Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

KI neutralisiert Hafnium-Cyberangriffe

Max Heinemeyer, Director of Threat Hunting | Donnerstag, 18. März 2021

Am 11. und 12. März 2021 erkannte Darktrace mehrere Versuche einer breit angelegten Angriffskampagne gegen anfällige Server in Kundenumgebungen. Die Kampagne zielte auf von außen zugängliche Microsoft Exchange-Server ab und nutzte die kürzlich festgestellte ProxyLogon-Sicherheitslücke (CVE-2021-26855).

Dieser Exploit wurde erstmals mit der Hackergruppe „Hafnium“ in Verbindung gebracht. Microsoft hat jedoch davor gewarnt, dass sich verstärkt auch andere Bedrohungsakteure diese Sicherheitslücke zunutze machen werden. Diese neuen Kampagnen wurden noch nie zuvor beobachtet und dennoch in Echtzeit von der Cyber-KI abgewehrt.

Hafnium-Nachahmer

Sobald eine Sicherheitslücke öffentlich wird, steht gleich eine Horde von Angreifern parat, die sich das Chaos zunutze machen und versuchen, anfällige Netzwerke zu kompromittieren.

Sobald die Softwareentwickler Patches veröffentlichen, werden diese von Hackern durch Reverse Engineering analysiert, was massenhafte Exploits mit gravierenden Auswirkungen zur Folge hat. Gleichzeitig verlagern sich die Attacken von den ursprünglichen Angreifern wie nationalstaatlichen Akteuren hin zu Ransomware-Gruppen und anderen opportunistischen Angreifern. Genau dieses Phänomen hat Darktrace diesen Monat als Folge der Hafnium-Angriffe auf anfällige E-Mail-Server mit Microsoft Exchange beobachtet.

Angriffe auf Exchange-Server: KI-Analyse

Die Cyber-KI hat Bedrohungsakteure, die Malware über ProxyLogon herunterladen und installieren wollten, als ursprünglichen Angriffsvektor ausgemacht. Bei Kunden mit Autonomous Response wurde die schädliche Payload an dieser Stelle abgefangen, sodass sich der Angriff gar nicht erst ausbreiten konnte.

In anderen Darktrace Kundenumgebungen erkannte das Darktrace Immune System den Angriff und warnte in jeder Angriffsphase. Im Allgemeinen wurde beobachtet, dass die Malware sich wie eine generische „Hintertür“ verhält, ohne dass weitere Aktivitäten initiiert werden. Es wurden verschiedene Formen von Command & Control (C2)-Kanälen entdeckt, wie z.B. Telegra[.]ph. In einigen Fällen installierten die Angreifer Cryptominer.

Sobald die Angreifer in die digitale Umgebung eingedrungen sind, ist es sehr wahrscheinlich, dass sie einen manuell kontrollierten Angriff starten und Daten ausschleusen, sich lateral bewegen oder Ransomware installieren.

Abbildung 1: Zeitstrahl eines typischen ProxyLogon-Exploits

Nachdem die ProxyLogon-Sicherheitslücke ausgenutzt wurde, bauten die Exchange-Server mithilfe eines PowerShell User Agent eine Verbindung zu der schädlichen Domain microsoftsoftwaredownload[.]com auf Darktrace stufte dieses Verhalten als anormal ein, weil der betreffende User Agent noch nie zuvor von dem Exchange-Server genutzt wurde – ganz zu schweigen von dem Zugriff auf eine schädliche und aus dem Netzwerk noch nie aufgerufene Domain.

Abbildung 2: Darktrace erkennt anormale PowerShell-Verbindung

Die ausführbare Malware-Datei war als zip-Datei getarnt, um den Angriff zusätzlich zu verschleiern. Darktrace erkannte den in hohem Maße anormalen Dateidownload und die getarnte Datei.

Abbildung 3: Darktrace erkennt den anormalen Dateidownload und stellt die wichtigsten Informationen dazu bereit

In einigen Fällen stellte die Darktrace KI Sekunden oder Minuten nach dem anfänglichen Malware-Download Cryptomining-Aktivität fest.

Abbildung 4: Abweichung vom Darktrace Cryptomining-Modell

Im Hinblick auf C2-Traffic erkannte Darktrace mehrere potenzielle Kanäle. Als die Malware heruntergeladen wurde, fingen einige der Exchange-Server an, über ungewöhnliche SSL- oder TLS-verschlüsselte Verbindungen Datenpakete an externe Ziele zu übertragen.

  • Telegra[.]ph – beliebte Messenger-Anwendung
  • dev.opendrive[.]com – Cloudspeicher-Service
  • od[.]lk – Cloudspeicher-Service

In diesem Fall stellte Darktrace fest, dass keine dieser drei externen Domains jemals zuvor von irgendjemandem im Unternehmen kontaktiert worden war, schon gar nicht durch Beaconing. Dass diese Kommunikation genau dann stattfand, als die Malware heruntergeladen wurde, deutete stark auf einen Zusammenhang hin. Der Darktrace Cyber AI Analyst leitete automatisch eine Untersuchung des Vorfalls ein und setzte diese Ereignisse in Beziehung.

KI-gestützte Untersuchung

Der Cyber AI Analyst erstellte dann automatisch eine Zusammenfassung der Aktivität. Dabei wurden sowohl der Malware-Download als auch die aufgebauten C2-Kanäle berücksichtigt.

