Jitter-Trap: Neue Methode zur Erkennung versteckter Cyberangriffe

LONDON (IT BOLTWISE) – In der Welt der Cybersicherheit ist die Entdeckung neuer Methoden zur Erkennung von Angriffen entscheidend, um den ständig wachsenden Bedrohungen durch hochentwickelte Hackergruppen entgegenzuwirken. Varonis Threat Labs hat mit der Entwicklung der Jitter-Trap-Methode einen bedeutenden Schritt in diese Richtung gemacht.

Die Cybersicherheitsexperten von Varonis Threat Labs haben eine innovative Methode entwickelt, um versteckte Cyberangriffe zu erkennen, selbst solche, die von hochqualifizierten staatlich geförderten Gruppen und kriminellen Banden ausgeführt werden. Diese neue Technik, genannt Jitter-Trap, konzentriert sich darauf, Muster der Zufälligkeit zu identifizieren, die Hacker verwenden, um unentdeckt zu bleiben. Dieser Ansatz zielt darauf ab, einen schwierigen Teil von Cyberangriffen zu erfassen, der als “Post-Exploitation und C2-Kommunikation” bekannt ist.

Angreifer nutzen häufig spezielle Software oder Beacons, die Signale an ihre Kontrollzentren senden. Diese Beacons sind so konzipiert, dass sie schwer zu finden sind, indem sie zufällige Zeitintervalle verwenden, ähnlich einem Herzschlag, der sich beschleunigt und verlangsamt, ohne ein klares Muster. Die Jitter-Trap-Methode kehrt diese Idee um. Anstatt sich von der Zufälligkeit täuschen zu lassen, zeigt die Forschung von Varonis, dass diese Zufälligkeit selbst einen einzigartigen Fingerabdruck erzeugt, den Sicherheitsteams erkennen können.

Diese Beacons sind Teil größerer Hacking-Tools, die manchmal als Post-Exploitation-Frameworks bezeichnet werden, wie Cobalt Strike oder Sliver. Während diese Tools für gute Zwecke, wie das Testen von Sicherheit, eingesetzt werden können, nutzen Kriminelle sie möglicherweise, um unbemerkt in einem Netzwerk zu bleiben, Daten zu stehlen oder Computer zu übernehmen. Diese fortschrittlichen Tools beinhalten Methoden, um ihre Aktivitäten zu verbergen, indem sie ihren Netzwerkverkehr wie normale Internetnutzung aussehen lassen, beispielsweise ein harmloses Microsoft-Update oder ein gewöhnlicher Website-Besuch.

Traditionell suchen Sicherheitsteams nach bekannten schädlichen Dateien, ungewöhnlichen Benutzeraktionen oder spezifischen Netzwerkmustern, um diese versteckten Bedrohungen zu finden. Hacker aktualisieren jedoch ständig ihre Methoden, was es einfach macht, alte Erkennungsregeln zu umgehen oder neue Wege zu finden, um nicht entdeckt zu werden. Varonis’ Jitter-Trap konzentriert sich speziell darauf, wie Beacons kommunizieren, wie in ihrem Blogbeitrag beschrieben, der mit Hackread.com geteilt wurde.

Wenn diese Beacons mit ihren Betreibern einchecken, verwenden sie eine Schlafzeit und eine Jitter-Einstellung. Der Schlaf ist die Zeit, die sie zwischen den Überprüfungen warten, und Jitter fügt dieser Wartezeit Zufälligkeit hinzu. Während viele legitime Online-Dienste auch regelmäßige Überprüfungen verwenden, ist die spezifische Art der Zufälligkeit, die durch die Jitter-Einstellungen eines Beacons erzeugt wird, normalerweise einzigartig.

Darüber hinaus fand Varonis heraus, dass, obwohl Jitter dazu gedacht ist, Aktivitäten zu verbergen, die zufälligen Zeitintervalle, die es erzeugt, insbesondere über längere Zeiträume, ein erkennbares Muster bilden, wie eine gleichmäßige Verteilung, die im normalen Netzwerkverkehr unüblich ist. Dies ermöglicht es Sicherheitsexperten, diese subtilen Unterschiede zu identifizieren. Die Technik gilt auch für andere zufällige Elemente, wie die Größe der gesendeten Daten oder die Art und Weise, wie Webadressen (URLs) generiert werden.

Diese Erkennungsmethode hilft Sicherheitsexperten, sich besser gegen fortschrittliche Bedrohungen zu verteidigen. Indem sie nach diesen spezifischen Zufallsmustern suchen, können Organisationen versteckte Cyberaktivitäten effektiver erkennen und stoppen, indem sie die eigenen Ausweichtechniken der Angreifer gegen sie verwenden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!