Sicherheitstools können nach Mustern im Timing der Kommunikation suchen (wie GET- und POST-Anforderungen), um Beaconing zu erkennen. Während Malware versucht, sich durch eine gewisse Randomisierung, den so genannten Jitter, zu maskieren, erstellt sie dennoch ein Muster, das erkennbar ist – insbesondere durch Erkennungen durch maschinelles Lernen.
Was ist ein Beaconing-Angriff?
In der Welt der Malware ist Beaconing das Senden regelmäßiger Mitteilungen von einem infizierten Host an einen von einem Angreifer kontrollierten Host, um mitzuteilen, dass die Malware des infizierten Hosts lebt und für Anweisungen bereit ist.
Wie überprüfen Sie C&C?
Sie können C&C-Datenverkehr in Ihren Protokollquellen erkennen, indem Sie Bedrohungsinformationen verwenden, die entweder von Ihrem eigenen Team erstellt werden oder die Sie über Threat-Sharing-Gruppen erh alten. Diese Informationen enth alten unter anderem die Indikatoren und Muster, nach denen Sie in den Protokollen suchen sollten.
Was ist Beacon-Analyse?
Beacon-Analyse ist eine Funktion zum Aufspüren kritischer Bedrohungen. In einigen Situationen kann dies die einzige verfügbare Option sein, um ein kompromittiertes System zu identifizieren. Während die manuelle Durchführung einer Beacon-Analyse eine große Aufgabe ist, stehen sowohl Open-Source- als auch kommerzielle Tools zur Verfügung, um den Prozess zu beschleunigen.
Was ist Network Beaconing?
(1) In einem Wi-Fi-Netzwerk ist die kontinuierliche Übertragung kleiner Pakete (Beacons), die die Anwesenheit der Basisstation ankündigen (siehe SSIDÜbertragung). (2) Eine kontinuierliche Signalisierung eines Fehlerzustands in einem Token-Ring-Netzwerk wie FDDI. Es ermöglicht dem Netzwerkadministrator, den fehlerhaften Knoten zu lokalisieren. Siehe Beacon-Entfernung.
