Hochgradig ausweichende und adaptive Bedrohungen (HEAT)

Was sind hochgradig ausweichende und anpassungsfähige Bedrohungen?

Bei hochgradig evasiven und adaptiven Bedrohungen (HEAT) handelt es sich um eine Art von Cybersicherheitsbedrohung, bei der häufig ausgeklügelte Techniken wie dynamisches Verhalten, dateilose Angriffe und verzögerte Ausführung zum Einsatz kommen, um nicht entdeckt zu werden und herkömmliche Sicherheitsmaßnahmen zu umgehen. Diese Bedrohungen sind so konzipiert, dass sie unter dem Radar bleiben und es für Sicherheitsexperten besonders schwierig sein kann, sie zu erkennen und abzuwehren. Ausweichbedrohungen gibt es schon seit einiger Zeit, da Bedrohungsakteure versuchen, ihre Erfolgsquote zu erhöhen, wenn es darum geht, ersten Zugriff auf das System eines Benutzers oder das Netzwerk einer Organisation zu erhalten. Auch wenn sich die Sicherheitskontrollen in Unternehmen ständig weiterentwickeln, beschleunigen Bedrohungsakteure ihre Ausweichtechniken, mit denen sie versuchen, unsere Benutzer und deren Systeme zu infiltrieren.

Obwohl jedes Jahr kontinuierlich in Cybersicherheit investiert wird, dringen Bedrohungen immer noch durch und Benutzer sind täglich betroffen. Tatsächlich wurde aus diesem Grund eine ganze Branche zur Phishing-Prävention gegründet. Schulungen zum Sicherheitsbewusstsein gäbe es heute nicht, wenn wir 100% der Phishing-Bedrohungen abwehren könnten. Einfache Angriffstechniken können und sind immer noch wirksam gegen häufig eingesetzte Sicherheitslösungen.

Infolgedessen ändern sich Branchen und wenden bewährte Verfahren an, um weniger anfällig zu werden. Beispielsweise hat Microsoft standardmäßig alle Makros deaktiviert, da Bedrohungsakteure sie nutzten, um der Entdeckung zu entgehen und ihre Opfer zu erreichen. Unternehmen haben in umfangreiche Tools zur Sensibilisierung der Sicherheit investiert, um die Benutzer über die Risiken von Malware und die häufigsten Anzeichen von Phishing aufzuklären, wie z. B. die Adresse eines unbekannten Absenders, dringende oder alarmierende Sprache und sogar falsche Rechtschreibung und Grammatik, in der Hoffnung, dass die Wahrscheinlichkeit, dass Benutzer gängigen Malware-Programmen zum Opfer fallen, geringer wird. Sogar die Zwei-Faktor-/Multifaktor-Authentifizierung, die seit ihrer Einführung lange als undurchdringliches System galt, wurde weithin eingeführt, um eine zusätzliche Sicherheitsebene hinzuzufügen und Änderungen durch unbefugten Zugriff auf Benutzerkonten oder den Diebstahl vertraulicher Informationen zu verhindern.

Jeder Unternehmensbenutzer hat mindestens einen Browser, auf den er angewiesen ist, um auf das Internet, Unternehmens-Cloud- und SaaS-Anwendungen und sogar E-Mails zuzugreifen. Dies hat den Browser zu einem der beliebtesten Ziele für Phishing- und Malware-Angriffe gemacht. Leider konnten bestehende Sicherheitskontrollen wie SWG, EDR und Firewalls diese Angriffe nicht abwehren, da die Bedrohungsakteure ihre Taktiken um hochgradig ausweichende und anpassungsfähige Techniken erweitert haben. Sie verstehen auf einem sehr niedrigen Niveau, wie diese gängigen Sicherheitslösungen funktionieren, und umgehen sie. Trotz der erhöhten Investitionen, die Unternehmen in ihre Sicherheitslösungen tätigen, sind ihre Benutzer also immer stärker gefährdet als je zuvor.

Hochgradig ausweichende und anpassungsfähige Bedrohungen, die auf den Webbrowser als Angriffsvektor abzielen, werden heute von Gegnern genutzt, um verschiedene Techniken einzusetzen, um häufig eingesetzte Sicherheitsvorkehrungen zu umgehen. Folglich werden diese extrem ausweichenden und adaptiven Bedrohungen verwendet, um Malware zu verbreiten, Benutzersysteme zu gefährden und sensible Daten zu stehlen.

Einige Beispiele für stark ausweichende Angriffe sind:

• Bösartige passwortgeschützte Dateien — Wenn E-Mails gescannt werden und die Anhänge passwortgeschützt sind, können sie nicht geöffnet und gescannt werden. Oft erlaubt die Sicherheitsrichtlinie, dass diese Anhänge durchkommen, ohne gescannt zu werden, um sicherzustellen, dass die Produktivität nicht beeinträchtigt wird. Angreifer nutzen diese Lücke, um Malware in das Unternehmen und zum Endpunkt des beabsichtigten Opfers einzuschleusen.
• HTML-Schmuggel — HTML-Schmuggel ist eine Form von Drive-by-Download, bei der ein Angreifer eine schädliche Datei in winzige Teile scheinbar harmloser Informationen zerlegt und diese in den HTML-Code der Website selbst einbettet. Dadurch wird die Erkennung durch häufig eingesetzte Sicherheitslösungen wie Proxys, Sandboxen und Firewalls umgangen. Sobald diese winzigen Informationen vom Browser empfangen wurden, werden sie wieder zusammengesetzt und die bösartige ausführbare Datei befindet sich dann im Browser des Endbenutzers. HTML-Schmuggel ist eine sehr effektive Methode für Angreifer, um Banking-Trojaner, Ransomware und Tools zur Datenaufklärung zu verbreiten.
• Umgehung der Multifaktor-Authentifizierung (MFA) — MFA-Bypass ist eine Form von Phishing-Angriffen, bei denen die Bedrohungsakteure die Multifaktor-Authentifizierung umgehen. Entweder überschwemmen sie Benutzer mit MFA-Anfragen, bis sie diese genehmigen, oder sie fangen MFA-Token oder Anmeldeinformationen ab. Standard-Sicherheitsmaßnahmen wie Deny-Listing, URL-Filterung und Phishing-Schulungen sind gegen diese Angriffe in der Regel unwirksam. Schlimmer noch, MFA-Angriffe werden in der Regel per SMS versendet, wodurch die Unternehmenssicherheit vollständig umgangen wird.
• URL-Umgehung älterer Reputationsdaten (LURE) — Legacy URL Reputation Evasion ist eine Angriffstechnik, mit der die Kategorisierung von Websites umgangen wird. LURE-Angriffe nutzen die binäre Kategorisierung von URLs auf sicheren Web-Gateways und URL-Filtern aus. Der SWG- und/oder URL-Filter kennzeichnet die URL oder die Domänen als vertrauenswürdig oder nicht vertrauenswürdig. Bedrohungsakteure profitieren davon, indem sie eine vertrauenswürdige Website kapern oder eine neue Website erstellen und sie inaktiv lassen, bis ihre URL/Domain vertrauenswürdig ist. Sie verwenden diese URLs und Zielseiten, um Phishing-Angriffe zu starten. Der Benutzer öffnet die Web-URL in der Annahme, dass sie authentisch ist. Da sich die URL in einer sicheren Kategorie befindet, wird sie weder durch die SWG noch durch den URL-Filter blockiert. Der Benutzer wird anschließend hintergangen, entweder mit Schadsoftware oder er wird veranlasst, Anmeldedaten für einen Angriff auf den Diebstahl von Zugangsdaten einzugeben. Schlimmer noch: Bedrohungsakteure haben zahllose Domains in ihrem Arsenal. Eine neue steht bereit, falls und sobald die aktuell verwendete Domain gesperrt oder als nicht vertrauenswürdig eingestuft wird.

Was sind die wichtigsten Umgehungsmerkmale, die bei stark ausweichenden und adaptiven Bedrohungen verwendet werden, um häufig eingesetzte Sicherheitslösungen zu umgehen?

1. Umgeht die URL-Filterung

Wie oben beschrieben, sind LURE-Websites eine gängige und einfache Methode für Bedrohungsakteure, um die URL-Filterung zu umgehen. Eine weitere gängige Taktik ist die Verwendung von Captchas. Captchas sind ein weit verbreitetes und nützliches Tool, das von Website-Administratoren verwendet wird, um zu überprüfen, ob es sich bei der Person, die mit der Website interagiert, um einen Menschen und nicht um einen Bot mit schändlichen Absichten handelt. Bedrohungsakteure können Captchas verwenden, um der LURE-Website Glaubwürdigkeit zu verleihen und URL-Crawler abzuwehren, die versuchen, die Website zu kategorisieren. Die Bedrohungsakteure planen, dass die Opfer das Vorhandensein eines Captchas erkennen und davon ausgehen, dass die Website legitim ist (wobei die Überlegung lautet: „Warum sollte sich eine illegitime Website die Mühe machen, ein Captcha zu verwenden?“) sowie verwenden Sie das Captcha, um URL-Crawler daran zu hindern, die zweifelhaften Inhalte der LURE-Website zu sehen.

2. Umgeht E-Mail-Sicherheitstools

Phishing war in der Vergangenheit ein hundertprozentiges E-Mail-Problem, daher finden Bedrohungsakteure neue Wege, um Benutzer anzugreifen. Bedrohungsakteure verwenden heute Ausweichtechniken, um Phishing-Angriffe zu starten. Benutzer werden über andere Kommunikationskanäle als E-Mail, z. B. soziale Medien, professionelle Webnetzwerke, Kollaborationsanwendungen, SMS, geteilte Dokumente oder andere Medien, mit bösartigen Links angegriffen (oder durchsucht). Diese bösartigen Links werden zunehmend dazu verwendet, Unternehmensanmeldedaten statt persönlicher Daten zu stehlen, um Schadsoftware an Unternehmensendpunkte zu senden und somit die Unternehmenssicherheit zu umgehen.

In einem jüngste Cyberbedrohungskampagne, wendeten Angreifer Spear-Phishing-Taktiken gegen Geschäftsleute auf LinkedIn an. Über die Direktnachrichtenfunktion der Plattform präsentierten die Angreifer gefälschte Stellenangebote mithilfe bösartiger Links, um die Benutzer letztendlich mit einem Backdoor-Trojaner zu infizieren, der den Angreifern die vollständige Fernsteuerung über den Computer des Opfers ermöglichte. Dieser Spear-Phishing-Angriff tauchte nie im E-Mail-Pfad auf und entging jeder Analyse, die dort stattgefunden hätte.

3. Umgeht eine dateibasierte Überprüfung

Herkömmliche Secure Web Gateway (SWG) -Antiviren- oder Sandbox-Lösungen werden in der Regel verwendet, um bösartige Inhalte zu identifizieren, indem sie nach bekannten Malware-Signaturen suchen und die Dateiausführung und Remote-Dateianfragen auf verdächtiges Verhalten überwachen.

Das Umgehen der Sandbox kann so einfach sein wie das Senden einer großen Datei — eine, die das Dateilimit der Sandbox überschreitet, oder sogar eine passwortgeschützte Archivdatei, die nicht gescannt werden kann. Das erfordert zwar ein wenig Ausprobieren auf Seiten des Bedrohungsakteurs, ist aber relativ einfach zu bewerkstelligen. Bedrohungsakteure umgehen häufig das Sandboxing, indem sie auch HTML-Schmuggel einsetzen (wie oben beschrieben). Dies ist eine sehr effektive Methode, um Ihre Inspektionswerkzeuge zu umgehen.

4. Umgeht die Überprüfung von HTTP-Inhalten/Seiten

Es gibt viele legitime Websites, die ihr Scripting verschleiern, sodass ihr Scripting-Quellcode nicht eingesehen werden kann.

Bedrohungsakteure nutzen auch die Codeverschleierung, um Browser-Exploits und Phishing-Kit-Code zu verbreiten und so einer Entdeckung zu entgehen. Der bösartige Code (in der Regel Javascript) wird dann zur Laufzeit im Browser aufgedeckt und führt seinen aktiven Inhalt auf dem Endpunkt aus. Angreifer nutzen auch Manipulationen an Websites, um Imitationslogos hinter verformten Bildern zu verstecken, um visuelle Erkennungen durch Inspektionsmaschinen zu vermeiden.

