{"id":96009,"date":"2018-12-19T01:00:22","date_gmt":"2018-12-19T09:00:22","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=96009"},"modified":"2018-12-17T06:15:39","modified_gmt":"2018-12-17T14:15:39","slug":"erkennung-boesartiger-kampagnen-durch-maschinelles-lernen","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/12\/erkennung-boesartiger-kampagnen-durch-maschinelles-lernen\/?lang=de","title":{"rendered":"Erkennung b\u00f6sartiger Kampagnen durch maschinelles Lernen"},"content":{"rendered":"

Wir suchen kontinuierlich nach neuen Wegen, um unsere Kunden zu sch\u00fctzen und erfolgreiche Angriffe zu verhindern. Eine Neuheit in unserem Forschungsarsenal ist die Anwendung von unbeaufsichtigtem maschinellem Lernen auf gro\u00dfe Datens\u00e4tze mit Domain-Informationen. Auf maschinellem Lernen basierende Verfahren wie dieses k\u00f6nnen uns helfen, neue Bedrohungen zu erkennen und zu blockieren, bevor sie unsere Kunden beeintr\u00e4chtigen. Die Verfahren k\u00f6nnen sch\u00e4dliche Domains, die Teil gr\u00f6\u00dferer Kampagnen sind, unmittelbar bei Aktivwerden erkennen und erfassen solche Kampagnen weitaus besser als herk\u00f6mmliche Methoden.<\/p>\n

In diesem Blog finden Sie einige Details und Beispiele, wie wir von diesem unbeaufsichtigten maschinellen Lernen Gebrauch machen. Bei einer Phishing-Kampagne fanden wir zum Beispiel k\u00fcrzlich 333 aktive Domains. Am ersten Tag dieser Kampagne waren einer einschl\u00e4gigen Online-Malware-Datenbank nur 87 Domains bekannt, zwei bekannten Blocklisten sogar keine einzige. In den darauffolgenden zwei Wochen f\u00fchrte die st\u00e4rkste Blockliste nur 247 der 333 Domains und die Malware-Datenbank erkannte lediglich 93.<\/p>\n

Unser unbeaufsichtigtes maschinelles Lernen verbessert die Gesamterfassung dieser Kampagnen und erkennt diese fr\u00fchzeitig, noch bevor sie f\u00fcr anf\u00e4llige Benutzer zur Gefahr werden. Im Falle der nachfolgend thematisierten Kampagne sowie weiterer mit dem gleichen Verfahren erkannter Kampagnen waren die Kunden von Palo Alto Networks innerhalb von einem Tag ab Aktivwerden der Domains gesch\u00fctzt.<\/p>\n

 <\/p>\n

Hintergrund<\/strong><\/p>\n

Eine Art der b\u00f6swilligen Online-Aktivit\u00e4t umfasst den kurzzeitigen Einsatz vieler Domains f\u00fcr den gleichen Zweck. Diese Kampagnen machen sich h\u00e4ufig ein aktuelles Ereignis wie die Fu\u00dfball-WM zunutze, und die Domain-Namen sehen echten Domain-Namen oft zum T\u00e4uschen \u00e4hnlich (sogenanntes Typo-Squatting) oder suggerieren eine gewisse Relevanz f\u00fcr seri\u00f6se Dienste, wie c0mpany.com f\u00fcr company.com.<\/p>\n

Ein Beispiel daf\u00fcr sind die Phishing-Kampagnen nach der Equifax-Datenpanne 2017. Damals richtete die Kreditauskunftei mit www.equifaxsecurity2017[.]com eine rechtm\u00e4\u00dfige Website ein, auf der sich Privatpersonen dar\u00fcber informieren konnten, ob sie von dem Vorfall betroffen waren. Daraufhin registrierten eine oder mehrere b\u00f6sartige Kampagnen Hunderte von Domains, die der echten URL t\u00e4uschend \u00e4hnlich sahen. Beispiel: www.equifaxsecurity3017[.]com.<\/p>\n

