PDF

Inhaltsverzeichnis anzeigen

Produktanforderungen

Alle ExtraHop-Systeme

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

War dieses Thema hilfreich?

Ja Nein

Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?

Wie können wir uns verbessern?

Need more help?

Ask the Community

Vierteljährliche Updates zu Erkennung und intelligenter Untersuchung von ExtraHop

Dieser Leitfaden enthält Informationen zu neuen und verbesserten Erkennungen und Smart Investigations, die im Laufe des letzten Quartals für alle Sensoren veröffentlicht wurden.

Erkennungen und Intelligente Ermittlungen werden kontinuierlich weiterentwickelt und veröffentlicht für mit der Cloud verbunden ExtraHop-Systeme, um sicherzustellen, dass Ihre Umgebung vor Leistungsproblemen und den neuesten netzwerkbasierten Angriffstechniken geschützt ist. Ohne eine Verbindung zu Cloud Services, Smart Investigations sind nicht verfügbar und Erkennungsaktualisierungen werden verzögert, bis die Firmware aktualisiert wird.

Wichtig:

Es ist wichtig zu verstehen, dass sich der Status einer Erkennung jederzeit ändern kann, wenn wir Erkennungen verfeinern oder entfernen. Navigiere zum Erkennungskatalog auf Ihrem ExtraHop-System, um nach Erkennungstypen zu suchen und zu überprüfen, ob eine bestimmte Erkennung derzeit auf Ihrem System verfügbar ist. (Benötigt ExtraHop 9.5)

3. QUARTAL 2024

Neue Funde

Entdeckungstyp	Anforderungen
Mythic C&C HTTP-Verbindung	TLS-Entschlüsselung
Mythic C&C SSL/TLS-Verbindung	N/A
Mythic C&C WebUI-Verbindung	N/A
Havoc C&C Beaconing	TLS-Entschlüsselung
PingCastle-Scan	Active Directory Directory-Entschlüsselung
Aktivität des BackConnect-Protokolls	N/A
BackConnect XOR-Protokollaktivität	N/A

Verbesserte Erkennungen

Hinweis:

Diese Erkennungsverbesserungen können zu neuen Erkennungsereignissen führen.

Entdeckungstyp	Änderung	Anforderungen
Log4Shell JNDI-Injektionsversuch	Verbesserte Leistung, unterstützt jetzt maximal 250 eindeutige JNDI-Strings	TLS-Entschlüsselung

Neue intelligente Ermittlungsarten

Ihr ExtraHop-System empfiehlt eine Untersuchung, wenn Ihr Netzwerkverkehr die erforderlichen Kriterien für diesen Untersuchungstyp erfüllt.

In diesem Quartal wurden keine neuen Smart Investigation-Typen hinzugefügt.

Verbesserte intelligente Ermittlungsarten

Hinweis:

Diese Verbesserungen könnten zu neuen empfohlenen Untersuchungen führen.

In diesem Quartal wurden keine Verbesserungen an Smart Investigations vorgenommen.

2. QUARTAL 2024

Neue Funde

Entdeckungstyp	Anforderungen
HTTP-Aktivität des Responders	TLS-Entschlüsselung
Responder-NTLM-Aktivität	N/A
Merlin C&C HTTP-Verbindung	TLS-Entschlüsselung
Impacket PsExec-Aktivität	Active Directory Directory-Entschlüsselung
CVE-2023-46604 Apache ActiveMQ-Exploit	TLS-Entschlüsselung
CVE-2024-3400 Erstellung von PAN-OS-Dateien in Palo Alto Networks	TLS-Entschlüsselung
CVE-2024-3400 Versuch einer PAN-OS-Befehlsinjektion in Palo Alto Networks	TLS-Entschlüsselung
Rubeus Kerberos Diamond-Ticketaktivität	Active Directory Directory-Entschlüsselung

Verbesserte Erkennungen

Hinweis:

Diese Erkennungsverbesserungen können zu neuen Erkennungsereignissen führen.

Entdeckungstyp	Änderung	Anforderungen
Überlappende IP-Fragmentierung	Verbesserte Leistung	N/A
Versuch, einen LOLBAS auszuführen, per Fernzugriff zu starten	Neue ausführbare LOLBAS-Dateien hinzugefügt	Active Directory Directory-Entschlüsselung
Impacket SMBExec-Aktivität	Neue Indikatoren hinzugefügt	N/A
Plötzlicher Rückgang der hochwertigen Gerätebandbreite	Unterstützung für alle hoher Wert Geräte hinzugefügt	9.5 oder früher umfasst vom Kunden spezifizierte hoher Wert Geräte 9.6 oder höher umfasst alle hoher Wert Geräte
CVE-2021-22205 Gitlab CE- und EE-Exploit-Versuch	Filter für Geräte hinzugefügt, auf denen Gitlab CE/EE läuft	TLS-Entschlüsselung

Neue intelligente Ermittlungsarten

Ihr ExtraHop-System empfiehlt eine Untersuchung, wenn Ihr Netzwerkverkehr die erforderlichen Kriterien für diesen Untersuchungstyp erfüllt.

Entdeckungstyp	Anforderungen
Network Recon mit seitlicher Bewegung	Ein Gerät in Ihrem Netzwerk führte Netzwerkscans durch, führte Aufzählungstechniken durch und versuchte, ein anderes internes Gerät fernzusteuern. Diese Erkennungssequenz wurde in bekannten Angriffskampagnen beobachtet, die zu Ransomware führten.
Verdächtige Softwarenutzung	Ein Gerät in Ihrem Netzwerk war ein Angreifer, der auf eine Kombination aus Software und Cloud-Diensten zugegriffen hat, die häufig von Angreifern missbraucht werden. Es ist bekannt, dass Malware- und Bedrohungsgruppen öffentlich verfügbare Software wie AdFind, Rclone, PingCastle, BloodHound und Impacket nutzen, um Angriffsziele zu erreichen.
Download ausführbarer Dateien mit seitlicher Bewegung	Ein Gerät in Ihrem Netzwerk war der Täter beim Herunterladen und Übertragen ausführbare Datei sowie bei der Erkennung von laterale Bewegung. Diese Erkennungssequenz kann mit frühen Schritten einer Netzwerkkompromittierung in Verbindung gebracht werden, bei der ein Angreifer von seiner ursprünglichen Position abschwenkt, um andere Geräte im Netzwerk zu kompromittieren.
Active Directory Directory-Aufzählung	Ein Gerät in Ihrem Netzwerk hat bei der Erkennung von Aufzählung versucht, Active Directory Directory-Informationen (AD) wie privilegierte Benutzer, Gruppen und Richtlinien zu ermitteln.

Verbesserte intelligente Ermittlungsarten

Hinweis:

Diese Verbesserungen könnten zu neuen empfohlenen Untersuchungen führen.

In diesem Quartal wurden keine Verbesserungen an Smart Investigations vorgenommen.

1. QUARTAL 2024

Neue Entdeckungen

Entdeckungstyp	Anforderungen
Ungewöhnlicher Rückgang eingehender TCP-Verbindungen zu hochwertigen Geräten	N/A
Plötzlicher Rückgang der hochwertigen Gerätebandbreite	N/A
CVE-2023-22518 Atlassian Confluence-Exploit	TLS-Entschlüsselung
BadCandy Web Shell-Aktivität	TLS-Entschlüsselung
CVE-2022-36804 Atlassian Bitbucket-Exploit für Server und Rechenzentren	TLS-Entschlüsselung
CVE-2024-21887 Ivanti Connect Secure und Policy Secure Exploit	TLS-Entschlüsselung
Datenexfiltration nach Slack	TLS-Entschlüsselung (für TLS 1.3)
Datenexfiltration nach Discord	TLS-Entschlüsselung (für TLS 1.3)
Datenexfiltration nach GitHub	TLS-Entschlüsselung (für TLS 1.3)
Datenexfiltration nach Dropbox	TLS-Entschlüsselung (für TLS 1.3)
HTTP/2-Schnellreset-DoS-Versuch	TLS-Entschlüsselung
Ungewöhnlicher Archivdatei-Upload	TLS-Entschlüsselung (abhängig vom Protokoll)
CVE-2023-38035 Ivanti Sentry Exploit	TLS-Entschlüsselung

Verbesserte Erkennungen

Hinweis:

Diese Erkennungsverbesserungen können zu neuen Erkennungsereignissen führen.

Entdeckungstyp	Änderung	Anforderungen
Verdächtiger Benutzeragent	Neue Indikatoren hinzugefügt	N/A
Neue WMI-Enumerationsabfrage	Verbesserte Leistung	N/A
Neue externe Verbindung (für RDP-, SSH-, FTP-, NFS-, Datenbank-, IIOP-, LDAP-, CIFS-, Java RMI- und Cryptomining-Protokolle)	Verbesserte Leistung	N/A

Neue intelligente Ermittlungsarten

Ihr ExtraHop-System empfiehlt eine Untersuchung, wenn Ihr Netzwerkverkehr die erforderlichen Kriterien für diesen Untersuchungstyp erfüllt.

Entdeckungstyp	Anforderungen
Anhaltende C&C-Aktivität	Ein Gerät in Ihrem Netzwerk wurde Opfer mehrerer Command-and-Control-Erkennungen (C&C).
Häufiger Täter	Ein Gerät in Ihrem Netzwerk war der Täter in einer Kombination aus seitlicher Bewegung und Exfiltrationstechniken.
C&C mit Exfiltration	Ein Gerät in Ihrem Netzwerk wurde Opfer einer Command-and-Control-Erkennung (C&C) und wurde dann bei einer Exfiltrationserkennung zum Täter.

VIERTES QUARTAL 2023

Neue Entdeckungen

Entdeckungstyp	Anforderungen
CVE-2023-27350 Papercut-Exploit-Versuch	TLS-Entschlüsselung
CVE-2023-24489 Versuch, den Citrix ShareFile Storage Zones Controller auszunutzen	TLS-Entschlüsselung
Phishing-Versuch, eine gespeicherte Suchdatei von Windows zu speichern	Active Directory Directory-Entschlüsselung TLS-Entschlüsselung
Schlechte VoIP-Anrufqualität (MOS)	N/A
Schlechte VoIP-Anrufqualität (Jitter)	N/A
CVE-2023-28771 Exploit-Versuch von Zyxel Networks	N/A
CVE-2023-46747 F5 BIG-IP-Exploitversuch	TLS-Entschlüsselung
Mimikatz MS-RPC-Aktivität	Active Directory Directory-Entschlüsselung ExtraHop-System 9.4
Versuch, einen LOLBAS auszuführen, per Fernzugriff zu starten	Active Directory Directory-Entschlüsselung
CVE-2023-20198 Cisco IOS XE-Exploit	N/A
AD-Datenbankdateiübertragung über SMB/CIFS	Active Directory Directory-Entschlüsselung
CVE-2023-3519 Citrix NetScaler ADC- und Gateway-Exploit-Versuch	TLS-Entschlüsselung
CVE-2023-29357 Microsoft SharePoint-Exploit	N/A

Verbesserte Erkennungen

Hinweis:

Diese Erkennungsverbesserungen können zu neuen Erkennungsereignissen führen.

Entdeckungstyp	Änderung	Anforderungen
Neue Aktivität für Fernzugriffssoftware	Unterstützung für AnyDesk-Software hinzugefügt	N/A
Aktivität des Kerberos-Angriffstools	Unterstützung für Orpheus- und Impacket-Kerberoasting-Techniken hinzugefügt	Active Directory Directory-Entschlüsselung
Neue Aktivität für Fernzugriffssoftware	Unterstützung für TeamViewer- und Splashtop-Software hinzugefügt	N/A
Verdächtige SMB/CIFS Named Pipe	Neue Malware- und Bedrohungsgruppenindikatoren hinzugefügt	N/A

Last modified 2024-10-26

Documentation

Products

Customers

Resources

Company

Vierteljährliche Updates zu Erkennung und intelligenter Untersuchung von ExtraHop

3. QUARTAL 2024

Neue Funde

Verbesserte Erkennungen

Neue intelligente Ermittlungsarten

Verbesserte intelligente Ermittlungsarten

2. QUARTAL 2024

Neue Funde

Verbesserte Erkennungen

Neue intelligente Ermittlungsarten

Verbesserte intelligente Ermittlungsarten

1. QUARTAL 2024

Neue Entdeckungen

Verbesserte Erkennungen

Neue intelligente Ermittlungsarten

VIERTES QUARTAL 2023

Neue Entdeckungen

Verbesserte Erkennungen