Datendiebstahl auf der Spur mit Zeek

Cyberangriffe führen häufig zu einem unbefugten Zugriff auf persönliche oder vertrauliche Daten. Werden die Daten dabei aus dem Organisationsnetzwerk gestohlen, wird von einem Datenleck oder einer Daten-Exfiltration gesprochen. Die Motive des Datendiebstahls sind vielfältig und reichen von Industriespionage und Erpressung bis hin zum Weiterverkauf oder dem Identitätsdiebstahl. In letzter Zeit ist zudem ein Trend zur „Double Extorsion“ im Zusammenhang mit Ransomware-Angriffen zu beobachten. Dabei stehlen die Angreifer die sensiblen Daten des betroffenen Unternehmens, bevor sie diese verschlüsseln. Ziel ist es, die Organi-sation selbst dann zu erpressen, wenn kein Lösegeld für die Entschlüsselung der Daten gezahlt wird.

Das Netzwerk als wichtigster Kanal für Daten-Exfiltrationen

Die Angriffsvektoren für die Daten-Exfiltration sind sehr vielfältig und umfassen Methoden, die einen physischen Zugang zu Systemen oder einen Zugriff über die Netzinfrastruktur erfordern. Zudem hängt der gewählte Angriffsvektor oft davon ab, ob es sich um einen Insider oder einen externen Angreifer handelt. So können Unternehmensdaten beispielsweise einfach über einen physischen Kanal mithilfe eines Druckers oder USB-Sticks gestohlen werden. In der Praxis findet die Daten-Exfiltration allerdings meist über das Netzwerk statt. Hier kann ein Angreifer zwischen unterschiedlichen Übertragungsarten und verschiedenen Netzwerkprotokollen wählen. Beispiele sind die Datenausleitung durch das Versenden von E-Mails, das Hochladen von Unternehmensdaten zu Cloud-Storage-Anbietern oder der eigenen Infrastruktur sowie der Einsatz von speziell für die Daten-Exfiltration entwickelte Tools. Letztere nutzen unterschiedliche Netzwerkprotokolle wie zum Beispiel DNS oder HTTP(S) gezielt aus, um Daten zu übertragen. Diese gliedern sich unauffällig in legitime Netzwerkverbindungen ein und lassen sich nicht direkt als verdächtig identifizieren.

Aufgrund der großen Vielfalt an Möglichkeiten zur Daten-Exfiltration eignen sich nicht alle Security-Tools gleichermaßen für die Erkennung. Beispielsweise bieten Antivirenprodukte oder Paketfilter-Firewalls keinen ausreichenden Schutz, da Angreifer zum Datendiebstahl beispielsweise legitime Anwendungen und Netzwerkprotokolle verwenden könnten. Außerdem ist es möglich, die Daten vor der Übertragung zu verschlüsseln oder zu verändern, um sie vor der Erkennung durch ein Data Loss Prevention System zu verbergen. Systeme mit einer signaturbasierten Erkennung bieten zudem keinen ausreichenden Schutz, da sie nur bekannte Angriffsmuster erkennen können.

Netzwerk-Analyse mit Zeek

Zur Detektion von Daten-Exfiltrationen innerhalb einer Organisation bietet sich die Analyse von Netzwerkdaten besonders an. Durch die Untersuchung dieser Daten können nicht nur alle Hosts des Netzwerks durch eine zentrale Komponente überwacht, sondern auch Korrelationen zwischen einzelnen Systemen hergestellt oder Abweichungen vom Normalverhalten erkannt werden.

Ein Tool, das sich hierfür sehr gut eignet, ist der Netzwerk-Security-Monitor Zeek. Das Programm enthält eine Kopie des entsprechenden Netzwerkverkehrs und analysiert diesen passiv. Dadurch ist die Gefahr von Veränderungen an einzelnen Netzwerkpaketen ausgeschlossen und produktive Systeme werden nicht gestört. Zur Analyse extrahiert Zeek zahlreiche Meta-Informationen aus den einzelnen Netzwerkverbindungen und bereitet diese zur Weiterverarbeitung auf. Dazu zählen unter anderem die Anzahl der übertragenen Bytes, die Verbindungsdauer einzelner Flows, die verwendeten Netzwerkprotokolle sowie dessen spezifische Informationen. Neben der Aufbereitung der Daten bietet Zeek weitreichende Möglichkeiten, eigene Analysen durchzuführen. Als einfachstes Beispiel kann dies die Suche nach Indicators of Compromise (IoC) innerhalb der Meta-Informationen einer Netzwerkverbindung sein. Fortgeschrittenere Analysen beinhalten eine Anomalie- oder Verhaltenserkennung der entsprechenden Netzwerkdaten — und eignen sich somit auch für die Erkennung von Daten-Exfiltrationen.

Zeek Plugin zur Exfiltrations-Erkennung

Im Rahmen einer Bachelorarbeit wurde ein Plugin für Zeek entwickelt, welches auf Basis einer statistischen Anomalie-Erkennung Daten-Exfiltrationen identifiziert. Das Plugin nutzt dazu die Scripting-Engine von Zeek, bildet eine Baseline über vergangene Netzwerkverbindungen und berechnet anschließend einen Anomalie-Score für jede neue Verbindung. Auf Basis des so errechneten Scores können Netzwerkverbindungen in harmlose Verbindungen oder potenzielle Daten-Exfiltrationen unterteilt werden. Die Funktionsweise des entwickelten Zusatzmoduls wird nachfolgend Schritt für Schritt vorgestellt.

Baseline-Erstellung

Der erste Schritt besteht darin, die Netzwerkverbindungen sortiert nach ihrer Quell-IP-Adresse und Ziel-Port zu speichern. Die historischen Daten ermöglichen die Erstellung einer Baseline für die Netzwerkaktivitäten und dienen damit als Grundlage für die Anomalie-Erkennung. Durch die Unterteilung in Quell-IP-Adresse und Ziel-Port wird eine möglichst genaue Basislinie erstellt, die spezifische Anomalien in Bezug auf einzelne Hosts und dessen Netzwerkprotokolle erkennen lässt.

Die Vorteile der Unterteilung des Datenverkehrs sind in der nachfolgenden Abbildung zu sehen. Sie zeigt verschiedene Netzwerkverbindungen eines Hosts über einen bestimmten Zeitraum. Die einzelnen Netzwerkprotokolle sind in verschiedenen Farben markiert. Es ist zu erkennen, dass die Spanne der Anzahl der Quellbytes abnimmt, wenn einzelne Protokolle isoliert betrachtet werden. So lassen sich beispielsweise mit dem DNS- oder ICMP-Protokoll exakte Baseline-Vorhersagen machen. Bei den Protokollen HTTP und SMTP ist dagegen eine größere Spanne vorhanden, die durch die Eigenschaften der Protokolle bedingt ist. Es ist jedoch auch dort zu erkennen, dass die Varianz bei Verbindungen mit geringem Volumen durch die Aufteilung der Basislinie deutlich reduziert wird.

Die Grafik zeigt die Anzahl der gesendeten Bytes einzelner Netzwerkverbindungen unterteilt nach ihren Netzwerkprotokollen. Dargestellt sind HTTP (Blau), DNS (Orange), ICMP (Grün) und SMTP (Rot). Zu erkennen ist, dass die einzelnen Protokolle ein unterschiedliches Verhalten in Bezug auf die übertragenen Daten aufweisen.

Anomalie-Berechnung

Nachdem die Baseline eine zuvor definierte Länge erreicht hat, ist die Lernphase abgeschlossen. Von diesem Zeitpunkt an werden neu eingehende Netzwerkverbindungen, bezogen auf die erstellte Basislinie, als Anomalien oder Normalverhalten klassifiziert.