Grunds\u00e4tzlich ist es nicht schwer, einen einzelnen Domain-Namen genauer unter die Lupe zu nehmen und als betr\u00fcgerisch zu entlarven. Da in einer Kampagne aber Hunderte solcher Domains erstellt werden k\u00f6nnen, besteht die Herausforderung darin, alle falschen Domains zu finden, bevor eine gro\u00dfe Anzahl von Menschen ihnen zum Opfer f\u00e4llt. Obwohl sie leicht unterschiedliche Namen haben, weisen b\u00f6sartige Domains der gleichen Kampagne viele identische Merkmale wie IP-Subnetz, autonome Systemnummer (ASN), DNS Time-To-Live (TTL), Whois-Informationen sowie viele weitere Attribute auf. Aufgrund dieser Beobachtung haben wir ein System implementiert, mit dem sich Attribute aus dem DNS-Verkehr und von Cluster-Domains anhand ihrer Gemeinsamkeiten extrahieren lassen. Unser System erg\u00e4nzt bestehende Verfahren und kann Domains von Kampagnen erkennen, die ansonsten unentdeckt bleiben w\u00fcrden.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a01: \u00dcbergeordneter Prozess<\/em><\/p>\n

Ansatz<\/strong><\/p>\n

Unser Ansatz (siehe Abbildung 1) besteht darin, Domains, die in Passive-DNS-Eintr\u00e4gen gefunden wurden, in Clustern zusammenzufassen. Passive DNS ist ein Verfahren zur Aufzeichnung von DNS-Anfragen und -Antworten.\u00a0Die Eintr\u00e4ge bestehen in der Regel unter anderem aus dem Zeitstempel, der angeforderten Domain und der entsprechenden IP-Adresse. Aus Datenschutzgr\u00fcnden wird der DNS-Verkehr einzelner Kunden (Bit \u201eRekursion erw\u00fcnscht\u201c wird gesetzt) nicht erfasst, und auch die IP-Adresse des Kunden wird entfernt.<\/p>\n

Passive-DNS-Eintr\u00e4ge sind \u00fcber eine Vielzahl von Quellen verf\u00fcgbar und werden oft von Wissenschaftlern genutzt, um den Internetverkehr in gr\u00f6\u00dferem Ma\u00dfstab zu verstehen. F\u00fcr unsere Analysen stehen uns im Grunde t\u00e4glich sechs Terrabyte DNS-Daten zur Verf\u00fcgung.<\/p>\n

Wir gruppieren diese Domains anhand von Merkmalen, die aus Informationen in den Passive-DNS-Eintr\u00e4gen, wie IP-Adressen, oder anderen Quellen, wie BGP und Whois, generiert wurden. Dadurch erhalten wir Cluster von Domains, die in Bezug zueinander stehen, aber ansonsten weder als gutartig noch als b\u00f6sartig bekannt sind.<\/p>\n

Da diese Daten an diesem Punkt nicht gekennzeichnet sind, kommt hier das unbeaufsichtigte maschinelle Lernen ins Spiel. Wir wissen, dass die gruppierten Domains viele gemeinsame Merkmale aufweisen, haben aber keine Informationen dar\u00fcber, ob sie b\u00f6sartig sind oder nicht. Um die b\u00f6sartigen Cluster aufzusp\u00fcren, nutzen wir Seed Domains, die scheinbar Teil einer neuen Kampagne sind und die wir als b\u00f6sartig einstufen konnten.<\/p>\n

 <\/p>\n

Seed Domains<\/strong><\/p>\n

Seed Domains sind Beispiele von b\u00f6sartigen Domains, die in Gruppen in Erscheinung treten.<\/p>\n

Die Seeds lassen sich auf verschiedene Weise finden, wobei wir uns derzeit auf drei Quellen von Informationen zur Erkennung m\u00f6glicher Seed Domains konzentrieren: Domain-Registrierungen, erstmals gefundene Domains und Trendthemen.<\/p>\n

 <\/p>\n

Domain-Registrierungen<\/strong><\/p>\n

Wir befassen uns mit Domains, die k\u00fcrzlich registriert wurden, und bestimmen Gruppen mit \u00e4hnlichen Namen. Wenn sich die Kampagne ein aktuelles Ereignis zunutze macht, kann es sein, dass eine gro\u00dfe Anzahl von Domains mit einem zum Ereignis passenden Namen registriert wird. Wir \u00fcberpr\u00fcfen alle Gruppen auf bekannte b\u00f6sartige Domains und nehmen die Ergebnisse in unsere Liste der Seed Domains auf. Wir identifizieren bekannte b\u00f6sartige Domains anhand unserer eigenen Erkenntnisse sowie mithilfe von Bedrohungsdaten Dritter, beispielsweise aus einschl\u00e4gigen Online-Malware-Datenbanken. Zu Beginn sind in der Regel zwar noch nicht viele b\u00f6sartige Domains bekannt bzw. gemeldet, aber wir ben\u00f6tigen ohnehin nur ein paar wenige Beispiele, um den Prozess in Gang zu setzen.<\/p>\n

