Grundlagen bei der Netzwerk-Analyse zur Abwehr fortgeschrittener Malware

Malware wird immer ausgeklügelter, also müssen Sie auch Ihre Abwehrmaßnahmen anpassen. Fortgeschrittenen Analyse-Programmen helfen Ihnen dabei.

Vor einigen Jahren wollte mir ein Unternehmen sein neuestes und bestes Produkt verkaufen, mit dem ich Malware erkennen und abwehren kann. Ich habe das denkend abgelehnt und erklärt, dass mein Unternehmen, voll mit intelligenten Security-Spezialisten besetzt, kaum von der Malware-Flut betroffen sein würde, die das restliche Internet so oft heimsucht. Außerdem sagte ich dem Anbieter, dass wir bereits eine unternehmensweite Antiviren-Lösung im Einsatz hätten, um diese Art von Problemen zu adressieren.

Zum Glück akzeptierte ich trotzdem ein Demo-Gerät. Ich konfigurierte es so, dass ein Teil unseres  Internet-Traffics an einem so genannten „Switched Port Analyzer“-Port erfasst wurde. Sobald ich die Appliance aktivierte und mich einloggte, traf mich fast der Schlag und ich merkte, dass es tatsächlich ein Problem gibt. Bei mehr als einem Dutzend Systeme im Unternehmen wurde Malware erkannt, obwohl auf allen eine Antiviren-Software installiert war. Natürlich befanden sich die Antiviren-Signaturen auf dem neuesten Stand. Jedes der infizierten Systeme kommunizierte regelmäßig mit seinem C&C-Server (Command & Control), einige davon befanden sich am anderen Ende der Welt.

Vermutlich ging das schon eine ganze Weile so und wir wussten es nur nicht. Ein Teil des Traffics entpuppte sich als eher weniger gefährliche Link-Fälschungen, andere Malware dagegen verschickte verschlüsselte Daten, die wir nicht entschlüsseln konnten. Wie dem auch sei, wir hatten definitiv ein Problem und mussten etwas dagegen tun. An dieser Stelle begann meine Reise in die Welt der Security-Analyse.

Mit umfassender Security-Analyse zum effizienten Malware-Schutz

Malware betrifft uns alle. Dabei kommt es nicht darauf an, welche Verteidigungsmechanismen ein Unternehmen im Einsatz hat. Die gute alte Antimalware-Software, auf die wir so lange vertrauten, gibt uns lediglich noch eine Illusion von Security.

In diesem Beitrag erörtern wir die verschiedenen Produkttypen, die Sie für eine effiziente Malware-Erkennung und -Abwehr benötigen. Weiterhin gehen wir auf Advanced Persistent Threats (APT), Zero-Day-Exploits und ähnliche Begriffe ein. Wir zeigen Ihnen auch, wie Sie Daten in ein Programm zur Sicherheitsanalyse importieren. Damit erweitern wir hoffentlich Ihren Horizont für Bedrohungen, mit denen sich Ihr Unternehmen in der heutigen Zeit auseinandersetzen muss.

Für den Aufbau eines umfassenden Security-Analyse-Systems, mit dem Sie Malware effektiv bekämpfen können, brauchen Sie ein Produkt zur Prävention, wie ich es weiter oben beschrieben habe. In meinem Fall habe ich mich für FireEye entschieden. Der Grund war die einzigartige Herangehensweise mit Virtualisierungstechnologie. Unternehmen wie zum Beispiel Damballa, Bit9 und viele weitere bieten ähnliche Produkte an.

FireEyes Plattform zur Threat Prevention analysiert den Datenverkehr in Echtzeit und sperrt Malware für weitere Analysen in eine virtuelle Maschine. Das Produkt kann zusätzlich nach herkömmlichen Malware-Signaturen Ausschau halten, aber auch die Malware-Erkennung auf Grund des heuristischen Verhaltens des Systems ist möglich. So kann auch Malware entdeckt werden, für die es noch keine Signaturen gibt.

Ein Nachteil des FireEye-Produkts ist allerdings, dass es nur Malware auf Systemen erkennen kann, die mit dem Netzwerk verbunden sind, für das die Appliance zuständig ist. Das ist natürlich eine ziemliche Lücke, da viele mobile Geräte auf diese Weise nicht geschützt sind. An dieser Stelle kommen Agent-basierte Herangehensweisen von Firmen wie Trusteer oder Bit9 ins Spiel. Installieren Sie Agents auf jedem Ihrer End-Geräte, können Sie diese unabhängig vom Standort schützen. Es ist also egal, ob Sie sich im Büro, Home Office oder einem öffentlichen WLAN befinden.

Ist ein dediziertes Malware-Präventions-System für Ihr Unternehmen keine Option, dann sollten Sie vielleicht nochmals einen Blick auf Ihr Intrusion Prevention System (IPS) werfen. Einige IPS-Anbieter integrieren jetzt auch eine Malware-Erkennung in ihre Produkte. Manche von Ihnen sind mit ihren Funktionen nicht weit von einer dedizierten Lösung entfernt, die speziell für die Erkennung fortschrittlicher Malware geschaffen wurde.

Das Management der verschiedenen Konfigurationen ist ebenfalls eine Schlüsselstelle eines jeden Analyse-Programms. Die Idee dahinter ist, dass Sie ein Inventar mit wichtigen Konfigurationen und ausführbaren Dateien der geschäftskritischen Systeme erstellen und diese überwachen. Dazu gehören Domänen-, Applikations-, Web-, Datenbank-Server und so weiter. Angreifer versuchen in der Regel, diese Dateien mit neuen Versionen zu ersetzen, um sich dauerhaft in der IT-Umgebung einzunisten. Die Open-Source-Version von Tripwire ist ein freies Monitoring-Tool für die Daten-Integrität und ausgezeichnet dafür zu verwenden, entsprechende Aktivitäten zu unterbinden.

Netzwerk-Scanning bei der Malware-Analyse nicht vergessen

Möglicherweise klingt das nun etwas seltsam, aber auch Netzwerk-Scanning spielt in unserer Security-Analyse eine große Rolle. Sie halten Malware am besten von der IT-Umgebung fern, indem Sie diese effizient abhärten. Kann ich mithilfe eines Netzwerk-Scanners ungepatchte oder nicht mehr aktuelle Systeme ausfindig machen, dann kann ich entsprechend handeln, bevor Cyberkriminelle diesen Umstand ausnutzen und meine Systeme kompromittieren. Für Sie als Kunde ist die Tatsache, dass es hier sehr viele konkurrierende Netzwerk-Scanning-Anbieter gibt, ein großer Vorteil. Somit lässt sich an dieser Stelle bestimmt ein Schnäppchen machen. Die Funktionen unterscheiden sich von Produkt zu Produkt nicht besonders. Zudem gibt es diverse freie Tools, um damit das Netzwerk zu scannen. Dazu gehören unter anderem Nessus und OpenVAS. Allerdings haben diese im Vergleich zu kommerzieller Software oftmals Einschränkungen.

Ein weiterer wichtiger Faktor für die Security-Analyse ist das Log-Management. Sie sollten alle Log-Dateien von Ihren Systemen auf einen zentralen und sicheren Rechner kopieren, um diese dort weiterverarbeiten zu können. Kompromittiert ein Angreifer ein System, versucht er in der Regel, die Beweise für den Einbruch zu vernichten. Dazu modifiziert oder löscht er die System-Logs. Daher sollten Sie Ihre Log-Dateien in ein zentrales Repository auslagern, um den Aufwand für Cyberkriminelle zu erhöhen. Außerdem ist das Suchen von Logs oder Erstellen von Berichten für alle Systeme und Applikationen bei einem zentralisierten Log-Speicher wesentlich einfacher.

Bei der Analyse der Log-Dateien gibt es verschiedene Alarmsignale:

  • Mehrere fehlgeschlagene Login-Versuche, die von einem erfolgreichen gefolgt sind.
  • Anwender, die sich normalerweise von einer IP-Adresse oder einem Ort anmelden, kommen plötzlich von ganz woanders her.
  • Maschinen, die sich ohne DNS-Lookups zu Netzwerk-IP-Adressen verbinden.
  • Verbindungen mit großen Mengen an ausgehendem Traffic.

Jedes dieser Ereignisse muss für sich betrachtet nicht unbedingt ein Problem darstellen. Eine Kombination davon könnte jedoch auf einen Angriff hinweisen.

Ist eine kommerzielle Log-Management- oder SIEM-Lösung (Security Information and Event Management) keine Option, können Sie auf einige tolle freie Produkte zurückgreifen. Splunk zum Beispiel ist wie eine Suchmaschine für Ihre Log-Dateien. Sie dürfen es kostenlos verwenden, wenn die Log-Dateien 500 Megabyte pro Tag nicht übersteigen. Dann gibt es noch das Open-Source-Log-Management-Tool LogStash. Ich habe diese Lösung niemals selbst verwendet, aber es gibt viele positive Berichte darüber.

Das letzte Puzzle-Stück, das ich in Bezug auf ein Security-Analyse-Programm empfehle, ist ein Netzwerk-Analyse-Tool, das den Datenfluss aus mehreren Netzwerken erfassen und analysieren kann. Der Datenfluss ist eine Zusammenfassung aus IP-Adressen, Ports, Protokollen und Datengröße des Traffics im Netzwerk. Anders gesagt ist es alles außer den Daten selbst.

Das Netzwerk-Analyse-Tool sollte die Suche nach Mustern im Traffic erlauben, die zuvor nicht sichtbar waren. Vor eineinhalb Jahren zeigte ein Blog-Beitrag zum Beispiel den Exploit für Geräte mit UPnP (Universal Pulg and Play) Simple Service Discovery Protocol über das Internet. Mit meinem Netzwerk-Analyse-Tool habe ich eine Muster-Abfrage laufen lassen, die externe IP-Adressen als Quelle beinhaltete und eine meiner öffentlichen IP-Adressen adressierte. Dafür habe ich das User Datagram Protocol auf Port 1900 verwendet. Binnen 24 Stunden gab es 539 Treffer für dieses Muster. Die Barbaren klopfen also tatsächlich an unsere Tür.

