Als Beacon wird in der IT-Sicherheit Malware bezeichnet, die primär dazu dient, bestimmte Informationen von einem Zielsystem, das kompromittiert ist, an den Command-and-Control-Server (C&C) zu senden. Es überträgt relevante Informationen (IP, Hostname, Systeminformationen) und signalisiert somit, dass das Zielsystem erfolgreich kompromittiert wurde und es Befehle vom C&C erwartet.
Wie funktionieren Beacons?
Die Funktionsweise eines Beacons ist relativ einfach. In der Regel sind diese kleinen Programme sehr einfach gestrickt. Sie sammeln interessante und relevante Informationen von einem infizierten System und transferieren diese an die Kommandozentrale (C&C). Die wichtigste Informationen hierbei ist meist die IP-Addresse. Normalerweise wird außerdem eine Liste installierter Anwendungen sowie Auszüge bestimmter Kommandos mitgeschickt. Mit diesen Informationen kann der Angreifer bestimmte Aktionen auf dem Zielrechner ausführen - mit dem Wissen, welches EDR-System installiert ist, kann er beispielsweise versuchen, dieses zu deaktivieren. Das oberste Ziel ist es, die Kontrolle über das System zu erlangen und zu verstehen, wie dieses System funktioniert und welche Möglichkeiten man aus Angreiferperspektive hat.
Was sind typische Eigenschaften von Beacons?
Angreifer, Hacker und APT wollen verhindern, dass ihre Beacons entdeckt werden. Daher nutzen sie ausgeklügelte Techniken, um ihre Malware zu tarnen. So wird der Code der Malware oft mehrfach und komplex obfuskiert, um die (automatische) Analyse zu erschweren. Auch das Tarnen als legitime Software ist eine bewährte Technik. In aller Regel wird die Kommunikation verschlüsselt - so können Tools aus dem Bereich DPI (Deep Packet Inspection) nicht erkennen, dass es sich um Malware handelt.
Zwar gibt es sehr ausgeklügelte Malware, die auf eigens dafür entwickelte Protokolle setzt, aber die Mehrheit von Beacons nutzt Standardprotokolle, wie HTTP, HTTPS, DNS, ... um Daten zu transferieren.
Wie können Beacons erkannt werden?
Beacons und Malware allgemein will nicht erkannt werden und die Entwickler solcher Werkzeuge sorgen dafür, dass es schwer ist. Dennoch gibt es einige Möglichkeiten, um Beacons zu erkennen. Intrusion Detection Systeme (IDS) und Intrusion Prevention Systeme (IPS) können verdächtige Aktivitäten erkennen und Alarm schlagen. Auch Endpoint Detection and Response (EDR) Systeme können Beacons erkennen. Diese Systeme analysieren das Verhalten von Programmen und können so verdächtige Aktivitäten erkennen.
Ein wichtiges Werkzeug von Verteidigern ist die Analyse des Netzwerktraffics sowie des Verhaltens von Programmen auf Endgeräten. Mit Hilfe von Machine Learning und KI können auch unbekannte Beacons erkannt werden, sofern sie anomales Verhalten zeigen. Aus unserer Praxis wissen wir aber, dass das ein Kampf gegen Windmühlen ist. Die Angreifer sind oft einen Schritt voraus und passen ihre Malware an, um nicht erkannt zu werden. In infizierten Systemen exisieren oft mehrere Backdoors und Beacons, um die Kontrolle über das System zu behalten.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.