 <\/p>\n

Erstmals gefundene Domains<\/strong><\/p>\n

Wir durchsuchen die Passive-DNS-Eintr\u00e4ge auch nach neuen Domains, die bisher noch nicht aufgefunden wurden. Diese Domains wurden zum Beispiel schon vor l\u00e4ngerer Zeit registriert, aber erst mit Beginn der Kampagne erstmals eingesetzt. Wir durchsuchen diese Domains nach \u00e4hnlichen Namen und identifizieren Seeds, die als b\u00f6sartig bekannt sind.<\/p>\n

 <\/p>\n

Trendthemen<\/strong><\/p>\n

Dar\u00fcber hinaus durchsuchen wir die sozialen Medien nach Trendthemen. Bekannte und gut beworbene Ereignisse tauchen h\u00e4ufig in den t\u00e4glichen Social-Media-Trends auf. Wir gleichen Trendbegriffe, die bei Google oder Twitter auftauchen, mit k\u00fcrzlich beobachteten Domain-Namen ab. Wenn wir zum Beispiel bei Google einen Trend ausmachen, der sich auf ein aktuelles Ereignis wie eine Sportveranstaltung bezieht, \u00fcberpr\u00fcfen wir k\u00fcrzlich beobachtete Domains, die ebenfalls dieses Sportereignis thematisieren. Wir suchen erneut nach Gruppen von \u00e4hnlichen Namen und ermitteln Domains, die als b\u00f6sartig bekannt sind. Mithilfe unserer Seed-Domain-Liste k\u00f6nnen wir anschlie\u00dfend nach Clustern von Domains suchen, die diese Seeds enthalten.<\/p>\n

 <\/p>\n

Aufsp\u00fcren b\u00f6sartiger Cluster<\/strong><\/p>\n

Nachdem wir die Gruppe von Seed Domains identifiziert haben, die wir verwenden werden, durchsuchen wir die zuvor aus den Passive-DNS-Daten generierten Domain-Cluster nach diesen Seeds (siehe Abbildung 2). Ein Cluster mit einem wesentlichen Anteil von Seed Domains wird als b\u00f6sartige Kampagne identifiziert, und alle Domains im Cluster werden als b\u00f6sartig gekennzeichnet.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a02: Cluster von Domains<\/em><\/p>\n

 <\/p>\n

Ergebnisse<\/strong><\/p>\n

Wir entdeckten zum Beispiel k\u00fcrzlich eine Phishing-Kampagne, bei der b\u00f6sartige Domains mit Namen wie check-box-with-money##[.]loan verwendet wurden. Wir konnten diese Gruppe von Domains ausfindig machen, indem wir eine Gruppe \u00e4hnlicher Domains beobachteten, die zur gleichen Zeit registriert wurden. Am ersten Tag beobachteten wir 77\u00a0Domain-Registrierungen. Davon waren einer einschl\u00e4gigen Online-Malware-Datenbank nur 17 bekannt, was aber ausreichte, um sie in unsere Seed-Gruppe aufzunehmen. Die Cluster-Analyse der aus den Passive-DNS-Daten gewonnenen Domains ergab direkt zwei weitere Domains, die bei der Registrierung nicht aufgefallen waren.<\/p>\n

Am darauffolgenden Tag fanden wir 16 weitere Domains in der Kampagne, danach 58 und schlie\u00dflich erneut 88 Domains. In den ersten beiden Wochen dieser Kampagne konnten wir insgesamt 333\u00a0Domains ausfindig machen, die mit dieser Phishing-Kampagne in Zusammenhang standen.<\/p>\n

Interessant ist dabei, dass 247 dieser 333\u00a0Domains am ersten Tag ihres Aktivwerdens einer einschl\u00e4gigen Online-Malware-Datenbank nicht bekannt waren. In den darauffolgenden zwei Wochen wurden nur sieben dieser Domains gef\u00fchrt. Selbst nach zwei Wochen waren 240\u00a0Domains von dieser Datenbank noch immer nicht als Phishing gekennzeichnet, obwohl sie l\u00e4ngst im Internet pr\u00e4sent und eindeutig Teil der gleichen Kampagne waren.<\/p>\n

