af Bhabesh Raj Rai, Associate Security Analytics Engineer

Detektering af angreb, der er rettet mod menneskelige fejl ved hjælp af Damerau-Levenshtein-afstanden

Desto længere trusselsaktører forbliver uopdagede, desto mere skade kan de gøre. I et forsøg på at forblive under radaren udnytter malware-forfattere brugerfejl og forsøger at snyde brugerne ved at navngive deres nyttelast, så navnet minder om dem i kritiske eller almindelige systemprocesser.

I et nyligt kryptomineangreb benyttede modstanderne sig af den almindelige serviceværtsproces, svchost. Modstanderne kaldte deres nyttelast svshost.exe, en mindre stavefejl i forhold til den faktiske proces, hvilket gjorde det muligt for trusselsaktørerne at udvinde Monero (XMRig), uden at blive opdaget.

Cybertrusselsaktører bruger ofte almindelige ord med mindre ændringer til at narre brugerne til at starte forskellige angreb, såsom indtastningsfejl og efterligning af systemprocessen. Det er afgørende, at analytikerne løbende anvender nye, varierede metoder til at opdage indtrængen, der skyldes menneskelige fejl, fordi menneskelige fejl hele tiden stiger i hyppighed fra år til år.

Ifølge Verizon 2020 Data Breach Investigations rapport er fejl lige så almindelige som sociale overtrædelser, mere almindelige end malware, og de er allestedsnærværende i alle brancher. Det er afgørende for sikkerhedsanalytikere regelmæssigt at jage og detektere angreb, der udnytter menneskelige fejl, før angribere kan gøre skade.

Trusselsdetektering med den nye Damerau-Levenshtein-afstands-plugin

En måde at identificere angreb, der er målrettet menneskelige fejl, på, er at bruge den nyligt udgivne Damerau-Levenshtein-afstands-plugin i LogPoint.

Damerau-Levenshtein-afstanden refererer til afstanden mellem to ord, som er det mindste antal handlinger (bestående af indsættelser, sletninger, erstatninger eller implementering), der kræves for at ændre et ord til et andet. Eksempelvis er Damerau-Levenshtein-afstanden mellem ‘Svchost.exe’ og ‘Svchast.exe’ 1 (erstat “o” med “a”).

Vi vil fremhæve to vigtige brugssituationer, hvor Damerau–Levenshtein-afstands-plugin kan hjælpe med at detektere trusler, der ellers nemt kunne gå ubemærket hen. 

Detektering af efterligning af kritiske processer

Damerau-Levenshtein plugin

Detektering af procesefterligning foretaget af svchost.exe ved hjælp af Damerau-Levenshtein-plugin

Procesefterligning er en måde, hvorpå angribere får adgang til dit system ved at navngive en ondsindet proces, så den minder om en almindelig proces. Analytikere kan nemt søge efter processer, der kører med forvirrende navne ved at hente procesoprettelseslogs fra slutpunkter. Forøgelse af tærskelværdien vil øge falske positive, så vi anbefaler, at administratorer sætter legitim systemstøj på en hvidliste i forbindelse med konfigurationen.

Detektering af angreb der udnytter indtastningsfejl

En anden brug af Damerau-Levenshtein-afstands-plugin er at detektere angreb, der udnytter indtastningsfejl mod din virksomhed. Angreb der udnytter indtastningsfejl bruges i høj grad i CEO-bedrageri til at efterligne seniormedarbejdere i organisationen. Hvis din virksomheds domæne f.eks. er mycorp.com, kan angriberne sende phishing-e-mails fra domæner med indtastningsfejl såsom myc0rp.com for at narre modtagerne til at tro, at e-mailene er legitime.

sender=* receiver=*
| norm on sender @<sender_domain:'S+'>
| process levenshtein (sender_domain, mycorp.com)
| search levenshtein_distance < 3

Du kan også søge efter mulige domæner med indtastningsfejl fra firewalllogs.

device_category=Firewall domain=*
| process levenshtein (domain, mycorp.com)
| search levenshtein_distance < 3

Damerau–Levenshtein-afstands-plugin giver LogPoint-brugere nye måder til at søge efter trusler, der er målrettet mod menneskelige fejl. Ved tidligt at opdage trusler såsom efterligning af processer og tastefejl kan analytikere reducere påvirkningen og hjælpe med at styrke virksomhedens forsvar.

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser