So hilft die Damerau-Levenshtein-Distanz bei der Erkennung von Cyber-Angriffen
9. Juni 2021Das Damerau-Levenshtein-Distanz-Plug-in ermöglicht es Nutzern, nach Bedrohungen zu suchen, die auf menschliche Fehler abzielen. Die frühzeitige Erkennung von Bedrohungen wie Prozess-Impersonation und Typosquatting hilft Security Analysten dabei ihre Abwehrmechanismen zu stärken und die Auswirkungen eines Angriffs zu reduzieren.
Je länger Cyber-Kriminelle unentdeckt bleiben, desto mehr Schaden können sie anrichten. Malware-Entwickler nutzen gerne Fehler von Anwendern aus. Sie versuchen Nutzer zu täuschen, indem sie ihre Payloads ähnlich benennen wie kritische oder gängige Systemprozesse. Ein Beispiel für ein solches Vorgehen war ein Krypto-Mining-Angriff, bei dem die Cyber-Kriminellen den gängigen Service-Host-Prozess „svchost.exe“ ausnutzten. Die Angreifer nannten ihre Payload „svshost.exe“, eine leicht abgeänderte Schreibweise des tatsächlichen Prozesses. So konnte im Verborgenen die Kryptowährung Monero (XMRig) geschürft werden, die im Darknet eines der gängigsten Zahlungsmittel ist.
Cyber-Kriminelle verwenden oft leichte Abwandlungen gängiger Begriffe, damit Nutzer verschiedene Angriffsformen wie Typosquatting und Systemprozess-Impersonation nicht erkennen und so ausgetrickst werden können. Sicherheitsrelevante Vorfälle treten häufiger auf als Malware, wenn sie über Social Engineering herbeigeführt werden. Für Security Analysten ist es wichtig, regelmäßig nach Angriffen zu suchen, die menschliche Fehler ausnutzen, und diese zu erkennen, bevor Angreifer Schaden anrichten können.
Bedrohungserkennung mit dem Damerau-Levenshtein-Distanz-Plug-in
Eine Möglichkeit, Angriffe zu identifizieren, die auf menschliche Fehler abzielen, ist die Verwendung des Damerau-Levenshtein-Distanz-Plug-ins. Dieses Konzept bezieht sich auf die minimale Anzahl von Operationen, um eine Zeichenkette in eine andere zu verwandeln. Operationen sind beispielsweise Einfügungen, Löschungen, Substitutionen oder Transpositionen. So beträgt die Damerau-Levenshtein-Distanz zwischen Worten „svchost.exe“ und „svchast.exe“ 1, da nur eine Operation erforderlich ist: Sie ersetzen das „o“ durch ein „a“. Zur besseren Anschaulichkeit werden im Folgenden zwei wichtige Anwendungsfälle vorgestellt, bei denen das Damerau-Levenshtein-Distanz-Plug-in Security Analysten unterstützt, Bedrohungen zu erkennen, die ansonsten möglicherweise unentdeckt bleiben würden.
Kritische Prozess-Nachahmung erkennen
Die Prozess-Nachahmung (engl. Process Impersonation) ist eine Möglichkeit für Angreifer, Zugang zu einem System zu erhalten, indem sie einem schadhaften Prozess einen ähnlichen Namen geben wie einem gängigen Systemprozess. Security Analysten können sehr einfach nach Prozessen suchen, die mit irreführenden Namen ausgeführt werden, indem sie die Logdaten zur Prozesserstellung von Endpunkten abrufen. Eine Erhöhung des Schwellenwerts würde dann auch die Zahl der Fehlalarme (False Positives) erhöhen. Administratoren sollten deshalb legitimes Systemverhalten bei der Konfiguration auf eine Whitelist setzen, um genau diese Meldungen zu vermeiden.
Typosquatting-Angriffe erkennen
Eine weitere Anwendung des Damerau-Levenshtein-Distanz-Plug-ins ist die Erkennung von Typosquatting-Angriffen. Typosquatting wird häufig bei der Betrugsmasche des CEO-Frauds genutzt, um sich als leitender Mitarbeiter eines Unternehmens auszugeben. Lautet die Domain eines Unternehmens beispielsweise „mycorp.com“, können Angreifer Phishing-E-Mails von Typosquatting-Domains wie „myc0rp.com“ senden, um den Empfängern vorzugaukeln, die E-Mails seien legitim.
sender=* receiver=*
| norm on sender @<sender_domain:’\S+‘>
| process levenshtein (sender_domain, mycorp.com)
| search levenshtein_distance < 3
Sie können auch in den Firewall-Logdaten nach möglichen Typosquatting-Domains suchen.
device_category=Firewall domain=*
| process levenshtein (domain, mycorp.com)
| search levenshtein_distance < 3
Bhabesh Raj Rai ist Associate Security Analytics Engineer bei LogPoint.