Wir \u00fcberpr\u00fcften dahingehend auch zwei bekannte Blocklisten und stellten fest, dass keine dieser Blocklisten die Domains am ersten Tag ihrer Beobachtung im Internet blockiert hatte. In den darauffolgenden zwei Wochen blockierte eine Liste 80 und die andere 247 der 333\u00a0Domains.<\/p>\n

Diese Ergebnisse zeigen: Obwohl einige Domains in den Kampagnen von der Sicherheitscommunity gefunden werden, bleiben viele der Domains problemlos unentdeckt, was das letztendliche Ziel des Angreifers sein d\u00fcrfte.<\/p>\n

 <\/p>\n

Fazit<\/strong><\/p>\n

Bei dem beschriebenen Fall handelt es sich nur um ein Beispiel. In den vergangenen Monaten haben wir 15\u00a0verschiedene Kampagnen mit \u00fcber 1.000\u00a0aktiven Domains entdeckt. Obwohl sie aktiv und Teil der Kampagnen waren, wurden viele dieser Domains von verschiedenen Drittanbietern nicht individuell identifiziert. Die Domains, die durch Drittanbieter identifiziert wurden, haben wir im Durchschnitt 2,8\u00a0Tage vor einer Online-Malware-Datenbank, 3,9\u00a0Tage vor einer \u00f6ffentlichen Blockliste und 2,4\u00a0Tage vor einer anderen \u00f6ffentlichen Blockliste gefunden. Die maximalen Abweichungen, die wir bis heute bei den von Drittanbietern identifizierten Domains festgestellt haben, sind 46\u00a0Tage im Falle der Malware-Datenbank, 15\u00a0Tage im Falle der ersten Blockliste und 32\u00a0Tage im Falle der zweiten Blockliste. Abbildung\u00a03 zeigt einen Gesamtvergleich der Dauer bis zur Erkennung.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a03: Dauer\u00a0bis zur Erkennung durch\u00a0Drittanbieter<\/em><\/p>\n

 <\/p>\n

Schutz und Handlungsempfehlung<\/strong><\/p>\n

Kunden von Palo Alto Networks sind mittels URL-Filterung mit PAN-DB und DNS-C2-Signaturen, die Teil des Threat-Prevention-Abonnements sind, vor diesen b\u00f6sartigen und Phishing-Domains gesch\u00fctzt. Firewall-Kunden von Palo Alto Networks k\u00f6nnen unsere Passive-DNS-Forschung unterst\u00fctzen, um b\u00f6sartige und Phishing-Domains proaktiv zu identifizieren. Um den Passive-DNS-Austausch in PAN-OS Version 8.0 oder neuer zu aktivieren, w\u00e4hlen Sie \u201ePassive DNS Monitoring\u201c (Device > Setup > Telemetry). In PAN-OS 7.1 oder \u00e4lter wird der Passive-DNS-Austausch im Sicherheitsprofil von Anti-Spyware aktiviert. Die Passive-DNS-Eintr\u00e4ge bestehen in der Regel unter anderem aus dem Zeitstempel, der angeforderten Domain und der entsprechenden IP-Adresse. Aus Datenschutzgr\u00fcnden wird der DNS-Verkehr einzelner Kunden (Bit \u201eRekursion erw\u00fcnscht\u201c wird gesetzt) nicht erfasst, und auch die IP-Adresse des Kunden wird entfernt.<\/p>\n

\"\"<\/span><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"

Wir suchen kontinuierlich nach neuen Wegen, um unsere Kunden zu sch\u00fctzen und erfolgreiche Angriffe zu verhindern. Eine Neuheit in unserem Forschungsarsenal ist die Anwendung von unbeaufsichtigtem maschinellem Lernen auf gro\u00dfe Datens\u00e4tze mit …<\/p>\n","protected":false},"author":616,"featured_media":72311,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3549],"tags":[],"coauthors":[6611,6612,4719,1576,913,741],"class_list":["post-96009","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert"],"jetpack_featured_media_url":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-content\/uploads\/2018\/04\/unit42-blog-600x300.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96009","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/616"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=96009"}],"version-history":[{"count":3,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96009\/revisions"}],"predecessor-version":[{"id":96012,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/96009\/revisions\/96012"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/72311"}],"wp:attachment":[{"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=96009"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=96009"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=96009"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=96009"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}