In Sekundenschnelle: Kaspersky Threat Attribution Engine ordnet Angriffe APT-Gruppen zu

• Malware-Analyse-Tool bietet Einblicke in die Herkunft von Malware und ihre möglichen Autoren
• Malware-Analyse-Tool bietet Einblicke in die Herkunft von Malware und ihre möglichen Autoren. Bisher intern verwendetes Tools steht nun auch Unternehmen zur Verfügung

Die neue Threat-Intelligence-Lösung Kaspersky Threat Attribution Engine [1] hilft Security Operations Center (SOC)-Analysten und Incident-Response-Experten dabei, neue Malware-Samples bereits bekannten APT-Gruppen zuzuordnen. Mithilfe proprietärer Methodik gleicht die Lösung den identifizierten schädlichen Code mit einer der größten Malware-Datenbanken der Branche ab und ordnet ihn auf Grundlage der festgestellten Ähnlichkeiten einer APT-Gruppe oder Kampagne zu. Die hieraus gewonnenen Informationen unterstützen Sicherheitsexperten dabei, risikoreiche Bedrohungen gegenüber weniger schwerwiegenden Vorfällen zu priorisieren.

Sicherheitsteams müssen wissen, wer und mit welchem Ziel ihr Unternehmen angegreift, um einen maßgeschneiderten Plan zur Vorfallreaktion ausarbeiten zu können. Die Identifizierung der Hintermänner eines Angriffes ist jedoch eine anspruchsvolle Aufgabe, die sowohl umfassende Threat-Intelligence-Kenntnisse, als auch die Fähigkeit der entsprechenden Einordnung bestimmter Bedrohungen erfordert. Kaspersky Threat Attribution Engine automatisiert nun diese Klassifizierung und Identifizierung von Bedrohungen.

Die Lösung ist eine Weiterentwicklung eines internen Tools [2], das vom Global Research and Analysis Team (GReAT) des Unternehmens, einer weltweit anerkannten Gruppe erfahrener Bedrohungsanalysten, verwendet wird. Kaspersky Threat Attribution Engine kam bereits in der Vergangenheit bei der Untersuchung der Kampagnen LightSpy [3], TajMahal [4], ShadowHammer [5], ShadowPad [6] und Dtrack [7] zum Einsatz.

Um festzustellen, ob eine akute Bedrohung mit einer bekannten APT-Gruppe oder -Kampagne in Verbindung steht und um welche es sich dabei handelt, zerlegt die Kaspersky Threat Attribution Engine eine neu gefundene bösartige Datei automatisiert in binäre Kleinsteile. Im Anschluss vergleicht sie diese mit den bereits von Kaspersky dokumentierten 60.000 APT-bezogenen Dateien. Für eine genauere Attribution bezieht die Lösung darüber hinaus eine umfangreiche Datenbank mit Dateien auf der Whitelist mit ein. Dadurch wird die Qualität der Malware-Klassifizierung und -Identifizierung von Angriffen verbessert und die Reaktion auf Vorfälle erleichtert. 

Je nachdem, wie sehr eine analysierte Datei den dokumentierten Beispielen in der Datenbank ähnelt, berechnet Kaspersky Threat Attribution Engine ihren Reputationswert, benennt die mögliche Herkunft und den Angreifer mit einer Kurzbeschreibung. Darüber hinaus werden Links zu privaten und öffentlichen Informationen über bereits bestehende Kampagnen gleicher Art zur Verfügung gestellt. Abonnenten des Kaspersky APT Intelligence Reportings [8] erhalten zudem einen dedizierten Report mit weiteren Informationen zu Taktiken, Techniken und Verfahren des identifizierten Bedrohungsakteurs sowie weiterer Schritte, um auf eine entsprechende Attacke zu reagieren. 

Kaspersky Threat Attribution Engine ist so konzipiert, dass sie direkt im Netzwerk eines Kunden und nicht in einer Cloud-Umgebung eines Drittanbieters eingesetzt werden kann. Dieser Ansatz gewährleistet die Kontrolle über Nutzung und Teilung eigener Daten. 

Zusätzlich zu den sofort einsatzbereiten, verfügbaren Bedrohungsinformationen können Kunden ihre eigene Datenbank erstellen und diese um Malware-Informationen erweitern, die von Analysten innerhalb des eigenen Unternehmens identifiziert wurden. Auf diese Weise lernt Kaspersky Threat Attribution Engine, Malware analog zu den in der Datenbank eines Kunden vorhandenen Informationen zuzuordnen.

"Es gibt mehrere Möglichkeiten aufzudecken, wer hinter einem Angriff steckt. Analysten können sich zum Beispiel Artefakte in der Malware, die die Muttersprache des Angreifers bestimmen oder IP-Adressen, die einen Hinweis darauf geben, wo dieser sich befinden könnte, bedienen", kommentiert Costin Raiu, Director Global Research & Analysis Team bei Kaspersky. "Für einen erfahrenen Angreifer ist es jedoch kein Problem, diese zu manipulieren, was in einigen Fällen schon dazu geführt hat, dass sich ein Forscher in seiner Analyse verzettelte. Unserer Erfahrung nach ist es am besten, nach Codes zu suchen, die sich mit bisher gefundenen, in früheren Attacken oder Kampagnen genutzten decken. Leider kann eine solche manuelle Untersuchung Tage oder sogar Monate in Anspruch nehmen. Um diesen Prozess zu automatisieren und zu beschleunigen, haben wir Kaspersky Threat Attribution Engine entwickelt, die ab sofort auch unseren Kunden zur Verfügung steht."

Kaspersky Threat Attribution Engine ist ab sofort weltweit verfügbar. Weitere Informationen sind verfügbar unter https://www.kaspersky.com/… 

[1] https://www.kaspersky.com/enterprise-security/cyber-attack-attribution-tool 
[2] https://securelist.com/looking-at-big-threats-using-code-similarity-part-1/97239/ 
[3] https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/ 
[4] https://securelist.com/project-tajmahal/90240/ 
[5] https://securelist.com/operation-shadowhammer/89992/ 
[6] https://securelist.com/shadowpad-in-corporate-networks/81432/ 
[7] https://securelist.com/my-name-is-dtrack/93338/ 
[8] https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting 

Nützliche Links:

• Kaspersky Threat Attribution Engine: https://www.kaspersky.com/enterprise-security/cyber-attack-attribution-tool
• Kaspersky APT Intelligence Reporting: https://www.kaspersky.de/enterprise-security/apt-intelligence-reporting