Video: DNS Based Botnet C&C (November 2024)
Het eerste kwartaal van dit jaar was gevuld met nieuwsverhalen over datalekken. De cijfers waren alarmerend, bijvoorbeeld 40 miljoen of meer getroffen klanten. Maar de duur van sommige inbreuken kwam ook als een schok. De systemen van Neiman Marcus stonden drie maanden lang open, en de doorbraak van Michael, die in mei 2013 begon, werd pas in januari ontdekt. Dus, zijn hun beveiligingsmensen totaal lamers? Een recent rapport van Damballa, een aanbieder van inbreukherstel, suggereert dat dit niet noodzakelijkerwijs waar is.
Het rapport wijst erop dat het aantal meldingen enorm is en dat een menselijke analist doorgaans moet bepalen of de melding een geïnfecteerd apparaat betekent. Elke waarschuwing als een infectie behandelen zou belachelijk zijn, maar tijd nemen voor analyse geeft de slechteriken de tijd om te handelen. Erger nog, tegen de tijd dat de analyse voltooid is, is de infectie mogelijk verder gegaan. In het bijzonder kan het een volledig andere URL gebruiken om instructies te krijgen en gegevens te exfiltreren.
Fluxing van domeinen
Volgens het rapport ziet Damballa bijna de helft van al het Noord-Amerikaanse internetverkeer en een derde van het mobiele verkeer. Dat geeft ze een aantal echt grote gegevens om mee te spelen. In het eerste kwartaal registreerden ze verkeer naar meer dan 146 miljoen verschillende domeinen. Ongeveer 700.000 daarvan waren nog nooit eerder gezien en meer dan de helft van de domeinen in die groep werd na de eerste dag nooit meer gezien. Verdacht veel?
Het rapport merkt op dat een eenvoudig communicatiekanaal tussen een geïnfecteerd apparaat en een specifiek Command and Control-domein snel zou worden gedetecteerd en geblokkeerd. Om te helpen onder de radar te blijven, gebruiken de aanvallers een zogenaamde Domain Generation Algorithm. Het gecompromitteerde apparaat en de aanvaller gebruiken een afgesproken 'seed' om het algoritme, bijvoorbeeld het topverhaal op een bepaalde nieuwssite op een bepaald tijdstip, willekeurig te maken. Gegeven hetzelfde seed, zal het algoritme dezelfde pseudo-willekeurige resultaten produceren.
De resultaten zijn in dit geval een verzameling willekeurige domeinnamen, misschien 1.000. De aanvaller registreert slechts één hiervan, terwijl het gecompromitteerde apparaat ze allemaal probeert. Als het de juiste is, kan het nieuwe instructies krijgen, de malware bijwerken, handelsgeheimen verzenden of zelfs nieuwe instructies krijgen voor welk zaad de volgende keer moet worden gebruikt.
Informatie overbelasting
Het rapport merkt op dat "waarschuwingen alleen afwijkend gedrag aangeven, geen aanwijzingen voor infectie." Sommige eigen klanten van Damballa ontvangen dagelijks maar liefst 150.000 alarmgebeurtenissen. In een organisatie waar menselijke analyse vereist is om de tarwe van het kaf te onderscheiden, is dat gewoon teveel informatie.
Het wordt erger. Door de gegevens van zijn eigen klantenbestand te verzamelen, ontdekten de onderzoekers van Damballa dat "grote, wereldwijd verspreide ondernemingen" gemiddeld 97 apparaten per dag leden met actieve malware-infecties. Die besmette apparaten, bij elkaar genomen, uploadden elke dag gemiddeld 10 GB. Wat stuurden ze? Klantenlijsten, handelsgeheimen, bedrijfsplannen - het kan van alles zijn.
Damballa betoogt dat de enige oplossing is om de menselijke bottleneck weg te nemen en voor volledig geautomatiseerde analyse te gaan. Aangezien het bedrijf precies die service biedt, is de conclusie geen verrassing, maar dat betekent niet dat het verkeerd is. Het rapport citeert een onderzoek waarin staat dat 100 procent van de klanten van Damballa het ermee eens is dat "automatisering van handmatige processen de sleutel is om toekomstige beveiligingsuitdagingen aan te gaan."
Als u de leiding heeft over de netwerkbeveiliging van uw bedrijf, of als u deel uitmaakt van de managementketen van degenen die de leiding hebben, wilt u zeker het volledige rapport lezen. Het is een toegankelijk document, niet jargon-zwaar. Als u slechts een gemiddelde consument bent, onthoud dan de volgende keer dat u een nieuwsbericht hoort over een datalek dat is opgetreden ondanks 60.000 alarmgebeurtenissen, dat waarschuwingen geen infecties zijn en dat elk een analyse vereist. De beveiligingsanalisten kunnen het gewoon niet bijhouden.
