5 technieken voor het verzamelen van informatie over cyberdreigingen

Cyberbeveiliging
Cyber Threat Intelligence

Om uw organisatie te beschermen tegen cyberdreigingen heeft u een duidelijk beeld nodig van het huidige dreigingslandschap. Dit betekent dat u uw kennis over nieuwe en aanhoudende bedreigingen voortdurend moet uitbreiden.

Er zijn veel technieken die analisten kunnen gebruiken om cruciale informatie over cyberdreigingen te verzamelen. Laten we er vijf bekijken die uw onderzoek naar bedreigingen aanzienlijk kunnen verbeteren.

Draaien op С2 IP-adressen om malware te lokaliseren

IP-adressen die door malware worden gebruikt om te communiceren met de command-and-control-servers (C2) zijn waardevolle indicatoren. Ze kunnen u niet alleen helpen uw verdediging bij te werken, maar ook de bijbehorende infrastructuur en hulpmiddelen van bedreigingsactoren te identificeren.

Dit wordt gedaan met behulp van de pivoting-methode, waarmee analisten aanvullende context over de dreiging kunnen vinden met behulp van een bestaande indicator.

Om pivoting uit te voeren, gebruiken analisten verschillende bronnen, waaronder databases met bedreigingsinformatie die grote hoeveelheden nieuwe dreigingsgegevens opslaan en zoekmogelijkheden bieden.

Een handig hulpmiddel is Threat Intelligence Lookup van ANY.RUN. Met deze service kunt u de database doorzoeken met behulp van meer dan 40 verschillende zoekparameters, zoals:

  • Netwerkindicatoren (IP-adressen, domeinnamen)
  • Register- en bestandssysteempaden
  • Specifieke bedreigingsnamen, bestandsnamen en hashes

ANY.RUN biedt gegevens die zijn gekoppeld aan de indicatoren of artefacten in uw query, samen met sandboxsessies waarin de gegevens zijn gevonden. Dit helpt analisten om een ​​bepaalde indicator of de combinatie daarvan voor een specifieke aanval vast te stellen, de context ervan te ontdekken en essentiële informatie over dreigingen te verzamelen.

Om te demonstreren hoe het werkt, gebruiken we het volgende IP-adres als onderdeel van onze query: 162(.)254(.)34(.)31. In uw geval kan de initiële indicator afkomstig zijn van een waarschuwing die is gegenereerd door een SIEM-systeem, een feed met bedreigingsinformatie of onderzoek.

Door het IP-adres bij TI Lookup in te dienen, kunnen we onmiddellijk zien dat zijn IP-adres is gekoppeld aan kwaadaardige activiteiten. Het laat ons ook weten dat de specifieke bedreiging die met dit IP-adres wordt gebruikt, AgentTesla is.

De service geeft domeinen weer die verband houden met de indicator, evenals poorten die door malware worden gebruikt bij het verbinden met dit adres.

Andere informatie die voor ons beschikbaar is, omvat bestanden, synchronisatieobjecten (mutexen), ASN en geactiveerde Suricata-regels die zijn ontdekt in sandbox-sessies waarbij het betreffende IP-adres betrokken was.

We kunnen ook naar een van de sandboxsessies navigeren waar het IP-adres werd opgemerkt om de hele aanval te bekijken en nog meer relevante informatie te verzamelen, en de analyse van het monster opnieuw uit te voeren om deze in realtime te bestuderen.

Test TI Lookup om te zien hoe het uw onderzoek naar bedreigingen kan verbeteren. Vraag een gratis proefperiode van 14 dagen aan.

Het gebruik van URL’s om de infrastructuur van bedreigingsactoren bloot te leggen

Het onderzoeken van de domeinen en subdomeinen kan waardevolle informatie opleveren over URL’s die worden gebruikt voor het hosten van malware. Een ander veelvoorkomend gebruiksscenario is het identificeren van websites die worden gebruikt bij phishing-aanvallen. Phishingwebsites bootsen vaak legitieme sites na om gebruikers te misleiden zodat ze gevoelige informatie invoeren. Door deze domeinen te analyseren kunnen analisten patronen ontdekken en een bredere infrastructuur ontdekken die door aanvallers wordt gebruikt.

Het is bijvoorbeeld bekend dat de Lumma-malware URL’s gebruikt die eindigen op “.shop” om kwaadaardige ladingen op te slaan. Door deze indicator samen met de naam van de bedreiging in te dienen bij TI Lookup, kunnen we inzoomen op de nieuwste domeinen en URL’s die bij de aanvallen van de malware zijn gebruikt.

