Deception: Teil 2/4 - Breadcrumbs in intelligenter Deception-Technologie

01.02.2018

Deception & Decoys, Teil 2: Brotkrumen, bzw. Breadcrumbs, Teil 2 einer Serie von vier Beiträgen In dieser Blog-Reihe werden wir jede der Klassen von Breadcrumbs und Ködern untersuchen, die von Intelligent Deception im Allgemeinen und Fidelis Deception im Besonderen verwendet ...

Deception & Decoys, Teil 2:

Brotkrumen, bzw. Breadcrumbs, Teil 2 einer Serie von vier Beiträgen

In dieser Blog-Reihe werden wir jede der Klassen von Breadcrumbs und Ködern untersuchen, die von Intelligent Deception im Allgemeinen und Fidelis Deception im Besonderen verwendet werden. Schauen Sie also öfter mal vorbei!

Cyber-Angriffe sind Prozesse, die mehrere Systeme in einem Unternehmen kompromittieren, instrumentalisieren und ausnutzen. Das sind keine Einzelereignisse. Wenn Angreifer ein Asset kompromittieren, wissen sie nicht, welches Asset infiziert ist; sie müssen feststellen, wo sie sich im Netzwerk befinden, wie die Netzwerkstruktur aussieht und wo sie wertvolle Informationen finden können. Das bedeutet, dass Angreifer sorgfältig versuchen, so viel wie möglich über die Organisation herauszufinden. Genau dieses Verhalten kann intelligente Deception-Technologie ausnutzen, um Angreifern entgegenzuwirken und Organisationen zu schützen.

Brotkrumen wie bei Hänsel und Gretel führen auf die richtige, falsche Fährte

Breadcrumbs sind Hinweise für einen potentiellen Angreifer, die eine intelligente Deception-Plattform absichtlich auf Unternehmenssystemen hinterlässt. Diese Hinweise erzeugen eine falsche Spur, die Angreifer zu Ködern und Fallen führt, um sie zu fangen und gleichzeitig reale Ressourcen zu schützen. Damit Breadcrumbs jedoch wirksam sein können, müssen sie aussehen und sich anfühlen wie echte Informationen und Referenzen für einen Angreifer und einen überzeugenden falschen Weg zurück zu Täuschungsmanövern und Fallen schaffen.

Vier Arten von Breadcrumbs, um Angreifer in die Irre zu führen und zu entdecken

Es gibt 4 Art von Brotkrumen, die kombiniert werden können, um einen Angriff zu vereiteln, während diese nach Belegen für das Vorliegen von Zugangsdaten und Verbindungen suchen, die sie benötigen, um ihre Mission von Diebstahl und Zerstörung zu erfüllen.

Diese sind:

  • Credential und Active Directory Breadcrumbs
  • File & Data Breadcrumbs
  • Netzwerk Breadcrumbs
  • Applikation Breadcrumbs
Angreifer nutzen AD User und geben sich selbst erkennbar

Im Rahmen ihrer Erkundung versuchen Angreifer, Zugangsdaten zu finden, die ihnen den Zugang zu hochwertigen Systemen im Unternehmen ermöglichen. Dies stellt eine wichtige Möglichkeit dar, gefälschte Benutzer-Anmeldeinformationen und Berechtigungen in Ihrem Active Directory-System zu erstellen und zu speichern. Wenn ein Köder, der einem bestimmten gefälschten Benutzer zugeordnet ist, in der AD als regulärer Benutzer der Organisation auftaucht, stellt er ein verlockendes Ziel für einen Angreifer dar. Dieser wird versuchen, das richtige Konto auszuwählen, mit dem beispielsweise das Passwort eines Benutzers zurückgesetzt werden kann. Das AD Deception-Modell verwendet gefälschte Benutzer im Active Directory. Diese Benutzer laufen auf den Attrappen, die in der gesamten Organisation verteilt sind, und greifen periodisch auf die AD zu, wie normale Benutzer mit unterschiedlichen Berechtigungsstufen in der Organisation. Das erweckt den Eindruck von Legitimität und fördert die Überzeugungskraft der Täuschung. Wenn ein Angreifer auf einen Köder zugreift, der auf den Brotkrumen in AD basiert, wird automatisch ein validierter Alarm ausgelöst, der eine sofortige Reaktion des Administrators und des Sicherheitsteams auslöst.

Bei der Abfrage des AD werden Angreifer die Ködersysteme entdecken, die auf AD zugreifen und zu den Attrappen gelenkt werden. Gleichzeitig bleiben sensible und geschützte Systeme sicher.

Abgesehen von gefälschten Active Directory-Anmeldeinformationen und falschen Informationen, können diese Arten von Breadcrumbs auch Elemente wie Passwörter in Registrierungsschlüsseln für Decoy-Dienste und SPN-Einträge (Service Principal Name) enthalten. Wenn ein Angreifer ein Decoy Credential verwendet, werden validierte Detektionen auch für Man-In-The-Middle-Angriffe aktiviert, die zu einer schnellen Eskalation und Reaktion führen.

Im nächsten Beitrag werden wir die anderen Arten von Brotkrumen untersuchen, die von intelligenter Deception verwendet werden.

roland.messmer@fidelissecurity.com