Het aanpakken van cyberdreigingen voordat ze de kans krijgen om toe te slaan of ernstige schade aan te richten, is veruit de beste beveiligingsaanpak die een bedrijf kan omarmen. Om dit te bereiken is veel onderzoek en proactieve jacht op bedreigingen nodig. Het probleem hier is dat je gemakkelijk vast komt te zitten in een eindeloze reeks gegevens en uiteindelijk geen relevante informatie meer hebt.
Om dit te voorkomen kunt u deze vijf beproefde technieken gebruiken die het dreigingsbewustzijn en de algemene veiligheid van uw bedrijf zeker zullen verbeteren.
Vind bedreigingen die zich richten op organisaties in uw regio
De meest eenvoudige, maar toch meest impactvolle manier om meer te weten te komen over het huidige dreigingslandschap voor uw bedrijf, is door te gaan kijken met welk type aanvallen andere organisaties in uw regio te maken krijgen.
In de meeste gevallen proberen dreigingsactoren tientallen bedrijven tegelijk aan te vallen als onderdeel van één enkele campagne. Dit maakt het mogelijk om de dreiging vroegtijdig te onderkennen en de juiste aanpassingen in uw organisatie door te voeren.
Hoe het bijdraagt aan uw veiligheid:
- Meer gerichte en effectieve verdedigingsstrategie.
- Nauwkeurige prioritering van bedreigingen.
- Optimalisatie van hulpbronnen.
Hoe het werkt:
Hoewel er verschillende manieren zijn om meer te weten te komen over het huidige dreigingslandschap in uw land, biedt ANY.RUN hiervoor een van de meest uitgebreide en gebruiksvriendelijke oplossingen.
Het beheert een enorme openbare database met analyserapporten over de nieuwste malware- en phishing-voorbeelden, die door meer dan 500.000 beveiligingsprofessionals wereldwijd naar de sandbox van ANY.RUN worden geüpload.
Uitgebreide gegevens van elke sandboxsessie worden geëxtraheerd en kunnen door gebruikers worden doorzocht via de Threat Intelligence (TI) Lookup van ANY.RUN. De service biedt meer dan 40 verschillende parameters, van IP-adressen en bestandshashes tot registersleutels en mutexen, zodat u met nauwkeurigheid bedreigingen kunt opsporen met behulp van de kleinste indicatoren.
Stel dat we willen zien welk type phishing-bedreigingen zich richten op organisaties in Duitsland, terwijl we URL’s uitsluiten van de zoekopdracht (met behulp van de NOT-operator), omdat we ons specifiek op kwaadaardige bestanden willen concentreren. Om dit te doen, kunnen we de volgende zoekopdracht in TI Lookup typen:
threatName:”phishing” EN submissionCountry:”de” NIET taskType:”url”
Binnen enkele seconden krijgen we een lijst met openbare sandbox-sessies met phishing-documenten, e-mails en andere soorten inhoud die door gebruikers in Duitsland naar ANY.RUN zijn verzonden.
U kunt elke sessie gratis volledig observeren om extra inzicht te krijgen in de bedreigingen en waardevolle informatie te verzamelen.
Zoals weergegeven in de afbeelding hierboven, kunnen we de volledige aanval in actie zien, samen met alle netwerk- en systeemactiviteiten die tijdens de analyse zijn vastgelegd.
Ontvang een GRATIS proefperiode van 14 dagen voor TI Lookup om te zien hoe het de beveiliging van uw organisatie kan verbeteren.
Verdachte systeem- en netwerkartefacten controleren met TI-tools
Op een gemiddelde dag ontvangen beveiligingsafdelingen van middelgrote organisaties honderden waarschuwingen. Ze worden niet allemaal op de juiste manier gevolgd, waardoor er een gat ontstaat waar aanvallers misbruik van kunnen maken. Maar het simpelweg toevoegen van nog een laag voor het verifiëren van alle verdachte artefacten met TI-tools kan organisaties mogelijk behoeden voor aanzienlijke financiële verliezen en reputatieschade.
Hoe het bijdraagt aan uw veiligheid:
- Vroegtijdige detectie van kwaadaardige activiteiten.
