S3 Ep114: Cyberbedrohungen verhindern – stoppe sie, bevor sie dich stoppen! [Audio + Text]

Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.

[MORSE-CODE]

[ROBOTER-STIMME: Sophos-Sicherheits-SOS]

---

PAUL DUCKLIN.  Hallo zusammen.

Willkommen zur Sophos Security SOS-Woche.

Das heutige Thema ist: Cyber-Bedrohungen verhindern – stoppen Sie sie, bevor sie Sie stoppen!

Und unser heutiger Gast ist kein Geringerer als Mr. Fraser Howard, Director of Research bei SophosLabs.

Nun, diejenigen unter Ihnen, die SOS Week zuvor gehört haben, werden wissen, dass ich Fraser gerne als „Spezialisten für alles“ beschreibe, weil sein Wissen nicht nur breit, sondern auch unglaublich tief ist.

Er kreuzt jede Zelle in der Tabelle an, könnte man sagen.

Also, Fraser, willkommen zurück zur SOS-Woche.

Ich wollte damit beginnen, mich auf etwas zu konzentrieren, das unter dem Namen LOLBIN bekannt ist, was meiner Meinung nach die Abkürzung für „living-off-the-land binary“ ist, was ein Jargon für Software ist, die bereits vorhanden ist und von Köchen gerne verwendet wird.

---

FRASER HOWARD.  Genau das.

---

ENTE.  Und das große Problem im Moment scheint zu sein, dass das wahrscheinlichste LOLBIN oder das wahrscheinlichste vorinstallierte Programm, mit dem die Gauner speisen werden, in Ermangelung eines besseren Ausdrucks, nichts anderes als PowerShell ist, das in Windows integriert ist .

Es ist in jeder Windows-Version verfügbar, sobald Sie es installieren.

Und es ist heutzutage das Verwaltungsmedium für Windows selbst.

Also wie lebt man ohne?

---

FRASER.  Genau – genau wie Sie beschrieben haben, sind LOLBINs aus Sicht der Angreifer genial.

Entweder bringen sie ihr eigenes Messer zum Kampf mit, und ihr Messer sieht möglicherweise ganz anders aus als alles andere, was auf dem System ist …

…oder sie verwenden ein Messer, das zufälligerweise überhaupt auf dem System vorhanden ist.

Und das ist aus offensichtlichen Gründen für den Angreifer von Vorteil.

Keine Sicherheitssoftware wird feststellen, dass plötzlich eine brandneue, glänzende, unbekannte Anwendung ausgeführt und für einen Teil des Angriffs verwendet wird.

Aber Tools wie PowerShell sind bereits da – dann beginnen die Spiele im Hinblick auf den Versuch, herauszufinden: „Ist es etwas Gutes oder ist es etwas Schlechtes?“

Ich wünschte, es gäbe eine einzeilige Antwort darauf, wie wir bösartige PowerShell im Vergleich zu gutartig erkennen, aber eigentlich ist es eine ziemlich komplexe Situation.

Was genau macht der PowerShell-Prozess selbst?

An einem Ende des Spektrums könnten Sie Technologien wie zum Beispiel Application Control einsetzen.

Und als Administrator könnten Sie wählen: „PowerShell, Sie sollten nicht in meiner Umgebung ausgeführt werden dürfen.“

Das ist eine Art Allheilmittel, wenn Sie so wollen, und es würde den Missbrauch von PowerShell verhindern, aber es würde auch viele legitime Aktivitäten unterbrechen, einschließlich der Kernverwaltung der meisten Windows-Computer von heute.

---

ENTE.  OK, also Anwendungssteuerung ist der Name von Sophos für die Fähigkeit, Software zu erkennen und optional zu blockieren, die keine Malware ist, die ein gut informierter Administrator jedoch möglicherweise nicht in seiner Umgebung unterstützen möchte?

---

FRASER.  Genau.

Und es geht nicht nur um Admins und ihre Entscheidung „Welche Anwendung sollen meine Benutzer verwenden dürfen?“.

Es geht um Grundlagen.

Wenn Sie an Sicherheit denken, was ist eines der Dinge, die wir den Leuten in den letzten 5 oder 10 Jahren gesagt haben?

"Patch!"

Wenn Sie ein Administrator sind und jedem erlauben, jede gewünschte Anwendung für seinen Browser zu verwenden, sind das vielleicht 5 bis 10 verschiedene Browser, die Sie patchen müssen.

Tatsächlich können Administratoren mit Technologien wie Application Control diese Angriffsfläche eingrenzen.

---

ENTE.  Aber PowerShell … manche Leute sagen: „Oh, blockiere einfach PowerShell. Alles blockieren .PS1 Dateien. Job erledigt."

---

FRASER.  So einfach ist das nicht!

---

ENTE.  Könnte ein Systemadministrator in einem modernen Windows-Netzwerk ohne PowerShell auskommen?

---

FRASER.  [PAUSE] Nein.

[LACHEN]

Ich meine, es gibt Richtlinienoptionen, die sie auswählen können, um beispielsweise nur die Ausführung bestimmter signierter Skripts zuzulassen.

Aber es gibt eine ganze Reihe von Tipps und Techniken, die die Angreifer kennen, die versuchen, diese Mechanismen ebenfalls zu umgehen.

Einige der älteren Scripting-Engines … das beste Beispiel ist Windows Scripting Host – die meisten Leute wissen nicht, dass es ihn gibt.

Es ist nicht die zentrale Anlaufstelle für Administratoren, die PowerShell ist, aber WSCRIPT und CSCRIPT...

…diese Binärdateien befinden sich wiederum auf jeder einzelnen Windows-Box.

Sie können viel leichter direkt blockiert werden und werden wieder von Malware missbraucht.

---

ENTE.  Der Windows Scripting Host enthält also Dinge wie JavaScript (das nicht in Ihrem Browser, außerhalb Ihres Browsers ausgeführt wird) und das gute alte Visual Basic Script?

---

FRASER.  Es gibt eine ganze Menge davon.

---

ENTE.  Jetzt wird Visual Basic-Skript von Microsoft eingestellt, nicht wahr?

Aber es wird immer noch unterstützt und immer noch sehr weit verbreitet?

---

FRASER.  Es ist sehr beliebt bei den Bad Guys, ja.

Und es sind nicht nur Skript-Engines.

Ich kann mich nicht genau erinnern, wie viele Binärdateien auf einigen der wichtigsten LOLBIN-Listen stehen, die es gibt.

Mit der richtigen Kombination von Schaltern entsteht plötzlich eine Binärdatei, mit der Sie beispielsweise Zertifikate lokal verwalten können …

…kann tatsächlich verwendet werden, um beliebige Inhalte von einem Remote-Server herunterzuladen und lokal auf der Festplatte zu speichern.

---

ENTE.  Ist das CERTUTIL.EXE?

---

FRASER.  Ja, CERTUTIL, beispielsweise.

---

ENTE.  Denn damit lassen sich auch Dinge wie das Berechnen von Datei-Hashes machen.

---

FRASER.  Es könnte beispielsweise verwendet werden, um base64-codierte ausführbare Inhalte herunterzuladen, lokal zu speichern und zu decodieren.

Und dann könnten diese Inhalte ausgeführt werden – beispielsweise als eine Möglichkeit, potenziell durch Ihre Web-Gateways zu gelangen.

---

ENTE.  Und das wird mit PowerShell noch schlimmer, oder?

Weil Sie eine Base64-codierte Zeichenfolge nehmen und diese als Eingabeskript in PowerShell eingeben können, und es wird sie leise für Sie decodieren.

Und Sie können sogar eine Befehlszeilenoption einfügen, können Sie nicht sagen: „Hey, wenn der Benutzer gesagt hat, dass Skripte nicht von der Befehlszeile aus ausgeführt werden dürfen, ignorieren Sie das – ich möchte das überschreiben“?

---

FRASER.  Du erwähntest .PS1 Dateien.

Das ist eine physische Skriptdatei, die möglicherweise auf der Festplatte vorhanden ist.

Tatsächlich ist PowerShell ziemlich geschickt darin, Dinge dateilos zu erledigen, sodass nur die Befehlszeile selbst den gesamten PowerShell-Befehl enthalten kann.

---

ENTE.  Nun, ich verstehe, dass die meiste sogenannte „dateilose Malware“ Dateien beinhaltet, wahrscheinlich ziemlich viele Dateien in ihrem Betrieb …

…aber es wird einen Schlüsselpunkt geben, an dem Sie feststellen könnten, dass etwas *nur in der Erinnerung existiert*.

Sicherheitssoftware, die nur den Festplattenzugriff überwachen kann, wird also ausfallen.

Wie gehen Sie mit einer solchen Situation um, in der die Gauner all dieses halbwegs verdächtige Zeug haben und dann das wirklich Gefährliche mit diesem dateilosen, nur aus dem Gedächtnis stammenden Trick verschleiert haben?

Wie gehen Sie damit um?

---

FRASER.  Eine Möglichkeit, wie wir damit umgehen, insbesondere in Bezug auf PowerShell, besteht darin, dass Microsoft eine Schnittstelle bereitstellt, die uns Einblick in das Verhalten von PowerShell gibt.

AMSI ist also eine Schnittstelle, die Anbieter, Sicherheitsanbieter, verwenden können, um einen Blick auf Malware zu werfen.

---

ENTE.  AMSI ist … Anti-Malware-Scan-Oberfläche?

---

FRASER.  Genau.

Es gibt uns zu jedem Zeitpunkt einen Einblick in das Verhalten von PowerShell.

