{"id":49006,"date":"2023-10-30T11:29:16","date_gmt":"2023-10-30T10:29:16","guid":{"rendered":"https:\/\/dev.secuinfra.com\/?p=49006"},"modified":"2025-01-21T11:42:41","modified_gmt":"2025-01-21T10:42:41","slug":"datendiebstahl-auf-der-spur-mit-zeek","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/datendiebstahl-auf-der-spur-mit-zeek\/","title":{"rendered":"Datendiebstahl auf der Spur mit Zeek"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/datendiebstahl-auf-der-spur-mit-zeek\/#Das_Netzwerk_als_wichtigster_Kanal_fuer_Daten-Exfiltrationen\" >Das Netzwerk als wichtigster Kanal f\u00fcr Daten-Exfiltrationen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/datendiebstahl-auf-der-spur-mit-zeek\/#Netzwerk-Analyse_mit_Zeek\" >Netzwerk-Analyse mit Zeek<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/datendiebstahl-auf-der-spur-mit-zeek\/#Zeek_Plugin_zur_Exfiltrations-Erkennung\" >Zeek Plugin zur Exfiltrations-Erkennung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/datendiebstahl-auf-der-spur-mit-zeek\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Cyberangriffe f\u00fchren h\u00e4ufig zu einem unbefugten Zugriff auf pers\u00f6nliche oder vertrauliche Daten. Werden die Daten dabei aus dem Organisationsnetzwerk gestohlen, wird von einem Datenleck oder einer Daten-Exfiltration gesprochen. Die Motive des Datendiebstahls sind vielf\u00e4ltig und reichen von Industriespionage und Erpressung bis hin zum Weiterverkauf oder dem Identita\u0308tsdiebstahl. In letzter Zeit ist zudem ein Trend zur \u201eDouble Extorsion\u201c im Zusammenhang mit Ransomware-Angriffen zu beobachten. Dabei stehlen die Angreifer die sensiblen Daten des betroffenen Unternehmens, bevor sie diese verschl\u00fcsseln. Ziel ist es, die Organi-sation selbst dann zu erpressen, wenn kein L\u00f6segeld f\u00fcr die Entschl\u00fcsselung der Daten gezahlt wird.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Das_Netzwerk_als_wichtigster_Kanal_fuer_Daten-Exfiltrationen\"><\/span>Das Netzwerk als wichtigster Kanal f\u00fcr Daten-Exfiltrationen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Angriffsvektoren f\u00fcr die Daten-Exfiltration sind sehr vielf\u00e4ltig und umfassen Methoden, die einen physischen Zugang zu Systemen oder einen Zugriff \u00fcber die Netzinfrastruktur erfordern. Zudem h\u00e4ngt der gew\u00e4hlte Angriffsvektor oft davon ab, ob es sich um einen Insider oder einen externen Angreifer handelt. So k\u00f6nnen Unternehmensdaten beispielsweise einfach \u00fcber einen physischen Kanal mithilfe eines Druckers oder USB-Sticks gestohlen werden. In der Praxis findet die Daten-Exfiltration allerdings meist \u00fcber das Netzwerk statt. Hier kann ein Angreifer zwischen unterschiedlichen \u00dcbertragungsarten und verschiedenen Netzwerkprotokollen w\u00e4hlen. Beispiele sind die Datenausleitung durch das Versenden von E-Mails, das Hochladen von Unternehmensdaten zu Cloud-Storage-Anbietern oder der eigenen Infrastruktur sowie der Einsatz von speziell f\u00fcr die Daten-Exfiltration entwickelte Tools. Letztere nutzen unterschiedliche Netzwerkprotokolle wie zum Beispiel DNS oder HTTP(S) gezielt aus, um Daten zu \u00fcbertragen. Diese gliedern sich unauff\u00e4llig in legitime Netzwerkverbindungen ein und lassen sich nicht direkt als verd\u00e4chtig identifizieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aufgrund der gro\u00dfen Vielfalt an M\u00f6glichkeiten zur Daten-Exfiltration eignen sich nicht alle Security-Tools gleicherma\u00dfen f\u00fcr die Erkennung. Beispielsweise bieten Antivirenprodukte oder Paketfilter-Firewalls keinen ausreichenden Schutz, da Angreifer zum Datendiebstahl beispielsweise legitime Anwendungen und Netzwerkprotokolle verwenden k\u00f6nnten. Au\u00dferdem ist es m\u00f6glich, die Daten vor der \u00dcbertragung zu verschl\u00fcsseln oder zu ver\u00e4ndern, um sie vor der Erkennung durch ein Data Loss Prevention System zu verbergen. Systeme mit einer signaturbasierten Erkennung bieten zudem keinen ausreichenden Schutz, da sie nur bekannte Angriffsmuster erkennen k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Netzwerk-Analyse_mit_Zeek\"><\/span>Netzwerk-Analyse mit Zeek<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Zur Detektion von Daten-Exfiltrationen innerhalb einer Organisation bietet sich die Analyse von Netzwerkdaten besonders an. Durch die Untersuchung dieser Daten k\u00f6nnen nicht nur alle Hosts des Netzwerks durch eine zentrale Komponente \u00fcberwacht, sondern auch Korrelationen zwischen einzelnen Systemen hergestellt oder Abweichungen vom Normalverhalten erkannt werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Tool, das sich hierf\u00fcr sehr gut eignet, ist der Netzwerk-Security-Monitor Zeek. Das Programm enth\u00e4lt eine Kopie des entsprechenden Netzwerkverkehrs und analysiert diesen passiv. Dadurch ist die Gefahr von Ver\u00e4nderungen an einzelnen Netzwerkpaketen ausgeschlossen und produktive Systeme werden nicht gest\u00f6rt. Zur Analyse extrahiert Zeek zahlreiche Meta-Informationen aus den einzelnen Netzwerkverbindungen und bereitet diese zur Weiterverarbeitung auf. Dazu z\u00e4hlen unter anderem die Anzahl der \u00fcbertragenen Bytes, die Verbindungsdauer einzelner Flows, die verwendeten Netzwerkprotokolle sowie dessen spezifische Informationen. Neben der Aufbereitung der Daten bietet Zeek weitreichende M\u00f6glichkeiten, eigene Analysen durchzuf\u00fchren. Als einfachstes Beispiel kann dies die Suche nach Indicators of Compromise (IoC) innerhalb der Meta-Informationen einer Netzwerkverbindung sein. Fortgeschrittenere Analysen beinhalten eine Anomalie- oder Verhaltenserkennung der entsprechenden Netzwerkdaten &#8212; und eignen sich somit auch f\u00fcr die Erkennung von Daten-Exfiltrationen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Zeek_Plugin_zur_Exfiltrations-Erkennung\"><\/span>Zeek Plugin zur Exfiltrations-Erkennung<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Im Rahmen einer Bachelorarbeit wurde ein Plugin f\u00fcr Zeek entwickelt, welches auf Basis einer statistischen Anomalie-Erkennung Daten-Exfiltrationen identifiziert. Das Plugin nutzt dazu die Scripting-Engine von Zeek, bildet eine Baseline \u00fcber vergangene Netzwerkverbindungen und berechnet anschlie\u00dfend einen Anomalie-Score f\u00fcr jede neue Verbindung. Auf Basis des so errechneten Scores k\u00f6nnen Netzwerkverbindungen in harmlose Verbindungen oder potenzielle Daten-Exfiltrationen unterteilt werden. Die Funktionsweise des entwickelten Zusatzmoduls wird nachfolgend Schritt f\u00fcr Schritt vorgestellt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Baseline-Erstellung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der erste Schritt besteht darin, die Netzwerkverbindungen sortiert nach ihrer Quell-IP-Adresse und Ziel-Port zu speichern. Die historischen Daten erm\u00f6glichen die Erstellung einer Baseline f\u00fcr die Netzwerkaktivit\u00e4ten und dienen damit als Grundlage f\u00fcr die Anomalie-Erkennung. Durch die Unterteilung in Quell-IP-Adresse und Ziel-Port wird eine m\u00f6glichst genaue Basislinie erstellt, die spezifische Anomalien in Bezug auf einzelne Hosts und dessen Netzwerkprotokolle erkennen l\u00e4sst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Vorteile der Unterteilung des Datenverkehrs sind in der nachfolgenden Abbildung zu sehen. Sie zeigt verschiedene Netzwerkverbindungen eines Hosts \u00fcber einen bestimmten Zeitraum. Die einzelnen Netzwerkprotokolle sind in verschiedenen Farben markiert. Es ist zu erkennen, dass die Spanne der Anzahl der Quellbytes abnimmt, wenn einzelne Protokolle isoliert betrachtet werden. So lassen sich beispielsweise mit dem DNS- oder ICMP-Protokoll exakte Baseline-Vorhersagen machen. Bei den Protokollen HTTP und SMTP ist dagegen eine gr\u00f6\u00dfere Spanne vorhanden, die durch die Eigenschaften der Protokolle bedingt ist. Es ist jedoch auch dort zu erkennen, dass die Varianz bei Verbindungen mit geringem Volumen durch die Aufteilung der Basislinie deutlich reduziert wird.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"947\" height=\"816\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Anzahl-der-gesendeten-Bytes-einzelner-Netzwerkverbindungen.png\" alt=\"\" class=\"wp-image-56616\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Anzahl-der-gesendeten-Bytes-einzelner-Netzwerkverbindungen.png 947w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Anzahl-der-gesendeten-Bytes-einzelner-Netzwerkverbindungen-800x689.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Anzahl-der-gesendeten-Bytes-einzelner-Netzwerkverbindungen-768x662.png 768w\" sizes=\"(max-width: 947px) 100vw, 947px\" \/><figcaption class=\"wp-element-caption\"><em>Die Grafik zeigt die Anzahl der gesendeten Bytes einzelner Netzwerkverbindungen unterteilt nach ihren Netzwerkprotokollen. Dargestellt sind HTTP (Blau), DNS (Orange), ICMP (Gr\u00fcn) und SMTP (Rot). Zu erkennen ist, dass die einzelnen Protokolle ein unterschiedliches Verhalten in Bezug auf die \u00fcbertragenen Daten aufweisen.<\/em><\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Anomalie-Berechnung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nachdem die Baseline eine zuvor definierte L\u00e4nge erreicht hat, ist die Lernphase abgeschlossen. Von diesem Zeitpunkt an werden neu eingehende Netzwerkverbindungen, bezogen auf die erstellte Basislinie, als Anomalien oder Normalverhalten klassifiziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr die Berechnung des Anomalie-Scores werden verschiedene statistische Algorithmen verwendet. Dazu z\u00e4hlt zum einen der modifizierte Z-Score, der Abweichungen in der Anzahl der \u00fcbertragenen Bytes, bezogen auf die gebildete Baseline, erkennt. Weiterhin wird die Euklidische Distanz zwischen Verbindungsdauer und \u00fcbertragenen Bytes pro Verbindung berechnet. Hier ist es das Ziel, besonders lange oder kurze Netzwerkverbindungen in Bezug auf das Volumen der \u00fcbertragenen Daten zu identifizieren. Als weitere Information wird eine Producer-Consumer-Ratio \u00fcber die empfangenen und gesendeten Bytes einer Verbindung gebildet, um Verbindungen zu erkennen, die mehr Daten senden als empfangen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Alle Einzelwerte werden anschlie\u00dfend normalisiert und zu einem gesamten Anomalie-Score, nachfolgend als Exfiltrations-Score bezeichnet, zusammengefasst. Dieser gibt in einem Wertebereich von 0 (normale Netzwerkverbindung) bis 1 (potenzielle Daten-Exfiltration) an, ob die vorliegende Verbindung Teil einer Daten-Exfiltration ist. Da die Netzwerkverbindungen bereits in der Lernphase Anomalien enthalten k\u00f6nnen, sind die Berechnungen der Anomalie-Werte so ausgelegt, dass sie sich gegen\u00fcber Ausrei\u00dfern robust verhalten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Exfiltrationserkennung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Anhand des gebildeten Exfiltrations-Scores l\u00e4sst sich beurteilen, wie stark die betrachteten Netzwerkverbindungen, bezogen auf die