Incident Response Consulting

by Apr 23, 2013

In den vergangenen Monaten konnten wir mehrere Kunden bei der Bewältigung und Behandlung massiver Angriffe unterstützen. Zufällige Entdeckungen im Kundennetz zeigten in allen Fällen nur die “Spitze es Eisbergs” größerer und länger andauernder Attacken.
Nachdem ein Security Incident als solcher bestätigt wird, ist die erste Frage, die sich stellt, die nach dem Umfangs des Angriffs oder dem Ausmaß der Infektion.
Um diese Frage beantworten zu können bedarf es eines hinreichenden Security Monitorings – also der Überwachung und Analyse sicherheitsrelevanter Ereignisse im Netzwerk und auf Systemen. Nur so ist es möglich, vergangene Ereignisse aufzuarbeiten und miteinander in Verbindung zu bringen. Auch wenn Kunden über kein oder nur ein sehr eingeschränktes Security Monitoring verfügten, war es innerhalb weniger Wochen möglich, erste Erfolge zu erzielen. Neben der reinen Erhebung und Weiterleitung der Daten sind in den meisten Fällen dazu auch Abstimmungen mit BR und Datenschutz  notwendig.
Für die Analyse eines Hackerangriffs relevante Protokolle sind u.a.:

  • Windows Eventlog der Clients und Server
  • Antivirus Logs
  • Proxy Logs
    (Logdaten der Proxy Appliance)
  • Firewall Logs
  • DNS Server Logs

Die richtige Wahl der Mittel wirkt sich erheblich auf die Zeitdauer aus, nach der erste Ergebnisse erzielt werden können und bestimmt letztlich auch die Basis für weitere Entwicklungen. Moderne Werkzeuge wie z.B. Splunk erlauben es, Datenquellen in wenigen Minuten anzubinden und wenige Handgriffe später auch ausgezeichnet analysieren zu können. Wir verwendeten in unseren Umgebungen ein Set aus folgenden Werkzeugen, um die Vorfälle umfassend zu analysieren und zu klären:

  • Syslog-NG
    (zur Sammlung, Filterung und geordneter Ablage von Logdaten)
  • Splunk
    (Indizierung, Aufbereitung und Analyse von Logdaten)
  • Splunk Forwarder
    (Weiterleitung von Logdaten – z.B. an Syslog-NG)
  • TH0R Incident Response Scanner
    (Eigenentwicklung zur Erkennung von Angreifer-Tools und Aktivitäten auf Windows Serversystemen)

Während wir im Security Monitoring Echtzeitalarme definierten, die uns vor neuen Angriffen innerhalb von Sekunden in Kenntnis setzten, konnten wir gleichzeitig unser Incident Response Tool TH0R einsetzen, um die Systeme auf Spuren der Angreifer zu untersuchen. Auf diese Weise ergibt sich ein umfassendes Bild über den Zustand der Systeme bzw. den Grad der Kompromittierung.

SIEM Security Monitoring mit Splunk

SIEM Security Monitoring mit Splunk


Hackerabwehr Scanner

Incident Response Scanner TH0R


 

Links

Im hier verlinkten Blogbeitrag wird die Arbeit mit dem Werkzeug TH0R genauer erläutert. Auf der Produktseite werden die Eigenschaften und Funktionen genauer erläutert. Das eingesetzte SIEM Werkzeug Splunk wird hier in einem kurzen Überblick vorgestellt.

Unterstützung

Sollten Sie Unterstützung bei der Behandlung von Hacker-Angriffen benötigen oder Interesse an den eingesetzten Werkzeugen haben, können Sie jederzeit gerne über unsere Kontakt-Seite Verbindung mit uns aufnehmen.

About the author:

Florian Roth

Florian Roth serves as the Head of Research and Development at Nextron Systems. With a background in IT security since 2000, he has delved deep into nation-state cyber attacks since 2012. Florian has developed the THOR Scanner and actively engages with the community via his Twitter handle @cyb3rops. He has contributed to open-source projects, including 'Sigma', a generic SIEM rule format, and 'LOKI', an open-source scanner. Additionally, he has shared valuable resources like a mapping of APT groups and operations and an Antivirus Event Analysis Cheat Sheet.

Subscribe to our Newsletter

Monthly news, tips and insights.

Follow Us

Upgrade Your Cyber Defense with THOR

Detect hacker activity with the advanced APT scanner THOR. Utilize signature-based detection, YARA rules, anomaly detection, and fileless attack analysis to identify and respond to sophisticated intrusions.

GDPR Cookie Consent with Real Cookie Banner