Da es also Dinge dateilos tun könnte, werden alle herkömmlichen Abfangpunkte, die nach Dateien auf der Festplatte suchen, nicht ins Spiel kommen.

Aber das Verhalten von PowerShell selbst erzeugt, wenn Sie so wollen, Aktivitäten innerhalb der AMSI-Schnittstelle, was uns die Möglichkeit gibt, bestimmte Arten von böswilligen PowerShell-Aktivitäten zu erkennen und zu blockieren.

Die andere Sache ist, dass, obwohl „fileless“ als ein kleines Allheilmittel für die bösen Jungs angesehen wird …

…eigentlich ist eines der Dinge, hinter denen die meisten Angreifer irgendwann her sind, was wir nennen Beharrlichkeit.

OK, sie haben Code auf der Maschine laufen lassen … aber was passiert, wenn diese Maschine neu gestartet wird?

Daher wird ihre dateilose Malware normalerweise versuchen, ein gewisses Maß an Persistenz hinzuzufügen.

Die meisten dateilosen Angriffe, die wir gesehen haben, haben also tatsächlich eine Interaktion, typischerweise mit der Windows-Registrierung – sie nutzen die Registrierung, um Persistenz zu erreichen.

Normalerweise fügen sie eine Art BLOB [Binary Large Object] von Daten in die Registrierung ein und ändern einige Registrierungsschlüssel so, dass beim Neustart dieses Computers dieses BLOB decodiert wird und das böswillige Verhalten erneut fortgesetzt wird.

Bei den heutigen Produkten dreht sich alles um eine ganze Reihe von Technologien, von einfach bis hin zu ganz außergewöhnlich komplexen.

---

ENTE.  Das hilft auch zu erklären, warum Menschen Dateien, die eine Art Vorläufer von Malware sind, aber selbst nicht offenkundig bösartig sind, auf einen Online-Dienst wie beispielsweise Virus Total hochladen …

… und gehen Sie: „Hey, niemand erkennt das. Alle Sicherheitsprodukte sind nutzlos.“

Aber das bedeutet nicht, dass die Datei zum Leben erwachen und anfangen kann, schlechte Dinge zu tun, ohne gestoppt zu werden …

---

FRASER.  Das ist ein sehr guter Punkt.

Ich denke, es ist etwas, was die Sicherheitsindustrie versucht hat … aber die Tatsache, dass wir immer noch darüber reden – wir haben diesen Punkt wahrscheinlich nicht rübergebracht:

Was ist Schutz?

Was meinen wir eigentlich?

Was bedeutet es normalerweise, jemanden vor einer Bedrohung zu schützen?

Die meisten Leute neigen dazu, so darüber zu denken … OK, sie haben eine Bedrohung; sie wollen eine Datei, die „die Bedrohung“ darstellt; und sie wollen sehen, ob diese Datei erkannt wird.

Aber dieser spezielle Angriff … nehmen wir an, es ist ein Bot.

Es könnte 10,000 dieser Dateien *jeden Tag* geben, wenn die bösen Jungs ihren Griff drehen und viele verschiedene Repliken produzieren, die im Wesentlichen alle die gleiche grundlegende Sache sind.

Und die Tatsache, dass 1 oder 10 oder 100 dieser Dateien erkannt werden …

…es sagt nicht wirklich viel darüber aus, wie gut ein Produkt vor dieser Bedrohung schützen könnte.

---

ENTE.  „Bot“ bedeutet Software-Roboter?.

Das ist im Wesentlichen etwas, das regelmäßig auf Ihrem Computer sitzt, zu Hause anruft oder einen zufälligen Server abfragt?

---

FRASER.  Genau.

---

ENTE.  Dieser Server kann sich von Tag zu Tag ändern … und der Bot lädt häufig eine Liste mit Anweisungen herunter, wie zum Beispiel „Hier ist eine Liste der E-Mail-Adressen zum Spam.“

Als nächstes könnte es lauten: „Hier ist eine Liste von Dateierweiterungen, die Sie verschlüsseln sollen“ oder „Keylogger einschalten“?

---

FRASER.  Genau.

---

ENTE.  Oder „Mach gleich einen Screenshot, sie sind in der Banking-App“.

Es ist im Wesentlichen eine aktive Hintertür …

---

FRASER.  Es *ist* eine Hintertür, ja.

Und wir haben vor 20 Jahren über Backdoors gesprochen … Ich erinnere mich, dass ich vor 20 Jahren Kundenpräsentationen gehalten und über Backdoors gesprochen habe.

---

ENTE.  „Back Orifice“, wenn Sie sich erinnern …

---

FRASER.  Ja ja!

Wir haben versucht, die Kunden davon zu überzeugen, dass viele der Hintertüren da draußen tatsächlich wichtiger waren als die hochkarätige Malware des Tages.

Womit Sie sich nicht infizieren wollen, sind die Hintertüren, die es irgendeinem Schurken irgendwo ermöglichen, Ihren Rechner zu kontrollieren und schlimme Dinge zu tun, wie zum Beispiel Ihr Dateisystem zu durchsuchen oder Daten auf Ihrem System zu ändern.

Das ist eine viel beängstigendere Bedrohung als beispielsweise ein sich selbst vervielfältigender Wurm, der sich einfach von Computer zu Computer ausbreitet.

Das könnte die Presse erreichen, und es könnte an und für sich Probleme verursachen …

…aber tatsächlich ist jemand, der Zugriff auf Ihr System hat, wohl eine viel größere Bedrohung.

---

ENTE.  Und wenn ich an Back Orifice zurückdenke, in… was war das 1999? 2000?

Dass es bekanntlich auf Port 13337 lauschte, nicht wahr?

---

FRASER.  Du hast ein gutes Gedächtnis [LACHT]… ja, „Elite“!

---

ENTE.  Und sobald die Leute anfingen, zu Hause DSL-Anschlüsse zu bekommen und einen Heimrouter zu haben, war Back Orifice nutzlos, weil eingehende Verbindungen nicht funktionierten.

Und so dachten die Leute: „Na ja, Backdoors sind auf eingehende Netzwerkverbindungen angewiesen – ich bin standardmäßig durch meinen ISP geschützt, also muss ich mir keine Sorgen machen.“

Aber die Zombies von heute, die Bots von heute – sie rufen zu Hause an, indem sie einen verschlüsselten oder geheimen Kanal verwenden, und sie *laden* die Anweisungen herunter …

---

FRASER.  Und weil es sich um HTTPS handelt, verstecken sie diese Netzwerkaktivität im Grunde zwischen den Millionen und einem anderen Webpaket, das jede Minute über die meisten Heimverbindungen gesendet wird.

---

ENTE.  Das ist also ein weiterer Grund, warum Sie einen umfassenden oder mehrschichtigen Schutz wünschen?

---

FRASER.  Ja.

---

ENTE.  Offensichtlich neue Dateien – Sie möchten sie untersuchen; Sie möchten keine Malware verpassen, die Sie hätten entdecken können.

Aber die Datei könnte im Moment harmlos sein und sich nach dem Laden als Rogue herausstellen; nachdem es sich selbst im Gedächtnis manipuliert hat; nachdem es aufgerufen und Sachen heruntergeladen hat ...

---

FRASER.  Um also auf den ursprünglichen Punkt zurückzukommen: Wie wir Sicherheitsprodukte heute messen, ist komplexer denn je.

---

ENTE.  Weil manche Leute immer noch die Vorstellung haben, dass, na ja, wenn Sie ein Produkt wirklich testen wollen, Sie nur einen riesigen Eimer voller Malware bekommen, alles in Dateien…

---

FRASER.  Gemeinhin als „Zoo“ bezeichnet.

---

ENTE.  … und Sie legen das irgendwo isoliert auf einem Server ab.

Dann scannen Sie es mit einem statischen Scanner und finden heraus, wie viele es erkennt, und das sagt Ihnen, wie sich das Produkt verhält.

Der „Virus Total“-Ansatz.

Aber das: [A] wird dazu neigen, gute Produkte zu unterschätzen, und [B] könnte schlechte Produkte überschätzen.

---

FRASER.  Oder Produkte, die sich ausschließlich auf die Erkennung von Dateien spezialisiert haben, um in erster Linie bei solchen Zoo-basierten Tests gut auszusehen.

Das bedeutet in der realen Welt kein Produkt, das tatsächlich ein gutes Schutzniveau bietet!

In Wirklichkeit blockieren wir Dateien … natürlich tun wir das – die Datei ist immer noch eine sehr wichtige Währung, wenn Sie so wollen, in Bezug auf den Schutz.

Aber es gibt noch viele andere Dinge, zum Beispiel die AMSI-Schnittstelle, mit der wir böswillige PowerShell-Aktivitäten und das Verhalten eines Programms selbst blockieren können.

In unserem Produkt untersucht die Verhaltens-Engine also das Verhalten von Prozessen, Netzwerken, Datenverkehr, Registrierungsaktivitäten …

… und dieses kombinierte Bild lässt uns potenziell böswilliges Verhalten erkennen, um nicht unbedingt eine bestimmte Familie oder sogar eine bestimmte Art von Bedrohung zu blockieren, sondern nur * böswillige Aktivitäten *.

Wenn wir feststellen können, dass bestimmte Verhaltensweisen einfach nur bösartig sind, werden wir oft versuchen, diese zu blockieren.

Wir können heute eine bestimmte Art von bösartigem Verhalten blockieren und dann eine Bedrohungsfamilie, die noch nicht einmal geschrieben wurde – in drei Monaten könnte sie dasselbe Verhalten verwenden, und wir werden es proaktiv erkennen.

Das ist also der heilige Gral unserer Arbeit: proaktiver Schutz.