gebildete Baseline, von ihrem Normalverhalten abweichen. Die Abweichung vom Normalverhalten impliziert dabei, dass die Netzwerkverbindung Teil einer Daten-Exfiltration ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Exfiltrations-Score erm\u00f6glicht es, ab einem einstellbaren Schwellwert, durch ein SIEM- oder SOAR-System einen Security Alarm auszul\u00f6sen. Daneben ist auch die Verarbeitung mit weiteren Indikatoren im Zusammenhang mit einer User and Entity Behavior Analysis (UEBA) umsetzbar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Analyse des Netzwerkverkehrs bietet tiefe Einblicke in die Kommunikation einer Organisation. Durch dessen Untersuchung k\u00f6nnen Angriffsverhalten erkannt werden, die durch eine ausschlie\u00dfliche Betrachtung von Host-Systemen unentdeckt bleiben w\u00fcrden. Zudem erm\u00f6glicht die Korrelation verschiedener Netzwerkdaten die Bildung zus\u00e4tzlicher Indikatoren sowie die Analyse von Verhaltensmustern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das vom Autor entwickelte Zeek-Plugin zur Erkennung von Daten-Exfiltrationen bietet neue M\u00f6glichkeiten bei der Netzwerkanalyse. So lassen sich verd\u00e4chtige Verhaltensmuster und Ereignisse im Netzwerk nun allein durch die Analyse und Korrelation von Meta-Informationen aufsp\u00fcren \u2013 das ist ein gro\u00dfer Vorteil. Auf diese Weise bleibt trotz der vielseitigen Erkennungsm\u00f6glichkeiten der Schutz der Kommunikationsinhalte selbst gewahrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><div class=\"fazit\"><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Rahmen seiner Bachelorarbeit und dem Abschluss des dualen Studiums der Informatik\/IT-Sicherheit entwickelte Simon Hanke zusammen mit SECUINFRA die im Artikel beschriebene netzwerkbasierte Daten-Exfiltrationserkennung. Das vorgestellte Plugin finden sie auf unserer Github-Seite unter <a  href=\"https:\/\/github.com\/SECUINFRA\/zeek-exfil-detect\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/github.com\/SECUINFRA\/zeek-exfil-detect<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sie m\u00f6chten ihr Security-Monitoring mit der Analyse von Netzwerkdaten erg\u00e4nzen? Unsere Cyber-Defence-Experten unterst\u00fctzen sie dabei. <strong>Gerne beraten wir Sie in einem pers\u00f6nlichen Gespr\u00e4ch \u2013 kontaktieren Sie uns gerne online oder telefonisch: +49 30 5557021 11! &nbsp;&nbsp;<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><\/div><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cyberangriffe f\u00fchren h\u00e4ufig zu einem unbefugten Zugriff auf pers\u00f6nliche oder vertrauliche Daten. Werden die Daten dabei aus dem Organisationsnetzwerk gestohlen, wird von einem Datenleck oder einer Daten-Exfiltration gesprochen. Die Motive des Datendiebstahls sind vielf\u00e4ltig und reichen von Industriespionage und Erpressung\u2026<\/p>\n","protected":false},"author":15,"featured_media":49007,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[100,101,66],"tags":[],"dpc_coauthors":[],"class_list":["post-49006","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-angriffserkennung","category-netzwerk","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/49006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=49006"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/49006\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/49007"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=49006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=49006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=49006"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=49006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}