Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Bedrohungsjagd und KQL

Isolieren Sie verdächtige Kommunikation: KQL für die Ports 4444 und 8080

5 min de lecture Akuity SOC · Delphisoft Deutschland

Hacker nutzen nicht standardmäßige Netzwerkports, um Daten auszuschleusen. Erfahren Sie, wie Sie sie mit der DeviceNetworkEvents-Tabelle in KQL blockieren.

Im Defense-in-Depth-Modell ist die Überwachung dessen, was in Ihr Netzwerk gelangt, von entscheidender Bedeutung, aber auch die Überwachung dessen, was herauskommt, ist von entscheidender Bedeutung. Wenn es Malware oder Ransomware gelingt, auf einem Computer zu laufen (häufig über eine Phishing-E-Mail), ist ihre oberste Priorität, „zu Hause anzurufen“. Es muss eine Kommunikation mit einem vom Angreifer verwalteten Command and Control (C2)-Server herstellen, um seine endgültige Nutzlast herunterzuladen oder gestohlene Daten zu exfiltrieren.

Um grundlegende Firewalls zu umgehen, nutzen Angreifer häufig nicht standardmäßige Netzwerkports oder Ports, die mit Entwicklungstools verknüpft sind. Verfolgen Sie für einen SOC-Analysten die Kommunikation zu diesen Hochrisiko-Ports über die TabelleDeviceNetworkEventsist eine tägliche Threat-Hunting-Mission.

Warum auf die Ports 4444, 8000, 8080 und 9000 abzielen?

Der legitime geschäftliche Datenverkehr verwendet zum Surfen im Internet normalerweise die Ports 80 (HTTP) und 443 (HTTPS). Allerdings nutzen Angreifer gerne alternative Ports, um unbemerkt zu bleiben oder weil sie anstößige Tools verwenden, die standardmäßig auf diesen Kanälen konfiguriert sind:

  • Port 4444:Dies ist der Standard-Abhörport für das beliebte Hacking-Framework Metasploit (Meterpreter). Das Vorhandensein ausgehender Kommunikation an diesem Port ist ein absolutes Warnsignal dafür, dass ein Angreifer die Fernsteuerung (Reverse Shell) eines Computers übernommen hat.
  • Ports 8000, 8080, 9000:Sie werden häufig von Test-Webservern (Python, Node.js, Tomcat) verwendet und von Angreifern häufig ausgenutzt, um bösartige Skripte zu hosten oder strenge HTTP-Filterregeln auf Port 80 zu umgehen.

Die KQL-Abfrage zur Netzwerkerkennung (DeviceNetworkEvents)

Der TischDeviceNetworkEventsMicrosoft Defender für Endpunkt protokolliert jede Netzwerkverbindungserstellung (TCP/UDP) auf überwachten Geräten.

Hier ist die KQL-Abfragevorlage, um Maschinen, die versuchen, mit diesen Hochrisiko-Ports zu kommunizieren, sofort zu isolieren:

DeviceNetworkEvents
| where Timestamp > ago(7d)
| where ActionType == "ConnectionSuccess"
| where RemotePort in (4444, 8000, 8080, 9000)
// Exclure les IP privées internes pour ne garder que le trafic sortant vers Internet
| where RemoteIPType == "Public"
| project Timestamp, DeviceName, InitiatingProcessFileName, RemoteIP, RemotePort, RemoteUrl
| sort by Timestamp desc

Analyse der Anfrage:

  1. Der ausgehende Fokus (RemotePortUndRemoteIPType):Auf der Liste der verdächtigen Ports suchen wir explizit nach erfolgreichen Verbindungen außerhalb des Netzwerks.
  2. Prozessidentifikation (InitiatingProcessFileName):Die wertvollsten Informationen! Zu wissen, dass der Computer an Port 4444 angeschlossen ist, ist in Ordnung, aber zu wissen, dass dies der Fall istpowershell.exeOderwscript.exeWer die Verbindung initiiert hat, ist der endgültige Beweis für eine Fileless-Kompromittierung.

MSSP-Automatisierung mit Akuity SOC

Die Bereitstellung dieser Netzwerküberwachung für 50 verschiedene Unternehmenskunden über das Azure-Portal ist eine mühsame Aufgabe, die MSSPs oft entmutigt.

Deshalb der OrchestratorAkuity SOCverwandelt diese Routine in einen Klick. Das Threat Hunting KQL-Terminal (Kusto Query Language) enthält eine gebrauchsfertige Vorlage namens„Verdächtiges Netzwerk“.

Mit dem Multi-Tenant Selector der Plattform kann der L1-Analyst diese Vorlage laden und die Netzwerksicherheit jedes Clients blitzschnell scannen. Die Ergebnisse werden asynchron in einem dynamischen Raster angezeigt.

Wandeln Sie die Warnung in Abhilfe um

Wenn die Abfrage ergibt, dass ein Buchhaltungs-PC ständig über Port 4444 mit einer IP-Adresse in Russland kommuniziert:

  1. Der Analyst bewertet die Reputation der Ziel-IP-Adresse (RemoteIP) über das integrierte AlienVault OTX-Messgerät von Akuity.
  2. Die IP wird von Gemini AI als C2-Server eingestuft.
  3. Der Analyst löst eine Eindämmungs-SOAR-Aktion aus: erIsolieren Sie den Netzwerkcomputerüber Microsoft Intune mit einem Klick und stoppt die Datenexfiltration sofort, nachdem die Aktion mit dem MFA-Code (TOTP) validiert wurde.

Blockieren Sie geheime Kommunikation in Echtzeit.> Experimentieren Sie mit unseren Netzwerkanalysevorlagen mithilfe unsererZentralisiertes KQL für die Bedrohungssuche für MSSPund die Reaktionszeit bei Vorfällen verkürzen.

Page Solution Associée

Zentralisiertes KQL für die Bedrohungssuche für MSSP

Verfolgen Sie schwache Signale im großen Maßstab über unsere KQL Multi-Tenant-Konsole. Asynchrone Ausführung, Vorlagen und Schutz durch Ratenbegrenzung.

Découvrir la solution complète

Articles du même cluster

Warum Threat Hunting KQL für einen MSSP zeitaufwändig ist (und wie man es automatisiert)

Eine proaktive Untersuchung ist wichtig, aber in großem Umfang komplex. Erfahren Sie, wie Sie Threat Hunting KQL über mehrere Microsoft Defender-Mandanten hinweg automatisieren.

Lire →

So sichern Sie Ihre globalen KQL-Ausführungen mit Rate Limiting

Die Advanced Hunting API von Microsoft ist leistungsstark, unterliegt jedoch Kontingenten. Finden Sie heraus, wie Akuity SOC Rate Limiting Ihre MSSP-Mandanten schützt.

Lire →

Der praktische Leitfaden von DeviceProcessEvents: Aufdecken von dateiloser Malware

Angreifer nutzen PowerShell und CMD, um Antivirenprogramme zu umgehen. Erfahren Sie, wie Sie diese Fileless-Malware mit der KQL-DeviceProcessEvents-Tabelle aufspüren.

Lire →

Netzwerkverbindungsfehler nach IP analysieren: Das zu kopierende KQL-Modell

Brute-Force- und Passwort-Spraying-Angriffe zielen auf Ihre Entra-ID-Konten ab. Erfahren Sie, wie Sie sie mithilfe der KQL-DeviceLogonEvents-Tabelle verfolgen.

Lire →