Abbildung 5: Cyber AI Analyst erstellt automatisch eine Zusammenfassung

Schaut man sich einen infizierten Exchange-Server ([REDACTED].local) aus der Vogelperspektive an, ist zu sehen, dass Darktrace während des Angriffs verschiedene Warnmeldungen ausgegeben hat. Jeder der farbigen Punkte in der Grafik unten steht für eine von Darktrace erkannte größere Anomalie.

Abbildung 6: Darktrace zeigt die ungewöhnlich hohe Anzahl von Verbindungen und anschließenden Modellabweichungen

Diese Aktivität wurde aus den Daten der gesamten Woche als dringlichster Vorfall hervorgehoben. In dem Unternehmen gab es in der Woche insgesamt nur vier Vorfälle, die vom Cyber AI Analyst untersucht wurden. Die Warnhinweise sind so präzise und klar, dass die Sicherheitsteams sofort über die größten Bedrohungen für ihre digitale Umgebung Bescheid wissen, ohne mit unnötigen Meldungen und Fehlalarmen überhäuft zu werden.

Blitzschnelle Reaktion

Bei Kunden mit Darktrace Antigena blockierte Antigena eigenständig den gesamten ausgehenden Datenverkehr zu schädlichen externen Endgeräten an den betreffenden Ports. Diese Maßnahme wurde mehrere Stunden beibehalten, um zu verhindern, dass der Bedrohungsakteur den Angriff ausweitet. Gleichzeitig hatten die Sicherheitsteams Zeit, zu reagieren und Abhilfe zu schaffen.

Antigena reagierte binnen Sekunden nach Beginn des Angriffs und wehrte ihn frühzeitig ab – ganz ohne Störung des regulären Geschäftsbetriebs (es konnten weiterhin E-Mails gesendet und empfangen werden) und obwohl es sich um eine Zero-Day-Kampagne handelte.

Abbildung 7: Darktrace Antigena reagiert eigenständig

Ein Zero-Day-Exploit wird erkannt

Das ist nicht das erste Mal, dass Darktrace einen Angriff gestoppt hat, der eine Zero-Day- oder gerade erst bekanntgegebene N-Day-Sicherheitslücke ausnutzt. Im März 2020 erkannte Darktrace, dass der Bedrohungsakteur APT41 die Sicherheitslücke von Zoho ManageEngine ausnutzte – zwei Wochen, bevor sie öffentlich bekannt wurde.

Es ist sehr wahrscheinlich, dass weitere Cyberkriminelle auf den Hafnium-Zug aufspringen und die ProxyLogon-Schwachstelle ausnutzen werden. Heute sind es Sicherheitslücken bei Exchange-Servern, morgen wird es vielleicht ein Software- oder Hardwareangriff auf Lieferketten oder eine ganz andere Zero-Day-Attacke sein. Woche für Woche entwickeln sich neue Bedrohungen. In diesem Klima, in dem „bekannte Unbekannte“ nur schwer oder gar nicht im Vorfeld als neue Norm definiert werden können, müssen wir anpassungsfähiger und proaktiver denn je sein.

Sobald ein Angreifer beginnt, sich ungewöhnlich zu verhalten, spürt die Darktrace KI ihn auf, selbst wenn keine Bedrohungsdaten zu dem Angriff vorliegen. Hier bringt Darktrace seine Stärken voll zur Geltung und erkennt, untersucht und wehrt eigenständig hochkomplexe und neuartige Bedrohungen in Echtzeit ab.

Erfahren Sie mehr über das Darktrace Immune System

Kompromittierungsindikatoren (IoC):

IoCKommentar
Microsoftsoftwaredownload[.]com: 8080/c103w-a.zipMalware
Microsoftsoftwaredownload[.]com: 8080/dnl.zipMalware
Mozilla/5.0 (Windows NT; Windows NT 10.0; en-GB) WindowsPowerShell/5.1.14393.2608Erster Callout des User Agent
198.98.61[.]152Malware-Hosting und Empfang von Cryptomining-Hashes
Od[.]lkVermutlich C2 oder Datenausschleusungsziel
dev.opendrive[.]comVermutlich C2 oder Datenausschleusungsziel
cdn.chatcdn[.]net/p?hig210305Malware-Hosting und C2
f31d06f55c00c7111e545304d58c7317a4f1b1848ba1396a5454d7367d70da06Malware gehostet auf chatcdn[.]net

Beispiel für Darktrace Modellabweichungen:

  • Antigena / Network / Compliance / Antigena Crypto Currency Mining Block
  • Compliance / Crypto Currency Mining Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous Connection / Suspicious Expired SSL
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Enhanced Monitoring from Client Block
  • Device / Initial Breach Chain Compromise
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Anomalous File / Masqueraded File Transfer
  • Anomalous File / EXE from Rare External Location
  • Antigena / Network / External Threat / Antigena Suspicious File Block
  • Antigena / Network / External Threat / Antigena File then New Outbound Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Anomalous File / Internet Facing System File Download
  • Device / New PowerShell User Agent
  • Anomalous File / Multiple EXE from Rare External Locations
  • Anomalous Connection / Powershell to Rare External

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.