Incident Response Scanner

THOR
Incident Response Scanner
Der Incident Response Scanner THOR ist das einzige Werkzeug am deutschen Markt,
welches es ermöglicht, die Auswirkungen und den Umfang eines akuten Sicherheitsvorfalls einzuschätzen und entsprechend zu behandeln.
Anders als übliche Virenscanner, verfügt THOR über Signaturen, die Angreiferaktivitäten auf einem System sichtbar machen. Während übliche Virenscanner so konfiguriert sind, nur Malware wie Viren, Trojaner und Exploitcodes zu erkennen, prüft
THOR in einem Set von über 20 verschiedenen Checks die Systeme auf typische
Angreiferwerkzeuge, Aktivitäten in Logs, Anomalien in Benutzerkonten, Sitzungen,
Netzwerkverbindungen und anderen Elementen, welche die Aktivitäten von Angreifern
offenbaren können.
Erkennt typische
Angreiferaktivitäten
THOR wird dazu regelmäßig von den Security Analysten bei HvS und BSK Consulting
mit Informationen zu Angriffsmustern und Hacker-Werkzeugen aus verschiedenen
Quellen aktualisiert.
Signaturen von
Security Analysten
Zu den Quellen zählen derzeit:
Praxisnahe Quellen
plus CERTs und AV
Hersteller
ƒƒ Forensische Analysen kompromittierter Systeme im HvS/BSK Kundenumfeld
ƒƒ Ermittlungsergebnisse deutscher Institutionen
ƒƒ Reports namhafter Hersteller und CERTs wie Mandiant (u.a. APT1, Februar
2013), FireEye, Crowdstrike, AlienVault, C5, RSA, Australian DoD CSOC
Kaspersky Labs („MiniDuke“, „Red October“), McAfee Reports („Operation
ShadyRAT“), TrendMicro
ƒƒ Public Domain Hack Tools und Angreifertools
(z.B. Netzwerk Tools, Passwort
Dumper, Pass-the-Hash Werkzeuge wie WCE und Mimikatz in über 280
verschiedenen Versionen, Hack Packs, Webshell Repositories mit über 360
verschiedenen Shells, Werkzeuge aus chinesischen Untergrund-Foren usw.)
Aus diesen Reports und Toolsets werden Signaturen im Yara Format, MD5-HashDatenbanken, Hacktool Namen und Schlüsselwörter wie IP-Adressen, Commandand-Control Server oder verwendete Tunneling-Ports abgeleitet, die als Signaturen
für THOR dienen.
Verschiedenste
Signatur-Typen
THOR verfügt derzeit bereits über 47 verschiedene Yara Signaturdatenbanken mit
über 2700 einzelnen Regeln. Darunter befinden sich mehr als 400 APT Regeln aus
öffentlichen Quellen und mehr als 80 Regeln aus APTs im Kundenumfeld. Über 500
Regeln dienen der Erkennung von Webshells, über 800 der Erkennungs von Hacktools.
Große Malware
Datenbank
THOR kann sehr einfach auf kundenspezifische, individuelle Angriffsmuster (z.B.
Detektion spezieller Dateinamen, Keywords, Yara Signaturen) erweitert werden.
THOR bietet verschiedene Exportmöglichkeiten. Es generiert eine Logdatei als TXT,
erzeugt nach Abschluss einen HTML Report und versendet Findings on-the-fly per
Syslog an einen oder mehrere Syslog-Server. Auch das von ArcSight verwendete CEF
Format wird unterstützt. Somit ist auch eine Anbindung an SIEM-Systeme möglich.
Kundenspezifische
Angriffsmuster
Diverse Reporting
Möglichkeiten
THOR
Checks und Signaturen
Die oben abgebildete Grafik gibt einen Überblick über die
Inhalte, Checks und Funktionen von THOR.
Bei jedem der aufgeführten Checks werden die dazu
passenden Signaturen angewandt. So wird beispielsweise der DNS-Cache des Systems auf Malware Domains,
Command-and-Control Server und bekannte Angreifer IPs
untersucht. Die Benutzersitzungen werden hingegen auf
ungewöhnlich lange Dauer und Merkmale in den Benutzernamen hin analysiert.
Vor allem das Windows Eventlog, die laufenden Prozesse
und der Scan des Dateisystems sind sehr intensiv und
enthalten zahlreiche Checks.
THOR intergiert seit Version 3 ein Scoring-System, bei
dem Elemente an Hand verschiedener Kriterien bewertet
werden und sich am Ende ein Gesamt-Score ergibt, der
über die Art der Meldung entscheidet. Dadurch ist es
möglich, bisher unbekannte Malware oder Angreifertools
zu erkennen.
Beispielsweise werden Dateien an Hand ihres Namens,
Besitzers, Ablageortes, ihrer Größe, ihres Typs, der
matchenden Yara Signaturen, des MD5 Hashes und
der im PE Header enthaltenen Informationen bewertet.
Auch bekannte Verschleierungstaktiken der Angreifer
wie das komprimieren der Executables mit Hilfe von sog.
Executable Packern (UPX, Armadillo, PECompact) wird
bedacht. THOR dekomprimiert bekannte Formate vor dem
Scan im RAM und meldet verdächtige Packer.
Im Kundenumfeld konnten so bereits bisher unbekannte
Werkzeuge der Angreifer aufgespürt werden.
THOR wird ständig aus veröffentlichten Reports von
hochspezialisierten Forensikfirmen wie Mandiant oder
Crowdstrike aktualisiert. Neu gewonnene Informationen
aus Vorfällen und forensischen Analysen bei anderen
Kunden fließen in anonymisierter Form ebenfalls in die
Signaturbasis mit ein.
Sie profitieren auf diese Weise von einem umfang-reichen
und hochaktuellen Fachwissen.
Alle Funktionen sind auf unserer Website gelistet:
http://www.bsk-consulting.de/thor
THOR
Reportingfunktionen
Insbesondere die Reportingfunktionen von THOR orientieren sich an den Anforderungen in der Praxis. THOR
generiert folgende 4 Arten von Outputs, die über Parameter einzeln deaktiviert werden können:
ƒƒ Farbiger Output in der laufenden Kommandozeile für
den schnellen Überblick während des Durchlaufs
(rot = Alarm, gelb = Warning, ... grün = Info usw.)
ƒƒ Ein Logfile im Textformat, welches sich am Syslog
Format orientiert und leicht durchsucht werden kann
(z.B. mit „grep“)
Das TXT Format entspricht im Wesentlichen dem der
Syslog Nachrichten. Dadurch lassen sich Logdaten
von Systemen außerhalb des eigenen Netzwerks
leicht mit den intern gesammelten zusammenführen.
ƒƒ HTML Report, der sich an der früheren Executive
Summary des Schwachstellenscanners Nessus
orientiert und oben abgebildet zu sehen ist
ƒƒ Versand der Logzeilen per Syslog an einen oder
mehrere Server und beliebige Ports
(vor allem mit einem „syslog-ng“ Server lassen sich
so die Logs der einzelnen Systeme klar nach Quelle
separieren)
THOR
Bezug und Lizenzen
THOR ist ein von unseren Entwicklungsabteilungen gepflegtes Werkzeug und kann
über die folgenden Kontaktadressen bezogen werden.
HvS-Consulting AG
Parkring 6
85748 Garching bei München
Telefon: +49 (0)89 - 890 63 62 0
Telefax: +49 (0)89 - 890 63 62 62
E-Mail: [email protected]
BSK Consulting GmbH
Bruchstraße 8
63128 Dietzenbach
Telefon: +49 (0)6074 - 728 42 36
Fax: +49 (0)3212 - 147 84 25
Email: [email protected]
Lizenzen
THOR wird in folgenden Lizenzstufen angeboten:
Bis 10 Systeme:
4.500 EUR
Bis 100 Systeme:
9.500 EUR
Ab 100 Systeme:
auf Anfrage
Die Laufzeit einer Lizenz beträgt jeweils 1 Jahr. Im Preis sind Signatur-Updates sowie
Versions-Upgrades und darin enthaltene Funktionserweiterungen enthalten.