Warnung tatsächlich ein infiziertes Gerät anzeigt oder nicht. Es wäre lächerlich, jede Warnung als Infektion zu behandeln, aber die Zeit für die Analyse zu nehmen, gibt den Bösen Zeit zum Handeln. Schlimmer noch, bis die Analyse abgeschlossen ist, ist die Infektion möglicherweise weitergegangen. Insbesondere kann eine völlig andere URL verwendet werden, um Anweisungen abzurufen und Daten zu filtern.
Domain-Fluxing
Dem Bericht zufolge sieht Damballa fast die Hälfte des gesamten nordamerikanischen Internetverkehrs und ein Drittel des mobilen Verkehrs. Das gibt ihnen einige wirklich große Daten, mit denen sie spielen können. Im ersten Quartal wurde der Datenverkehr auf mehr als 146 Millionen verschiedenen Domänen protokolliert. Ungefähr 700.000 davon waren noch nie zuvor gesehen worden, und über die Hälfte der Domänen in dieser Gruppe wurden nach dem ersten Tag nie wieder gesehen. Verdächtig viel?
Der Bericht stellt fest, dass ein einfacher Kommunikationskanal zwischen einem infizierten Gerät und einer bestimmten Command and Control-Domäne schnell erkannt und blockiert wird. Um unter dem Radar zu bleiben, verwenden die Angreifer einen sogenannten Domain-Generierungsalgorithmus. Das kompromittierte Gerät und der Angreifer verwenden einen vereinbarten "Startwert", um den Algorithmus zu randomisieren, beispielsweise die Top-Story auf einer bestimmten Nachrichtenseite zu einem bestimmten Zeitpunkt. Bei gleichem Startwert liefert der Algorithmus die gleichen Pseudozufallsergebnisse.
In diesem Fall handelt es sich bei den Ergebnissen um eine Sammlung von zufälligen Domänennamen, möglicherweise um 1.000. Der Angreifer registriert nur einen davon, während das kompromittierte Gerät alle ausprobiert. Wenn es das Richtige trifft, kann es neue Anweisungen erhalten, die Malware aktualisieren, Geschäftsgeheimnisse verschicken oder sogar neue Anweisungen für den Samen erhalten, der beim nächsten Mal verwendet werden soll.
Informationsüberlastung
Der Bericht stellt fest, dass "Warnungen nur auf anomales Verhalten hinweisen, nicht auf Anzeichen einer Infektion." Einige Kunden von Damballa erhalten täglich bis zu 150.000 Alarmereignisse. In einer Organisation, in der eine menschliche Analyse erforderlich ist, um die Spreu vom Weizen zu unterscheiden, sind das einfach zu viele Informationen.
Es wird schlimmer. Damballas Forscher fanden heraus, dass "große, global verteilte Unternehmen" im Durchschnitt 97 Geräte pro Tag mit aktiven Malware-Infektionen zu leiden hatten. Diese infizierten Geräte haben zusammengenommen durchschnittlich 10 GB pro Tag hochgeladen. Was schickten sie? Kundenlisten, Geschäftsgeheimnisse, Geschäftspläne - das kann alles sein.
Damballa behauptet, die einzige Lösung bestehe darin, den menschlichen Engpass zu beseitigen und eine vollautomatische Analyse durchzuführen. Angesichts der Tatsache, dass das Unternehmen genau diesen Service anbietet, ist die Schlussfolgerung keine Überraschung, aber das bedeutet nicht, dass es falsch ist. Der Bericht zitiert eine Umfrage, wonach 100 Prozent der Damballa-Kunden der Meinung sind, dass "die Automatisierung manueller Prozesse der Schlüssel zur Bewältigung künftiger Sicherheitsherausforderungen ist".
Wenn Sie für die Netzwerksicherheit Ihres Unternehmens verantwortlich sind oder die Managementkette der Verantwortlichen verlassen, sollten Sie auf jeden Fall den vollständigen Bericht lesen. Es ist ein zugängliches Dokument, nicht umgangssprachlich. Wenn Sie nur ein Durchschnittsverbraucher sind, sollten Sie beim nächsten Mal, wenn Sie einen Nachrichtenbericht über einen Datenverstoß hören, der trotz 60.000 Warnungsereignissen aufgetreten ist, daran denken, dass Warnungen keine Infektionen sind und dass jede Analyse erforderlich ist. Die Sicherheitsanalysten können einfach nicht mithalten.