Für die Berechnung des Anomalie-Scores werden verschiedene statistische Algorithmen verwendet. Dazu zählt zum einen der modifizierte Z-Score, der Abweichungen in der Anzahl der übertragenen Bytes, bezogen auf die gebildete Baseline, erkennt. Weiterhin wird die Euklidische Distanz zwischen Verbindungsdauer und übertragenen Bytes pro Verbindung berechnet. Hier ist es das Ziel, besonders lange oder kurze Netzwerkverbindungen in Bezug auf das Volumen der übertragenen Daten zu identifizieren. Als weitere Information wird eine Producer-Consumer-Ratio über die empfangenen und gesendeten Bytes einer Verbindung gebildet, um Verbindungen zu erkennen, die mehr Daten senden als empfangen.

Alle Einzelwerte werden anschließend normalisiert und zu einem gesamten Anomalie-Score, nachfolgend als Exfiltrations-Score bezeichnet, zusammengefasst. Dieser gibt in einem Wertebereich von 0 (normale Netzwerkverbindung) bis 1 (potenzielle Daten-Exfiltration) an, ob die vorliegende Verbindung Teil einer Daten-Exfiltration ist. Da die Netzwerkverbindungen bereits in der Lernphase Anomalien enthalten können, sind die Berechnungen der Anomalie-Werte so ausgelegt, dass sie sich gegenüber Ausreißern robust verhalten.

Exfiltrationserkennung

Anhand des gebildeten Exfiltrations-Scores lässt sich beurteilen, wie stark die betrachteten Netzwerkverbindungen, bezogen auf die gebildete Baseline, von ihrem Normalverhalten abweichen. Die Abweichung vom Normalverhalten impliziert dabei, dass die Netzwerkverbindung Teil einer Daten-Exfiltration ist.

Der Exfiltrations-Score ermöglicht es, ab einem einstellbaren Schwellwert, durch ein SIEM- oder SOAR-System einen Security Alarm auszulösen. Daneben ist auch die Verarbeitung mit weiteren Indikatoren im Zusammenhang mit einer User and Entity Behavior Analysis (UEBA) umsetzbar.

Fazit

Die Analyse des Netzwerkverkehrs bietet tiefe Einblicke in die Kommunikation einer Organisation. Durch dessen Untersuchung können Angriffsverhalten erkannt werden, die durch eine ausschließliche Betrachtung von Host-Systemen unentdeckt bleiben würden. Zudem ermöglicht die Korrelation verschiedener Netzwerkdaten die Bildung zusätzlicher Indikatoren sowie die Analyse von Verhaltensmustern.

Das vom Autor entwickelte Zeek-Plugin zur Erkennung von Daten-Exfiltrationen bietet neue Möglichkeiten bei der Netzwerkanalyse. So lassen sich verdächtige Verhaltensmuster und Ereignisse im Netzwerk nun allein durch die Analyse und Korrelation von Meta-Informationen aufspüren – das ist ein großer Vorteil. Auf diese Weise bleibt trotz der vielseitigen Erkennungsmöglichkeiten der Schutz der Kommunikationsinhalte selbst gewahrt.

Im Rahmen seiner Bachelorarbeit und dem Abschluss des dualen Studiums der Informatik/IT-Sicherheit entwickelte Simon Hanke zusammen mit SECUINFRA die im Artikel beschriebene netzwerkbasierte Daten-Exfiltrationserkennung. Das vorgestellte Plugin finden sie auf unserer Github-Seite unter https://github.com/SECUINFRA/zeek-exfil-detect.

Sie möchten ihr Security-Monitoring mit der Analyse von Netzwerkdaten ergänzen? Unsere Cyber-Defence-Experten unterstützen sie dabei. Gerne beraten wir Sie in einem persönlichen Gespräch – kontaktieren Sie uns gerne online oder telefonisch: +49 30 5557021 11!   

Beitrag teilen auf:

XING
Twitter
LinkedIn

Simon Hanke • Autor

Cyber Defense Consultant

Im Rahmen seines dualen Informatik-Studiums mit SECUINFRA hat sich Simon bereits früh im Bereich der IT Security spezialisiert und sein Interesse an diesem Feld stetig gefestigt. In den verschiedenen Praxisphasen des Studiums fokussierte er sich auf die Gebiete der Netzwerkanalyse und Automatisation von Security Prozessen.

> alle Artikel
Cookie Consent mit Real Cookie Banner