Jeder unberechtigte Zugriff auf Firmennetzwerke und Systeme hinterlässt Spuren – etwa in Gestalt von Schadcode-Hashes, IP-Adressen von Angreiferservern oder Komponenten von Einbruchstools. Solche Relikte, auch Kompromittierungsindikatoren (engl. Indicators of Compromise, IoC) genannt, erfreuen sich als vielseitiges Werkzeug großer Beliebtheit bei Sicherheitsprofis. Sie helfen bei der detaillierten Beschreibung aktueller Security-Vorfälle, der Suche nach möglicherweise kompromittierten Systemen und sind darüber hinaus als Baustein zur künftigen, effektiven IT-Verteidigung nutzbar.
Bevor man IoCs sinnvoll einsetzen kann, ist jedoch meist etwas Vorarbeit nötig. Insbesondere selbst gesammelte Einbruchsspuren stecken oft zusammen mit weiteren Informationen in Logfiles verschiedenster Formate. Es gilt also erst einmal, sie zu isolieren und sicherzustellen, dass sie tatsächlich mit dem Angriffsgeschehen in Verbindung stehen. Anschließend muss man eine genauere Einschätzung der verbleibenden Kompromittierungsindikatoren vornehmen. Sie gewichten, priorisieren und zueinander in Beziehung setzen, um künftige Gefahren aufspüren, zugleich aber auch Fehlalarme minimieren zu können.
Das kostenlose Tool Cyberbro unterstützt bei diesen Arbeitsschritten. Es nimmt beliebigen Text-Input etwa aus Logs, Threat Intelligence-Feeds oder öffentlichen Sicherheitswarnungen entgegen und extrahiert potenzielle IoCs. Anschließend leitet es diese je nach Typ der Einbruchsspur gleich an mehrere externe Online-Services wie IPquery, VirusTotal, Shodan oder Phishtank weiter. Diese liefern dann zum IoC-Typ passende, öffentlich verfügbare Threat-Intelligence-Informationen zurück, die bei der Einschätzung und Gewichtung helfen. Cyberbro stellt sie zu einem übersichtlichen Report zusammen, den man in verschiedenen Formaten herunterladen und aus dem man überdies die strukturiert gespeicherten IoCs ganz einfach herauskopieren kann.
Wie gut das alles funktioniert und wie die resultierenden Reports aussehen, haben wir für Sie an ein paar Beispielen ausprobiert. Außerdem geben wir einen Überblick über die verschiedenen Nutzungsmöglichkeiten von Cyberbro – als Online-Tool, auf dem eigenen Rechner und als Browsererweiterung.
Cyberbro ist ein quelloffenes, bei GitHub gepflegtes Projekt, das der Sicherheitsforscher Stanislas Medrano in seiner Freizeit betreut und (weiter-)entwickelt. Die webbasierte Python-Anwendung kann man entweder in einer öffentlich verfügbaren Online-Fassung nutzen oder auch lokal beziehungsweise (etwa firmenintern) auf einem eigenen Server betreiben.
Zwar ist die Online-Version von Cyberbro primär als Demo zum Ausprobieren gedacht, jedoch voll funktionsfähig und somit auch für die gelegentliche Nutzung geeignet. Dann allerdings sollte man sich unbedingt der Tatsache bewusst sein, dass sämtliche online generierte Reports (unter dem Menüpunkt "History" ganz unten im Interface) öffentlich für jede(n) abrufbar sind. Das ist für öffentliche Reports kein Problem; wer mit Cyberbro aber Logfiles durchforsten möchte, die sensible Daten enthalten könnten, sollte ihn lieber lokal installieren. Außerdem kann man sich auf die Verfügbarkeit des privat betriebenen Dienstes natürlich nicht verlassen.
Die Oberfläche des Tools ist nahezu selbsterklärend. Im oberen Teil befindet sich ein Fenster zum Hineinkopieren einzelner IoCs, zusammenhängenden Texts, Logs oder ähnlichen Inputs. Aus letzteren Varianten filtert Cyberbro mittels regulärer Ausdrücke mögliche IoCs anhand ihres Formats heraus. Im Einzelnen kann das Tool URLs, Domains, IPs(v4/v6), E-Mail-Adressen und Dateihashes (MD5, SHA1, SHA256) sowie IDs von Chrome-Extensions identifizieren. Auch mit "defangten" URLs, IPs und E-Mail-Adressen im Stil von "[at]", "[.]" oder "hxxp" kommt es zurecht.
Cyberbro-GUI mit Beispiel-Input und VirusTotal-Beschreibung beim Überfahren des Servicenamens mit dem Mauszeiger.
(Bild: demo.cyberbro.net)
Vor dem Anklicken des blauen "Start Analysis"-Buttons wählt man aus, welche Online-Dienste konsultiert werden sollen. Das geht einzeln über Radiobuttons oder eine Auswahlleiste, die passende Voreinstellungen für spezielle Anwendungsfälle trifft. So eignen sich etwa die mit der "Abuse"-Einstellung angehakten Dienste, um E-Mail-Adressen, IPs oder Domains auf ihre Vertrauenswürdigkeit – und in der Konsequenz auf Missbrauch via Hacking oder Spoofing – abzuklopfen. Mit "All" kontaktiert Cyberbro alle eingebundenen Services, was etwa dann sinnvoll sein kann, wenn man das Tool mit einer langen Liste ganz unterschiedlicher IoCs füttern will.
In der Online-Version stehen derzeit 15 Dienste zur Verfügung. Praktisch beim Auswählen: Wenn Sie mit der Maus über deren Namen fahren, zeigt Cyberbro stichpunktartig an, was die Services jeweils tun.
Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellenSie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare