Adrian McCabe, Ryan Tomcik und Stephen Clement von Mandiant und Google Cloud haben einen Blogbeitrag darüber veröffentlicht, wie Bedrohungsakteure digitale Analysetools für böswillige Zwecke einsetzen.
Besonders interessant fand ich, wie Tools wie Linkverkürzer, IP-Geolokalisierung und CAPTCHAs, die normalerweise für legitime Zwecke verwendet werden, von Bedrohungsakteuren genutzt werden können, um ihre Angriffe zu verstärken.
So können Bedrohungsakteure beispielsweise Linkverkürzer verwenden, um schädliche URLs zu verschleiern, was es für Benutzer schwieriger macht, zu erkennen, ob ein Link sicher ist oder nicht. Sie können auch IP-Geolokalisierungstools verwenden, um Benutzer in bestimmten geografischen Regionen anzugreifen oder um eine Entdeckung zu vermeiden, indem sie Benutzer von bestimmten Standorten aussperren. Darüber hinaus können Bedrohungsakteure CAPTCHA-Tools verwenden, um zu verhindern, dass automatisierte Tools auf ihre schädliche Infrastruktur oder ihre Payloads zugreifen, was es Sicherheitsforschern erschwert, ihre Angriffe zu analysieren.
Der Blog bietet auch Anleitungen, wie sich Verteidiger vor diesen Bedrohungen schützen können. So können Verteidiger beispielsweise Netzwerkanalysen verwenden, um verdächtige Muster zu identifizieren, z. B. mehrere Anfragen von einem einzigen Host an einen Linkverkürzer innerhalb kurzer Zeit. Sie können auch Endpoint-Sicherheitstools verwenden, um schädliche Prozesse zu erkennen, die versuchen, sich mit IP-Geolokalisierungsdiensten oder Bot-Klassifizierungstools zu verbinden.
Insgesamt bietet der Blog einen nützlichen Überblick darüber, wie Bedrohungsakteure digitale Analysetools missbrauchen, und gibt praktische Hinweise, wie sich Verteidiger vor diesen Bedrohungen schützen können.