Künstliche Intelligenz im Security Stack — Es kommt darauf an, wo KI ihre Modelle trainiert

Viele, wenn nicht sogar die Mehrheit der Sicherheitsanbieter, nutzen Funktionen, die auf künstlicher Intelligenz (KI) basieren, um die Effizienz ihrer Lösungen zu verbessern, und das mit tiefgreifenden Ergebnissen. Die Prämisse ist einfach: KI wird die entwickelten Funktionen erweitern und erweitern und anhand von Produktionsdaten und Telemetrie neue Bedrohungen erkennen. Das ist das wahre Versprechen von KI in der Cybersicherheit und in anderen Branchen. Es ist jedoch wichtig zu beachten, dass KI nur so gut ist wie die Daten, mit denen sie trainiert wurde. Der übliche Sicherheitsstack — Firewall, SWG, CASB, DLP — kann das KI-Modell nur mit den Daten, der Protokollierung und der Telemetrie trainieren, die diese Komponenten generieren. Bei Phishing- und Malware/Ransomware-Angriffen, bei denen das Ziel der Browser ist, ist Telemetrie aus dem Browser nicht nur nützlich, sondern auch unverzichtbar, wenn KI-Modelle trainiert werden, wie sie browserbasierte Bedrohungen besser erkennen können. Dem üblichen Sicherheits-Stack fehlen die Hooks in den Browser, um diese Telemetrie zu empfangen und zu nutzen. Daher bieten die KI-Lösungen nur einen vernachlässigbaren bis schrittweisen Nutzen und Verbesserungen. Die KI-Modelle, auf denen das HEAT-Portfolio basiert, trainieren auf der Deep-Browser-Telemetrie, die auf dem Isolation Core von Menlo Security basiert. Dies macht HEAT Shield und HEAT Visibility so leistungsstark und effektiv bei der Verhinderung und Blockierung von Zero-Hour-Phishing- und Malware-Angriffen.

Wie hat Generative KI die Angriffsfläche für Bedrohungsakteure vergrößert?

Unternehmen haben begonnen, die Auswirkungen generativer KI-Plattformen und Chatbots wie ChatGPT auf die Cybersicherheit zu erkennen. Viele Menschen sind zu Recht nervös, dass diese Tools es jedem mit einer Internetverbindung und einem böswilligen Motiv ermöglichen, Entwickeln Sie ausweichende Bedrohungen in alarmierendem Ausmaß. Stellen Sie sich vor, Sie könnten auf Knopfdruck innerhalb weniger Minuten Tausende von individuell auf sie zugeschnittenen Schadprogrammen, Phishing-E-Mails und anderen Bedrohungen erstellen und veröffentlichen. Noch beängstigender ist die Tatsache, dass Bedrohungsakteure mithilfe von KI sogar Codezeilen innerhalb einer bestimmten Nutzlast ändern können, wodurch ein kontinuierlicher Strom neuer und noch nie dagewesener Zero-Day-Phishing- und Malware-Bedrohungen entsteht, was es für die Unternehmenssicherheit extrem schwierig macht, diese Angriffe abzuwehren.

Wie verhindert Menlo Security hochgradig ausweichende und anpassungsfähige Bedrohungen?

Es gibt drei Stufen eines extrem ausweichenden und adaptiven Bedrohungsangriffs:

1. Den ersten Fuß fassen
2. Breitet sich lateral im Netzwerk aus, in der Hoffnung, zusätzliche Maschinen zu gefährden
3. Ausführung der letzten Nutzlast, um die Kontrolle über kritische Geschäftssysteme zu erlangen.

Die Stufen zwei und drei hängen vollständig von Phase eins ab — dem ersten Zugang. Menlo Security konzentriert sich darauf, extrem ausweichende und anpassungsfähige Bedrohungen abzuwehren, bevor sie den ersten Zugriff erhalten können, und blockiert so effektiv Phishing-Angriffe und Malware. Ohne Zugriff kann sich Malware nicht im Netzwerk ausbreiten, die Kontrolle erlangen, Daten exfiltrieren oder Systeme als Lösegeld erpressen.