Die Fähigkeit für uns, heute etwas zu schreiben, das in Zukunft böswilliges Verhalten erfolgreich blockieren wird.

---

ENTE.  Ich nehme an, ein gutes Beispiel dafür, um auf das zuvor Erwähnte zurückzukommen, ist CERTUTIL.EXE – das Dienstprogramm zur Zertifikatsvalidierung.

Sie verwenden das vielleicht in Ihren eigenen Skripten, in Ihren eigenen Systemverwaltungswerkzeugen, aber es gibt einige Verhaltensweisen, die Sie nicht erwarten würden, obwohl dieses Programm dafür gemacht werden kann, diese Dinge zu tun.

Sie würden auffallen.

---

FRASER.  Sie würden genau auffallen.

---

ENTE.  Man kann also nicht sagen: „Das Programm ist schlecht“, aber irgendwann im Verhalten kann man sagen: „Aha, jetzt ist es zu weit gegangen!“

---

FRASER.  Und das berührt einen weiteren interessanten Aspekt der heutigen Landschaft.

Historisch EVIL.EXE läuft; wir könnten die Datei erkennen; wir könnten böswilliges Verhalten erkennen; wir bereinigen es aus Ihrem System.

Sie haben von LOLBINs gesprochen … wenn wir feststellen, dass PowerShell etwas Böswilliges tut, entfernen wir es natürlich nicht POWERSHELL.EXE von diesem System.

---

ENTE.  „Ooh, ich habe festgestellt, dass Windows etwas Schlimmes macht – das ganze System löschen!“

[LACHEN]

---

FRASER.  Wir blockieren diesen Prozess grundsätzlich; wir stoppen diesen Prozess damit, das zu tun, was er tun sollte; und wir beenden es.

PowerShell ist jedoch weiterhin auf dem physischen System vorhanden.

Tatsächlich unterscheiden sich die Angreifer von heute auch sehr von den Angreifern von gestern.

Bei den heutigen Angreifern dreht sich alles darum, ein Ziel zu haben; einen Zweck haben.

Das alte Modell war mehr Spray-and-Pray, wenn Sie so wollen.

Wenn jemand den Angriff blockiert … Pech gehabt, sie geben auf – es gibt dort keine menschliche Präsenz.

Wenn der Angriff funktioniert, werden Daten gestohlen, eine Maschine wird kompromittiert, was immer es auch sein mag, aber wenn der Angriff blockiert wurde, passiert nichts weiter auf dem System.

Bei den heutigen Angriffen gibt es tatsächlich viel mehr menschliche Elemente.

Typischerweise bei vielen Angriffen, die wir heute sehen – dies wird durch viele Ransomware-Angriffe verkörpert, bei denen die Gauner gezielt versuchen, bestimmte Organisationen mit ihren Ransomware-Kreationen anzugreifen …

… wenn etwas blockiert ist, versuchen sie es erneut, und sie versuchen es immer wieder.

Da wir Dinge blockieren und verschiedene Arten von böswilligem Verhalten blockieren, gibt es etwas hinter den Kulissen; eine *Person* hinter den Kulissen; eine Bedrohungsgruppe hinter den Kulissen, die es erneut versucht.

---

ENTE.  Vor 10 oder 15 Jahren hieß es also: „Oh, wir haben diese brandneue, bisher unbekannte Word-Malware gefunden. Wir haben die Datei gelöscht und bereinigt und ins Protokoll geschrieben“.

Und alle gehen in das Meeting, haken es ab und klopfen sich gegenseitig auf die Schulter: „Großartig! Job erledigt! Bereit für nächsten Monat.“

---

FRASER.  Jetzt ist es ganz anders.

---

ENTE.  Heute *das war nicht der Angriff*.

---

FRASER.  Nein!

---

ENTE.  Das war nur ein Vorläufer, ein „Ich frage mich, welche Marke von Rauchmeldern sie verwenden?“ Art von Prüfung.

---

FRASER.  Genau.

---

ENTE.  Und sie planen nicht, diese Malware zu verwenden.

Sie versuchen nur zu erraten, welchen Schutz Sie haben?

Was ist eingeschaltet; welche Verzeichnisse enthalten sind; welche Verzeichnisse von Ihrem Scan ausgeschlossen sind; welche Umgebungseinstellungen hast du?

---

FRASER.  Und worüber wir heute sprechen, ist aktive Gegner.

Aktive Gegner … sie bekommen viel Presse.

Das ist das Konzept des gesamten MITRE ATT&CK-Frameworks – das ist im Wesentlichen eine Bibel, ein Wörterbuch, wenn Sie so wollen, von Kombinationen von Taktiken.

Die Taktik sind die Vertikalen; Die Horizontalen sind die Techniken.

Ich glaube, es gibt 14 Taktiken, aber ich weiß nicht, wie viele Techniken ... Hunderte?