- Inzicht in de tactieken en technieken die door aanvallers worden gebruikt.
- Snelle reactie op incidenten om de impact te minimaliseren.
Hoe het werkt:
Een veel voorkomend scenario voor beveiligingsafdelingen is het omgaan met ongebruikelijke IP-verbindingen. Omdat er veel gevallen zijn waarin legitieme adressen waarschuwingen genereren, kunnen sommige werknemers gemakkelijk zelfgenoegzaam worden en daadwerkelijke kwaadwillenden over het hoofd zien.
Om dergelijke situaties te elimineren, kunnen medewerkers alle IP-adressen controleren in TI Lookup. Hier is een voorbeeld van een mogelijke vraag:
bestemmingIP:”78(.)110(.)166(.)82″
De dienst informeert ons direct over de kwaadaardige aard van dit IP-adres en biedt meer context: de naam van de dreiging (Agent Tesla) en sandbox-sessies waarin dit IP-adres is vastgelegd.
Op dezelfde manier kunnen beveiligingsprofessionals systeemgebeurtenissen controleren, zoals het gebruik van verdachte scripts. We kunnen meer dan één indicator tegelijk opnemen om te zien of een daarvan verband houdt met kwaadwillige activiteiten.
Overweeg deze vraag:
opdrachtregel:”C:\Gebruikers\Public\*.ps1″ OF opdrachtregel:”C:\Gebruikers\Public\*.vbs”
Het is ingesteld om te zoeken naar twee soorten scripts: scripts in .ps1- en .vbs-formaat die in de openbare map worden geplaatst.
Omdat we de bestandsnamen van deze scripts niet kennen, kunnen we ze eenvoudig vervangen door het jokerteken *.
TI Lookup biedt ons een lijst met overeenkomende scripts, gevonden in talloze sandboxsessies.
Nu kunnen we hun namen verzamelen, zien hoe ze werken als onderdeel van een aanval, en preventieve maatregelen nemen op basis van de ontdekte informatie.
Onderzoek naar bedreigingen door specifieke TTP’s
Hoewel het blokkeren van bekende indicatoren van compromissen (IOC’s) een belangrijk onderdeel van uw beveiliging is, veranderen deze vaak regelmatig. Daarom is het een duurzamere aanpak om te vertrouwen op tactieken, technieken en procedures (TTP’s) die door aanvallers worden gebruikt om organisaties in uw branche te infecteren.
Met TI-tools kunt u bedreigingen volgen die gebruik maken van TTP’s waarin u geïnteresseerd bent, hun gedrag observeren en waardevolle informatie over deze bedreigingen verzamelen om de detectiemogelijkheden van uw bedrijf te verbeteren.
Hoe het bijdraagt aan uw veiligheid:
- Gedetailleerd inzicht in de methoden van aanvallers.
- Ontwikkeling van specifieke tegenmaatregelen.
- Proactieve verdediging tegen opkomende bedreigingen.
Hoe het werkt:
TI Lookup biedt een bruikbare MITRE ATT&CK-matrix, die tientallen TTP’s bevat, die vergezeld gaan van sandbox-sessies met malware en phishing-bedreigingen waarbij deze technieken in actie worden gebruikt.
Het is gratis en zelfs beschikbaar voor niet-geregistreerde gebruikers. U kunt onderzoeken hoe aanvallen worden uitgevoerd en specifieke bedreigingen vinden die gebruik maken van bepaalde TTP’s.
De afbeelding hierboven laat zien hoe de dienst informatie levert over T1562.001, een techniek die door aanvallers wordt gebruikt om beveiligingstools aan te passen en detectie te voorkomen.
In het midden vermeldt TI Lookup handtekeningen die verband houden met deze techniek en die specifieke kwaadaardige activiteiten beschrijven. Aan de rechterkant kunt u rapporten over relevante bedreigingen bekijken.
Het volgen van evoluerende bedreigingen
Bedreigingen hebben de neiging hun infrastructuur te veranderen en te evolueren naarmate organisaties zich aanpassen aan hun aanvallen. Daarom is het van cruciaal belang dat u nooit de bedreigingen uit het oog verliest die ooit een risico voor uw bedrijf vormden. Dit kan worden gedaan door actuele informatie te verkrijgen over de nieuwste gevallen van deze dreiging en de nieuwe indicatoren ervan.
Hoe het bijdraagt aan uw veiligheid:
- Tijdige maatregelen om opkomende bedreigingen te beperken.
- Verbeterd situationeel bewustzijn voor beveiligingsteams.
- Betere voorbereiding op toekomstige aanvallen.
Hoe het werkt:
Met TI Lookup kunt u zich abonneren om meldingen te ontvangen over updates over specifieke bedreigingen, indicatoren van compromissen, indicatoren van gedrag, evenals combinaties van verschillende datapunten.
Hierdoor kunt u op de hoogte blijven van nieuwe varianten en evoluerende bedreigingen, en uw verdediging vrijwel in realtime aanpassen als dat nodig is.
We kunnen ons bijvoorbeeld abonneren op een vraag om informatie te ontvangen over nieuwe domeinnamen en andere netwerkactiviteiten gerelateerd aan de Lumma Stealer:
threatName:”lumma” EN domeinnaam:””
Binnenkort zullen we zien hoe nieuwe updates verschijnen.
Door op de geabonneerde zoekopdracht te klikken, worden de nieuwe resultaten weergegeven. In ons geval kunnen we nieuwe poorten waarnemen die worden gebruikt bij aanvallen waarbij Lumma betrokken is.
Verrijking van informatie uit rapporten van derden
Rapporten over het huidige dreigingslandschap vormen een essentiële bron van informatie over aanvallen die mogelijk op uw organisaties zijn gericht. Toch kan de informatie die ze bevatten vrij beperkt zijn. U kunt voortbouwen op de bestaande kennis en uw eigen onderzoek doen om aanvullende details te ontdekken.
Hoe het bijdraagt aan uw veiligheid:
- Zorgen voor een completer beeld van het dreigingslandschap.
- Validatie van bedreigingsgegevens.
- Beter geïnformeerde besluitvorming.
Hoe het werkt:
Denk eens aan deze recente aanval gericht op productiebedrijven met Lumma- en Amadey-malware. We kunnen de bevindingen in het rapport opvolgen om meer voorbeelden te vinden die verband houden met de campagne.
Om dit te doen, kunnen we twee details combineren: de naam van de bedreiging en een .dll-bestand dat door aanvallers wordt gebruikt:
bestandspad:”dbghelp.dll” EN bedreigingsnaam:”lumma”
TI Lookup biedt tientallen overeenkomende sandbox-sessies, waardoor u de gegevens in het oorspronkelijke rapport aanzienlijk kunt verrijken en deze kunt gebruiken om uw verdediging tegen deze aanval te versterken.
Verbeter en versnel het opsporen van bedreigingen in uw organisatie met TI Lookup
ANY.RUN’s Threat Intelligence Lookup biedt gecentraliseerde toegang tot de nieuwste dreigingsgegevens van openbare malware- en phishing-voorbeelden.
Het helpt organisaties met:
- Proactieve identificatie van bedreigingen: Doorzoek de database om uw verdediging proactief te identificeren en bij te werken op basis van de ontdekte informatie.
- Sneller onderzoek: Versnel het onderzoek naar bedreigingen door geïsoleerde IOC’s snel te verbinden met specifieke bedreigingen of bekende malwarecampagnes.
- Realtime monitoring: Houd evoluerende bedreigingen in de gaten door updates te ontvangen over nieuwe resultaten met betrekking tot uw interessante indicatoren.
- Forensisch onderzoek naar incidenten: Verbeter de forensische analyse van beveiligingsincidenten door te zoeken naar contextuele informatie over bestaande artefacten.
- IOC-collectie: Ontdek aanvullende indicatoren door in de database te zoeken naar relevante dreigingsinformatie.
Ontvang een gratis proefperiode van 14 dagen voor TI Lookup om alle mogelijkheden ervan te testen en te zien hoe het kan bijdragen aan de veiligheid van uw organisatie.