Identificatie van bedreigingen door specifieke MITRE TTP’s

Het MITRE ATT&CK-framework is een uitgebreide kennisbasis van tactieken, technieken en procedures van tegenstanders (TTP’s). Het gebruik van specifieke TTP’s als onderdeel van uw onderzoek kan u helpen opkomende bedreigingen te identificeren. Het proactief opbouwen van uw kennis over huidige bedreigingen draagt ​​bij aan uw paraatheid tegen mogelijke aanvallen in de toekomst.

ANY.RUN biedt een live ranglijst van de populairste TTP’s die zijn gedetecteerd in duizenden malware- en phishing-samples die zijn geanalyseerd in de ANY.RUN-sandbox.

We kunnen elk van de TTP’s kiezen en deze indienen om te zoeken in TI Lookup om sandboxsessies te vinden waarin hun instanties zijn gevonden. Zoals hierboven weergegeven, kunnen we door de combinatie van T1552.001 (Inloggegevens in bestanden) met de regel “Stelt inloggegevens uit webbrowsers” analyses identificeren van bedreigingen die bij deze activiteiten betrokken zijn.

Monsters verzamelen met YARA-regels

YARA is een tool die wordt gebruikt om beschrijvingen van malwarefamilies te maken op basis van tekstuele of binaire patronen. Een YARA-regel kan zoeken naar specifieke tekenreeksen of bytereeksen die kenmerkend zijn voor een bepaalde malwarefamilie. Deze techniek is zeer effectief voor het automatiseren van de detectie van bekende malware en voor het snel identificeren van nieuwe varianten met vergelijkbare kenmerken.

Services zoals TI Lookup bieden ingebouwde YARA Search waarmee u uw aangepaste regels kunt uploaden, bewerken, opslaan en gebruiken om relevante voorbeelden te vinden.

We kunnen een YARA-regel gebruiken voor XenoRAT, een populaire malwarefamilie die wordt gebruikt voor afstandsbediening en gegevensdiefstal, om de nieuwste voorbeelden van deze dreiging te ontdekken. Naast bestanden die overeenkomen met de inhoud van de regel, biedt de dienst ook sandboxsessies om deze bestanden in een bredere context te verkennen.

Malware ontdekken met opdrachtregelartefacten en procesnamen

Het identificeren van malware via opdrachtregelartefacten en procesnamen is een effectieve maar ongebruikelijke techniek, omdat de meeste bronnen van bedreigingsinformatie dergelijke mogelijkheden niet bieden.

De bedreigingsinformatiedatabase van ANY.RUN onderscheidt zich door gegevens uit live sandbox-sessies te verzamelen en toegang te bieden tot echte opdrachtregelgegevens, processen, registerwijzigingen en andere componenten en gebeurtenissen die zijn vastgelegd tijdens de uitvoering van malware in de sandbox.

We kunnen bijvoorbeeld een opdrachtregelreeks gebruiken die door Strela stealer wordt gebruikt samen met het net.exe-proces om toegang te krijgen tot een map op de externe server met de naam “davwwwroot”.

TI Lookup biedt talloze voorbeelden, bestanden en gebeurtenissen uit sandbox-sessies die overeenkomen met onze zoekopdracht. We kunnen de informatie gebruiken om meer inzicht te krijgen in de dreiging waarmee we worden geconfronteerd.

Integreer het opzoeken van bedreigingsinformatie vanuit ANY.RUN

Om de kwaliteit van uw onderzoek naar bedreigingen te versnellen en te verbeteren, kunt u TI Lookup gebruiken.

Probeer TI Lookup en zie hoe het kan bijdragen aan uw bedreigingsonderzoeken met een proefperiode van 14 dagen →

De bedreigingsinformatie van ANY.RUN is afkomstig van monsters die naar de sandbox zijn geüpload voor analyse door meer dan 500.000 onderzoekers over de hele wereld. U kunt deze enorme database doorzoeken met behulp van meer dan 40 zoekparameters.

Voor meer informatie over hoe u uw bedreigingsonderzoeken kunt verbeteren met TI Lookup, kunt u kijken naar het live webinar van ANY.RUN op 23 oktober, 14:00 uur GMT (UTC +0).

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Flights krijgt een nieuw tabblad om de ‘Goedkoopste’ vliegtickets te vinden

Zou Californië de AI-hoofdstad van de wereld kunnen zijn?

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]