Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Detectie van ransomware – stap 7: netwerk monitoring

Kennisbank

Dit artikel is het zevende artikel uit een serie blogs genaamd “8 stappen die helpen om ransomware te detecteren”. Deze 8 stappen moeten er voor zorgen dat de zichtbaarheid op uw netwerk en endpoints toeneemt en er een effectief incident response proces uitgevoerd kan worden.

Traditioneel gezien waken o.a. de NIDS’s (network intrusion detection systems) over onze netwerken. Zij identificeren bekende malafide patronen die wijzen op actief gebruik van bepaalde exploits, hacktechnieken of malware. Ook zijn er anomaly based IDS’s die uitgaan van een baseline van normaal gedrag voor het netwerkverkeer, en afwijkingen hierop detecteren. Naast passieve IDS’s die alleen detecteren, zijn daar ook “Intrusion Prevention Systems” (IPS) die naast detectie ook een maatregel kunnen nemen als er malafide verkeer langskomt. Als er een poortscan uitgevoerd wordt, kunnen ze bijvoorbeeld het IP-adres waar dit vandaan komt direct blokkeren. Het is de kunst om een IPS zo af te stellen dat hij niet te veel reageert op false positives. Dit kan legitieme activiteiten op het netwerk verstoren.

Een bekend voorbeeld van een signature based NIDS is het open source pakket SNORT. Gratis beschikbaar, wordt onderhouden door Cisco en is een zeer veel gebruikt IDS. Daarnaast is er Suricata, ook open source maar is multi-threaded en kan dus beter gebruik maken van de aanwezige CPU-resources. Een voordeel van een IDS is dat het wat betreft hardware relatief goedkoop is. Ook hebben sommige deelnemers integraties gemaakt met MISP. Als u aangesloten zit op de MISP server van Z-CERT zou u bijvoorbeeld de IOC’S automatisch kunnen doorvoeren in uw IDS. Zodat wanneer bijvoorbeeld een malafide IP-adres waargenomen wordt, er een alert gegenereerd wordt.

De nadelen van deze signature based IDS’es als SNORT en Suricata is dat ze vooral goed zijn in het detecteren van reeds bekenden malafide patronen in het netwerkverkeer. Voor zero-day aanvallen waarvoor nog geen regel bestaat, werd in een onderzoek met de standaard aanwezige regelset in SNORT een klein percentage (< 10%) gedetecteerd (Holm, 2014).Echter sommigen deelnemers gebruiken ook commerciële regelcollecties die als doel hebben zeer actueel te zijn en ook onbekende dreigingen detecteren. Hiervan zijn verder geen prestatiestatistieken van bekend maar de regelsets zijn relatief goedkoop (Proofpoint, 2020). Op snelle netwerken (categorie > 0.5 gigabit) kunnen IDS’es in de problemen komen. Dit komt omdat deze IDS’es doen aan “deep packet inspection” , waarbij niet alleen de headers van packets worden bekeken maar ook de inhoud. Het netwerkverkeer wordt dus zeer grondig bekeken wat (enorm) veel resources vraagt. Bij zeer veel dataverkeer kunnen deze oplossingen het niet meer aan en treedt packetloss op.

Daarnaast levert een alert uit een IDS vaak weinig context op. Op basis van één melding zou je graag het netverkeer willen onderzoeken voor de melding werd gedaan en daarna. Ook zou je willen kijken of deze malafide patronen ergens anders zijn aangetroffen. Het biedt dus weinig handvatten voor uitgebreide analyse van een incident. Wel kan gekeken worden of voor de betrokken IP-adressen meer meldingen zijn geweest in het IDS. En kan met frontends als Evebox of Snorby ingezoomd worden op de packets die het alert triggerde.

Als laatste wordt steeds meer dataverkeer versleuteld, waardoor voor die aanvallen waar “deep packet inspection” nodig is, deze niet meer uitgevoerd kunnen worden tenzij dit ontsleuteld wordt met een andere oplossing.

Deze nadelen geven de mogelijkheid op de markt voor producten die hier juist goed in zijn. Gartner definieerde in 2016 een nieuwe productcategorie die juist hier op inspeelt, de zogenaamde “Network traffic analysis” (NTA) oplossingen. Uiteraard zijn deze producten niet in 2016 uit de lucht komen vallen, maar hebben ze een rijke geschiedenis. Echter de noodzaak is groter geworden, waardoor er meer vraag naar is en er meer ontwikkeling heeft plaatsgevonden. De noodzaak is groter geworden omdat het niveau van cybercriminelen de afgelopen jaren hoger is geworden. Dit is ook het geval bij cybercrime groepen die gebruik maken van Ransomware. Zij zullen zoveel mogelijk proberen om zich te verbergen. Zij kennen als security specialisten (van de andere kant) de producten als SNORT ook en zullen detectie door deze producten proberen te voorkomen.

Het verschil van deze “nieuwe categorie” NTA oplossingen met de traditionele NIDS is dat bij deze producten niet naar de inhoud van packets wordt gekeken maar alleen de metadata van de connecties die er gemaakt worden op het hele netwerk. Op basis daarvan wordt een holistisch beeld gecreëerd van het netwerk en alle devices die aangesloten zijn op het netwerk. Dit is los van het securityperspectief al wenselijk om te hebben.

Op deze metadata worden vervolgens “behavioral techniques” losgelaten in de vorm van machine learning, om netwerk anomalieën in het netwerk te detecteren. De nadruk ligt dus meer op het detecteren van afwijkend netwerkgedrag van alle apparaten die hieraan verbonden zijn. Het is bijvoorbeeld geen alledaags verschijnsel dat ransomware via SMB shares over honderden servers tegelijk wordt verspreid via een tool als PsExec. Alhoewel de tool legitiem is (heeft een certificaat van microsoft) is het gedrag zeer afwijkend van normaal systeembeheergedrag. Zij deployen hun software op een hele andere manier. Ook als er bijvoorbeeld ineens twitterverkeer van een bepaalde belangrijke server komt is dit in de context van het “verwachte gedrag” van de server, verdacht. Twitter wordt soms gebruikt als “command & control” kanaal door bepaalde malware. Een mooi voorbeeld van schijnbaar normaal internetverkeer, dat verdacht wordt als je het in een “gedragscontext” zet van een bepaalde server.

Sommige NTA leveranciers grijpen de kans om NIDS systemen als “legacy” te labelen. Echter dit is niet terecht. Een signature based NIDS kan op een ander niveau naar de data kijken dan een NTA oplossing, ze vullen elkaar daar juist aan. Als een NIDS met een alert komt en te weinig context biedt, kan een NTA oplossing gebruikt worden om effectief forensisch onderzoek te doen. Het is daarom niet verwonderlijk dat sommige NTA leveranciers juist de beide oplossingen combineren tot één product. De NTA-oplossing kan afwijkingen in het gedrag van het netwerkverkeer opmerken en zo meer geavanceerde aanvallers detecteren die werken met standaard Microsoft tools en zero-day kwetsbaarheden waar geen IDS signatures voor bestaan.

Grote voordeel is dat devices waarop geen EDR tool draait ook zichtbaar worden en niet alleen op basis van de logs maar op basis van netwerkverkeer. Het kan bijvoorbeeld zijn dat er wat medische apparaten zijn waarop een oude versie van Windows draait waarop de gebruikte EDR-software niet kan draaien of waar geen andere software op geïnstalleerd mag worden. Daarnaast zijn er medical devices en IoT-devices waar een OS op draait waar de aangeschafte detectie-sensoren niet op kunnen draaien of waar logging heel moeilijk is. Ook kan een apparaat “umanaged” zijn door de IT-afdeling of helemaal niet bekend zijn bij IT. Daardoor is er geen zichtbaarheid op deze apparaten. Echter in netwerkanalyses komen ze wel naar boven. BYOD apparaten en privé smartphones die niet in beheer zijn maar wel op het netwerk actief zijn worden ook zichtbaar.

Ook als een hacker bijvoorbeeld de eventlogs van Windows leeg haalt, of de Sysmon agent uitschakelt, is het workstation nog steeds zichtbaar op basis van netwerkverkeer. Omdat NTA passief is (er draait geen agent) is dit niet door de hacker op het endpoint te voorkomen.

De hierboven geschetste voordelen zijn voor de zorgsector aantrekkelijk. Aangezien er veel apparaten zijn, het niet altijd mogelijk is om over te stappen op de laatste versie van het OS en zichtbaarheid op netwerkverkeer nog enige vorm van controle geeft. Ook hebben veel medische apparaten een voorspelbaar vast gedragspatroon waardoor afwijkingen gedetecteerd zouden moeten kunnen worden. Daarnaast analyseert een NTA oplossing “realtime”.

Netwerksegmentering

In ons paper over preventie zijn we al ingegaan op netwerksegmentering. Echter voor detectie is dit ook van belang. Als u een segment hebt waar uw kroonjuwelen zich bevinden en op dit segment wordt een aantal regels getriggered op uw IDS, dan is dit van een heel andere orde dan als dat dit op een studentennetwerk gebeurt wat goed is afgesloten van alle andere segmenten. Op een segment met medische apparatuur is het gedrag van het netwerk ook veel voorspelbaarder. Dit maakt dat detectie-technologieën waarschijnlijk op dit medische segment effectiever zullen zijn en minder false positives opleveren. Als u geen netwerksegmenten heeft maar een “plat netwerk”, dan is er meer veel ruis en ontzettend veel logdata, waardoor detectie moeilijker wordt door de grote hoeveelheid false positives.

Sommige ziekenhuizen werken met micro-segmentering (Healthcare Innovation Group, 2018). Dit valt buiten de scope van dit paper, echter dit kan ook helpen met detectie omdat je meer zichtbaarheid hebt op de processen in je netwerk en afwijkingen op de ingestelde policies gedetecteerd worden.