Now Reading
Bedrohungsakteure entziehen sich jener Erkennung durch Geofencing und Fingerabdrücke

Bedrohungsakteure entziehen sich jener Erkennung durch Geofencing und Fingerabdrücke

Bedrohungsakteure entziehen sich der Erkennung durch Geofencing und Fingerabdrücke


Angreifer kombinieren heute hochmoderne Verschleierung und adaptive umgebungsspezifische Funktionen, um die Erkennung durch traditionelle Schadsoftware-Analysesysteme zu vermeiden. Wenn sich Ihr Sicherheitsteam uff veraltete Ansätze wie herkömmliches Sandboxing verlässt, um Dateien zu scannen, die in Ihr Netzwerk gelangen, verfehlen sie notfalls ebendiese gefährlichen Exploits, die uff Ihr Unternehmen abzielen. Wenn Ihre Sicherheitsteams ihre Zeit mit leichtgewichtig zu erkennenden, häufigen Schwachstellen und nicht mit gezielten Angriffen verleben, setzen sie Ihr Unternehmen einem unnötigen Risiko durch Cyberkriminelle aus.

Nichts an diesem Warenmuster ist neu: Forscher prosperieren eine neue Gegen-Schadsoftware-Technologie, um Schadsoftware-Angriffe zu wiedererkennen. Cyberkriminelle passen ihre Schadsoftware-Varianten an, um einer Erfindung zu entweichen. Und jener Schaltschema geht weiter.

Angreifer wenden Techniken wie maschinelles Fingerprinting und Geofencing an, für denen sie Informationen droben den Anwendungsstapel und die Systemumgebungen des Opfers nutzen, um Systeme zu kompromittieren.

meine Wenigkeit muss sie allesamt fangen: Geofencing

Es gibt viele Möglichkeiten zu Gunsten von Schadsoftware, uff den Computer eines Opfers zu gelangen. Dort bleiben manche Schadsoftware-Varianten inaktiv, wenn sich jener Computer oder dies Netzwerk des Opfers nicht in einem bestimmten Nationalstaat befindet. Dies kommt dank Geofencing.

Die Schadsoftware sucht die geografische Region jener externen IP-Anschrift droben eine externe Datensammlung oder vereinen externen Tätigkeit und prüft, ob sich dies Gerät in jener Zielregion befindet. Wenn sich jener geografische Standort des Geräts in einer Region von Motivation befindet, detoniert die Schadsoftware. Es kann eine Schadsoftware jener zweiten Stufe installieren; nützliche Informationen stehlen, wie z. B. Administrator-Anmeldeinformationen; Datenmaterial in ein von Kriminellen kontrolliertes System zu exfiltrieren; und allesamt Spuren seiner Regsamkeit uff jener Maschine explantieren.

Angreifer fügen aus vielen Gründen Geofencing-Funktionen zu Schadsoftware hinzu. Es kann einfacher sein, jener Erkennung durch Standorte mit starken Sicherheitsmaßnahmen zu entweichen. Manchmal wollen sie Netzwerke in ihren Heimatländern nicht infizieren, wo sie strafrechtlich verfolgt werden könnten. Geschickte Kriminelle zielen uff wohlhabende Länder ab, die von vertrauenswürdigen Leuten bewohnt werden, die mit größerer Wahrscheinlichkeit Dokumente öffnen und Lösegeld zahlen. Oder sie wissen vielleicht, dass Führungskräfte in einer bestimmten Region uff schwache Abwehrhaltungen setzen oder weniger wahrscheinlich Zwei-Koeffizient-Authentifizierung verwenden.

Ein Sichtweise zu Gunsten von vereinen regionsspezifischen Übergriff: Die südkoreanische Regierung verwendet weit verbreitet den Hangul Word Processor (HWP). Nordkoreanische Angreifer schreiben Schadsoftware in Hangul, um in kritische Regierungssysteme einzudringen. Dieser Versuch, ebendiese Schadsoftware zu verwenden, um Mitwirkender jener US-Regierung zu kompromittieren, wäre jedoch eine Verschwendung von Ressourcen.

Dies goldene Zeichnung finden: Fingerabdruck

Schadsoftware-Autoren verlassen sich uff verschiedene Fingerprinting-Techniken, um festzustellen, ob Computer zu Gunsten von ihre Angriffsketten wechselhaft sind. Fingerabdrücke helfen Schadsoftware, die Erkennung zu vermeiden, während sie zu Gunsten von Antivirus-Technologien harmlos erscheinen.

Die Schadsoftware verbleibt uff dem Computer des Opfers inaktiv, es sei denn, die Umgebung erfüllt vordefinierte Bedingungen – z. B. wenn eine bestimmte Einsatz installiert oder bestimmte Konfigurationseinstellungen aktiviert sind. Angreifer verwenden genauso Fingerprinting-Techniken, um herauszufinden, ob dies kompromittierte System tatsächlich eine virtuelle Maschine ist, während sie ein vorkonfiguriertes, sofort einsatzbereites oder Erstinstallations-Image verwenden. Wenn dies jener Kern ist, detoniert die Schadsoftware nicht.

Wie die adaptive und dynamische Erforschung aussieht

Herkömmliche Sandboxes wiedererkennen fortschrittliche Schadsoftware oder gezielte Zero-Day-Angriffe notfalls nicht, wenn jener Angreifer Techniken wie Geofencing oder Fingerprinting verwendet. Z. B. muss Schadsoftware, die Geofencing verwendet, IP-Adressen nachschlagen, um ihren geografischen Standort zu forcieren. Im Spannungsfeld dazu kann die adaptive dynamische Analysetechnologie dazu hinzufügen, sehr spezifische, gezielte Angriffe zu wiedererkennen, da sie Umgebungs- und Antianalyseprüfungen wiedererkennen und unverlangt umgehen kann.

Die adaptive Erforschung führt nur die Vollstreckung von Anweisungen im Zusammenhang mit jener Schadsoftware durch, im Spannungsfeld zu herkömmlichen Sandboxen, für denen es sich um vollwertig virtualisierte Betriebssysteme handelt, die Anweisungen zu Gunsten von jeden Tätigkeit und jede Einsatz uff dem System präzisieren. Im Zuge dessen ist die gesamte Ressourcenauslastung zu Gunsten von die adaptive Erforschung klar weniger bedeutend. Die Fähigkeit, Informationen in Form von Indikatoren zu Gunsten von Kompromittierung (IOCs) zu extrahieren, ermöglicht die Bedrohungssuche, proaktive Verbesserungen jener Selbstverteidigung und die Zuordnung von Bedrohungsakteuren.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top