So verhindern Sie, dass Hacker Ihre Systeme gegen Sie urteilen

Eine zunehmend verbreitete Taktik, die qua “Leben vom Nation” vertraut ist, verändert die Weise und Weise, wie wir Cyberangriffe sehen und wie wir uns jener Cyberabwehr nähern. Oft billiger und einfacher qua dies Schreiben maßgeschneiderter Schadsoftware z. Hd. jede Kampagne, ermöglicht es Angreifern, vom Nation zu leben, Tools, die regelmäßig im Mühle verwendet werden, um Remote-Zugriff zu erhalten, sich durch dies Netzwerk zu in Bewegung setzen und ihre endgültigen Ziele zu klappen – normalerweise wenige Komposition aus Datenexfiltration und -erpressung.

Herkömmliche Sicherheitstools verlassen sich in jener Regel uff die Merkmal historischer Angriffe: Erstellen von Ablehnungslisten z. Hd. bestimmte File-Hashes, Domänen und andere Spuren von Bedrohungen, die c/o früheren Bedrohungen aufgetreten sind. Allerdings wie unterbrechen Sie den Offensive, wenn ein Angreifer Ihre eigene Unterbau gegen Sie verwendet, ohne den normalen Geschäftsbetrieb zu stören?

Wie Angreifer von Ihrem Nation leben
Living-off-the-land-Techniken finden nachher einer Erstinfektion statt, die in Form einer Phishing-Mail, eines Systems und einer Software oder einer beliebigen Quantität von Angriffsvektoren entstehen kann. Sie unterstützen den Angreifer c/o jener Erzielung von Netzwerkaufklärung, Temporal Movement und Persistenz in Zubereitung uff dies ultimative Ziel: Datenexfiltration oder Verschlüsselung und Erpressung.

Wenn ein Gerät infiziert ist, können Angreifer Hunderte von Systemtools einsetzen. Die Trends zum Wohnen vom Nation ändern sich ständig, und so ist es schwierig, zusammenführen “Standard”-Offensive uff dies Leben extrinsisch des Landes zu verpflichten. Darktrace hat jedoch breite Trends c/o jener Angriffsaktivität c/o extra 5.000 Kunden beobachtet.

Microsoft-Binärdateien und -Skripte
Derzeit gibt es extra 100 Systemtools, die wehklagend z. Hd. Misshandlung und Ausbeutung sind, wenn sie in die falschen Hände geraten. In dieser verkettete Liste sind Tools enthalten, mit denen Hacker neue Benutzerkonten erstellen, Wissen zippen oder exfiltrieren, Systeminformationen vereinen, Prozesse uff einem Zielgerät starten oder sogar Sicherheitstools deaktivieren können. Microsofts eigene Dokumentation jener anfälligen vorinstallierten Dienstprogramme ist eine nicht erschöpfende und wachsende verkettete Liste, da Angreifer immer neue Wege finden, welche Tools zu nutzen, um ihre Ziele zu klappen, während sie sich einmischen und die Erkennung durch traditionelle Abwehrmaßnahmen vermeiden.

WMI und Powershell
Wenn es drum geht, bösartige Payloads an ihr Ziel zu können, werden die Kommandozeilen-Tools WMI und PowerShell von Angreifern am häufigsten verwendet. Sie Befehlszeilen-Dienstprogramme werden während jener Konfiguration von Sicherheitseinstellungen und Systemeigenschaften verwendet und eröffnen Angreifern sensible Netzwerk- oder Gerätestatus-Updates und Zugriff uff die Übertragung und Exekution von Dateien zwischen Geräten.

Da welche Tools zusammenführen grundlegenden Komponente einer typischen digitalen Unterbau zusammenbauen, geht die Verwendung dieser Tools z. Hd. böswillige Zwecke oft qua Störgeräusch verloren.

Jener berüchtigte Mimikatz
Mimikatz ist ein Open-Source-Hilfsprogramm, dies von Angreifern zum Dumping von Passwörtern, Hashes, PINs und Kerberos-Tickets genutzt wird.

Die herkömmlichen Sicherheitsansätze, die verwendet werden, um den Download, die Installation und die Verwendung von Mimikatz zu wiedererkennen, sind insbesondere unzureichend. Angreifer profitieren von einer Vielzahl verifizierter und gut dokumentierter Techniken zur Verschleierung von Tools wie Mimikatz, sodass selbst ein unerfahrener Angreifer grundlegende Zeichenfolgen- oder Hash-basierte Erkennungen unterlaufen kann.

Angreifer mit KI davon aufführen, vom Nation zu leben
Sie können davon zu Ende gehen, dass tagtäglich Hunderte, Tausende oder sogar Mio. von Anmeldeinformationen, Netzwerktools und Prozessen in einer einzigen Organisation protokolliert werden. Wie in Folge dessen können Verteidiger Angreifer fangen, die sich mit legitimen Werkzeugen in diesen Lärm einmischen?

Die Technologie jener künstlichen Intelligenz (KI) ist entscheidend, um Angreifer zu identifizieren und zu stoppen, die versuchen, vom Nation zu leben. Anstatt nachher bekannten Angriffszeichen zu suchen, kann die KI ihre einzigartige digitale Umgebung von Grund uff lernen und die “Lebensmuster” jedes Geräts und Benutzers verstehen. Dieses erlernte „Selbstgefühl“ ermöglicht es ihm, subtile Verhaltensabweichungen zu wiedererkennen, die uff zusammenführen aufkommenden Offensive hinweisen.

Unter Angriffen, die vom Nation leben, kann die KI wiedererkennen, dass ein bestimmtes Tool zwar oftmals verwendet wird, jedoch die Weise und Weise, wie ein Angreifer es verwendet, die virtuell harmlose Regsamkeit qua unverkennbar boshaft entlarvt. Sie kluge Unterscheidung ist jener Sweet Werbespot z. Hd. KI und ihr einzigartiges Verständnis jener Organisation.

Je mehr Datenpunkte hinzugefügt werden, umso gründlicher wird dies Verständnis jener KI z. Hd. eine Organisation. KI gedeiht in jener gleichen Kompliziertheit, die es Angreifern ermöglicht, vom Nation zu leben.

Im oben beschriebenen Vorzeigebeispiel beobachtet die KI notfalls die häufige Verwendung von PowerShell-Benutzeragenten uff mehreren Geräten, meldet jedoch nur dann zusammenführen Zwischenfall, wenn jener Benutzeragent zu einem ungewöhnlichen Zeitpunkt uff einem Gerät beobachtet wird. Aktivitäten, die uff die Verwendung von Mimikatz hinweisen, wie die Verwendung neuer Anmeldeinformationen oder ungewöhnlicher SMB-Datenverkehr, können subtil sein, würden jedoch nicht unter den normalen Fabrik jener Unterbau hinschlagen.

Living-off-the-land-Techniken werden nicht verschwinden. Wie Reaktion uff welche wachsende Gefahr in Bewegung setzen sich Sicherheitsteams weg von veralteten Abwehrmaßnahmen, die sich uff historische Angriffsdaten verlassen, um den nächsten Offensive abzufangen, und hin zu einer KI, die uff einem sich entwickelnden Verständnis ihrer Umgebung beruht, um subtile Abweichungen zu wiedererkennen, die uff eine Gefahr hinweisen – wenn auch welche Gefahr legitime Tools verwendet.