Malware Analyse – Attribution

Ihre NG-Firewall oder ein *Fire* -Produkt erkennt einen gezielten Angriff, der von der Antiviren-Branche wieder einmal übersehen wird.

Bei der Attribution werden forensische Artefakte eines Cyberangriffs erkannt und mit bekannten Bedrohungen gegen Ziele abgeglichen, deren Profil mit Ihrem Unternehmen übereinstimmt.

Wenn dies übermäßig kompliziert erscheint, ist das beabsichtigt. Es gibt Grade der Attribution, die sich auf sehr spezifische Kontexte beziehen.

Häufig führt das Aufzeigen dieses Kontexts mit einer vereinfachenden Darstellung zur Verwirrung von Entscheidungsträgern und dadurch zu unnötigen Ausgaben.

Jedes Unternehmen sollte aber die Malware – Attribution ernst nehmen.

Es ist eine der wenigen Möglichkeiten, die Annahmen des Bedrohungsmodells gegenüber der realen Welt zu überprüfen und dessen Annahmen an die Realität anzupassen.

  • Attribution ist kein schlagender Beweis, der vor Gericht besteht
    Wenn Sie keine Sicherheitsbehörde sind, ist der Versuch eine Verbindung zum Täter herzustellen reine Zeitverschwendung, besonders wenn Sie Opfer einer gemeinsamen einmaligen Phishing-Welle waren, anstatt das Ziel einer anhaltenden staatlich geförderten Infiltration.
  • Zuordnung ist nicht binär
    Es gibt keinen definierten Zustand, in dem Sie „fertig“ sind, denn nur ein Geheimdienst kann Fragen der Motivation, Absicht und Fähigkeiten mit einer einfachen Ja- oder Nein-Antwort beantworten. Manche Sicherheitsexperten meinen, dass Attribution keine sinnvolle Verfolgung sei.
  • Ein forensisches Artefakt ist kein Attributionsmerkmal
    Viele Experten sehen umfangreiche Listen von Indikatoren für Kompromittierungen (IOCs), welche definitiv verschiedenen Nationalstaaten zu einem bestimmten Zeitpunkt zugeschrieben werden. (Typischerweise von einer Regierungsbehörde)

    Die Idee hier ist, eine Momentaufnahme quasi ein forensisches Fahndungsfoto zu machen und dies verbreiten, damit Verteidiger Ausschau nach ähnlichen Indikatoren halten können.

    Einige Organisationen haben diese Listen so interpretiert, dass zu *allen* IOC  eine harte Zuordnung zu einem bestimmten Nationalstaat haben. Damit beginnen sie nun mit der Suche in ihren Protokollen und Logdateien nach „Angreifern“.

    Dies ist reine Verschwendung von Zeit und Geld und setzt eine Unveränderlichkeit gegenüber Taktiken und Prozeduren (TTPs) voraus.

Der Maßstab sollte die höchswertigste Evidence sein, und die darauf folgende Anpassung des Bedrohungsmodells.