---

ENTE.  Es kann ein bisschen schwindelerregend sein, dieses MITRE-Gitter!

---

FRASER.  Es ist im Wesentlichen ein Wörterbuch der verschiedenen Arten von Dingen, der verschiedenen Arten von Techniken, die auf einem System im Wesentlichen zum Guten oder zum Schlechten verwendet werden können.

Aber es ist im Wesentlichen auf Angreifer und aktive Gegner ausgerichtet.

Wenn Sie möchten, ist es eine Taxonomie dessen, was ein aktiver Gegner tun könnte, wenn er sich auf dem System befindet.

---

ENTE.  Richtig, denn früher (Sie und ich werden uns daran erinnern, weil wir beide Zeit damit verbracht haben, umfassende Malware-Beschreibungen zu schreiben, Dinge, die vor 15 oder 20 Jahren notwendig waren – Sie sprachen davon EVIL.EXE) ...

…weil die meisten Bedrohungen damals Viren waren, sich also selbst verbreiteten und in sich geschlossen waren.

Sobald wir es hatten …

---

FRASER.  …können Sie von A bis Z genau dokumentieren, was es auf dem System gemacht hat.

---

ENTE.  So viel Malware damals, wenn man sich anschaut, wie sie sich versteckt hat; wie sie ins Gedächtnis gingen; Polymorphismus; all das Zeug – viele von ihnen waren heute viel komplizierter, dieses Zeug zu analysieren.

Aber sobald Sie wussten, wie es funktionierte, wussten Sie, wie jede Generation möglicherweise aussehen würde, und Sie konnten eine vollständige Beschreibung schreiben.

---

FRASER.  Ja.

---

ENTE.  Nun, das können Sie einfach nicht tun.

„Nun, diese Malware lädt eine andere Malware herunter.“

Welche Malware?

"Ich weiß es nicht."

---

FRASER.  Betrachten Sie zum Beispiel einen einfachen Loader: Er läuft; Es wird regelmäßig eine Verbindung hergestellt.

Der Angreifer hat die Möglichkeit, eine Art codiertes BLOB einzuschleusen – nehmen wir zum Beispiel an, es handelt sich um eine DLL, eine Dynamic Link Library, ein Modul … im Wesentlichen um einen ausführbaren Code.

Also: "Was bewirkt diese Drohung?"

Nun, es hängt genau und vollständig davon ab, was der Angreifer über die Leitung schickt.

---

ENTE.  Und das könnte sich von Tag zu Tag ändern.

Es könnte sich je nach Quell-IP ändern: „Sind Sie in Deutschland? Bist du in Schweden? Bist du in Großbritannien?“

---

FRASER.  Oh ja, das sehen wir ziemlich oft.

---

ENTE.  Es könnte auch sagen: „Hey, du bist bereits verbunden, also werden wir dich füttern NOTEPAD oder beim nächsten Mal eine unschuldige Datei.“

---

FRASER.  Ja.

Die Angreifer verfügen in der Regel über Techniken, die sie verwenden, um zu erkennen, wenn wir [dh die SophosLabs] versuchen, ihre Kreation auszuführen.

Sie füttern uns also nicht mit dem, was die ultimative Nutzlast sein könnte.

Sie wollen nicht, dass wir die Nutzlast sehen – sie wollen nur, dass die Opfer diese Nutzlast sehen.

Manchmal gehen die Dinge einfach leise aus; manchmal laufen sie einfach CALC, oder NOTEPAD, oder etwas offensichtlich Dummes; Manchmal erhalten wir möglicherweise eine unhöfliche Nachricht.

Aber normalerweise versuchen sie, die ultimative Nutzlast zurückzuhalten und diese für ihre Opfer zu reservieren.

---

ENTE.  Und das bedeutet auch…

… Ich habe das Wort „Polymorphismus“ zuvor leichtfertig verwendet; Das war damals bei Viren sehr üblich, wo jedes Mal, wenn der Virus sich selbst in eine neue Datei kopierte, er im Grunde seinen Code permutierte, oft auf sehr komplizierte Weise, und sogar seinen eigenen Algorithmus neu schrieb.

Aber Sie könnten den Motor bekommen, der das Scrambling erledigt hat.

---

FRASER.  Ja.

---

ENTE.  Das behalten die Gauner jetzt für sich.

---

FRASER.  Das ist auf einem Server woanders.

---

ENTE.  Und sie drehen im Hintergrund an der Klinke.

---

FRASER.  Ja.

---

ENTE.  Und Sie haben auch Loader erwähnt – die Leute haben vielleicht von Dingen wie BuerLoader, BazaarLoader gehört, das sind irgendwie bekannte „Markennamen“…

...in einigen Fällen gibt es Gaunerbanden, und das ist alles, was sie tun.

Sie schreiben nicht die Malware, die als nächstes kommt.

