av Bhabesh Raj Rai, Associate Security Analytics Engineer

Oppdage angrep rettet mot menneskelige feil ved hjelp av algoritmen Damerau-Levenshtein Distance (Damerau-Levenshtein-avstanden)

Jo lenger trusselaktørene forblir uoppdaget, jo mer skade kan de gjøre. I et forsøk på å holde seg under radaren utnytter malware-skaperne brukerfeil og prøver å lure brukerne ved å navngi nyttelasten deres på samme måte som for kritiske eller vanlige systemprosesser.

I et nylig krypto-mining-angrep benyttet man den felles tjenestevertsprosessen svchost. Angriperne skapte prosessen payload svshost.exe, en liten feilstaving av den faktiske prosessen som gjorde det mulig for trusselaktørene å stjele Monero (XMRig).

Trusselaktører bruker ofte vanlige ord med små endringer for å lure brukerne til å starte ulike angrep, for eksempel skrivefeil og etterligning av systemprosesser. Det er viktig at analytikerne hele tiden bruker nye, varierte måter til å oppdage brudd som skyldes menneskelige feil, fordi menneskelige feil stadig øker.

Ifølge Verizon 2020 Data Breach Investigations -rapportener slike feil like vanlig som sosiale brudd, mer vanlig enn malware, og er virkelig allestedsnærværende i alle bransjer. Det er viktig for sikkerhetsanalytikere å jevnlig jakte på og oppdage angrep som utnytter menneskelige feil før angripere kan gjøre noen skade.

Trusseloppdagelse med den nye innstikksmodulen for Damerau-Levenshtein-avstanden

En måte å identifisere angrep som utnytter menneskelige feil, er å bruke den nylig utgitte innstikksmodulen for Damerau-Levenshtein-avstanden i LogPoint.

Damerau-Levenshtein-avstanden henviser til avstanden mellom to ord som er det laveste antallet operasjoner (som består av innsettinger, slettinger, erstatninger eller transposisjon) som kreves for å endre ett ord til et annet. For eksempel Damerau-Levenshtein-avstanden mellom ‘svchost.exe’ og ‘svchast.exe’ 1 (erstattet “o” med “a”).

Vi vil fremheve to viktige brukstilfeller der innstikksmodulen for Damerau-Levenshtein-avstand kan bidra til å oppdage trusler som ellers lett kan bli uoppdaget. 

Oppdage etterligning av kritiske prosesser

LogPoint illustrates how to detect critical processes

Oppdage etterligning av svchost.exe ved hjelp av innstikksmodulen for Damerau-Levenshtein-avstanden

Prosessetterligning er en måte angripere får tilgang til systemet ditt på ved å navngi en skadelig prosess på samme måte som en vanlig prosess. Analytikere kan enkelt jakte på aktive prosesser med forvirrende navn ved å hente prosessopprettelseslogger fra endepunktene. Økning av terskelverdien vil øke antallet falske treffer, så vi anbefaler at administratorer bruker hvitlistet, legitim systemstøy for konfigurasjonen.

Detektere et typosquatting-angrep

En annen bruk av innstikksmodulen for Damerau-Levenshtein-avstand, er å oppdage typosquatting-angrep mot bedriften. Typosquatting brukes mye i CEO-svindel hvor man utgir seg for å være et høytstående medlem i bedriften. Hvis bedriftens domene er mycorp.com, kan angriperne for eksempel sende phishing-e-post fra typo-tilknyttede domener som myc0rp.com for å lure mottakerne til å tro at e-postene er legitime.

sender=* receiver=*
| norm on sender @<sender_domain:'S+'>
| process levenshtein (sender_domain, mycorp.com)
| search levenshtein_distance < 3

Du kan også søke etter mulige typo-tilknyttede domener i brannmurlogger.

device_category=Firewall domain=*
| process levenshtein (domain, mycorp.com)
| search levenshtein_distance < 3

Innstikksmodulen for Damerau-Levenshtein-avstanden gir LogPoint-brukere nye måter å jakte på trusler som er rettet mot menneskelige feil. Ved å oppdage trusler som prosessetterligning og skrivefeil på et tidlig tidspunkt, kan analytikerne redusere virkningen og bidra til å styrke forsvaret.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser