Wie werden potenzielle Zero-Day-Exploits identifiziert? Security-Spezialist Fortinet hat eine Liste der Top 5 Exploit- und Exfiltration-Verhaltensweisen zusammengestellt, die am ehesten zu einem möglichen Advanced Persistent Threat (APT)-Angriff führen. [...]
- Zufällige Generierung von IP-Adressen: Einige APT-Payloads enthalten einen Code, der zufällig IP-Adressen-Strings erzeugt. Die APT-Payloads nutzen diese Vorgehensweise um ihre eigene Ausbreitung zu begünstigen.
- „Command and Control“-Verbindungsversuche: Einmal in das System eingedrungen, können APTs entscheiden, ob sie sich mit einem Command and Control-Server verbinden, um Zugriff auf Daten zu erlangen oder ob sie weitere Angriff-Ressourcen aktivieren, beispielweise über ein Botnet. Die Erkennung erfolgt über die Signatursteuerung und Rendezvous-Detection. Bei Rendezvous-Detection handelt es sich um einen Vorgang, der unerwünschte, von APTs ausgehende Kommunikation nach außen erkennt und unterbindet.
- Host-Mimikry: Ein APT kann möglicherweise damit beginnen, das Verhalten seines Host-Geräts oder die der Anwendung zu imitieren, um so einem Entdeckungsversuch zu entgehen.
- JavaScript-Verschleierung: Dokumentierte APT-Fälle zeigen, dass APTs zahlreiche Verschleierungstechniken genutzt haben, um die wahre Bedeutung und Absicht bösartiger JavaScript-Codes zu verbergen.
- Verschlüsselter Datenverkehr: Der Trend hin zu verschlüsselter Malware innerhalb von APT- Payloads setzt jeglichen verschlüsselten Datenverkehr einem erhöhten Risiko aus. (pi)
Be the first to comment