av Bhabesh Raj Rai, Associate Security Analytics Engineer

Identifiera attacker som riktar in sig på mänskliga misstag med hjälp av Damerau-Levenshtein-avstånd

Ju längre hotaktörer förblir oupptäckta, desto mer skada kan de åsamka. För att försöka förbli oupptäckta utnyttjar utvecklare av skadlig programvara användarmisstag och försöker lura användare genom att döpa sina nyttolaster (payload) till det som liknar kritiska eller vanliga systemprocesser.

I en nyligen genomförd crypto mining-attack utnyttjade angriparna den vanliga systemprocessen ”svchost”. Angriparna döpte nyttolasten till ”svshost.exe”, en liten felstavning av den faktiska process som gjorde det möjligt för hotaktörerna att köra  coinmining för Monero (XMRig) i bakgrunden.

Hotaktörer använder ofta något modifierade vanliga ord för att lura användare att starta olika attacker som stavfelsockupation (alt. fulregistrering) och imitation av systemprocesser. Det är oerhört viktigt att analytiker kontinuerligt använder nya och varierade metoder för att identifiera intrång som härstammar från mänskliga misstag eftersom antalet mänskliga misstag ökar ständigt från år till år.

Enligt Verizon 2020 Data Breach Investigations Report är mänskliga misstag lika vanliga som intrång via sociala kanaler, vanligare än skadlig programvara och mycket vanliga inom alla branscher. Det är viktigt för säkerhetsanalytiker att regelbundet söka efter och identifiera attacker som utnyttjar mänskliga misstag innan angriparna kan göra någon skada.

Hotdetektion med nya plugin-programmet för Damerau-Levenshtein-avstånd

Ett sätt för att identifiera angrepp som utnyttjar mänskliga misstag är att använda det nyligen släppta plugin-programmet för Damerau-Levenshtein-avstånd.

Damerau-Levenshtein-avståndet syftar på avståndet mellan två ord som är det minsta antalet operationer (bestående av infogningar, borttagningar, ersättningar eller transpositioner) som krävs för att ändra ett ord till ett annat. Till exempel är Damerau-Levenshtein-avståndet mellan ”svchost.exe” och ”svchast.exe” lika med 1 (”o” ersatt med ”a”).

Vi visar två användningsfall där plugin-programmet för Damerau-Levenshtein-avstånd kan hjälpa till att identifiera hot som annars lätt kan gå obemärkta. 

Identifiering av imitation av kritiska processer

Damerau-Levenshtein plugin

Identifiering av imitation av processen svchost.exe med plugin-programmet Damerau-Levenshtein

Imitation av processer är ett sätt för angripare att få åtkomst till ett system genom att döpa en skadlig process till en namn som liknar en vanlig process. Analytiker kan enkelt söka efter processer med förvirrande namn som körs genom att hämta processkapningsloggar från slutpunkter. En ökning av tröskelvärdet ökar antalet falska positiver, och därför rekommenderar vi att administratörer vitlistar legitima systemprocesser för konfigurationen.

Identifiera en attack baserad på stavfelsockupation

Plugin-programmet för Damerau-Levenshtein-avstånd kan även användas för att identifiera angrepp mot din verksamhet via stavfelsockupation. Stavfelsockupation används ofta vid VD-bedrägerier för imitera chefer i organisationer. Om ditt företags domän till exempel är mycorp.com kan en angripare skicka nätfiskemeddelanden från stavfelsockuperade domäner som myc0rp.com för att lura mottagarna att tro att e-postmeddelandena är legitima.

sender=* receiver=*
| norm on sender @<sender_domain:'S+'>
| process levenshtein (sender_domain, mycorp.com)
| search levenshtein_distance < 3

Du kan också söka efter möjliga stavfelsockuperade domäner i brandväggsloggar.

device_category=Firewall domain=*
| process levenshtein (domain, mycorp.com)
| search levenshtein_distance < 3

Plugin-programmet för Damerau-Levenshtein-avstånd ger LogPoint-användare nya sätt att söka efter hot som riktar sig mot mänskliga misstag. Genom att upptäcka hot som processimitation och stavfelsockupation i ett tidigt skede kan analytiker minska påverkan och hjälpa till att stärka sina försvar.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner