THORIncident Response Scanner

Der Incident Response Scanner THOR ist das einzige Werkzeug am deutschen Markt, welches es ermöglicht, die Auswirkungen und den Umfang eines akuten Sicherheits-vorfalls einzuschätzen und entsprechend zu behandeln.

Anders als übliche Virenscanner, verfügt THOR über Signaturen, die Angreiferaktivi-täten auf einem System sichtbar machen. Während übliche Virenscanner so konfi-guriert sind, nur Malware wie Viren, Trojaner und Exploitcodes zu erkennen, prüft THOR in einem Set von über 20 verschiedenen Checks die Systeme auf typische Angreiferwerkzeuge, Aktivitäten in Logs, Anomalien in Benutzerkonten, Sitzungen, Netzwerkverbindungen und anderen Elementen, welche die Aktivitäten von Angreifern offenbaren können.

THOR wird dazu regelmäßig von den Security Analysten bei HvS und BSK Consulting mit Informationen zu Angriffsmustern und Hacker-Werkzeugen aus verschiedenen Quellen aktualisiert.

Zu den Quellen zählen derzeit:

� Forensische Analysen kompromittierter Systeme im HvS/BSK Kundenumfeld

� Ermittlungsergebnisse deutscher Institutionen

� Reports namhafter Hersteller und CERTs wie Mandiant (u.a. APT1, Februar 2013), FireEye, Crowdstrike, AlienVault, C5, RSA, Australian DoD CSOC Kaspersky Labs („MiniDuke“, „Red October“), McAfee Reports („Operation ShadyRAT“), TrendMicro

� Public Domain Hack Tools und Angreifertools (z.B. Netzwerk Tools, Passwort Dumper, Pass-the-Hash Werkzeuge wie WCE und Mimikatz in über 280 verschiedenen Versionen, Hack Packs, Webshell Repositories mit über 360 verschiedenen Shells, Werkzeuge aus chinesischen Untergrund-Foren usw.)

Aus diesen Reports und Toolsets werden Signaturen im Yara Format, MD5-Hash-Datenbanken, Hacktool Namen und Schlüsselwörter wie IP-Adressen, Command-and-Control Server oder verwendete Tunneling-Ports abgeleitet, die als Signaturen für THOR dienen.

THOR verfügt derzeit bereits über 47 verschiedene Yara Signaturdatenbanken mit über 2700 einzelnen Regeln. Darunter befinden sich mehr als 400 APT Regeln aus öffentlichen Quellen und mehr als 80 Regeln aus APTs im Kundenumfeld. Über 500 Regeln dienen der Erkennung von Webshells, über 800 der Erkennungs von Hacktools.

THOR kann sehr einfach auf kundenspezifische, individuelle Angriffsmuster (z.B. Detektion spezieller Dateinamen, Keywords, Yara Signaturen) erweitert werden.

THOR bietet verschiedene Exportmöglichkeiten. Es generiert eine Logdatei als TXT, erzeugt nach Abschluss einen HTML Report und versendet Findings on-the-fly per Syslog an einen oder mehrere Syslog-Server. Auch das von ArcSight verwendete CEF Format wird unterstützt. Somit ist auch eine Anbindung an SIEM-Systeme möglich.

Erkennt typischeAngreiferaktivitäten

Signaturen von Security Analysten

Praxisnahe Quellen plus CERTs und AV Hersteller

VerschiedensteSignatur-Typen

Große MalwareDatenbank

Diverse Reporting Möglichkeiten

Kundenspezifische Angriffsmuster

Die oben abgebildete Grafik gibt einen Überblick über die Inhalte, Checks und Funktionen von THOR.

Bei jedem der aufgeführten Checks werden die dazu passenden Signaturen angewandt. So wird beispiels-weise der DNS-Cache des Systems auf Malware Domains, Command-and-Control Server und bekannte Angreifer IPs untersucht. Die Benutzersitzungen werden hingegen auf ungewöhnlich lange Dauer und Merkmale in den Benut-zernamen hin analysiert.

Vor allem das Windows Eventlog, die laufenden Prozesse und der Scan des Dateisystems sind sehr intensiv und enthalten zahlreiche Checks.

THOR intergiert seit Version 3 ein Scoring-System, bei dem Elemente an Hand verschiedener Kriterien bewertet werden und sich am Ende ein Gesamt-Score ergibt, der über die Art der Meldung entscheidet. Dadurch ist es möglich, bisher unbekannte Malware oder Angreifertools zu erkennen.

Beispielsweise werden Dateien an Hand ihres Namens, Besitzers, Ablageortes, ihrer Größe, ihres Typs, der

THORChecks und Signaturen

matchenden Yara Signaturen, des MD5 Hashes und der im PE Header enthaltenen Informationen bewertet. Auch bekannte Verschleierungstaktiken der Angreifer wie das komprimieren der Executables mit Hilfe von sog. Executable Packern (UPX, Armadillo, PECompact) wird bedacht. THOR dekomprimiert bekannte Formate vor dem Scan im RAM und meldet verdächtige Packer.

Im Kundenumfeld konnten so bereits bisher unbekannte Werkzeuge der Angreifer aufgespürt werden.

THOR wird ständig aus veröffentlichten Reports von hochspezialisierten Forensikfirmen wie Mandiant oder Crowdstrike aktualisiert. Neu gewonnene Informationen aus Vorfällen und forensischen Analysen bei anderen Kunden fließen in anonymisierter Form ebenfalls in die Signaturbasis mit ein.

Sie profitieren auf diese Weise von einem umfang-reichen und hochaktuellen Fachwissen.

Alle Funktionen sind auf unserer Website gelistet:

http://www.bsk-consulting.de/thor

THORReportingfunktionen

Insbesondere die Reportingfunktionen von THOR orien-tieren sich an den Anforderungen in der Praxis. THOR generiert folgende 4 Arten von Outputs, die über Para-meter einzeln deaktiviert werden können:

� Farbiger Output in der laufenden Kommandozeile für den schnellen Überblick während des Durchlaufs (rot = Alarm, gelb = Warning, ... grün = Info usw.)

� Ein Logfile im Textformat, welches sich am Syslog Format orientiert und leicht durchsucht werden kann (z.B. mit „grep“) Das TXT Format entspricht im Wesentlichen dem der Syslog Nachrichten. Dadurch lassen sich Logdaten von Systemen außerhalb des eigenen Netzwerks leicht mit den intern gesammelten zusammenführen.

� HTML Report, der sich an der früheren Executive Summary des Schwachstellenscanners Nessus orientiert und oben abgebildet zu sehen ist

� Versand der Logzeilen per Syslog an einen oder mehrere Server und beliebige Ports (vor allem mit einem „syslog-ng“ Server lassen sich so die Logs der einzelnen Systeme klar nach Quelle separieren)

THOR ist ein von unseren Entwicklungsabteilungen gepflegtes Werkzeug und kann über die folgenden Kontaktadressen bezogen werden.

HvS-Consulting AGParkring 685748 Garching bei München

Telefon: +49 (0)89 - 890 63 62 0Telefax: +49 (0)89 - 890 63 62 62E-Mail: forensik@hvs-consulting.de

BSK Consulting GmbHBruchstraße 863128 Dietzenbach

Telefon: +49 (0)6074 - 728 42 36Fax: +49 (0)3212 - 147 84 25Email: forensik@bsk-consulting.de

LizenzenTHOR wird in folgenden Lizenzstufen angeboten:

Bis 10 Systeme: 4.500 EUR

Bis 100 Systeme: 9.500 EUR

Ab 100 Systeme: auf Anfrage

Die Laufzeit einer Lizenz beträgt jeweils 1 Jahr. Im Preis sind Signatur-Updates sowie Versions-Upgrades und darin enthaltene Funktionserweiterungen enthalten.

THORBezug und Lizenzen