Sie sagen nur: „Was sollen wir laden? Geben Sie uns die URL und wir fügen sie für Sie ein.“

---

FRASER.  Die ursprünglichen Bot-Betreiber von vor 15 oder 20 Jahren – wie haben sie Geld verdient?

Sie haben Netzwerke von Maschinen kompromittiert – das ist im Wesentlichen, was a Botnet Das heißt, viele Maschinen unter ihrem Kommando – und dann könnten sie dieses „Netzwerk“ im Grunde vermieten.

Es könnte sich um einen verteilten Denial-of-Service handeln – bringen Sie beispielsweise alle diese infizierten Computer dazu, einen Webserver anzugreifen, und schalten Sie diesen Webserver aus.

Wie Sie bereits erwähnt haben, könnte es sich um Spam handeln.

Die natürliche Weiterentwicklung davon ist in gewisser Weise der heutige Lader.

Wenn jemand ein System mit einem Loader infiziert hat und dieser Loader nach Hause ruft, haben Sie im Wesentlichen einen Bot.

Sie haben die Möglichkeit, Dinge auf dieser Maschine auszuführen …

… also müssen sich diese Cyberkriminellen, genau wie Sie sagen, nicht darum kümmern, was die ultimative Nutzlast ist.

Ist es Ransomware?

Ist es Datendiebstahl?

Sie haben ein Fahrzeug … und Ransomware ist fast die letzte Auszahlung.

"Wir haben alles getan, was wir tun wollten." (Oder wir sind bei allem anderen gescheitert, was wir uns erhofft hatten.)

„Versuchen wir es einfach mit Ransomware …“

---

ENTE.  „Wir haben jetzt alle Passwörter protokolliert, mehr sind nicht zu bekommen.“ [LACHT]

---

FRASER.  Es gibt keinen anderen Ort!

---

ENTE.  „Wir haben alle Daten gestohlen.“

---

FRASER.  Genau… die letzte Auszahlung ist Ransomware!

An diesem Punkt ist sich der Benutzer bewusst, und die Administratoren sind sich bewusst, dass Daten verloren gehen.

Der heutige Loader ist also fast eine Erweiterung, eine Weiterentwicklung des gestrigen Bots.

---

ENTE.  Fraser, ich bin mir der Zeit bewusst …

Da Sie also ein Bild gemalt haben, das eindeutig Vollzeitarbeit und Vollzeitverständnis erfordert, sind Sie ein erfahrener Forscher, Sie tun dies seit Jahren.

Nicht jeder kann seinen Hauptjob in der IT oder Systemadministration aufgeben, um einen *anderen* Hauptjob zu haben, um in der Organisation wie Sie zu sein.

Wenn Sie drei einfache Tipps geben müssten, was Sie heute tun (oder nicht tun) sollten, um mit einer komplizierteren, fragmentierteren Art des Angriffs durch die Gauner umzugehen – eine, die uns viel mehr Ebenen bietet, auf denen wir muss sich verteidigen...

… was wären diese drei Dinge?

---

FRASER.  Das ist eine schwierige Frage.

Ich denke, das erste muss sein: Bewusstsein und Sichtbarkeit in Ihrer Organisation zu haben.

Es klingt einfach, aber wir sehen ziemlich oft Angriffe, bei denen der Ausgangspunkt eines Angriffs eine ungeschützte Box war.

Sie haben also eine Organisation….

…sie haben eine wunderbare IT-Politik; sie haben Produkte, die über dieses Netzwerk bereitgestellt und richtig konfiguriert sind; Sie haben vielleicht ein Team von Leuten, die nach all den kleinen Sensoren und all den Daten Ausschau halten, die von diesen Produkten zurückkommen.

Aber sie haben einen ungeschützten Domänencontroller, und die Bösewichte haben es geschafft, darauf zuzugreifen.

Und dann gibt es innerhalb des gesamten MITRE ATT&CK-Frameworks eine Technik namens seitliche Bewegung...

…sobald die Angriffe auf eine Kiste gerichtet sind, werden sie weiterhin versuchen, sich von dort seitlich durch die Organisation zu bewegen.

Und diese erste Art von Standbein gibt ihnen einen Punkt, von dem aus sie das tun können.

Sichtbarkeit ist also der erste Punkt.

---

ENTE.  Man muss auch wissen, was man nicht weiß!

---

FRASER.  Ja – Sie haben Einblick in alle Geräte in Ihrem Netzwerk.

Nummer zwei ist: Konfiguration.

Das ist ein bisschen heikel, weil niemand gerne über Richtlinien und Konfigurationen spricht – es ist ehrlich gesagt ziemlich langweilig.

---

ENTE.  Es ist aber irgendwie wichtig!

---

FRASER.  Absolut entscheidend.

---

ENTE.  „Was man nicht messen kann, kann man nicht managen“, sagt ein altes Sprichwort.

---

FRASER.  Ich denke, meine einzige Empfehlung dafür wäre: Verwenden Sie nach Möglichkeit die empfohlenen Standardeinstellungen.

Sobald Sie von den empfohlenen Standardeinstellungen abweichen, schalten Sie normalerweise entweder Dinge aus (schlecht!) oder Sie schließen bestimmte Dinge aus.

---

ENTE.  Ja.

---

FRASER.  Beispielsweise das Ausschließen eines bestimmten Ordners.

Nun, das könnte durchaus akzeptabel sein – Sie könnten eine benutzerdefinierte Anwendung darin haben, eine benutzerdefinierte Datenbankanwendung, bei der Sie sagen: „Ich möchte keine Dateien in diesem bestimmten Ordner scannen.“

Es ist nicht ganz so gut, wenn Sie beispielsweise den Windows-Ordner ausschließen!

---

ENTE.  "Ausschließen C:*.* und alle Unterverzeichnisse.“ [LACHT]

---

FRASER.  Es ist.

---

ENTE.  Du fügst eins hinzu, du fügst ein weiteres hinzu und dann gehst du nicht hin und überprüfst es …

… landen Sie dort, wo im Grunde alle Türen und alle Fenster offen stehen.

---

FRASER.  Es ist ein bisschen wie eine Firewall.

Du blockierst alles; Sie stoßen ein paar Löcher: fein.

Sie bohren die nächsten drei Jahre weiter in Löcher, und bevor Sie wissen, wo Sie sind ...

…Sie haben Schweizer Käse als Firewall.

[LACHEN]

Es wird nicht funktionieren!

Damit Konfiguration ist wirklich wichtig, und bleiben Sie, wenn möglich, bei den Standardeinstellungen.

---

ENTE.  Ja.

---

FRASER.  Halten Sie sich an die Standardeinstellungen, denn … diese empfohlenen Standardeinstellungen – sie werden aus gutem Grund empfohlen!

Wenn Sie beispielsweise in unseren eigenen Produkten von den Standardeinstellungen abweichen, erhalten Sie häufig eine Warnung mit einem roten Balken, dass Sie den Schutz im Grunde deaktivieren.

---

ENTE.  Wenn Sie abseits der Piste gehen, stellen Sie sicher, dass Sie es wirklich wollten!

---

FRASER.  Sorgen Sie für gute Sicht.

Und ich denke, der dritte Punkt ist dann: erkennen die erforderlichen Fähigkeiten an.

---

ENTE.  Scheuen Sie sich nicht, um Hilfe zu rufen?

---

FRASER.  Ja: Scheuen Sie sich nicht, um Hilfe zu rufen!

Sicherheit ist komplex.

Wir stellen es uns gerne einfach vor: „Welche drei Dinge können wir tun? Welche einfachen Dinge können wir tun?“

Tatsächlich ist die heutige Sicherheit sehr kompliziert.

Produkte versuchen möglicherweise, dies auf relativ einfache Weise zu bündeln und ein gutes Maß an Schutz und gute Sichtbarkeit verschiedener Verhaltensweisen in einem Netzwerk zu bieten.

Aber wenn Sie nicht über die Fähigkeiten oder die Ressourcen für diese Angelegenheit verfügen, um die Ereignisse zu verarbeiten, die hereinkommen und auf Ihr Dashboard treffen …

…finden Sie jemanden, der das tut!

Die Verwendung eines verwalteten Dienstes kann beispielsweise Ihre Sicherheit erheblich verbessern und diese Kopfschmerzen beseitigen.

---

ENTE.  Das ist kein Eingeständnis einer Niederlage, oder?

Du sagst nicht: „Oh, ich kann es nicht selbst tun.“

---

FRASER.  Wir reden 24 x 7 x 365.

Für jemanden, der das intern macht, ist das also ein gewaltiges Unterfangen.

Und wir sprechen auch über komplexe Daten – und wir sprachen über aktive Gegner und diese Art von Angriff.

Wir wissen, dass die Bösewichte es immer wieder versuchen werden, selbst wenn wir Dinge blockieren: Sie werden die Dinge ändern.

Ein gutes Team, das sich diese Daten ansieht, wird diese Art von Verhalten erkennen und nicht nur wissen, dass etwas blockiert wird, diese Leute werden auch denken: „Okay, da versucht jemand wiederholt, durch diese Tür einzudringen.“

Das ist ein ziemlich nützlicher Indikator für sie, und sie werden Maßnahmen ergreifen und den Angriff abwehren.

[PAUSE]

Drei ziemlich gute Ratschläge gibt es!

---

ENTE.  Ausgezeichnet, Frazer!

Vielen Dank und vielen Dank, dass Sie Ihre Erfahrungen und Ihr Fachwissen mit uns teilen.

Allen, die zuhören, vielen Dank.

Und jetzt bleibt mir nur noch zu sagen: „Bis zum nächsten Mal, bleibt gesund.“

[MORSE-CODE]