Datenquelle und Angriffswerkzeug
Twitter in der IT-Sicherheit
Für einen neuen Forschungsbericht nahmen die Bedrohungsforscher von Trend Micro das soziale Netzwerk Twitter unter die Lupe. Sie analysierten eine große Menge an Twitter-Daten, um Beziehungen zwischen Akteuren und Anomalien zu erkennen. Das Ergebnis: Twitter kann Sicherheitsexperten wertvolle Erkenntnisse bieten, lässt sich gleichzeitig aber auch für Angriffe missbrauchen.
Soziale Netzwerke können für IT-Sicherheitsfachkräfte mehr sein als nur ein Mittel zur Kommunikation: Security-Experten können aus ihnen auch wertvolle Informationen zu Schwachstellen, Exploits und Malware sowie zu Bedrohungsakteuren und Anomalien gewinnen. Laut einer Forrester-Studie [1] betreiben bereits 44 Prozent der befragten Unternehmen eine solche Auswertung von Informationen aus sozialen Medien (Social Media Intelligence, SocMInt) im Rahmen ihrer Cybersicherheitsstrategie. Dabei ist jedoch Vorsicht geboten: Man sollte die aus sozialen Medien gewonnenen Erkenntnisse stets validierten und mit Kontext versehen, bevor sie Entscheidungen zu Lösungen und Strategien beeinflussen.
Es gibt dabei verschiedene Wege zur Gewinnung von Rohdaten. Erstens kann man diese durch Web-Scraping mittels Open-Source-Tools wie Twint [2] erfassen. Zweitens bietet Twitter auch die Möglichkeit, über APIs [3] auf zahlreiche Daten zuzugreifen. Drittens besteht die Option, bereits bestehende Datensätze tiefergehend zu analysieren. Für die aktuelle Untersuchung haben die Sicherheitsforscher gemäß Twitter-Nutzungsbedingungen eine öffentliche API genutzt und zudem alle entdeckten Indicators of Compromise (IoCs) an Twitter gemeldet. Aus den analysierten Daten konnten sie die Beziehungen und Interaktionen zwischen verschiedenen Accounts ebenso darstellen wie die behandelten Themen. Dabei fanden sie nicht nur menschliche Nutzer, sondern auch einige Bots, die für Sicherheitsfachleute nützliche Informationen wie aktuelle IoCs und sogar Erkennungsregeln teilen.
Schwachstellen- und IoC-Monitoring
Die schnelle Übermittlung von Informationen macht Twitter zu einer ernstzunehmenden Vorgehensweise, um zu überwachen, ob die Angreiferseite bekannte Schwachstellen tatsächlich ausnutzt. Mit diesem Wissen können Unternehmen die Situation besser einschätzen und die sich ständig verändernden Umgebungen verstehen. Sicherheitsverantwortliche können damit zudem besser einschätzen, ob ihre Daten verwundbar oder zugänglich sind.
Um die Nutzung von Social Media bei der Bedrohungsüberwachung zu demonstrieren, suchten die Forscher nach Keywords wie "0-day", "CVE-", "CVE-2018-*", "CVE-2019-*" und "Bugbounty". Somit konnten sie die Kontextverteilung pro Erwähnung von "CVE"-bezogenen Keywords auf Twitter sehen. Die Verwendung zusätzlicher Keywords ermöglichte einen tieferen Einblick in die Suchergebnisse und ergab weitere Details zu kürzlich veröffentlichten Schwachstellen. IT-Sicherheitspersonal kann damit feststellen, ob es Proofs of Concept (PoCs) zur Ausnutzung dieser Schwachstellen gibt. Die Suche nach Kombinationen von Keywords wie "GitHub" und "CVE" kann zudem GitHub-Repositories mit PoCs für bekannte Schwachstellen liefern.
Die Einschränkung der Suche auf eine feste Anzahl von Twitter-Konten führte zu einem Diagramm der sozialen Interaktion, das interessante Accounts und die nützlichsten Gespräche über bestimmte CVEs zeigt. Ein genauerer Blick in diese Grafik zeigt Twitter-Konten, die als Aggregatoren von Nachrichten aus der Cybersicherheit dienen. Ein Twitter-basiertes Monitoring von Bedrohungen kann sich auf diese Konten konzentrieren, da sie verwandte und aktuelle Informationen liefern. Diese Accounts lassen sich durch die Anzahl ihrer Retweets oder Follower validieren. Dabei ist allerdings zu berücksichtigen, dass diese grundsätzlich auch durch Social-Media-Bots manipulierbar sind.
