{"id":53112,"date":"2025-10-09T12:05:58","date_gmt":"2025-10-09T10:05:58","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=53112"},"modified":"2025-10-09T16:06:32","modified_gmt":"2025-10-09T14:06:32","slug":"verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/","title":{"rendered":"Verd\u00e4chtige Vorg\u00e4nge aufsp\u00fcren: Verhaltensbasierte Detektion mit Elastic"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Herausfiltern_verdaechtiger_Prozesse\" >Herausfiltern verd\u00e4chtiger Prozesse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Transparenz_und_Eigenbetrieb\" >Transparenz und Eigenbetrieb<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Detektionslogik\" >Detektionslogik<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Verhaltensbasierte_Erkennung_in_Elastic_Defend\" >Verhaltensbasierte Erkennung in Elastic Defend<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Fazit\" >Fazit<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/verdaechtige-vorgaenge-aufspueren-verhaltensbasierte-detektion-mit-elastic\/#Weiterfuehrende_Links\" >Weiterf\u00fchrende Links<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Moderne EDR- bzw. XDR-L\u00f6sungen sind in der Lage, verd\u00e4chtiges Verhalten zu detektieren. Die viel verbreitete L\u00f6sung Elastic integriert dieses Feature mit Elastic Defend seit 2019 und bietet eine in der Branche f\u00fchrende Transparenz. Im Folgenden zeigen wir, wie Security-Experten damit arbeiten. Zun\u00e4chst ein paar allgemeine Informationen:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Endpoint Detection and Response<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Endpoint Detection and Response Systeme (EDR) sind ein zentraler Bestandteil umfassender IT-Sicherheitskonzepte. Als Weiterentwicklung klassischer Antivirenprogramme \u00fcberwachen sie kontinuierlich das Verhalten von Endpunkten und suchen nach Anzeichen f\u00fcr potenzielle Sicherheitsverletzungen oder Angriffe. Die Funktion eines EDR-Systems ist auch in den noch umfassenderen XDR-Systemen (eXtended Detection and Response) enthalten, die zus\u00e4tzlich den Netzwerkverkehr bedrohungsorientiert analysieren. Managed Detection and Response (MDR) Systeme verf\u00fcgen \u00fcber die gleichen Funktionen wie EDR und XDR, bieten aber rund um die Uhr gemanagte Dienste zur \u00dcberwachung von Endger\u00e4ten sowie zur Beseitigung und Behebung von Bedrohungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Transparenz durch Open Source-Ansatz<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Detection and Response L\u00f6sung Elastic Security wurde mit der \u00dcbernahme von Endgame im Jahr 2019 zu einer umfassenden Produktfamilie ausgebaut. Eine Besonderheit ist, dass der in der Open-Source-Bewegung verwurzelte Anbieter Elastic kurz darauf die entsprechenden Detektion-Regeln seiner EDR-L\u00f6sung Elastic Defend auf Github publiziert hat. Zuvor hatte das Unternehmen bereits seine SIEM-Detektionsregeln ver\u00f6ffentlicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mit Ausnahme von Maschine Learning Komponenten finden sich im <a  href=\"https:\/\/github.com\/elastic\/protections-artifacts\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >protections-artifacts Repo<\/a> alle Erkennungslogiken f\u00fcr die Betriebssysteme Windows, Linux und macOS. Diese Transparenz ist in der IT-Security-Branche selten und mag auf den ersten Blick befremdlich wirken. Gem\u00e4\u00df des Sicherheitsgedankens von Open-Source-Software ist diese Vorgehensweise jedoch sehr sinnvoll, da sie viele Vorteile mit sich bringt:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Besseres Verst\u00e4ndnis der Funktionsweise<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Erkennung von L\u00fccken in Detektionsregeln<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>M\u00f6glichkeit der Mitarbeit und des Austauschs<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Qualit\u00e4tssicherung durch das Mehraugenprinzip<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Herausfiltern_verdaechtiger_Prozesse\"><\/span><strong>Herausfiltern verd\u00e4chtiger Prozesse<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Innerhalb der IT-Security Community sorgten Elastics Ver\u00f6ffentlichungen von Detektionsregeln wiederholt f\u00fcr positives Feedback, wie zuletzt bez\u00fcglich der <a  href=\"https:\/\/www.elastic.co\/security-labs\/upping-the-ante-detecting-in-memory-threats-with-kernel-call-stacks\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Call Stack Telemetrie aus dem Microsoft-Windows-Threat-Intelligence Event Tracing for Windows (Ti-ETW)<\/a>. Zur Erkl\u00e4rung: Call-Stacks (Abrufstapel) sind sowohl f\u00fcr die technische Erkennung als auch f\u00fcr die Suche nach Bedrohungen sehr hilfreich, da sie viel Kontext zu den Aktivit\u00e4ten eines Prozesses liefern. Dies ist wertvoll, da der Call-Stack \u2013 einfach formuliert \u2013 den logischen Ablauf aller von einen Programm aus der Microsoft API importieren und aufgerufenen Funktionen auflistet.