SIEM Use Cases Teil 3: Firewall-Logs oder „Du kommst hier nicht raus!“

Die meisten Firewall-Logs werden nicht weitergehend analysiert, außer es liegt ein konkretes Problem vor. Dann sucht man in den Logs nach der Lösung dieses Problems. In den Firewall-Logs finden sich aber viel mehr Informationen: nicht nur zu Qualitäts-Problemen und Konfigurations-Fehlern im lokalen Netzwerk, sondern auch zur Kommunikation von Malware mit ihren Command-and-Control Servern.

In diesem SIEM Use Cases Artikel will ich mit einem Teil der Network Controls auseinandersetzen. Dieses Mal geht es um die Kommunikation von internen Systemen mit Gegenstellen im Internet. Und vor allem auch um die Kommunikationsversuche, die von der Firewall abgelehnt wurden. In der Realität gibt es hier mehr Vorgänge und Ereignisse als man annehmen sollte.

 

Warteschlange mit Türsteher

Konfigurations-Fehler korrigieren

Im einfachsten Fall habe ich beispielsweise eine Appliance, die nicht nach dem standardisierten Prozess, sondern manuell konfiguriert wurde. Dabei wurde das Setzen der korrekten NTP-Server zur Zeitsynchronisation vergessen. Üblicherweise haben die meisten Organisationen ein Standard-Gateway in ihren Netzen definiert, sodass alle direkten und nicht erlaubten Zugriffe auf das Internet an der Firewall abgelehnt werden.

In den Dashboards für abgelehnte Verbindungen aus den internen Netzen ins Internet wird dieses System in einer gewissen Häufigkeit sichtbar werden. Hier kann dann eine sehr einfache Analyse erfolgen, die Quelle der NTP-Anfragen identifiziert und die System-Konfiguration korrigiert werden.

 

Software im Griff

In anderen Fälle gibt es lokal installierte Software, die beispielsweise die Proxy-Einstellungen ignoriert und versucht, direkt zu kommunizieren. Handelt es sich um ein legitimes Stück Software, dann wird der Anwender sich mit seinem Kundendienst in Verbindung setzen. Danach wird das übliche Debugging mit den Firewall-Logs stattfinden.

Handelt es sich allerdings um ein selbst installiertes Stück Software, wird es möglicherweise jetzt auf diesem Rechner liegen bleiben – mit all seinen potentiellen Sicherheitslücken und Problemen. Wenn es regelmäßig wieder versucht, zu kommunizieren, wird es irgendwann in den Firewall-Logs und damit auch in der SIEM-Auswertung auftauchen.

 

Malware einfangen

Ähnlich ist das Verhalten einer Malware auf einem Arbeitsplatz-Rechner. Wenn der Angreifer einen Anwender dazu bringen konnte, eine initiale Malware-Komponente zu starten, dann wird diese Komponente probieren, was möglich ist. Entweder versucht sie, weitere Komponenten der Mail-Chain nachzuladen oder sie versucht, direkt ihren Command-and-Control Server zu kontaktieren.

Das ist wie bei einer Arbeitsplatz-Fernsteuerung.  Es gibt eine Adresse im Internet, mit der sich die Fernsteuerung und der fernzusteuernde Rechner verbinden. Hier wird die Malware-Komponente möglicherweise verschiedene Wege ins Internet suchen oder auch verschiedene Protokolle testen. Einer dieser Wege könnte der direkte Zugriff ins Internet sein, der in der Regel von der Firewall blockiert werden sollte. Das bedeutet, es entsteht ein Log-Eintrag eines unerwünschten Kommunikationsversuches.

Wenn die Software diesen Weg regelmäßig erneut probiert, werden sich hier Häufungen ergeben, die wiederum in den Dashboards sichtbar werden können. Wenn eine Malware hier unter dem Radar des Antivirus fliegt, ist das eine der Möglichkeiten, sie trotzdem zu entdecken.

 

Böse IP-Adressen identifizieren

Wenn die Firewall über Filterlisten verfügt, die die oben genannten Command-and-Control Server erkennen, kann sie möglicherweise von sich aus einen Alarm generieren, wenn Kommunikationsversuche zu diesen IPs stattfinden. Eine retrospektive Betrachtung findet alleine in der Firewall in der Regel nicht statt. Das bedeutet, wenn die IP eine Woche zuvor schon einmal angesprochen wurde, dann alarmiert die Firewall nachträglich nicht.

Hier kann ein SIEM aber weitere Indikatoren über einen Malware-Befall zusammenstellen, denn möglicherweise hat der Rechner die letzten Tage und Wochen schon vergleichbare Kommunikationsversuche durchgeführt. Häufen sich abgelehnte Verbindungen von einem Arbeitsplatz-Rechner, ist es sehr empfehlenswert, hier eine genauere Analyse durchzuführen um einer möglichen Malware oder anderen Fremdinstallationen auf die Spur zu kommen.

 

Häufung abgelehnter Verbindungen

Häufen sich die Zugriffsversuche von vielen Rechnern auf eine spezielle IP/Port-Kombination, liegt vermutlich ein systematisches Problem vor. Entweder hat sich die Malware schon ausreichend verbreitet oder eine normale Software hat ein Konfigurationsproblem. Bei einer legitimen Software könnte es allerdings auch immer noch um ein ungewolltes Telefonieren nach Hause handeln. In der Wortwahl der Hersteller nennt sich das üblicherweise mittlerweile Übertragung von Telemetrie-Daten.

Wenn ich nun sehr viele Systeme habe, die wegen Fehlkonfiguration versuchen direkt mit dem Internet zu kommunizieren, kann es sein, dass solche gefährlichen Kommunikationen im Rauschen der anderen Verbindungen  untergehen. Darum ist es ausgesprochen wichtig, diese Fehlkonfigurationen auch zu beheben oder für nicht behebbare Fälle, wie die Telemetrie, sehr spezifische Ausnahmen zu definieren.

Die Abklärung einer solchen Auffälligkeit ist ein Incident im SIEM, die Kritikalität ergibt sich aus mehren Parametern: Ist die IP auf sogenannten Threat Intelligence Listen enthalten? Konnte die Verbindung aufgebaut werden? Gab es andere, möglicherweise erfolgreiche Verbindungsversuche, beispielsweise über den Proxy?

Die Besonderheiten bei den Kommunikationen ins Internet über einen traditionellen Web-Proxy beleuchten wir im nächsten Beitrag.

 

On-Demand Webinar: Managed SOC Service – Detection & Prevention für mehr IT-Sicherheit

Managed SOC Service Webinar

Erfahren Sie im kostenlosen 30-minütigen Webinar, wie ein SIEM in Kombination mit Schwachstellen-Management zur mächtigen Einsatzzentrale gegen Cyberattacken wird. Ein Security Operations Center (SOC) bietet Ihrem Unternehmen den in Zeiten steigender Cyberkriminalität notwendigen Schutz:

  • Sichtbarkeit und Transparenz in Ihrer IT-Infrastruktur hinsichtlich IT-Sicherheit
  • Reduzierung von Angriffsflächen für Cyberkriminelle, Saboteure und Spione
  • Sie verkürzen die Zeit bis zum Erkennen von potenziellen Angriffen, sind handlungsfähig und können angemessen reagieren

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *