Wie KI nur wenige Stunden nach ihrer Implementierung einen Hacker aufspürte, der sich in einem Energienetz versteckt hatte

Max Heinemeyer, Director of Threat Hunting | Freitag, 09. Oktober 2020

Als ein europäisches Energieunternehmen KI für die Cyberabwehr implementierte, war bereits ein Cyberkrimineller in das Unternehmen eingedrungen. Obwohl der Angreifer schon im System lauerte, erkannte Darktrace, dass dessen Aktivität von den bereits erlernten, sonst üblichen Verhaltensmustern – den sogenannten „Patterns of Life“ – im Unternehmen abwich.

Der Hacker hatte einen Arbeitsplatzrechner kompromittiert und einen Command & Control (C2)-Server eingerichtet, der als harmlose PNG-Dateien getarnte ausführbare Dateien herunterlud. Darktrace ordnete den Arbeitsplatzrechner eigenständig einer Vergleichsgruppe ähnlicher Geräte zu und stellte dabei das abweichende Verhalten fest.

Der Eindringling nutzte viele gängige Methoden, um traditionelle Tools zu umgehen, wie z.B. „Living off the Land“-Verfahren und das Verstecken von Malware in gängigen Dateitypen. Die anschließende Analyse dieser „harmlosen“ Dateien ergab, dass sie über das Metasploit-Framework den Fernzugriff auf das kompromittierte Gerät hätten ermöglichen können.

Details zum Angriff

Abbildung 1: Zeitlicher Ablauf des Angriffs

Gleich nach der Installation überwachte Darktrace das Verhalten von rund 5.000 Geräten und erfasste ihre „Patterns of Life“. Ebenso berücksichtigt wurden dabei die entsprechenden Vergleichsgruppen und das breitere Unternehmen. Nach nur zwei Stunden stellte die Technologie fest, dass der Arbeitsplatzrechner eines Administrators verdächtige Verbindungen zu mehreren Domains aufbaute, die unter der IP-Adresse 78.142.XX.XXX gehostet wurden. Die Regelmäßigkeit dieser Verbindungen deutete darauf hin, dass die Infektion schon auf dem Gerät vorhanden war.

Am nächsten Tag beobachtete Darktrace, dass der Arbeitsplatzrechner eine verdächtige ausführbare Datei mit dem Namen d.png herunterlud und anschließend mehrere ähnliche Downloads stattfanden.

Ausführbare Dateien sind häufig als ein anderer Dateityp getarnt, damit sie von Sicherheitstools nicht erkannt werden. Darktrace erkannte jedoch, dass Dateityp und Dateiendung nicht zusammenpassten, und kennzeichnete die Dateien für eine nähere Untersuchung.

Dass zum Zeitpunkt dieser Aktivität OSINT für die Downloadquelle fehlten, war womöglich der Grund, weshalb andere Sicherheitstools die verdächtigen HTTP-Verbindungen übersehen haben. Aufgrund der ungewöhnlichen IP-Adresse im Netzwerk und des ungewöhnlichen Verhaltens im Vergleich zu anderen Netzwerkgeräten erkannte Darktrace schnell das bösartige Beaconing.

Informationen zum infizierten Gerät

Nach der ersten Modellabweichung beobachtete Darktrace das infizierte Gerät weiter und stellte die regelmäßigen Verbindungen zu dem schädlichen Endgerät w.gemlab[.]top grafisch dar. Das Gerät baute in Intervallen von genau drei Stunden mehrere Verbindungen zu diesem Endgerät auf, was auf eine gewisse Automatisierung der Aktivität hindeutete. Kein anderes Gerät in der Vergleichsgruppe wies ein solches Verhalten auf.

Abbildung 2: Darktrace stellt die Verbindungen in einem Diagramm dar. Die Modellabweichungen sind durch orangefarbene Punkte gekennzeichnet.

Darktrace stufte diese HTTP-Verbindung als verdächtig ein und meldete dem Sicherheitsteam die Modellabweichung, damit der Vorfall untersucht und behoben werden konnte.

Abbildung 3: Darktrace stellt detaillierte Informationen zur Modellabweichung bereit.

Abbildung 4: Ereignisprotokoll des Geräts

Erkennung einer bereits eingedrungenen Bedrohung

Dieses Beispiel eines raffinierten Angriffs zeigt den Versuch, sich unauffällig unter den regulären Traffic zu mischen. Das Darktrace Immune System erkannte jedoch die Hinweise auf bösartige Absichten, weil es in der Lage ist, automatisch Vergleichsgruppen von Benutzern und Geräten zu ermitteln und auf dieser Grundlage abweichendes Verhalten eines kompromittierten Geräts zu erkennen. Obwohl Darktrace erst einige Stunden aktiv war, erkannte die Technologie sofort die Aktivität und kennzeichnete sie für eine nähere Untersuchung.

Ohne die Echtzeiterkennung und -meldung von Darktrace – und die schnelle Reaktion des Sicherheitsteams zur Neutralisierung der Bedrohung – hätte der Angriff schwerwiegende Folgen haben können. Mithilfe eines Command & Control-Servers und ausreichenden Zugriffsrechten können Cyberkriminelle ganze Energienetze lahmlegen, denken wir nur an die großflächigen Stromausfälle in der Ukraine und Estland. Andere Hacker verschlüsseln große Mengen sensibler Dateien und fordern für deren Freigabe ein Lösegeld. Dem betroffenen Unternehmen kann dadurch ein enormer finanzieller und Reputationsschaden entstehen.

Das ist nicht das erste Mal, dass Darktrace bereits vorhandene Infektionen in einer Kundenumgebung aufgespürt hat – und es wird auch nicht das letzte Mal sein. Bei einem selbstlernenden Ansatz beschränkt sich die Cyberabwehr nicht darauf, Veränderungen in der Umgebung zu identifizieren, sondern es werden auch vorhandene Kompromittierungen sowie neuartige und hochkomplexe Angriffe erkannt, die konventionelle Regeln und Signaturen einfach umgehen.

Vielen Dank an unsere Darktrace Analystin Emma Foulger für die Einblicke in diesen Bedrohungsvorfall.

Kompromittierungsindikatoren (IoC):

IoCAnmerkung
cloud.apcdn[.]ruMehrere Dateidownloads von diesem Endgerät
URI: /d.png
Hash: 82e1c9727ae04a19c8a155559e1855349e528244
w.gemlab[.]topAufbau einer C2-Verbindung wurde zuerst mit diesem Hostnamen beobachtet
cloud.gemlab[.]top
img.gemlab[.]top
img.apcdn[.]ru
Weitere C2-Kommunikation mit diesen Hostnamen

Abweichungen von Darktrace Modellen:

  • Device / Suspicious Domain
  • Compromise / Agent Beacon (Long Period)
  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Masqueraded File Transfer

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.