Backdoors zeigen sich erst, wenn sie genutzt werden

Originalartikel von Greg Young

Wenn Regierungen oder Geheimdienste vorschlagen, ein Telefon, ein Kryptographie-Tool oder ein Produkt mit einer Backdoor auszustatten, sind sich alle Teams darüber einig, dass dies eine sehr schlechte Idee ist. Sicherheitslücken oder Schwachstellen in Produkten sind schwer zu finden. Bei Exploits fällt es leichter, sobald man die Schwachstellen kennt. Aber eine absichtliche Backdoor, ob vom Hersteller oder vom Einschleuser installiert, ist vielleicht die am schwierigsten zu identifizierende Malware.

Eine Backdoor ist eine Schwachstelle und ein Exploit in einem und es bedarf keiner Malware. Zur Klarstellung: Backdoor bedeutet in diesem Zusammenhang, dass sie sich in einem legitimen Produkt-Release befindet und nicht als eine nachträgliche Auslagerung in der Supply Chain. Das mit einer Backdoor versehene System verfügt über ein legitimes Zertifikat und wird alle Hash-, Grössen- und Validierungsprüfungen bestehen. Im Gegensatz zu einer Schwachstelle ist die Backdoor mit allen von seinen Entwicklern gewünschten Sicherheits- und Verschleierungsmassnahmen ausgestattet, wodurch sie für Bedrohungsforscher nahezu nicht aufzuspüren ist. Und jeder Kunde dieses Produkts hat diese Backdoor, und die kann genutzt werden. Wenn der Backdoor-Code also effektiv unauffindbar ist, können sie dann überhaupt entdeckt werden?

Ja, allerdings nicht im inaktiven Zustand (d. h. bevor irgendwelche Aktionen ausgeführt werden). Sobald die Backdoor genutzt wird, kann selbst die bestens getarnte Backdoor entdeckt werden, wenn auch nicht ohne weiteres. Traditionelles Pattern Matching für Exploits hilft nicht weiter, es sei denn, die Backdoor verteilt intern bereits bekannte Malware. Auch auf Schwachstellen basierende IPS-Signaturen erkennen sie in den frühen Stadien nicht. Sie können zwar Verhaltensänderungen entdecken, sobald die Backdoor genutzt wird, haben es aber leichter, wenn klare Indicators of Compromise (IOCs) verteilt werden.

Mit den IOCs sind rückwirkende Suchläufe möglich. Dies kann eine frühe Überprüfung des Ausmasses der Kompromittierung darstellen. Ein Problem dabei wäre, dass häufig Infrastruktursoftware auf der „Safe“-Liste steht oder als „bekannt gut“ gekennzeichnet ist, was bedeutet, dass viele der primären Sicherheitsvorkehrungen angewiesen sind, das mit einer Backdoor versehene System zu ignorieren.

Kritischer Zeitraum zwischen erster Backdoor-Nutzung und ausgestellten IOCs

Doch was passiert, bevor diese IOCs allgemein bekannt sind? Digitale Anhaltspunkte für einen Angriff gibt es schon, bevor die IOCs verfügbar sind, aber kein einzelner Indikator ist ausreichend, um eine Bedrohung zu identifizieren.

Änderungen in den Kommunikationsmustern wären ein solcher Indikator, aber diese sind sehr unauffällig. Viele Systemmanagement- und Backup-Softwaresysteme kommunizieren absichtlich mit einer Vielzahl von Ressourcen. Doch man kann davon ausgehen, dass die Häufigkeit oder die Art dieser Kommunikation möglicherweise anders ausfällt. Grössere Pakete, Austauschvorgänge, die nicht der Norm entsprechen, und wiederholte externe Kommunikation, z. B. mit Command-and-Control-Servern, sind zusätzliche Indikatoren.

XDR-Produkte sind speziell darauf zugeschnitten, Logs der Sicherheits-Events und andere Event-Daten in einem sogenannten Data Lake vorzuhalten, um nach verdächtigen Mustern suchen zu können. Wo diese Muster nicht so ausgeprägt sind, hat ein Threat-Hunter im SOC zumindest Daten für die Analyse zur Verfügung, die aus vielen Quellen gesammelt wurden.  XDR ist besser ist als EDR allein, weil XDR alle EDR-Daten plus Telemetrie und Daten aus Quellen wie E-Mail, Netzwerkgeräten, DNS und anderen sammelt.

Dieser Data Lake mit Telemetriedaten bietet auch einen zusätzlichen Nutzen, indem er rückblickend betrachtet das Ausmass des Angriffs erkennen lässt. Dazu wird der Verlauf der Interaktionen untersucht, die darauf hinweisen könnten, dass unerwarteter Code ausgeführt wurde oder eine Datenexfiltration wahrscheinlich war. Diese Ereignisse können mit Telemetrie und XDR aufgespürt werden.

Blick nach vorn

Ein weiterer Vorteil ist die Dauer der Datenspeicherung. Jetzt sollten alle SOC-Teams dies überprüfen – die Ereignisse der letzten Woche könnten eine Mahnung sein, dass die Angreifer bei den fortschrittlichsten Attacken nicht dieselben Methoden verwenden werden.

XDR ist ein grossartiges neues Instrument bei der Jagd auf fortgeschrittene Angriffe und bei der Bestimmung und Begrenzung des Umfangs dieser Angriffe. Auch für den fortschrittlichsten Angriff – ein durch ein Backdoor manipuliertes legitimes Produkt – stellt sich heraus, dass es auch hier Hilfe gibt.