Suche

Sprache

FunnyDream APT-Kampagne – Heranzoomen Silverfort Schutz vor seitlicher Bewegung

November 25th, 2020

Startseite » Blog » FunnyDream APT-Kampagne – Heranzoomen Silverfort Schutz vor seitlicher Bewegung

*****Von Yiftach Keshet, Director of Product Marketing, Silverfort*****

Eine neue APT-Kampagne mit dem Titel „FunnyDream', wurde von Sicherheitsforschern entdeckt. Die Kampagne richtete sich vor allem an südostasiatische Regierungen. Angriffsergebnisse werden seit Oktober 2018 gemeldet. Die Untersuchung der Spionageaktivitäten der APT-Gruppe zeigt Hinweise darauf seitliche Bewegung. Es scheint, dass kompromittierte Anmeldeinformationen verwendet wurden, um viele Batchdateien mit geplanten Aufgaben und WMI auf Remote-Rechnern auszuführen. Weitere Beweise zeigen, dass die Angreifer das Skript wmiexec.vbs verwendet haben, um Remote-Befehle auszuführen. Dies ist eine schmerzhafte Erinnerung daran, dass Lateral Movement aufgrund einer kritischen Lücke im Standard-Sicherheitsproduktportfolio der meisten Unternehmen immer noch ein blinder Fleck ist. In diesem Blog werden wir erklären, wie die seitliche Bewegung ausgeführt wird in diesem Angriff, und vergrößern Sie dann, wie SilverfortDie innovative Technologie von kann seitliche Bewegungen blockieren insgesamt, indem es seine anormalen Authentifizierungsmuster identifiziert und Sicherheitsrichtlinien auf Befehlszeilen-Fernzugriffstools durchsetzt.

Inhaltsverzeichnis

  • Überblick über die FunnyDream-Kampagne
  • Laterale Bewegung: Legitim durch Design, Bösartig durch Kontext
  • Seitliche Bewegungen stellen Sicherheitsprodukte vor Herausforderungen
  • Silverfort: Die erste einheitliche Identitätsplattform
  • Paradigmenwechsel: Blockieren Sie laterale Bewegungen, indem Sie die Authentifizierungsanforderungen in Echtzeit erhöhen
  • Wie funktioniert es?
  • Können Sie die ausweichende Gefahr der seitlichen Bewegung erkennen und blockieren?

    • Überblick über die FunnyDream-Kampagne

    Die FunnyDream-Kampagne zielte auf hochkarätige Unternehmen in Malaysia, Taiwan, den Philippinen und Vietnam ab. Es verfügt über einen hochentwickelten, maßgeschneiderten Persistenzmechanismus, der fortschrittliche Backdoors und Dropper verwendet, um die stille und langfristige Datenerfassung und -exfiltration zu erleichtern. Nach der anfänglichen Infektion und der Implementierung des Persistenzmechanismus deuten Anzeichen darauf hin, dass die FunnyDream-Bedrohungsakteure versuchen, die Domänencontroller ihrer Opfer zu kompromittieren, und dies auch erfolgreich tun. Anschließend führten sie umfangreiche laterale Bewegungsaktivitäten mit aus geplante Aufgaben und WMI , mit besonderer Präferenz für die Verwendung von wmiexec.vbs zum Untersuchen und Ausführen von Code auf Remotecomputern.

    Laterale Bewegung: Legitim durch Design, Bösartig durch Kontext

    Laterale Bewegungen, wie sie in APT-Kampagnen wie FunnyDream zu sehen sind, können mit legitimen Remote-Admin-Tools wie ausgeführt werden PSexec, Powershell oder im Fall von FunnyDream WMI, um Ressourcen im Netzwerk zu erkunden und darauf zuzugreifen. Mit diesen Tools entfällt die Notwendigkeit, Zero-Day-Schwachstellen zu entdecken, Exploits zu entwickeln oder eine komplizierte Hintertür zu erstellen, da diese Verwaltungstools speziell dafür entwickelt wurden, Netzwerk- und Infrastrukturbetreibern den nahtlosen Zugriff auf jeden Remote-Computer zu ermöglichen. Mit anderen Worten: Diese Tools sind von Natur aus sowohl unglaubliche Produktivitätstreiber als auch tödliche Klingen in den Händen von Angreifern.

    Seitliche Bewegungen stellen Sicherheitsprodukte vor Herausforderungen

    Dafür gibt es zwei Gründe Eine seitliche Bewegung ist mit gängigen Sicherheitslösungen schwer zu erkennen und zu verhindern:
    Der Angriff wird mit legitimen, aber kompromittierten Anmeldeinformationen durchgeführt: Dies bedeutet, dass Sie in der Praxis nur eine Anmeldung mit gültigen Benutzerdaten sehen. Es gibt keinen expliziten Hinweis darauf, dass die verwendeten Anmeldeinformationen tatsächlich kompromittiert sind.
    Die Echtzeiterkennung von anormalem Verhalten ist aufgrund der Komplexität dieser Angriffe schwierig: Einige Lösungen wie EDR, NDR und SIEM können eine potenzielle Anomalie erkennen, nachdem eine seitliche Bewegung aufgetreten ist, und eine rückwirkende Warnung generieren. Da sie es jedoch nicht in Echtzeit erkennen, können sie es nicht blockieren.

    Um den Punkt besser zu veranschaulichen – böswillige Aktivitäten weichen per Definition von legitimen Aktivitäten ab. Beispielsweise im Fall von Malware oder Exploits ist es eine Abweichung vom Standardverhalten von a Prozessdefinierung gefolgt von seiner sofortigen Beendigung durch den Endpoint-Schutz. Bei der Massendatenexfiltration handelt es sich um eine Abweichung von den Standardmustern von Netzwerkverkehr, der, sobald er erkannt wird, ausgelöst wird sofortige Sperrung durch das Netzwerkschutzprodukt. Usw. Wenn jedoch legitime Anmeldeinformationen für den Zugriff auf Ressourcen verwendet werden, wird die Abweichung nur in der angezeigt Aktivität des Benutzers. Und wenn eine Anomalie in der Aktivität des Benutzers festgestellt wird, sollte sofort darauf reagiert werden – entweder der Zugriff des Benutzers gesperrt oder der Benutzer aufgefordert werden, sich erneut zu authentifizieren, um die wahre Identität des Benutzers zu überprüfen. Das ist wo Silverfort ins Spiel kommt.

    Silverfort: Die erste einheitliche Identitätsplattform

    Silverfort ist das erste Unified Identitätsschutz Plattform, die speziell zum Schutz von Organisationen vor identitätsbasierten Angriffen entwickelt wurde, die kompromittierte Anmeldeinformationen verwenden, um auf gezielte Ressourcen zuzugreifen. Silverfort lässt sich in Ihre IAM-Infrastruktur integrieren, um alle Authentifizierungsaktivitäten im Netzwerk zu überwachen, sowohl zu Cloud- als auch zu lokalen Ressourcen, für eine kontinuierliche Risikoanalyse und die Durchsetzung von Zugriffsrichtlinien.

    Paradigmenwechsel: Blockieren Sie laterale Bewegungen, indem Sie die Authentifizierungsanforderungen in Echtzeit erhöhen

    SilverfortDer ganzheitliche Einblick in die gesamte Authentifizierungsaktivität jedes Benutzers ermöglicht es, das Verhaltensprofil Ihrer Benutzer mit unübertroffener Präzision zu bewerten. Es berechnet kontinuierlich das Risiko jeder Zugriffsanfrage im Vergleich zum beobachteten Verhalten des Benutzers und seiner Community. Um mehr darüber zu lesen, siehe den Blog: Erkennen und Vorhersagen böswilliger Zugriffe in Unternehmensnetzwerken mithilfe des Louvain Community Detection-Algorithmus

    Wann Silverfort identifiziert anormale Aktivität, wie dies bei der Fall ist seitliche Bewegungsattacken, kann es die Authentifizierungsanforderungen in Echtzeit erhöhen, um den Zugriff zu blockieren, oder den Benutzer auffordern, sich mit einem MFA seiner Wahl zu authentifizieren (es kann sein Silverfortdie agentenlose MFA-Lösung von oder eine MFA-Lösung eines Drittanbieters). Silverfort ist die einzige Lösung, die durchsetzungsfähig ist MFA über die Befehlszeilen-Remotezugriffstools das sind das Brot und die Butter der seitlichen Bewegung. Während MFA traditionell nicht als nativer Bestandteil des Anti-APT-Arsenals in der Lateral Movement-Phase nach der Kompromittierung angesehen wird, bietet die Anwendung auf solche Befehlszeilentools in Kombination mit adaptiven Risikorichtlinien einen einfachen, aber effektiven Schutz gegen diese Bedrohungen.

    Wie funktioniert es?

    Lassen Sie uns dies am Beispiel der seitlichen Bewegung „FunnyDream“ veranschaulichen:

    1. Der Angreifer versucht, sich bei einem Computer anzumelden wmiexec.vbs, mit kompromittierten Benutzeranmeldeinformationen.
    2. Das Silverfort Die empfohlene Richtlinie für die Verwendung von WMI für den Remotezugriff erfordert MFA. Daher wird der tatsächliche Benutzer, der legitime Benutzer, der die Anmeldeinformationen besitzt, aufgefordert, die Authentifizierung zu überprüfen.
    3. Der Angreifer kann die Authentifizierung nicht abschließen, sodass der Zugriff auf die Ressource blockiert wird.
    4. Das SOC wird umgehend per benachrichtigt Silverfort über den Versuch zu verwenden wmiexec.vbs So kann das Sicherheitsteam die bösartige Präsenz weiter untersuchen und aus ihrem Netzwerk entfernen.

    Um darüber zu erfahren, lesen Sie unbedingt unseren Leitfaden: Silverfortdie Fähigkeit von , laterale Bewegungsangriffe zu blockieren, sehen Sie sich bitte unser On-Demand-Webinar an:

    Können Sie die ausweichende Gefahr der seitlichen Bewegung erkennen und blockieren?

    Wir hoffen, dass wir es geschafft haben, in diesem Blog zu erklären, wie Silverfort mildert diese Bedrohungen und blockiert seitliche Bewegungen. Wir sind jedoch immer gerne bereit, dies weiter zu besprechen. Lassen Sie uns wissen, wenn Sie Fragen haben oder eine vollständige Demo dieser Lösung sehen möchten:

    Demo anfordern

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke

    Februar 21st, 2024

    Minderung der Identitätsrisiken der Konten ehemaliger Mitarbeiter
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt