Die Spuren von Cyberkriminellen verfolgen

Die Taten von Cyberkriminellen nachzuverfolgen, ist ein schwieriges Unterfangen. Doch wenn die Internet-räuber eine neue Infrastruktur angreifen, weisen ihre für die Attacke genutzten Domain-Namen oft auf temporäre Adressen hin. "AlienVault" verrät effektive Techniken, mit denen Firmen verdächtige Domains via DNS-Logging (Protokollierung) aufspüren können.

Ein zum DNS-Logging verwendetes Tool ist "PassiveDNS". Es ermöglicht Nutzern, den DNS-Traffic eines Interfaces sichtbar zu machen. Zudem kann die Lösung DNS-Anfragen in einer MySQL-Datenbank für weitere Abfragen und Analysen speichern.

Um den Verkehr der DNS-Server aufzuarbeiten, rät AlienVault dazu, einen Span- oder Mirror-Port auf dem Router/Switch zu aktivieren. Für diesen Prozess stellt der USM-Anbieter einige Tutorials als Anleitung bereit. Sobald Nutzer in der Lage sind, den Verkehr der DNS-Server auszulesen, oder wenn der Fall eintritt, dass interne Systeme mit externen DNS-Servern kommunizieren, sind Konfigurationen an PassiveDNS nötig. Nachdem alles eingerichtet ist, beginnt die Lösung, DNS-Anfragen von internen Systemen zu sammeln und zu speichern. Anwender können sämtliche Informationen nun über das Web-Interface von Passive-DNS abfragen. Dadurch sind sie in der Lage, Vorgänge mit verdächtigen Domains zu identifizieren und die bösartigen auszufiltern.

Intrusion Detection mit Suricata

Eine zweite Lösung zum Aufspüren verdächtiger Domains basiert auf einer Beta-Version des in OSSIM und Alien Vault USM integrierten Netzwerk-Intrusion-Detection-Systems (IDS) "Suricata". Suricata beinhaltet ein Modul, das DNS-Anfragen und -Antworten protokolliert. Nach dem Download von Suricata-20beta1 überblicken Anwender in einer Datei den Netzwerkverkehr in Form von DNS-Protokollen. Danach werden die Alien Vault-Lösungen so konfiguriert, dass sie die zuvor ausgelesenen Daten sammeln. Das Unternehmen stellt zum Test ein Beta-Plugin dieser Lösung  bereit. Im Anschluss verarbeitet OSSIM die Ausgaben des Suricata DNS-Moduls. In der AlienVault USM-Web-Oberfläche können Nutzer nun gezielt nach Domains mit gewissen Kriterien suchen. Der Vorteil dieser Konsole ist, dass die IP-Adresse der Maschine, von der die DNS-Anfrage kommt, mitgeteilt wird. Zudem erhalten Anwender weitere Informationen über verbundene Systeme in der gleichen Konsole, beispielsweise zu Net-Flow-Daten, IDS-Daten, Inventardaten, Schwachstellen, Sicherheits-Events von anderen Geräten. Dank der Integration der Konsole und der Möglichkeit, alle relevanten Daten durch ein Fenster zu betrachten, wird die forensische Untersuchung kompromittierter Systeme wesentlich einfacher.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus