Threat Hunting – et eksempel

En af de største fejl, en virksomhed kan begå efter at have implementeret en avanceret EDR-løsning, er at gå væk og tro, at den vil passe sig selv. Mens moderne EDR løsninger er fantastiske til at opdage de mest bredt målrettede trusler, er en aktiv tilgang til at udnytte værktøjerne nødvendig for at få mest muligt ud af løsningen og opdage de tilfælde, der ikke fanges af EDR. Det er her, Threat Hunting eller på dansk: trusselsjagter kommer ind i billedet!

En trusselsjagt er, når SOC-teams aktivt leder efter modstandere i deres miljøer. Vi oplever mange trusler mod vores kunders miljøer: C2-trafik, crypto miners, RAT’er, lækkede legitimationsoplysninger. Og vi er nødt til at undersøge lidt for aktivt at finde ud af, om disse påvirker vores miljø.

Arbejd ud fra en hypotese

Før vi starter en Threat Hunt jagt, har vi brug for en hypotese for at fokusere vores indsats. Jeg vil bruge en af vores seneste jagter som eksempel: Signerede malware-eksekverbare filer.

Et kodesigneringscertifikat er et digitalt certifikat, der bruges til at autentificere identiteten af en eksekverbare filers udgivere og sikre, at den eksekverbare fil ikke er blevet ændret. Disse certifikater udstedes af en certifikatmyndighed. Udvikleren signerer koden med sin private nøgle, og slutbrugeren bekræfter den eksekverbare fils identitet ved hjælp af udviklerens offentlige nøgle.

Desværre kan disse private nøgler blive lækket eller stjålet. Desuden kan modstandere også bruge falske virksomheder som dække til at anvende og købe deres egne kodesigneringscertifikater. Dette giver dem mulighed for at signere deres malware med legitime certifikater og undgå at blive opdaget af sikkerhedsløsninger.

Denne viden om modstanderens teknikker giver os mulighed for først at skabe vores hypotese, som er:

Modstandere signerer deres malware med legitime kodesigneringscertifikater.

Nu skal vi undersøge truslen og forstå, hvordan det vil se ud, når en signeret malware udføres i vores miljø.

Hos Conscia bruger vi vores testmiljø til denne type efterforskning. Vi udfører modstanderens emulering for at forstå, hvordan aktiviteterne kan blive opdaget.

Efter at have udført testen kan vi se, at de stjålne, lækkede eller købte certifikater i mange tilfælde ikke er set før i miljøet, desuden vil den tilhørende proces, dvs. malware, også blive betragtet som ny i miljøet. Bemærk: i nogle tilfælde, som fx Nvidia-bruddet, vil de onde bruge nøgler, der allerede er i miljøet.

Nu hvor vi har fået en forståelse af, hvordan truslen vil se ud, vil vi oprette forespørgslen i kundens miljø for at opdage om denne type adfærd er til stede.

Her er et eksempel på vores forespørgsel med Cortex XDR XQL. For at finde sjældne forekomster af procescertifikater filtrerede vi efter certifikater, der er set mindre end fem gange. I vores jagt var filtrering af certifikatstatistikker tilstrækkelig, og yderligere filtrering var ikke påkrævet.

XQL Query

Resultaterne af jagten vil nu blive undersøgt, om de er forventede, som signeret malware, eller uventede, såsom tilbagekaldte certifikater eller forbudt software.

Vi var i stand til at finde en uønsket software, der forårsagede en sårbarhed i forbindelse med privilegerede rettigheder i systemet, og vi fandt også en anden eksekverbar fil, der blev brugt til at låse telefoner op uden adgangskode, hvilket var en overtrædelse af virksomhedens politikker.

Denne Threat Hunt jagt resulterede også i en række falske positiver, så vi var ikke i stand til at omdanne forespørgslen til en regel for registrering i realtid. I stedet vil jagten blive gentaget på regelmæssig planlagt basis.

Resultaterne af Threat Hunts vil sandsynligvis omfatte både falske positiver og sande positiver, hvilket vil kræve manuel undersøgelse for at sikre korrekte klassifikationer. Det er vigtigt at balancere antallet af falske positiver, da det vil gøre efterforskningen vanskelig at have for mange; selvom det at have for få også kan betyde, at du går glip af begivenheder af interesse.

Som du kan se, kan output fra Threat Hunt jagten, bortset fra faktisk at finde malware, være konfigurations- og politikovertrædelser, sårbarheder eller resultater, der fører til nye hypoteser.

Resultaterne, de iværksatte handlinger og selve jagten skal herefter dokumenteres og rapporteres på. Rapporten kan bruges til fremtidige gentagelser af Threat Hunt jagten og kan bruges til at præsentere de værdier, der opnås ved at gennemføre jagter som denne.

I mit næste indlæg vil jeg dykke dybere ned i hver fase af Threat Hunting processen.