Die Insikt Group von Recorded Future hat Erkennungen für die Ausführung mit SIEM-Software sowie Leitfäden zur Reaktion auf Vorfälle für vier beliebte Tools zum Erfassen von Anmeldeinformationen erstellt. Zu den Quellen gehörten die Recorded Future ® -Plattform, Malpedia, PolySwarm, Reverse Engineering und Open-Source-Intelligence-(OSINT-)Anreicherungen. Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die daran interessiert sind, Organisationen vor Tools zum Abgreifen von Anmeldeinformationen zu schützen.

Executive Summary

Der Einsatz von Tools zum Sammeln von Anmeldeinformationen ist eine gängige und leistungsstarke Möglichkeit für Bedrohungsakteure, zusätzlichen Zugriff auf Ihre Infrastruktur zu erhalten. Details zu einem kürzlichen Ryuk-Vorfall zeigen ein 15-stufiges Verfahren zur Kompromittierung von Opfern, von denen 2 die Verwendung der Credential-Harvesting-Tools Mimikatz und LaZagne beinhalten. Diese Tools wurden verwendet, um sich seitlich durch die Umgebung des Opfers zu bewegen und andere Hosts im Netzwerk zu kompromittieren.

Dieser Artikel beschreibt unsere Forschung zu Sigma-basierten Erkennungsregeln für Mimikatz, LaZagne, T-Rat 2.0 und Osno Stealer. Darüber hinaus stellen wir eine anfängliche Vorfallprioritätsstufe und ein Reaktionsverfahren auf hoher Ebene bereit, um Sicherheitseinsatzteams bei der Reaktion auf Vorfälle im Zusammenhang mit dem Abgreifen von Anmeldeinformationen zu unterstützen.

Die Sigma-Regeln, die vom Open-Source-Projekt Sigma bereitgestellt werden, und die von Recorded Future entwickelten benutzerdefinierten Regeln (nur für bestehende Kunden verfügbar) bieten eine leistungsstarke Möglichkeit, das Sammeln von Anmeldeinformationen mit vorhandenen SIEM-Lösungen zu erkennen und darauf zu reagieren. In Kombination mit einer ordnungsgemäß konfigurierten hostbasierten Protokollierung unter Verwendung von Tools wie Sysmon können Sigma-Regeln die Fähigkeit eines Unternehmens verbessern, Bedrohungen mit erhöhter Genauigkeit und Effizienz zu erkennen und darauf zu reagieren.

Sigma ist eine standardisierte Regelsyntax, die in viele verschiedene SIEM-unterstützte Syntaxformate konvertiert werden kann. Über die Recorded Future-Plattform können Kunden auf von der Insikt Group entwickelte Sigma-Regeln zugreifen und diese herunterladen, um sie in ihren Organisationen zu verwenden.

Wichtige Urteile

• Die meisten Tools zum Erfassen von Anmeldeinformationen bergen ein hohes Risiko, da sie zusätzliche Taktiken, Techniken und Verfahren (TTPs) ermöglichen, wie etwa Lateral Movement und Rechteausweitung. Normalerweise werden Tools zum Erfassen von Anmeldeinformationen als Tool der zweiten Stufe eingesetzt und weisen darauf hin, dass der Host bereits kompromittiert ist.
• Eine erfolgreiche Erkennung und Reaktion auf Aktivitäten zum Abgreifen von Anmeldeinformationen kann verhindern, dass Eindringlinge ihre Ziele erfolgreich erreichen.
• Sigma-Regeln sind eine effektive Möglichkeit, Erkennungen zwischen mehreren Plattformen zu teilen. Die Verwendung der Prioritätsstufen und Reaktionsverfahren von Recorded Future mit Sigma-Regeln bietet Cybersicherheitsteams eine einfach zu implementierende Erkennungs- und Reaktionsfähigkeit.