Angreifer fügen ihrer Malware neue und ausgeklügelte Command-and-Control-Funktionen (C2) hinzu, die gängige statische Abwehrmaßnahmen auf der Grundlage von IPS-Signaturen oder IP-/Domain-/URL-Sperrlisten leicht umgehen können, indem sie gängige, weit verbreitete C2-Framework-Tools wie Cobalt Strike, Brute Ratel, Mythic, Metasploit, Slover und Merlin verwenden. Diese Tools bieten Funktionen nach der Ausnutzung, einschließlich Command-and-Control, Privilegienausweitung und Aktionen auf dem Host und wurden ursprünglich für Penetrationstests und Red-Team-Operationen entwickelt.
Angreifer haben jedoch dieselben Toolkits zu böswilligen Zwecken gekapert und eingebettet, da viele Produkte wie Mythic und Merlin Open Source sind, während andere kommerzielle Produkte wie Cobalt Strike und Brute Ratel von Angreifern durch gehackte Kopien oder durchgesickerten Quellcode gestohlen wurden. Dies hat dieselben Tools effektiv in gegnerische C2-Frameworks für böswillige Post-Exploits verwandelt.
Die Tools können viele Parameter der C2-Kommunikation leicht formen und ändern, so dass Malware die aktuellen Abwehrmaßnahmen noch einfacher und über längere Zeiträume umgehen und größeren Schaden in den Netzwerken der Opfer anrichten kann, z. B. durch den Diebstahl von mehr Daten, die Entdeckung wertvollerer Daten, die Nichtverfügbarkeit von Geschäftsanwendungen/-diensten und die Aufrechterhaltung eines verborgenen Zugriffs auf Netzwerke für zukünftige Schäden.
Aktuelle Ansätze zur Erkennung der neuesten Malware mithilfe von C2-Frameworks verwenden statische Signaturen und Indikatoren, einschließlich der Erkennung von ausführbaren Implantatdateien, IPS-Signaturen zur Erkennung von C2-Datenverkehr und IP/URL-Filtern, die für den Umgang mit den dynamischen, formbaren Profilen der weit verbreiteten C2-Framework-Tools unzureichend sind.
Es ist ein neuer Ansatz erforderlich, der nicht so starr an bekannte Angriffe gebunden ist, sondern auf der Anomalieerkennung eines umfassenden Satzes von Signalen basiert, die in trainierte Machine-Learning-Modelle eingespeist werden, mit feingranularer Verfolgung des Geräte- und Benutzerrisikos. Dieser Ansatz ergänzt bestehende Ansätze, kann aber die Erkennungsraten drastisch erhöhen, während die Anzahl der Fehlalarme gering gehalten wird und die Zukunft gegen sich entwickelnde C2-Traffic-Muster gesichert ist, die mit denselben C2-Framework-Tools leicht ermöglicht werden können.
In diesem Beitrag werden die Lücken in den aktuellen Ansätzen und die erhöhte Wirksamkeit durch die Verwendung eines fokussierten Ansatzes des maschinellen Lernens mit zusätzlichen Netzwerksignalen und feinkörnigen Risikometriken auf der Grundlage von Modellen auf Benutzer- und Organisationsebene diskutiert. Wir besprechen auch einige der wichtigsten Herausforderungen beim Testen der Wirksamkeit einer C2-Beacon-Erkennungslösung.