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Transparenz_und_Eigenbetrieb\"><\/span><strong>Transparenz<\/strong><strong> <\/strong><strong>und<\/strong><strong> <\/strong><strong>Eigenbetrieb<\/strong><strong><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Mit der Entscheidung zur Ver\u00f6ffentlichung seiner Detektionslogiken stellt sich Elastic stellt sich bewusst gegen einen negativen Trend. Abgesehen von OpenEDR ist kein anderer EDR-Anbieter dazu bereit. Alle anderen Hersteller verweisen stattdessen bestenfalls auf abstrakte Metriken wie MITRE ATT&amp;CK, die keine zuverl\u00e4ssige, qualitative Einordnung erm\u00f6glichen. Diese bequeme Politik kann f\u00fcr die Kunden mittelfristig problematisch werden. So verlangt etwa die BaFin im SIEM-Umfeld bereits seit langem von Banken &amp; Versicherungen Transparenz bez\u00fcglich der Funktionsweise von Use Cases. Es ist nicht unwahrscheinlich, dass die Aufsichtsbeh\u00f6rde langfristig auch bei EDR-Systemen mehr Transparenz einfordert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus punktet Elastic aber auch beim Cloud-Zwang mit Wahlfreiheit und einem hohen Datenschutz, der unter dem Aspekt der Vertraulichkeit \u00e4u\u00dferst relevant ist und nicht zuletzt in Deutschland im Fokus steht. Denn es darf nicht vergessen werden, dass US-Konzerne verpflichtet sind, in ihrer Cloud gespeicherte Daten auf Zuruf an die eigenen Beh\u00f6rden durchzureichen, selbst wenn die Daten in einem EU-basierten Rechenzentrum gespeichert sind.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Detektionslogik\"><\/span><strong>Detektionslogik<\/strong><strong><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die von Elastic ver\u00f6ffentlichten Erkennungslogiken lassen sich in folgende Kategorien unterteilen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a  href=\"https:\/\/virustotal.github.io\/yara\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >YARA-Signaturen<\/a> basierte Erkennung f\u00fcr Dateien und Arbeitsspeicher<\/li>\n\n\n\n<li>Verhaltenbasierte Detektion in Form von <a  href=\"https:\/\/www.elastic.co\/guide\/en\/elasticsearch\/reference\/8.12\/eql.html\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >EQL<\/a>, KQL oder ES|QL<\/li>\n\n\n\n<li><a  href=\"https:\/\/github.com\/elastic\/protections-artifacts\/tree\/main\/ransomware\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Ransomware Erkennung<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Verhaltensbasierte_Erkennung_in_Elastic_Defend\"><\/span><strong>Verhaltensbasierte Erkennung in Elastic Defend<\/strong><strong><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Durch Korrelation von Dateioperationen, Netzwerkdaten, Speicherzugriffe und Systemereignissen wird b\u00f6sartiges Verhalten erkannt und verhindert. Beispiele hierf\u00fcr sind unter anderen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ausf\u00fchrung von unbekannten oder verd\u00e4chtigen Prozessen<\/li>\n\n\n\n<li>Verd\u00e4chtige Dateiaktivit\u00e4ten<\/li>\n\n\n\n<li>Ungew\u00f6hnliche Netzwerkaktivit\u00e4ten<\/li>\n\n\n\n<li>Abnormale Benutzerverhaltensmuster<\/li>\n\n\n\n<li>Verd\u00e4chtige Systemkonfigurations\u00e4nderungen<\/li>\n\n\n\n<li>Datei- und Ordnerzugriffs\u00e4nderungen<\/li>\n\n\n\n<li>Ausf\u00fchrung von privilegierten Aktionen durch nicht autorisierte Benutzer<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgenden Beispiele zeigen, wie die verhaltensbasierte Erkennung in Elastic Defend umgesetzt wird:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Beispiel 1:<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\"><a  href=\"https:\/\/attack.mitre.org\/techniques\/T1003\/001\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" ><strong>OS Credential Dumping: LSASS Memory (ID: T1003.001)<\/strong><\/a><strong><\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Beim so genannten \u201eLSASS Memory Dumping\u201c wird auf den Arbeitsspeicher des LSASS-Prozesses (Local Security Authority Subsystem Service) zugegriffen, um sensible Informationen wie Anmeldeinformationen, Kennw\u00f6rter oder Token zu extrahieren. Diese Informationen k\u00f6nnen dann vom Angreifer verwendet werden, um sich Zugang zu privilegierten Konten zu verschaffen oder sp\u00e4ter auf das System zuzugreifen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"688\" height=\"668\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/OS-Credential-Dumping-LSASS-Memory.jpg\" alt=\"\" class=\"wp-image-53113\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Das erzeugte Dump File:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"696\" height=\"680\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Das-erzeugte-dump-File.jpg\" alt=\"\" class=\"wp-image-53115\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Der