Enhanced Endpoint Telemetry!

De dagen worden korter, de kou straalt van de ramen af en we werken zoveel mogelijk thuis. Voor sommige mensen werkt dit contraproductief, voor anderen is dit een periode waarin ze zich goed kunnen concentreren en enorm productief zijn. De ontwikkelaars van Rapid7 vallen in deze laatste categorie en hebben een mooie aanvulling op InsightIDR ontwikkeld om het leven in deze tijd toch iets gemakkelijker te maken.

Deze aanvulling heeft de bedoeling om nog beter inzicht te geven in het gedrag van processen op je clients. Om je omgeving het beste te kunnen beschermen wil je graag weten wat er nu op je systemen gebeurt, maar ook wat er gebeurd is in de periode ervoor. Dit is hetgeen wat Rapid7 sinds 15 oktober aanbiedt onder de naam Enhanced Endpoint Telemetry (EET). Dat is een hele mond vol, maar wat is EET dan precies? Technisch gezien zorgt EET ervoor dat voor ieder proces dat gestart wordt op een gemonitord systeem een event in InsightIDR gelogd wordt. Dit bevat dan onder andere de bestandshashes, parent- en childprocessen, parameters en de gebruikersnaam waardoor het proces gestart is.

 

InsightIDR kijkt standaard al deels naar dit soort zaken zoals bijvoorbeeld bij de Attacker Behavior Analytics- alarmen. EET kan een handige toevoeging zijn in het onderzoek van deze alarmen. Voor de Attacker Behavior detectie zullen Insight Agents op je systemen een oogje in het zeil houden en zullen alarmeren op gedrag dat kenmerken heeft van bekende aanvalsmethodieken. Een script downloaden door middel van powershell zal direct een alarm opleveren. Hiermee valt duidelijk kennis te nemen van hetgeen wat er gebeurd is: Powershell probeert vermoedelijk nare zaken te downloaden. Dit is niet wenselijk en hier wil je waarschijnlijk snel actie op ondernemen. Dit ziet er niet fraai uit, de detectivehoed kan op. Je kan op onderzoek uit! Vervolgens komt de toegevoegde waarde van EET om de hoek kijken.

Enhanced Endpoint Telemetry
Tijdslijn InsightIDR Investigation.

In je onderzoek zal je al snel proberen een aantal vragen te beantwoorden;

  • Wat is er gebeurd waardoor deze download in gang is gezet?
  •  Is dit een bedoelde actie van een gebruiker, of is dit zonder medeweten van de gebruiker gebeurt?
  • Wat is er allemaal voorafgaand aan deze melding gebeurd?
  • Is dit het enige systeem waar ik me druk om moet maken in dit onderzoek?
  • Hebben we nu te maken met een dreiging waar we geen zicht op hebben?

 

Waar InsightIDR een alarm logt in het geval van vermoedelijk aanvalsgedrag zal EET dit altijd voor ieder proces loggen, niet alleen voor verdacht gedrag. Hiermee kan je je onderzoek direct vanuit dezelfde console beginnen en je onderzoek verrijken met deze informatie. EET zorgt ervoor dat je inzicht hebt in alle processen welke gedraaid hebben of nog actief zijn, ongeacht of deze ook als typisch aanvalsgedrag herkend worden. Zodoende kun je direct vanuit dezelfde interface terugzoeken door welk proces en welke gebruiker processen gestart zijn. Wat heeft een potentiële aanvaller nog meer uitgevoerd en welke informatie heeft deze hiermee in handen gekregen?

Additionele informatie Enhanced Endpoint Telemetry.
Enhanced Endpoint Telemetry
Custom alert op basis van Enhanced Endpoint Telemetry inzichten.

Zodoende kun je weer op basis van deze ervaringen custom alerts bouwen om gedrag in toekomst direct waar te nemen en daarmee direct een slag maken in de beveiliging van je omgeving.

 

Buiten aanvullende inzichten bij het reageren op incidenten kan dit hierdoor ook preventief ingezet worden. Een andere voorbeeldcasus waar we toegevoegde waarde in zie is het kunnen detecteren van het gebruik van LOLBins, oftewel Living Of the Land Binaries. Dit is een aanvalsmethode waarbij gebruik gemaakt wordt van legitieme onderdelen uit het besturingssysteem om juist schadelijke acties uit te voeren en zo min mogelijk op te vallen.

Een recent voorbeeld hiervan is een specifieke versie van MpCmdRun.exe, ofwel de Microsoft Antimalware Service Command Line utility. Deze had, om redenen die Microsoft nooit expliciet toegelicht heeft, op de commandline de parameter “-DownloadFile” tijdelijk beschikbaar gehad. Hierdoor was het mogelijk om bestanden te downloaden via het proces MpCmdRun.exe, wat een gesigneerde Microsoft- executable is. Voor een aantal virusscanners is dit al voldoende reden om het bestand en zijn gedrag niet of minder actief te scannen. Een aanvaller die via deze utility een bestand download wordt waarschijnlijk niet gedetecteerd. Het is niet direct typerend gedrag voor een aanvaller, laat staan dat in dit scenario adequaat te zien is waar malware vandaan is gekomen en hierop gealarmeerd kan worden. Wanneer u weet dat zoiets mogelijk is kun je hier in InsightIDR in combinatie met EET een custom alert voor bouwen zodat u gealarmeerd wordt zodra de -DownloadFile parameter gebruikt wordt. Op zich legitiem gedrag, toch een alarm!

 

Natuurlijk wil je ook historie kunnen inzien als je je omgeving onder de loep neemt. De historie voor een systeem is terug te zien tot 30 dagen in hot storage en tot 90 dagen in cold storage. Effectief houdt dit in dat de afgelopen 30 dagen direct terug te zoeken zijn in de log search, de 90 dagen daarvoor staan gearchiveerd maar vallen ook nog terug te halen. Zo heb je vier maanden retentie beschikbaar waarin je terug kan zoeken.

 

De EET- logging van systemen met een Insight Agent zal na activatie van de licentie direct beschikbaar worden in de Log Search, hiervoor zijn verder geen wijzigingen noodzakelijk. Zoals gebruikelijk bij Rapid7 leunt het allemaal op dezelfde componenten. Op korte termijn zal Rapid7 ook geautomatiseerde queries voor endpoint- alarmen en dashboardcards toevoegen aan de webconsole. EET is een add-on voor het bestaande InsightIDR platform, neem voor een indicatie van de kosten die dit met zich meebrengt voor jouw organisatie contact met ons op!

Nick Kragtwijk

Nick Kragtwijk

Security Consultant

Related blogs

Automox vs WSUS

Een robuust programma voor het detecteren van bedreigingen moet tenminste bestaan uit technologie voor het detecteren van dreigingen op het netwerk, servers en werkplekken binnen en buiten de organisatie.

Lees verder ...
SOC Visibility Triad

SOC Visibility Triad

Een robuust programma voor het detecteren van bedreigingen moet tenminste bestaan uit technologie voor het detecteren van dreigingen op het netwerk, servers en werkplekken binnen en buiten de organisatie.

Lees verder ...

DTX.nl gebruikt cookies om inzicht te krijgen in het gebruik van de website en deze zo goed mogelijk te laten werken. Daarnaast maken wij gebruik van Google Analytics om uw gebruik van onze website te analyseren. Wij slaan geen persoonlijke gegevens op. Wanneer u doorgaat met het bezoeken van onze website, gaan wij er van uit dat u hier mee instemt.