Open-Source-Projekt zielt darauf ab, Angriffe uff Living-Off-the-Staat-Angriffe zu wiedererkennen
[ad_1]
Angreifer, die während einer Kompromittierung Standardsystembefehle verwenden – eine Technologie, die qua „Living Off the Staat“ (LotL) berühmt ist –, um eine Feststellung durch Verteidiger und Endpoint-Sicherheitssoftware zu vermeiden, könnten ihre Aktivitäten im Rampenlicht sehen, wenn ein von welcher Softwarefirma Adobe bereitgestelltes Machine-Learning-Projekt dies Woche trägt Früchte.
Dasjenige Projekt mit dem Namen LotL Classifier verwendet überwachtes Lernen und vereinen Open-Source-Eintragung von realen Angriffen, um Merkmale bestimmter Befehle zu extrahieren, und klassifiziert dann den Kommando basierend uff Merkmalen, die mithilfe menschlicher Schlussbetrachtung qua Vorbild extrahiert wurden. Jene Funktionen werden dann verwendet, um zu verpflichten, ob welcher Kommando gut oder schlecht ist, und den Kommando mit einer Schlange von Tags zu kennzeichnen, die zum Besten von die Anomalieerkennung verwendet werden können.
Jede Methode zum Besten von sich – wie welcher Zugriff uff dasjenige Verzeichnis /etc/shadow, in dem normalerweise Passwort-Hashes gespeichert sind, oder welcher Zugriff uff Pastebin – mag verdächtig erscheinen, ist demgegenüber normalerweise nicht niederträchtig, sagt Andrei Cotaie, technischer Sprossenstiege zum Besten von Sicherheitsintelligenz und -entwicklung unter Adobe .
„Bloß die meisten Tags – oder Tag-Typen – nach sich ziehen vereinen hohen FP [false positive] Satz, demgegenüber die Zusammensetzung dieser Kombinationen und dasjenige Einspeisen dieser Zusammensetzung durch den Algorithmus zum Besten von maschinelles Lernen kann eine höhere Richtigkeit des Klassifikators erzielen”, sagt er und fügt hinzu, dass Adobe vom maschinellen Lernmodell profitiert hat. “Jener LotL-Klassifikator ist in unserer Umgebung Gewehr bei Fuß und Basierend uff unserer Erlebnis generiert welcher LotL-Klassifizierer durch die Unterdrückung wiederkehrender Warnungen wenige Warnungen pro Tag.”
Dasjenige Leben uff dem Staat ist zu einer weit verbreiteten Angriffstaktik geworden, wenn es um Unternehmen geht. Schadsoftware-Angriffe beginnen genauso wahrscheinlich mit einem PowerShell-Kommando oder einem Windows Scripting Host-Kommando – zwei gängige Verwaltungstools, die unbemerkt bleiben können – qua mit einer traditionelleren ausführbaren Schadsoftware-File. Im Jahr 2019 stellte die Incident Response Group von CrowdStrike verkrampft, dass „malwarefreie“ Angriffe, ein anderer Name zum Besten von LotL, Schadsoftware-basierte Vorfälle übertrafen. Solange bis warme Jahreszeit 2021 machten sie mehr qua zwei Drittel welcher untersuchten Vorfälle aus.
„Angreifer versuchen zunehmend, ihre Ziele zu gelingen, ohne Schadsoftware uff den Endpunkt zu schreiben, während sie legitime Anmeldeinformationen und integrierte Tools verwenden (sie leben vom Staat) – dies sind bewusste Bemühungen, die Erkennung durch traditionelle Antivirenprodukte zu umgehen“, erklärte CrowdStrike in seinem „2021“. Bedrohungsjagdbericht.”
Jener LotL-Klassifizierer verwendet vereinen überwachten maschinellen Lernansatz, um Merkmale aus einem Eintragung von Befehlszeilen zu extrahieren und erstellt dann Entscheidungsbäume, die ebendiese Merkmale mit den vom Menschen bestimmten Schlussfolgerungen auswuchten. Jener Eintragung kombiniert „schlechte“ Beispiele aus Open-Source-Wissen, wie wie Berichte obig Bedrohungen welcher Industriebranche, und die „guten“ Beispiele stammen von Hubble, einem Open-Source-Sicherheits-Compliance-Framework, sowie von Adobes eigenen Endpunkterkennungs- und Reaktionstools.
Jener Feature-Extraktionsprozess generiert Tags, die sich uff Binärdateien, Schlüsselwörter, Befehlsmuster, Verzeichnispfade, Netzwerkinformationen und die Ähnlichkeit des Befehls mit bekannten Angriffsmustern verdichten. Beispiele zum Besten von verdächtige Tags können ein Ausführungspfad zum Besten von Systembefehle, ein Pythonschlange-Kommando oder Anweisungen sein, die versuchen, eine Terminal-Shell zu starten.
„Jener Feature-Extraktionsprozess ist von menschlichen Experten und Analysten inspiriert: Nebst welcher Schlussbetrachtung einer Befehlszeile verlassen sich Personen/Menschen uff bestimmte Hinweise, z. “Dann durchsuchen sie schnell die Unbekannte und schauen sich, für den Fall im Kommando vorhanden, Domänennamen, IP-Adressen und Portnummern an.”
Unter Verwendung dieser Tags verwendet welcher LotL-Klassifizierer ein Random-Forest-Tree-Vorbild, dasjenige mehrere Entscheidungsbäume kombiniert, um festzustellen, ob welcher Kode niederträchtig oder legitim ist.
„Interessanterweise ist es ohne Rest durch zwei teilbar wegen dieser heimlichen Bewegungen oft sehr schwierig, festzustellen, welche dieser Aktionen ein gültiger Systemadministrator und welche ein Angreifer sind“, heißt es in einem Weblog-Mitgliedsbeitrag.
Dasjenige Vorbild des maschinellen Lernens kann Unternehmen in einer Vielzahl von Bedrohungsanalyse-Pipelines zugute kommen, sagt Cotaie von Adobe. Bedrohungsjäger könnten es qua lokalen Tätigkeit verwenden oder dasjenige Vorbild könnte globale Sicherheitsinformationen und Wissen des Ereignismanagements (SIEM) verarbeiten, um Anomalien zu finden, während es ein anderes von Adobe veröffentlichtes Open-Source-Tool, den One-Stop Anomaly Shop (OSAS), füttert. Dasjenige Vorbild hat eine Komponente zum Besten von Windows-Systeme und eine separate zum Besten von Linux, ist demgegenüber auch kontextunabhängig.
“Jener Klassifikator ist in … One Stop Anomaly Shop (OSAS) integriert”, sagt er. “Dasjenige übergeordnete Projekt kann dasjenige lokale oder Gruppensystemverhalten unter Verwendung vieler kontextabhängiger Funktionen modellieren und seine Anomalieerkennungsfunktionen ergänzen dasjenige LotL-Klassifikatormodell.”