TH0R Triage APT Forensic Scanner

Transkript

1 TH0R überprüft als sogenannter vollautomatisch Ihre Windows- sowie Linux-Serversysteme auf typische Spuren, die Hacker bei Angriffen hinterlassen, beispielsweise: Signaturen von Viren, Backdoors und Trojanern. Hacking Tools, die bei Virenscannern meist nicht Alarm schlagen, da diese auch von Administratoren eingesetzt werden (PUA = possibly unwanted application). Verbindungen zu als gefährlich eingestuften Internetadressen in Log Dateien. Anomalien in Benutzerkonten (z.b. Anmeldungen zu ungewöhnlichen Zeiten). Protokollierte Versuche, Anwendungen zu installieren, Virenscanner zu deaktivieren oder Löschungen von sicherheitsrelevanten Protokollen und Events. Identifiziert Spuren der Angreifer Schneller Überblick über Schwere des Angriffs Basis für effiziente Gegenmaßnahmen TH0R wird regelmäßig von Security Analysten bei HvS-Consulting und BSK Consulting mit Informationen zu Angriffsmustern und Hacker-Werkzeugen aus verschiedenen Quellen aktualisiert. Zu den Quellen zählen derzeit: Forensische Analysen kompromittierter Systeme im HvS/BSK Kundenumfeld Ermittlungsergebnisse deutscher Institutionen Reports namhafter Hersteller und Computer Emergency Response Teams (CERTs): Mandiant Reports (u. A. APT1 Report), FireEye Regional Advanced Threat Report Europe, Australian DoD CSOC Cyber Security Operations Centre Reports, Kaspersky Labs Reports wie MiniDuke und Red October, McAfee Reports wie Operation ShadyRAT, Crowdstrike, AlienVault, C5, RSA, TrendMicro Public Domain Hacktools im Zusammenhang mit den Angreifer-Tools (z.b. McAfee Netzwerk Tools, wie Scanline, andere PsTools, alle verfügbaren Passwort Dumper, Pass-the-Hash Werkzeuge, Hack Packs, Webshell Repositories, usw.) Verschiedenste aktuelle Signatur-Typen Große Malware Datenbank Quellen Diverse Reporting um eigene Erkenntnisse Möglichkeiten erweiterbar

2 YARA SIGNATUREN FÜR DIE SPURENSICHERUNG Aus diesen Reports und Tool Sets werden YARA Signaturen, MD5-Hash-Datenbanken, Namen von Hacking-Tools, Strings in Binary-Dateien und Schlüsselwörter wie IP-Adressen, Command-and-Control Server oder verwendete Tunneling-Ports abgeleitet, die als Signaturen für TH0R dienen. TH0R verfügt momentan über 50 Yara-Signatur- Datenbanken mit mehr als Regeln. TH0R lässt sich sehr einfach um kundenspezifische, individuelle Erkenntnisse erweitern, beispielsweise um spezielle Malware-Files oder bestimmte Logeinträge. Unsere Experten pflegen die Signaturbasis permanent und werten hochaktuelle Analysen zu neuen Virenfamilien aus, um neue generische Signaturen zu erstellen. INTENSIVE ANALYSE TH0R überprüft sehr intensiv das Windows Eventlog, die laufenden Prozesse und das Dateisystem. Die Dateien werden an Hand von Signaturen im YARA-Format, ihres Namens, des MD5 Hashes, der enthaltenen Strings und der im PE Header enthaltenen Informationen geprüft. Auch bekannte Verschleierungstaktiken der Angreifer wie die Komprimierung der Executables mit Hilfe von sog. Executable Packern (UPX, Armadillo, PECompact) werden gemeldet. TH0R hat damit bereits erfolgreich bei Kunden unbekannte Werkzeuge der Angreifer aufgespürt.

3 MFT ANALYSE UND DEEP DIVE SCAN ZUR IDENTIFIKATION GELÖSCHTER TOOLS Im Rahmen der MFT Analyse untersucht TH0R den Master File Table einer NTFS Partition und generiert aus den Einzeleinträgen den kompletten Verzeichnisbaum inklusive gelöschter Dateien. So können Malware-Dateien oder Hacktools an Hand ihres Namens und Ablageortes identifiziert und gemeldet werden. Der optionale Deep Dive Scan untersucht die komplette Platte inklusive Free Space und identifiziert so Angriffsspuren in längst gelöschten Dateien. TH0R arbeitet dabei extrem schnell und verarbeitet ein 500 GB Laufwerk (HDD) weniger als zwei Stunden. Die auf der Partitionsoberfläche detektierten Funde können in ein Restore -Verzeichnis gespeichert werden. SCORING SYSTEM ZUR IDENTIFIKATION VERSCHLEIERTER MALWARE Mit Hilfe des Scoring Systems ist es möglich, auch bisher unbekannte Malware an Hand bestimmter Charakteristika zu identifizieren. In der Regel verwenden Antivirus-Hersteller und Incident Response Werkzeuge sogenannte harte Indikatoren, also klare Zeichen für eine Kompromittierung, wie z.b. eine Datei mit einem bestimmten Namen und Größe in einem speziellen Windows Ordner. TH0R verwendet zusätzlich weiche Indikatoren : Überschreitet die Gesamtbewertung einer Datei eine bestimmte Schwelle, wird eine entsprechende Meldung (siehe Grafik unten) ausgelöst. TH0R ist so in der Lage, von den Angreifern veränderte oder teilweise verschleierte Malware dennoch sichtbar zu machen. Zahlreiche Funde im Kundenumfeld belegen den Erfolg dieser Methode.

4 PRAXISORIENTIERTES REPORTING TH0R Reports stehen in verschiedenen Formaten zur Verfügung, die über Parameter gesteuert werden können: 1. Farbiger Output in der laufenden Kommandozeile für den schnellen Überblick während des Durchlaufs von TH0R (rot = Alarm, gelb = Warnung, grün = Info) 2. Eine Syslog-ähnliche, leicht durchsuchbare Log-Datei im TXT Textformat. 3. Ein HTML-Report, der sich an der Executive Summary des Schwachstellenscanners Nessus orientiert. 4. Versand der Logzeilen per Syslog an einen oder mehrere Server. Somit ist auch eine Anbindung an SIEM-Systeme oder eine Auswertung in SPLUNK> möglich.

5 TESTVERSION UND WORKSHOP Da das Thema APT-Angriffe und Incident Response Scanning auf operativen Serversystemen nicht trivial ist, empfehlen wir einen Know-how Transfer Workshop inklusive einer TH0R 14-Tage Lizenz für 4.500,- EUR zzgl. MwSt. und Reisekosten. In diesem Workshop wird die Arbeitsweise der Angreifer, deren Werkzeuge sowie die Indicators of Compromise erläutert und Einsatzmöglichkeiten von TH0R in Ihrer Systemumgebung aufgezeigt. Auf Wunsch können direkt vor Ort Scans auf ausgewählten Systemen vorgenommen und die Ergebnisse besprochen werden. Dieser Workshop wird von HvS-Consulting oder unserem Partner BSK Consulting durchgeführt. BSK Consulting ist maßgeblich an der Entwicklung von TH0R und der regelmäßigen Aktualisierung der IOCs beteiligt. LIZENZPREISE TH0R wird in folgenden Lizenzstufen angeboten: Bis 10 Systeme: Bis 100 Systeme: Ab 100 Systeme: EUR zzgl. MwSt EUR zzgl. MwSt. auf Anfrage Die Laufzeit einer Lizenz beträgt jeweils 1 Jahr. Im Preis sind Signatur-Updates sowie Versions-Upgrades und darin enthaltene Funktionserweiterungen enthalten. KONTAKT HvS-Consulting AG Parkring Garching bei München Telefon: +49 (0)89 / Telefax: +49 (0)89 / welcome@hvs-consulting.de Internet: Rufnummer im Notfall: +49 (0)89 / Stand: August 2014