erzeugte Alarm in Elastic Defend:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"692\" height=\"244\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Der-erzeugte-Alarm-in-Elastic-Defend.jpg\" alt=\"\" class=\"wp-image-53117\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die entsprechende <a  href=\"https:\/\/github.com\/elastic\/protections-artifacts\/blob\/main\/behavior\/rules\/credential_access_lsass_memory_dump_via_minidumpwritedump.toml\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Regel<\/a> aus der Elastic Repository:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1248\" height=\"1056\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Regel-aus-der-Elastic-Repository-1.png\" alt=\"\" class=\"wp-image-53119\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Regel-aus-der-Elastic-Repository-1.png 1248w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Regel-aus-der-Elastic-Repository-1-800x677.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Regel-aus-der-Elastic-Repository-1-768x650.png 768w\" sizes=\"(max-width: 1248px) 100vw, 1248px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1246\" height=\"516\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.40.37.png\" alt=\"\" class=\"wp-image-53123\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.40.37.png 1246w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.40.37-800x331.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.40.37-768x318.png 768w\" sizes=\"(max-width: 1246px) 100vw, 1246px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Beispiel wird folgendes Verhalten erkannt:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Aufruf der Windows API Calls <a  href=\"https:\/\/learn.microsoft.com\/de-de\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-openprocess\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >OpenProcess<\/a> bzw. <a  href=\"https:\/\/learn.microsoft.com\/de-de\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-openthread\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >OpenThread<\/a><\/li>\n\n\n\n<li>Ziel Prozess ist lsass.exe<\/li>\n\n\n\n<li>Der ausf\u00fchrende Prozess importiert die Funktion <a  href=\"https:\/\/learn.microsoft.com\/de-de\/windows\/win32\/api\/minidumpapiset\/nf-minidumpapiset-minidumpwritedump\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >MiniDumpWriteDump<\/a> aus den System- Bibliotheken dbgcore.dll oder comsvcs.dll<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"692\" height=\"248\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/3.-Der-ausfuehrende-Prozess-importiert-die-Funktion-MiniDumpWriteDump-aus-den-System-Bibliotheken-dbgcore.dll-oder-comsvcs.dll_.jpg\" alt=\"\" class=\"wp-image-53125\"\/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Beispiel 2:<\/strong><strong><\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/attack.mitre.org\/tactics\/TA0005\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Defense Evasion (ID: TA0005)<\/a> <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/attack.mitre.org\/techniques\/T1055\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Process Injection (ID: T1055)<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In diesem Beispiel sehen wir die Ausf\u00fchrung von meterpreter shellcode in einen neugestarteten Prozess (calc.exe). Meterpreter ist ein Bestandteil des <a  href=\"https:\/\/www.metasploit.com\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Metasploit Framework<\/a> und neben Cobalt Strike eines der am h\u00e4ufigsten benutzen C2 Frameworks<a href=\"#_ftn1\" id=\"_ftnref1\">[1]<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Blick auf die Regel &#8222;Potential Injection via Asynchronous Procedure Call&#8220;:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1220\" height=\"1244\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.17.png\" alt=\"\" class=\"wp-image-53131\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.17.png 1220w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.17-785x800.png 785w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.17-768x783.png 768w\" sizes=\"(max-width: 1220px) 100vw, 1220px\" \/><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\"><a id=\"_ftn1\" href=\"#_ftnref1\">[1]<\/a> Quellen:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Meterpreter, a key component of the Metasploit framework, is one of the few highly-prevalent malware families we see impact Windows, Linux, and macOS. (<a  href=\"https:\/\/www.elastic.co\/de\/explore\/security-without-limits\/global-threat-report\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Elastic Global Threat Report 2023<\/a>)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Adversaries have long used open source and leaked versions of commercial frameworks, most notably Metasploit and Cobalt Strike. (<a  href=\"https:\/\/redcanary.com\/resources\/guides\/threat-detection-report\/\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Red Canary 2023 Threat Detection Report<\/a>)<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1202\" height=\"180\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.34.png\" alt=\"\" class=\"wp-image-53133\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.34.png 1202w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.34-800x120.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Bildschirmfoto-2024-07-24-um-14.44.34-768x115.png 768w\" sizes=\"(max-width: 1202px) 100vw, 1202px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Regel erkennt den Aufruf der Funktion <a  href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-queueuserapc\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >QueueUserAPC<\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"690\" height=\"164\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Diese-Regel-erkennt-den-Aufruf-der-Funktion-QueueUserAPC.jpg\" alt=\"\" class=\"wp-image-53135\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-queueuserapc\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" ><strong><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-queueuserapc\"><\/a><\/strong><\/a><\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><a  href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/processthreadsapi\/nf-processthreadsapi-queueuserapc\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" ><strong>APC Queue<\/strong><\/a><\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Wenn sich ein Process in eine Art wartenden oder schlafenden Zustand befindet, wird dieser als \u201e<a  href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/fileio\/alertable-i-o\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >alertable state<\/a>\u201c bezeichnet. Weitere Anweisungen werden dann in eine sogenannte APC Queue geschrieben. Der Windows Kernel arbeitet diese Anweisungen ab, bis der Prozess den \u201ealertable state\u201c verl\u00e4sst. Der Ablauf der Code Injection ist wie folgt:<\/p>\n\n\n\n<h5 class=\"wp-block-heading\">1. <strong>Neuen Prozess starten (calc.exe &#8211; Suspended)<\/strong><\/h5>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1246\" height=\"312\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Neuen-Prozess-starten-calc.exe-Suspended-1.png\" alt=\"\" class=\"wp-image-53139\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Neuen-Prozess-starten-calc.exe-Suspended-1.png 1246w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Neuen-Prozess-starten-calc.exe-Suspended-1-800x200.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Neuen-Prozess-starten-calc.exe-Suspended-1-768x192.png 768w\" sizes=\"(max-width: 1246px) 100vw, 1246px\" \/><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\">2. <strong><strong>Speicher im neuen Prozess zuweisen<\/strong><\/strong><\/h5>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1150\" height=\"350\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicher-im-neuen-Prozess-zuweisen.png\" alt=\"\" class=\"wp-image-53141\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicher-im-neuen-Prozess-zuweisen.png 1150w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicher-im-neuen-Prozess-zuweisen-800x243.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicher-im-neuen-Prozess-zuweisen-768x234.png 768w\" sizes=\"(max-width: 1150px) 100vw, 1150px\" \/><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\">3. <strong>Meterpreter Shellcode in den Speicher schreiben<\/strong><\/h5>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1194\" height=\"288\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Meterpreter-Shellcode-in-den-Speicher-schreiben.png\" alt=\"\" class=\"wp-image-53143\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Meterpreter-Shellcode-in-den-Speicher-schreiben.png 1194w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Meterpreter-Shellcode-in-den-Speicher-schreiben-800x193.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Meterpreter-Shellcode-in-den-Speicher-schreiben-768x185.png 768w\" sizes=\"(max-width: 1194px) 100vw, 1194px\" \/><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\">4. <strong>Speicherbereich ausf\u00fchrbar machen<\/strong><\/h5>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1250\" height=\"284\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicherbereich-ausfuehrbar-machen.png\" alt=\"\" class=\"wp-image-53145\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicherbereich-ausfuehrbar-machen.png 1250w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicherbereich-ausfuehrbar-machen-800x182.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Speicherbereich-ausfuehrbar-machen-768x174.png 768w\" sizes=\"(max-width: 1250px) 100vw, 1250px\" \/><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\">5. <strong>Einf\u00fcgen des Codes in die APC Queue und starten des Prozesses:<\/strong><\/h5>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"976\" height=\"162\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Einfuegen-des-Codes-in-die-APC-Queue-und-starten-des-Prozesses.png\" alt=\"\" class=\"wp-image-53147\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Einfuegen-des-Codes-in-die-APC-Queue-und-starten-des-Prozesses.png 976w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Einfuegen-des-Codes-in-die-APC-Queue-und-starten-des-Prozesses-800x133.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Einfuegen-des-Codes-in-die-APC-Queue-und-starten-des-Prozesses-768x127.png 768w\" sizes=\"(max-width: 976px) 100vw, 976px\" \/><\/figure>\n\n\n\n<h5 class=\"wp-block-heading\">Ergebnis<\/h5>\n\n\n\n<p class=\"wp-block-paragraph\">Die erfolgreiche Code Injection via APC Queue f\u00fchrt zu einer Meterpreter Session:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"692\" height=\"228\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Code-Injection-via-APC-Queue-fuehrt-zu-einer-Meterpreter-Session.png\" alt=\"\" class=\"wp-image-53149\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die erfolgreiche Erkennung und Alarmierung in Elastic Defend:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"686\" height=\"276\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/erfolgreiche-Erkennung-und-Alarmierung-in-Elastic-Defend.jpg\" alt=\"\" class=\"wp-image-53151\"\/><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span><strong>Fazit<\/strong><strong><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wie diese Beispiele zeigen, ist die verhaltensbasierte Erkennung mit Elastic Defend ein m\u00e4chtiges, aber einfach zu bedienendes Werkzeug, das bis auf die Ebene einzelner Funktionsaufrufe im Call-Stack reicht und sogar moderne Obfuskationsmethoden wie Threadless Injection oder PoolParty Incection umfasst.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong><br><\/strong>Sie m\u00f6chten Cyber-Angriffe umfassend erkennen, analysieren und abwehren, ohne in einer Flut von Alarmen unterzugehen? Entdecken sie jetzt die cloud-freie MDR-L\u00f6sung von SECUINFRA:<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-wp-embed is-provider-secuinfra-gmbh wp-block-embed-secuinfra-gmbh\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/testing.secuinfra.com\/managed-detection-and-response\/on-premises\n<\/div><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Weiterfuehrende_Links\"><\/span><strong>Weiterf\u00fchrende Links<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/www.elastic.co\/security-labs\/upping-the-ante-detecting-in-memory-threats-with-kernel-call-stacks\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/www.elastic.co\/security-labs\/upping-the-ante-detecting-in-memory-threats-with-kernel-call-stacks<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/www.elastic.co\/security-labs\/doubling-down-etw-callstacks\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/www.elastic.co\/security-labs\/doubling-down-etw-callstacks<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/www.elastic.co\/security-labs\/hunting-memory\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/www.elastic.co\/security-labs\/hunting-memory<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/0x00sec.org\/t\/process-injection-apc-injection\/24608\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/0x00sec.org\/t\/process-injection-apc-injection\/24608<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Moderne EDR- bzw. XDR-L\u00f6sungen sind in der Lage, verd\u00e4chtiges Verhalten zu detektieren. Die viel verbreitete L\u00f6sung Elastic integriert dieses Feature mit Elastic Defend seit 2019 und bietet eine in der Branche f\u00fchrende Transparenz. Im Folgenden zeigen wir, wie Security-Experten damit arbeiten. <\/p>\n","protected":false},"author":36,"featured_media":60560,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[250,284,66],"tags":[7,721,703,722],"dpc_coauthors":[],"class_list":["post-53112","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-detection-response","category-edr","category-techtalk","tag-cyber-defense","tag-edr","tag-mdr-2","tag-xdr"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/53112","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/36"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=53112"}],"version-history":[{"count":1,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/53112\/revisions"}],"predecessor-version":[{"id":60562,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/53112\/revisions\/60562"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/60560"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=53112"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=53112"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=53112"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=53112"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}