Social-Media-Kanäle wie Twitter lassen sich zudem als zusätzliche Quelle für IoC-Mining nutzen. Hashtags wie #ThreatHunting können Informationen über laufende oder aktuelle Cybercrime-Kampagnen, Datenschutzverletzungen und Cyberangriffe liefern.
Informationsaustausch
Der Wissensaustausch ist in der IT-Security-Community tief verankert. Das Teilen von Techniken zur Bewältigung von Vorfällen kann anderen Sicherheitsteams in ähnlichen Situationen wertvolle Zeit sparen. Diese Techniken reichen von NetFlow-Analyse-Tools und Open-Source-Repositories mit JavaScript-Bibliotheken, die größere Sicherheit ermöglichen, bis hin zu Wissensdatenbanken mit Reaktionsplänen für bestimmte Vorfälle. Viele Sicherheitsforscher teilen in sozialen Medien auch Regeln zur Erkennung von Bedrohungen entweder manuell oder automatisch. Artefakte wie YARA-Regeln können für die Dateianalyse und den Endpunktschutz Verwendung finden. Sie können auch als zusätzliche Gegenmaßnahmen gegen Bedrohungen dienen. Öffentlich geteilte Netzwerk-IDS-Regeln lassen sich zudem zur Verbesserung der Angriffserkennungsrate verwenden. Ein Security-Team muss sie jedoch unbedingt validieren, um sich vor sogenannten Poisoning-Angriffen zu schützen.
Eine bösartige oder verdächtige Binärdatei gibt Anlass zur Beunruhigung, insbesondere wenn sie in einer sicherheitsrelevanten Umgebung auftritt. Selbst wenn ein IPS oder eine Endpunkt-Sicherheitslösung die Bedrohung blockiert, muss das Security-Team sie noch weiter bewerten oder untersuchen. Rechtzeitig bereitgestellte Kontextinformationen sind deshalb wichtig für die Reaktion auf Vorfälle. Folgende Einschätzungen können nützlich sein, wenn in Zukunft ähnliche Vorfälle auftreten:
- die Dauer des Angriffs im kompromittierten Netzwerk und laterale Bewegungen,
- der Ausgangspunkt der Kompromittierung und die Phase der Kill Chain, in der man den Angriff erkannte,
- die ausgenutzten Angriffsvektoren und Schwachstellen sowie
- die Art des Angriffs: zielgerichtet oder opportunistisch.
IT-Sicherheitskräfte müssen zudem beurteilen, welche Aufgaben sie priorisiert erledigen müssen und wie viel Aufwand und Ressourcen dafür erforderlich sind, während sie gleichzeitig andere Bedrohungen kontinuierlich überwachen und erkennen. Social Media kann hier Kontextinformationen für spezifische Bedrohungen liefern - etwa wie Angreifer eine Schwachstelle tatsächlich ausnutzen. Beispielsweise sahen die Forscher Tweets über eine Bedrohung, die eine Schwachstelle in Adobe Flash (CVE-2018-15982) ausnutzt, um möglicherweise eine medizinische Einrichtung in Russland anzugreifen.
Außerdem ist es möglich, die semantische Analyse des Kontextes von Schwachstellen zu automatisieren. Das verwendete Tool analysierte Diskussionen über Schwachstellen und konnte diese dadurch mit Schlüsselwörtern in Verbindung bringen, die die betroffene Software und die Auswirkungen der Schwachstelle beschreiben.
Beispielsweise wurde CVE-2019-3396 mit dem Schlüsselwort "confluence" gematcht. Dies steht im Einklang mit der Erkenntnis, dass Angreifer ein Exploit für diese Schwachstelle in einen DDoS-Bot (Distributed Denial of Service) gescriptet haben. Durch die weitere Visualisierung der Verbreitung von CVE-, CVSS- und CVE-2019-3396-bezogenen Tweets konnten die Security-Forscher feststellen, dass nach einiger Zeit Keywords wie "infiziert" auftauchten. Dies kann zusätzlichen Kontext für eine Schwachstelle liefern, da es zeigt, ob diese aktiv genutzt wird. Doch wie bei allen Informationen aus Social Media gilt es auch hier, die Informationen zu prüfen und die Reputation der Quelle zu berücksichtigen, bevor man die Erkenntnisse aktiv nutzt.
Tech-Support-Scams
Leider brachte die Forschung auch unerfreuliche Ergebnisse zutage: Cyberkriminelle nutzen Twitter für betrügerische Aktivitäten. Zum Beispiel geben sie sich mittels gefälschter Accounts als Support-Abteilungen von Technikherstellern aus. Die Account-Profile fordern Nutzer dazu auf, dort genannte Telefonnummern anzurufen, um mit dem vermeintlichen Helpdesk des Unternehmens zu sprechen. Daraufhin bringen die Kriminellen die Anrufer dazu, ihre Kreditkartendaten preiszugeben oder bösartigen Content auf ihrem Computer zu installieren. Sie bedienen dabei meist mehrere Kanäle, neben Twitter beispielsweise auch YouTube, Facebook, Telegram und andere.
Zudem nutzen sie zunehmend Techniken der Suchmaschinenoptimierung (SEO), um das Suchmaschinen-Ranking ihrer gefälschten Support-Websites zu erhöhen.
Solche Betrügereien mit technischen Mitteln zu verhindern ist schwierig, da die Betrüger nicht auf bösartige Dateien oder Hacking-Tools angewiesen sind. Stattdessen überlisten sie ihre meist ahnungslosen Opfer durch Social Engineering. Glücklicherweise setzt Twitter seine Richtlinien gegen Missbrauch aktiv durch: Viele betrügerische Accounts, die das Forscherteam während der Recherche entdeckte, löschte Twitter schnell.
Vermittler für C&C-Server
Im Rahmen der Forschung kam auch zutage, dass bestimmte Malware-Familien darauf programmiert sind, sich mit sozialen Netzwerken zu verbinden und diese als Vermittler für ihren C&C-Server (Command and Control) zu nutzen. Zum Beispiel überprüft die Android-Banking-Malware Anubis mittels Twitter und Telegram ihren C&C-Server. Dabei übermitteln die Botnet-Betreiber von Anubis auch die C&C-Informationen an das infizierte Android-Gerät. Die Forscher entdeckten einige sehr aktive Twitter-Accounts, die zur Verteilung von C&C-Informationen Verwendung fanden. Zudem gelang es, mehrere Malware-Arten zu identifizieren, die mit bestimmten Twitter-Konten in Verbindung stehen.
Anubis ist nur eine von zahlreichen Bedrohungen, die soziale Medien missbrauchen. Auch die Android-Malware FakeSpy ist dafür bekannt, Social-Media-Plattformen für ihre C&C-Kommunikation heranzuziehen. Bedrohungen wie Elirks, das in Cyberspionage-Kampagnen zum Einsatz kommt, missbrauchen ebenfalls Social Media und Microblogging-Dienste, um ihre C&C-Informationen abzurufen. Die Betreiber von Elirks nutzten dafür Social-Media-Kanäle, die in den Ländern ihrer Opfer besonders beliebt sind, um möglichst wenig Aufmerksamkeit zu erregen. Ergänzend verbargen sie ihre eigentlichen C&C-Server hinter öffentlichen DNS-Diensten.
Eine weitere Missbrauchsmöglichkeit von Twitter besteht darin, die Routinen und Konfigurationen von Malware oder von Angreifern genutzte Domains zu verschleiern. Ein Beispiel: Eine Bedrohung, deren Infektion durch Exploit-Kits oder gezielte Angriffskampagnen erfolgt, lädt mittels Steganographie - also dem Verstecken von Code oder Daten in einem Bild - ihre endgültige Payload herunter.
Dies ist bei einer kürzlich entdeckten Malware zum Datendiebstahl der Fall: Sie verbindet sich mit einem Twitter-Konto und sucht nach dort in Bildern eingebetteten HTML-Tags. Dann lädt sie das entsprechende Bild herunter und analysiert es, um versteckte Befehle zum Abrufen von C&C-Konfigurationen, zur Erstellung von Screenshots und zum Stehlen von Daten zu extrahieren.
Social Media Intelligence nutzen
Unternehmen, die Social Media Intelligence in ihre Cybersicherheitsstrategie integrieren wollen, sollten zunächst den konkreten Anwendungsfall identifizieren. Zweifellos können diese Informationen für Sicherheitsexperten wichtig sein. Ihr Wert hängt jedoch entscheidend davon ab, wie man sie zur Risikominderung nutzt. Effektive SocMInt erfordert zudem saubere Daten, deren Validität man stets prüfen sollte.
Lesen Sie mehr zum Thema