Weil das Forwarding von Traffic nur bei einigen Routern und Switchen unterstützt wird, müssen Sie eine Möglichkeit finden, diese Daten zu erfassen und zu begutachten. Optionen für dieses Unterfangen sind Analyse-Tools von Firmen wie zum Beispiel Solarwinds, NetScout und Lancope. Auch die bereits erwähnten Log-Management-Tools stellen solche Funktionalitäten zur Verfügung. Persönlich habe ich mich für ein Tool mit dem Namen LYNXeon von 21CT entschieden. Grund dafür ist die Möglichkeit, nicht nur vom Traffic, sondern auch von anderen Datentypen eine Analyse des Traffic-Musters zu realisieren. Lassen Sie mich das näher ausführen.

Integration statt Silo: Greifen Sie bei der Malware-Analyse auf so viele Daten wie möglich zu

Vor zwei Jahren habe ich auf mehreren Konferenzen eine Präsentation mit Namen The Magic of Symbiotic Security gehalten. Dabei habe ich ein Security-Ökosystem beschrieben, das die Integration in den Vordergrund stellt. Die von uns verwendeten Tools sollen aus ihren Insellösungen genommen werden und zusammenarbeiten, um die maximale Effizienz zu erlangen. Das ultimative Ziel beim Thema Security-Analyse sollte es sein, die bereits genannten Puzzleteile zusammenarbeiten zu lassen, um ein klares Bild über die momentanen Bedrohungen zu erhalten. Zum Beispiel Warnungen aus den Malware- und Intrusion-Prevention-Systemen, die Informationen über Malware-Typ, Ziel und Quelle enthalten. 

Weiterhin können wir Daten von anderen Systemen mit ins Spiel bringen, auf denen sich die Daten-Signaturen plötzlich und unerwartet geändert haben. Wir können auch Daten von existierenden Schwachstellen der in unserer Umgebung vorhandenen Systeme mit einbeziehen. Dann gibt es zum Beispiel noch die Informationen aus den Log-Dateien. Das können zum Beispiel fehlgeschlagene Anmeldeversuche oder gesperrte Konten sein. An dieser Stelle greifen wir einfach auf alle Daten so zu, wie uns der Anbieter das entsprechend zur Verfügung stellt, beispielsweise per API-Call, SNMP (Simple Network Management Protocol) oder auch über eine direkte Abfrage aus einer Datenbank. All diese Informationen können wir in LYNXeon importieren. Anschließend können wir mithilfe der Pattern Query Language potenziell schädliche Muster in all diesen Datensätzen suchen.

Nachfolgend finden Sie einige Beispiel für Berichte, die uns einen besseren Überblick über die Netzwerksicherheit liefern.

  • Interne Systeme, die sich zu Servern in der Malwaredomainlist verbinden.
  • Interne Systeme, die sich zu vielen anderen internen Rechnern in sehr kurzer Zeit verbinden.
  • Interne Systeme, die sich zu externen Systemen verbinden, wobei unsere Malware- oder Intrusion-Prevention-Systeme einen Alarm ausgelöst haben.
  • Interne Systeme, die DNS-Server verwenden, die nicht zu der Unternehmens-Infrastruktur gehören.

Kombiniert man den Datenfluss mit anderen Datentypen aus dem Unternehmen, erhält man zusätzliche Vorteile und man kann Muster erstellen, die auf anderen Vorfällen basieren. Diese Muster verwenden wir wiederum, um ähnliche Probleme an anderen Standorten zu finden, die allerdings nicht die gleichen Verteidigungsmechanismen im Einsatz haben.

Die Ratschläge in diesem Beitrag spiegeln wider, was für mich persönlich gut funktioniert hat. Der Artikel ist sicher keine umfangreiche Liste an Tools oder Tool-Kategorien. Allerdings ist es eine Grundlage, mit der Sie das Thema Security-Analyse und Threat Perception angehen können. Es geht sicherlich nicht über Nacht, in Ihrem Unternehmen ein entsprechendes Security-Analyse-Programm zu etablieren. In den meisten Fällen ist eine Einführung aber möglich und Sie haben dadurch ohne Zweifel einen großen Mehrwert. Vergessen Sie allerdings nicht, die Metriken mit jedem weiteren Schritt aufzuzeichnen. Auf diese Weise können Sie dem Management die Rentabilität der getätigten Investition belegen. Viel Glück damit!

Über den Autor:
Josh Sokol ist CISSP und hat 2002 seinen Bachelor in Informatik an der Universität in Austin, Texas gemacht. Danach arbeitete er für mehrere große Firmen. Darunter befinden sich AMD und BearingPoint. Zudem hat Sokol eine Zeitlang für das Militär gearbeitet. Derzeit ist er bei National Instruments beschäftigt und dort für Compliance, Security-Architektur, Risiko- und Schwachstellen-Management zuständig. Er hat schon viele Präsentationen zum Thema Security gehalten. Dazu gehört „HTTPSCan Byte Me“ auf der Black Hat 2010. Zudem ist Sokol im Vorstand von OWASP.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerksicherheit: Tools, Produkte, Software

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close