Bedrohungsanalyse, Teil 1
Angreifer per Whois ermitteln
Die Frage, wie sich die in Cyberangriffen verwendete Infrastruktur analysieren lässt, scheint wie ein Rätselraten. Es ist schon etwas wie eine Kunst, anhand "fachlich fundierter Vermutungen" die entscheidenden Komponenten zusammenzufügen. Doch bei dieser Art von "Vermutungen" handelt es sich im Idealfall um nähere Erkenntnisse, die man mittels Bedrohungsdaten gewonnen hat. Fachlich fundierte Vermutungen basieren auf Wissen und Erfahrung, weshalb es wahrscheinlich ist, dass sie sich als korrekt erweisen.
Bedrohungsanalyse ist vergleichbar mit der Aufgabe, in einem Haufen von Puzzleteilen herauszufinden, wo jedes hingehört. Dabei sind oft die Stücke von verschiedenen Puzzles bunt zusammengewürfelt. Ein Schritt der Analyse ist daher die Bestimmung, welches Stück zu welchem Puzzle gehört. Ein weiterer Schritt besteht darin herauszufinden, wohin in dem jeweiligen Puzzle ein Teil gehört. Auf dieser Basis muss der Analytiker ermitteln, wie ein ganzes Puzzle aussieht, wobei nie alle Teile für jedes Puzzle zur Verfügung stehen.
Dies klingt schwierig - und oft ist es das auch. Die fehlenden Teile sind oft die größte Herausforderung für die Sicherheitsexperten, aber gründliche Recherche und Analyse sowie umfassende Erfahrung können oft helfen, die Lücken zu füllen. Diese Beitragsreihe soll erklären, wie Analytiker die Infrastruktur der Angreifer zum großen Ganzen verknüpfen. Whois-Informationen zu Domain-Namen sind oft der erste Schritt.
Einer der einfachsten Zusammenhänge, die sich ermitteln lassen, beruhen auf den Informationen, um eine Domain zu registrieren. Jeder Name im DNS (Domain Name System) wird bei der Stelle registriert, die für die Verwaltung einer bestimmten Top-Level Domain (TLD) verantwortlich ist. Die Regeln dafür, welche Informationen erforderlich sind, und der Umfang der Validierung dieser Informationen variiert je nach TLD, aber sie enthält meist zumindest Namen, E-Mail-Adresse des Registranten und andere Kontaktdaten. Das Whois-Protokoll ermöglicht es Einzelpersonen, für eine bestimmte Domain die Registrierungsdaten nachzuschlagen. Whois-Daten stehen auch auf verschiedenen Websites zur Verfügung, aber das Whois-Protokoll sollte die neuesten Informationen enthalten.
Will ein Angreifer für seinen Command-and-Control-Server eine Domain einrichten, muss er in der Regel einige identifizierende Informationen an die Registrierstelle liefern. Einige Akteure verwenden alle oder einige dieser Informationen über mehrere Domänen hinweg immer wieder, wenn sie diese registrieren. Wenn eine Domäne von einem Besitzer zum nächsten wechselt (entweder aufgrund eines Verkaufs oder aufgrund einer Registrierungspause) wird das Whois-System mit neuen Informationen zu dieser Domain aktualisiert.
Whois-Historie
Bei der Inspektion der Whois-Informationen müssen Analytiker sichergehen, dass sie alle historischen Whois-Informationen überprüfen, wobei ein besonderes Augenmerk darauf liegt, ob eine bösartige Verwendung vorlag. Das Whois-Protokoll ermöglicht es nur, die aktuellen Anmeldeinformationen für eine Domain abzurufen, aber die historischen Whois-Informationen sind bei Unternehmen wie Domain Tools erhältlich.
Es ist wichtig zu wissen, dass die Registrierungsinformationen nicht legitimiert werden müssen. Die Registranten können somit viele der enthaltenen Informationen erfinden. Es ist nicht ungewöhnlich, dass die einzige legitime Komponente die E-Mail-Adresse ist, da diese erforderlich ist, damit der Akteur die Domain verwalten kann.
Analysten müssen Whois-Informationen und die Nutzungszeiten schädlicher Domains korrelieren, da sich die Informationen aus einer Reihe von Gründen ändern. Domains, von denen böswillige Aktionen ausgehen, können dem Registranten entzogen werden, nachdem Beschwerden bei der Registrierungsstelle eingereicht wurden, oder verfallen, wenn jemand anderes sie neu registriert. Einige Kampagnen greifen auch auf Registrierungsdienste zurück. Die Whois-Informationen entsprechen dann nicht dem eigentlichen Domäneninhaber und sind damit weniger nützlich für Analytiker.
Beispielfall
Ein Beispiel für Whois-Informationen:
Registrant Name: Bad Guy
Registrant Organization: We Hack Stuff
Registrant Street: 1 Bad Guy Way
Registrant City: St. Arkham
Registrant State/Province:
Registrant Postal Code: 66386
Registrant Country: DE
Registrant Phone: +86.68949396951
Registrant Phone Ext.:
Registrant Fax: +86.68949396851
Registrant Fax Ext.:
Registrant E-Mail: badguy@bad.net
Ein Analytiker kann und sollte auf jeder Komponente in dieser Auflistung nach Folgendem suchen:
Taucht der Name der Person irgendwo real auf? Das Unternehmen? Die physische Adresse? Die E-Mail-Adresse?
Liefert die Suche interessante Treffer?
Deuten diese Treffer darauf hin, dass diese Informationen legitim oder falsch sind?
Werden die gleichen Informationen bei anderen Domains verwendet? Bei wievielen?
Liefert die Suche zu den neuen Domains irgendwelche Hinweise auf andere bösartige Aktivitäten (in Open-Source-Quellen oder Datenbanken mit eingeschränktem Zugriff)?
Gibt es Zusammenhänge zur ursprünglichen Aktivität?
Durch die Beantwortung dieser Fragen beginnt der Analytiker damit, das Puzzle zusammenzufügen. Eine weitere Überschneidung ergibt sich aus der Wiederverwendung von Themen und Domain-Namen. Es ist üblich, dass böswillige Akteure Themen innerhalb der Domains nutzen. Diese können unterschiedlich sein, aber deren Verwendung kann Analysten bei der Identifizierung zusätzlicher Schadinfrastruktur unterstützen, da dies ein weiteres Muster ist, das sie verfolgen können.
Es gibt eine Einschränkung bei der Erforschung dieser Puzzleteile. Diese Vorgehensweise ist in der Regel effektiver für APT-Kampagnen (Advanced Persistent Threats) als für Crimeware oder andere bösartige Aktivitäten in großem Stil. Bei Infrastruktur für APT-Kampagnen ist oft einiges an menschlicher Interaktion nötig - und Menschen sind Gewohnheitstiere.
Bei Crimeware und anderen bösartigen großen Kampagnen kommen häufig Tools zum Einsatz, die nach dem Zufallsprinzip automatisch böswillige Domains generieren. Diese finden nur für sehr kurze Zeit Verwendung, mit hohem Volumen und schnellem Umsatz. Hier lohnt sich eine Analyse mittels der beschriebenen Verfahren meist nicht. Zwar haben Forscher von Palo Alto Networks automatisierte Methoden entwickelt, um Domains erkennen können, bei denen ein Blockieren sinnvoll erscheint - das Puzzlespiel geht aber weiter.
Teil zwei dieser Beitragsserie folgt in der nächsten LANline-Ausgabe und befasst sich mit Passive DNS (PDNS).
Lesen Sie mehr zum Thema
