Mit AlienVault die Spuren von Cyberkriminellen verfolgen

Veröffentlicht am von

Verdächtige Domains mit Hilfe von DNS-Protokollen identifizieren

Pressemeldung der Firma AlienVault Central & Eastern Europe

Die Taten von Cyberkriminellen nachzuverfolgen, ist ein schwieriges Unterfangen. Doch wenn die Internet-räuber eine neue Infrastruktur angreifen, weisen ihre für die Attacke genutzten Domain-Namen oft auf temporäre Adressen hin. Dies sind zumeist DNS (Domain Name System)-Server und andere Infrastrukturen großer Internetunternehmen wie z.B. Google. Unified Security Management (USM)-Anbieter AlienVault verrät effektive Techniken, mit denen Firmen verdächtige Domains via DNS-Logging (Protokollierung) aufspüren können.

Ein zum DNS-Logging verwendetes Tool ist PassiveDNS. Es ermöglicht Nutzern, den DNS-Traffic eines Interfaces sichtbar zu machen. Zudem kann die Lösung DNS-Anfragen in einer MySQL-Datenbank für weitere Abfragen und Analysen speichern. Um den Verkehr der DNS-Server aufzuarbeiten, rät AlienVault dazu, einen Span- oder Mirror-Port auf dem Router/Switch zu aktivieren. Für diesen Prozess stellt der USM-Anbieter einige Tutorials als Anleitung bereit.

Sobald Nutzer in der Lage sind, den Verkehr der DNS-Server auszulesen, oder wenn der Fall eintritt, dass interne Systeme mit externen DNS-Servern kommunizieren, sind Konfigurationen an PassiveDNS nötig. Nachdem alles eingerichtet ist, beginnt die Lösung, DNS-Anfragen von internen Systemen zu sammeln und zu speichern. Anwender können sämtliche Informationen nun über das Web-Interface von PassiveDNS abfragen. Dadurch sind sie in der Lage, Vorgänge mit verdächtigen Domains zu identifizieren und die bösartigen auszufiltern.

Intrusion Detection mit Suricata

Eine zweite Lösung zum Aufspüren verdächtiger Domains basiert auf einer Beta-Version des in OSSIM und AlienVault USM integrierten Netzwerk-Intrusion Detection-Systems (IDS) Suricata. Suricata beinhaltet ein Modul, das DNS-Anfragen und -Antworten protokolliert. Nach dem Download von Suricata-20beta1 überblicken Anwender in einer Datei den Netzwerkverkehr in Form von DNS-Protokollen. Danach werden die AlienVault-Lösungen so konfiguriert, dass sie die zuvor ausgelesenen Daten sammeln. Das Unternehmen stellt zum Test ein Beta-Plugin dieser Lösung unter https://github.com/… bereit.

Im Anschluss verarbeitet OSSIM die Ausgaben des Suricata DNS-Moduls. In der AlienVault USM-Web-Oberfläche können Nutzer nun gezielt nach Domains mit gewissen Kriterien suchen. Der Vorteil dieser Konsole ist, dass die IP-Adresse der Maschine, von der die DNS-Anfrage kommt, mitgeteilt wird. Zudem erhalten Anwender weitere Informationen über verbundene Systeme in der gleichen Konsole, beispielsweise zu NetFlow-Daten, IDS-Daten, Inventardaten, Schwachstellen, Sicherheits-Events von anderen Geräten etc. Dank der Integration der Konsole und der Möglichkeit, alle relevanten Daten durch ein Fenster zu betrachten, wird die forensische Untersuchung kompromittierter Systeme wesentlich einfacher.



Firmenkontakt und Herausgeber der Meldung:
AlienVault Central & Eastern Europe
Gutenbergstr.6
85737 Ismaning b. Muchen
Telefon: +49 (89) 2371-4730
Telefax: +49 (89) 9789-9342
http://www.alienvault.com/de

Die Unified Security ManagementTM-Plattform AV-USM(TM) von AlienVault bietet Unternehmen mit eingeschränktem Security-Personal und Budget einen schnellen und kostengünstigen Weg, die Anforderungen an Compliance und Threat Management zu erfüllen. Da alle essenziellen Kontrollfunktionen bereits integriert sind, fungiert AV-USM als Security-Umgebung der Enterprise-Klasse, auch für kleine Security-Teams, die mit weniger mehr erreichen wollen. AlienVault's Open Threat ExchangeTM ist ein offenes und kollaboratives System für die Kommunikation unter Security-Spezialisten (auch mit Kunden) im Bereich Threat Intelligence und somit eine Art Lernplattform mit Experten und Researchern, die sich über die neuesten Bedrohungen und Verteidigungstaktiken austauschen. AlienVault ist ein Privatunternehmen mit Hauptsitz in Silicon Valley (Kalifornien/USA) und wird von Kleiner Perkins Caufield & Byers, Sigma, Trident Capital und Adara Venture Partners unterstützt. Die Märkte in Deutschland, Österreich und der Schweiz werden von der AlienVault Deutschland GmbH mit Sitz in Ismaning betreut. Für weitere Informationen besuchen Sie www.alienvault.de oder folgen Sie uns auf Twitter.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.