STM-basierte KI-Modelle um Remote Access Trojaner zu enttarnen

Techniken, die den Endpunktschutz umgehen, gibt es schon seit langer Zeit. Das kürzlich veröffentlichte Boothole ist ein Beispiel dafür.

„Warum aber schreiben viele IT-Sicherheitsverantwortliche weiterhin inkrementelle Verbesserungen zusätzlich zu den gleichen alten Lösungen vor, um dieses Problem zu lösen?“, fragt Andreas Müller, Director DACH bei Vectra AI. „Es ist an der Zeit, die Erkennung und Reaktion zu überdenken und Daten aus der einen Quelle zu verwenden, die Angreifer nicht umgehen können – dem Netzwerk.“

Anzeige

Es ist nicht ungewöhnlich, dass APT-Gruppen (Advanced Persistent Threats) es auf Linux-Server in einer Umgebung abgesehen haben – als Sammelpunkt für Persistenz und Exfiltration. Die Fähigkeit, auch nach einer Neuinstallation des Betriebssystems auf diesen Servern bestehen zu können, ist das Sahnehäubchen auf dem Kuchen. Eine solche Schwachstelle mit dem Codenamen „Boothole“ haben kürzlich Forscher von Eclypsium entdeckt. Diese Schwachstelle im GRUB2-Bootloader ist in den meisten Linux-Systemen gegeben. Sie kann dazu verwendet werden, während des Boot-Prozesses beliebige Codeausführung zu erreichen, selbst wenn Secure Boot aktiviert ist. Angreifer, die diese Schwachstelle ausnutzen, können persistente und datenstehlende Boot-Kits oder böswillige Bootloader installieren. Damit würden sie sich nahezu vollständige Kontrolle über das gekaperte Endgerät verschaffen, während sie die Neuinstallation des Betriebssystems überstehen.

Klassische Endpunkt-Erkennungstools arbeiten oberhalb dieser Schicht, so dass sie für die Aktivität des Angreifers blind sind. Es gibt jedoch einen einzigen Ansatz, um Angreifer, die solche Techniken ausnutzen, zu erkennen und hinauszuwerfen. Dieser besteht darin, sich ihre Netzwerkspuren anzusehen, die sie hinterlassen, wenn sie das Gerät fernsteuern. Kein Wunder, dass Blackberry Research dieses Jahrzehnt als „Jahrzehnt des RAT (Remote Access Trojan)“ bezeichnet hat.

 

Anzeige

Vectra AI fragt deshalb: Wie lässt sich also ein RAT mit Hilfe von Netzwerkdaten ausfindig machen?

Das Geheimnis liegt in der Bedrohungsmodellierung des Verhaltens. Durch die Analyse zahlreicher Muster von RATs hat Vectra zur Erkennung von Bedrohungen Unterschiede in den Kommunikationsmustern einer RAT-Kommunikation im Vergleich zu einer regulären Kommunikation identifiziert.

Das folgende Beispiel zeigt Zeitreihendiagramme für die während zweier TCP-Sessions übertragenen Daten. Die erste TCP-Session stellt den Verkehr für ein RAT und die zweite den normalen Internetverkehr dar. In der RAT-Zeitreihe sind Spitzen bei den empfangenen Bytes zu sehen, gefolgt von gesendeten Bytes. Diese abwechselnden Spitzen sind Befehle, die vom externen Angreifer ausgegeben werden und auf die der infizierte Host antwortet. Vergleicht man dies mit dem normalen TCP-Session-Traffic, so zeigt sich ein deutlicher Unterschied. In Live-Netzwerken sind diese Unterschiede für einen Menschen kaum wahrnehmbar aufgrund der schieren Datenmenge und der feinen Unterschiede in der Kommunikation. Hinzukommt die Tatsache, dass die Kommunikation innerhalb einer einzigen TCP-Session erfolgt, die verschlüsselt sein kann.

Für den Menschen dürfte es daher immer schwierig sein, die Unterschiede zu erkennen, wenn er sich den realen Datenverkehr ansieht. KI-Modelle hingegen, die Tausende von Samples erfasst haben, sind hervorragend in der Lage, diese Unterscheidung zu treffen. Dies gilt insbesondere für eine Deep-Learning-Architektur, die als LTSM (Long-Short Term Memory) bekannt ist. Rekurrierende neuronale Netzwerke behalten ihr „Gedächtnis“ über die Zeit und wurden speziell für die Arbeit mit dieser Art von Daten entwickelt. Durch die Anwendung von LSTM-basierten KI-Modellen zur Suche nach dem Kommunikationsmuster eines RAT in Netzwerkdaten lassen sich diese in Echtzeit mit hoher Genauigkeit auf der Grundlage des beobachteten Verhaltens erkennen. Die Eleganz dieses Ansatzes liegt in der Effektivität. Er funktioniert unabhängig vom spezifischen Tool und ist unabhängig von der Verschlüsselung, da keine Entschlüsselung des Datenverkehrs erforderlich ist. 

„Eine effizienter Ansatz zur Enttarnung von Remote Access Trojanern und zur Erkennung ähnlicher  Bedrohungen verbindet menschliches Fachwissen mit einer breiten Palette von Data Science und fortschrittlichen Techniken des maschinellen Lernens“, schließt Andreas Müller. „Solch ein Modell liefert einen kontinuierlichen Zyklus von Bedrohungserkennungen auf der Grundlage von Spitzenforschung, globalen und lokalen Lernmodellen, Deep Learning und neuronalen Netzwerken.“

www.vectra.ai

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.