Neue Erkennungsmethode nutzt Hacker-eigene Jitter-Muster gegen sie
Cybersicherheitsexperten der Varonis Threat Labs haben eine clevere neue Methode entdeckt, um versteckte Cyberangriffe zu erkennen – sogar solche, die von hochqualifizierten staatlich geförderten Gruppen und kriminellen Banden eingesetzt werden.
Ihre neue Technik namens Jitter-Trap konzentriert sich auf die Identifizierung zufälliger Muster, die Hacker zur Geheimhaltung nutzen. Dieser neuartige Ansatz zielt darauf ab, einen heiklen Aspekt von Cyberangriffen abzufangen, die sogenannte „Post-Exploitation- und C2-Kommunikation“.
Zu Ihrer Information: Angreifer verwenden häufig spezielle Software, sogenannte Beacons, die Signale an ihre Kontrollzentren senden. Diese Beacons sind so konzipiert, dass sie durch zufällige Zeitabläufe schwer zu erkennen sind, ähnlich wie ein Herzschlag, der sich ohne klares Muster beschleunigt und verlangsamt.
Die Jitter-Trap-Methode stellt diese Idee völlig auf den Kopf. Anstatt sich von der Zufälligkeit täuschen zu lassen, zeigt Varonis‘ Forschung, dass genau diese Zufälligkeit einen eigenen, einzigartigen Fingerabdruck erzeugt, den Sicherheitsteams erkennen können.
Diese Beacons sind Teil größerer Hacking-Tools, auch Post-Exploitation-Frameworks genannt, wie beispielsweise Cobalt Strike oder Sliver . Diese Tools können zwar für sinnvolle Zwecke, wie etwa Sicherheitstests, eingesetzt werden, Kriminelle können sie jedoch auch nutzen, um sich unbemerkt in einem Netzwerk zu verstecken, Daten zu stehlen oder Computer zu übernehmen. Diese fortschrittlichen Tools bieten Möglichkeiten, ihre Aktivitäten zu verbergen, indem sie ihren Netzwerkverkehr wie eine normale Internetnutzung aussehen lassen, beispielsweise ein harmloses Microsoft-Update oder einen gewöhnlichen Website-Besuch.
Traditionell suchen Sicherheitsteams nach bekannten schädlichen Dateien, ungewöhnlichen Benutzeraktionen oder bestimmten Netzwerkmustern, um diese versteckten Bedrohungen zu finden. Hacker aktualisieren jedoch ständig ihre Methoden, sodass es leicht ist, alte Erkennungsregeln zu umgehen oder neue Wege zu finden, um nicht entdeckt zu werden. Varonis‘ Jitter-Trap untersucht laut einem Blogbeitrag , der mit Hackread.com geteilt wurde, speziell die Kommunikation von Beacons.
Wenn sich diese Beacons bei ihren Betreibern melden, verwenden sie eine Ruhezeit und eine Jitter-Einstellung. Die Ruhezeit gibt an, wie lange sie zwischen den Überprüfungen warten, und Jitter fügt dieser Wartezeit Zufälligkeit hinzu. Obwohl viele seriöse Onlinedienste ebenfalls regelmäßige Überprüfungen durchführen, ist die spezifische Art der Zufälligkeit, die durch die Jitter-Einstellungen eines Beacons erzeugt wird, in der Regel einzigartig.
Varonis stellte außerdem fest, dass Jitter zwar Aktivitäten verbergen soll, die dabei entstehenden zufälligen Zeitabläufe, insbesondere über längere Zeiträume, jedoch ein erkennbares Muster bilden, ähnlich einer gleichmäßigen Verteilung, die im normalen Netzwerkverkehr ungewöhnlich ist. Dies ermöglicht es Sicherheitsexperten, diese subtilen Unterschiede zu identifizieren. Die Technik lässt sich auch auf andere zufällige Elemente anwenden, wie etwa die Größe der gesendeten Daten oder die Art und Weise, wie Webadressen (URLs) generiert werden.
Diese Erkennungsmethode hilft Sicherheitsexperten, sich besser gegen komplexe Bedrohungen zu schützen. Durch die Suche nach diesen spezifischen Zufallsmustern können Unternehmen versteckte Cyberaktivitäten effektiver erkennen und stoppen und die Ausweichtechniken der Angreifer gegen sie nutzen.
HackRead
