Pressemitteilung von Fabian Sprengel

Mit AlienVault die Spuren von Cyberkriminellen verfolgen

---

---

München/San Mateo, 22. Oktober 2013 - Die Taten von Cyberkriminellen nachzuverfolgen, ist ein schwieriges Unterfangen. Doch wenn die Internet-räuber eine neue Infrastruktur angreifen, weisen ihre für die Attacke genutzten Domain-Namen oft auf temporäre Adressen hin. Dies sind zumeist DNS (Domain Name System)-Server und andere Infrastrukturen großer Internetunternehmen wie z.B. Google. Unified Security Management (USM)-Anbieter AlienVault (http://www.alienvault.com/) verrät effektive Techniken, mit denen Firmen verdächtige Domains via DNS-Logging (Protokollierung) aufspüren können.

Ein zum DNS-Logging verwendetes Tool ist PassiveDNS. Es ermöglicht Nutzern, den DNS-Traffic eines Interfaces sichtbar zu machen. Zudem kann die Lösung DNS-Anfragen in einer MySQL-Datenbank für weitere Abfragen und Analysen speichern. Um den Verkehr der DNS-Server aufzuarbeiten, rät AlienVault dazu, einen Span- oder Mirror-Port auf dem Router/Switch zu aktivieren. Für diesen Prozess stellt der USM-Anbieter einige Tutorials als Anleitung bereit.

Sobald Nutzer in der Lage sind, den Verkehr der DNS-Server auszulesen, oder wenn der Fall eintritt, dass interne Systeme mit externen DNS-Servern kommunizieren, sind Konfigurationen an PassiveDNS nötig. Nachdem alles eingerichtet ist, beginnt die Lösung, DNS-Anfragen von internen Systemen zu sammeln und zu speichern. Anwender können sämtliche Informationen nun über das Web-Interface von PassiveDNS abfragen. Dadurch sind sie in der Lage, Vorgänge mit verdächtigen Domains zu identifizieren und die bösartigen auszufiltern.

Intrusion Detection mit Suricata
Eine zweite Lösung zum Aufspüren verdächtiger Domains basiert auf einer Beta-Version des in OSSIM und AlienVault USM integrierten Netzwerk-Intrusion Detection-Systems (IDS) Suricata. Suricata beinhaltet ein Modul, das DNS-Anfragen und -Antworten protokolliert. Nach dem Download von Suricata-20beta1 überblicken Anwender in einer Datei den Netzwerkverkehr in Form von DNS-Protokollen. Danach werden die AlienVault-Lösungen so konfiguriert, dass sie die zuvor ausgelesenen Daten sammeln. Das Unternehmen stellt zum Test ein Beta-Plugin dieser Lösung unter https://github.com/AlienVault-Labs/AlienVaultLabs/tree/master/plugins (http://www.alienvault.com/open-threat-exchange/blog/identifying-suspicious-domains-using-dns-records) bereit.

Im Anschluss verarbeitet OSSIM die Ausgaben des Suricata DNS-Moduls. In der AlienVault USM-Web-Oberfläche können Nutzer nun gezielt nach Domains mit gewissen Kriterien suchen. Der Vorteil dieser Konsole ist, dass die IP-Adresse der Maschine, von der die DNS-Anfrage kommt, mitgeteilt wird. Zudem erhalten Anwender weitere Informationen über verbundene Systeme in der gleichen Konsole, beispielsweise zu NetFlow-Daten, IDS-Daten, Inventardaten, Schwachstellen, Sicherheits-Events von anderen Geräten etc. Dank der Integration der Konsole und der Möglichkeit, alle relevanten Daten durch ein Fenster zu betrachten, wird die forensische Untersuchung kompromittierter Systeme wesentlich einfacher.
Firmen- & Pressekontakt