Lernen Sie die Köpfe hinter F5s Advanced Threat Research Center of Excellence (ATRCoE) kennen

Als Teil des F5 Office of the CTO konzentriert sich das Advanced Threat Research Center of Excellence darauf, die Geheimnisse der am weitesten verbreiteten Bedrohungen des Internets aufzudecken. Als Ergänzung zum Schwerpunkt von F5 Labs auf Bedrohungsinformationen führt ATRCoE erweiterte Bedrohungsforschung durch, um externe Ansichten zu Cybersicherheitsrisiken zu präsentieren. Diese Forschung wird dann analysiert, um überzeugende Ideen und Erkenntnisse im Bereich der Cybersicherheit hervorzubringen.

Unter der Leitung von Dr. Aditya Sood hat diese neue Gruppe bereits fortgeschrittene Bedrohungen aufgedeckt und Forschungsergebnisse in zahlreichen Publikationen veröffentlicht, beispielsweise im Virus Bulletin, in Elsevier Magazines, im BlackHat Arsenal und auf branchenführenden Sicherheitskonferenzen wie dem Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin und anderen. Nachfolgend werden einige bemerkenswerte Stücke vorgestellt:

• Sammler-Dieb: Informationsdieb russischer Herkunft
• Zerlegung des AZORult C&C-Panels
• Die Bedrohungslandschaft durch Covid-19
• Enfilade-Werkzeug: Erkennen von Ransomware-Infektionen in MongoDB
• Erkennen von DGA-Angriffen (Domain Generation Algorithm) mithilfe von ML/AI
• Kryptojacking: Kompromittierte Kubernetes-Cluster mit NVIDIA-Treibern
• Kompromittierung von IoT-C&C-Panels zum Aufdecken von Infektionen

Das Team besteht aus Bedrohungsforschern und Entwicklungsingenieuren:

1. Amit Nagal ist leitender Datenwissenschaftler bei F5. Er verfügt über mehr als 15 Jahre Erfahrung im maschinellen Lernen und in der Analytik. Er hat einen Doktortitel in Entwicklungswissenschaften von der MGS-Universität. In der Vergangenheit hat er bei Verizon und JPMorgan Chase gearbeitet.  
2. Bharathasimha Reddy Devarapally ist Softwareentwickler bei F5. Seinen Bachelor-Abschluss in Informatik erhielt er 2020 vom National Institute of Technology, Warangal (Indien). Er hat bei F5 aktiv an der Bedrohungsforschung gearbeitet. 
3. Ruthvik Reddy Sankepally ist Softwareentwickler bei F5. Er schloss sein Studium der Informatik am BITS Pilani Hyderabad mit einem Bachelor of Science ab.

Wie das Team Bedrohungen aufdeckt

Das ATRCoE-Team konzentriert sich auf die strategischen, operativen, taktischen und analytischen Aspekte einer Bedrohung. Indem sie die Geschäftsrisiken und Auswirkungen der fortgeschrittenen Bedrohungen verstehen, entscheiden sie sich für das Thema der Bedrohungsforschung. Anschließend analysieren sie diese Bedrohungen, um deren TTPs (Techniken, Taktiken und Verfahren), KSAs (Wissen, Fertigkeiten und Fähigkeiten) und AILs (Angriffsinfrastruktur und Startrampen) zu ermitteln. Vor diesem Hintergrund und durch das Studium der vorherrschenden Arbeiten bildet das Team die Grundlage für seine Forschung und entscheidet über die beste Herangehensweise zur Bewältigung des Problems. Der Ansatz kann defensiv, offensiv oder hybrid sein. Die eingesetzten Techniken können proaktiv, reaktiv oder eine Kombination aus beiden sein. Sie geben Bedrohungsinformationen weiter, indem sie Open-Source-Tools erstellen und Forschungsergebnisse auf verschiedenen Sicherheitsportalen und Konferenzen veröffentlichen.

Wie Bedrohungen die Aufmerksamkeit des ATRCoE erregen

Die Methode zur Auswahl der Forschungsthemen basiert auf einem intern entwickelten TRIG-Framework (Threat Research and Intelligence Generation). Die Forschungsergebnisse werden auf der Grundlage ihrer Relevanz im Hinblick auf aktuelle, hochentwickelte Bedrohungen im Internet ausgewählt. Aufgrund der Dringlichkeit und der Auswirkungen auf das Produktangebot von F5 erfordern äußerst schwerwiegende und stark publizierte erweiterte Bedrohungen, einschließlich Zero-Day-Schwachstellen, besondere Aufmerksamkeit. Beispielsweise analysierte ATRCoE fortgeschrittene Bedrohungen wie AZORult, Collector-Stealer, Blackguard usw., die speziell von staatlichen Gegnern eingesetzt werden.

Darüber hinaus investiert ATRCoE in den Einsatz von ML/AI zur Bewältigung von Herausforderungen im Bereich Cybersicherheit. Beispiel: Analysieren Sie große Mengen von DNS- (Domain Name Server) und HTTP- (Hypertext Transfer Protocol) Protokollen in einem strukturierten Format im Security Data Warehouse von F5 und untersuchen Sie dann die Daten, um interessante Bedrohungsartefakte und Trends in der Bedrohungslandschaft zu finden und die aktuellen Herausforderungen zu verstehen. Beispiele hierfür sind die veröffentlichten Arbeiten des Teams zu Phishing-Sites mit Covid-19-Themen und die DGA-Erkennungsforschung von Project Astra.

Für die ATRCoE-Forschung verwendete Tools

Das Team verfolgt einen hybriden Ansatz, bei dem eine große Vielfalt an Tools für Analyse, Automatisierung und Intelligenz genutzt wird, darunter benutzerdefinierte Inhouse-Designskripte, Open-Source-Tools wie Nmap, Masscan, Wireshark, Tshark, Bro, Radare2/Cutter, Ghidra, Python usw. und Enterprise-Tools wie Burp Proxy.
_____

Aufgrund der Natur dieser Art von Forschung ist es schwierig vorherzusagen, wann neue Inhalte veröffentlicht werden, aber Sie können davon ausgehen, bald mehr von dieser Gruppe zu sehen.