Im Fokus: ZeroFox – Schutz vor Betrug und Datendiebstahl
Autor: Dr. Götz Güttich, Senior IT-Security-Consultant bei Twinsoft
ZeroFox bietet seit inzwischen 14 Jahren eine Lösung an, die Soziale Medien, das Dark Web und vergleichbare Quellen nach kompromittierten Daten und Betrugsversuchen durchsucht. Mit ihrer Hilfe sind Unternehmen dazu in der Lage, ihre Marken und Mitarbeiter zu schützen. Dazu macht das System Betrüger ausfindig, die den Namen, Bilder oder das Logo der betroffenen Organisationen missbrauchen. So erkennt es beispielsweise Phishing-Seiten, die die Login-Seite einer Organisation kopieren, um Kundenpasswörter zu stehlen und findet Fake-Profile auf LinkedIn, X, Instagram und vergleichbaren Medien, die sich als Profile des CEOs oder des Kundensupports des angegriffenen Unternehmens ausgeben. Darüber hinaus deckt ist die Lösung auch App-Store-Piraterie auf, findet also gefälschte Apps in Drittanbieter-Stores, die Schadcode enthalten und analysiert vorhandene Vulnerabilities.

Die ZeroFox-Dark-Web-Monitoring-Funktion findet Daten, die bereits gestohlen wurden und zum Verkauf stehen. Dazu gehören E-Mail-Adressen, Passwörter, vertrauliche Dokumente und Quellcode. Eine Besonderheit des ZeroFox-Angebots ist, dass das Unternehmen über im Dark Web gut vernetzte Mitarbeiter verfügt, die dazu in der Lage sind, sich in einschlägige Foren einladen zu lassen und aktiv die Unterhaltungen von Hackergruppen zu beobachten. Auf diese Art und Weise finden sie heraus, ob eine Branche oder eine Firma gerade als mögliches Ziel für Angriffe diskutiert werden. Außerdem erhalten sie so auch Zugriff auf Daten, die nicht öffentlich zur Verfügung stehen. Bei diesen Mitarbeitern handelt es sich im Wesentlichen um ehemalige Angehörige des US-Militärs, der CIA und des FBI.
Ebenfalls zum Angebot des Unternehmens gehört der Schutz so genannter High Value Targets, also besonders wichtiger Mitarbeiter, beispielsweise Führungskräfte oder Prominente wie Sport-Profis. In diesem Zusammenhang findet ZeroFox private Adressen, Telefonnummern oder Standorte dieser Personen, die ungewollt im Netz stehen und realisiert so einen gewissen Schutz vor Doxing. Zusätzlich filtert das System direkte Bedrohungen gegen Personen auf Social-Media-Plattformen heraus.
Das Besondere an ZeroFox ist, dass dieses Unternehmen nicht nur die potentiellen Bedrohungen und kompromittierten Daten erkennt, beziehungsweise findet, sondern auch dafür sorgt, dass diese Informationen aus dem Netz verschwinden. Zu diesem Zweck arbeitet ZeroFox direkt mit den Sicherheitsteams von Meta, Google, LinkedIn und vergleichbaren Unternehmen zusammen und hält darüber hinaus auch einen engen Kontakt zu Domain-Registraren. ZeroFox verfolgt also den Anspruch, den ganzen Prozess von der Erkennung der Bedrohungen bis zum Takedown abzubilden.
Die Arbeit mit der ZeroFox-Umgebung
Bevor die ZeroFox-Lösung mit der Arbeit beginnen kann, muss sie zunächst einmal wissen, wonach sie überhaupt suchen soll. Deswegen müssen die zuständigen Mitarbeiter zu Beginn im ZeroFox-Web-Interface einen Tenant mit den dazugehörigen Assets generieren. Dazu gehören neben grundlegenden Daten wie dem Unternehmensnamen und einer Kontaktadresse mehrere unterschiedliche Informationen: Zunächst einmal die vorhandenen Social-Media-Konten bei Facebook (sowohl das Konto selbst als auch die Facebook-Page), LinkedIn (Konto und Organisation), Instagram (Creator und Business), X, Youtube, Bluesky, Slack, Trip Advisor, Glassdoor, Snapchat und TikTok. Es gibt zwei unterschiedliche Optionen zum Einbinden von Social Media-Konten, mit und ohne Authentifizierung. Ohne Authentifizierung beobachtet ZeroFox das Konto lediglich von außen, genau wie ein externer Beobachter. Mit Authentifizierung kann ZeroFox das betroffene Konto unter anderem vor Übernahmeversuchen schützen, von Hackern durchgeführte Posts löschen und Phishing-Links entfernen.

Außerdem haben die Verantwortlichen bei der Tenant-Generation auch die Option, Bilder hochzuladen. Das können Logos, Bilder von Personen, Bilder von Kreditkarten und ähnliches sein. Da das System die Dateien anhand von Hashes erkennt, ergibt es Sinn, alle vorhandenen offiziellen Versionen der Bilder hochzuladen, auch dann, wenn sie sich optisch nicht unterscheiden, beispielswese wegen einer geringfügig unterschiedlichen Auflösung.
Von besonderer Bedeutung sind die „Match Terms“, da das System im Betrieb nach dem Vorkommen dieser Begriffe sucht. „Names and Aliases“ umfasst alle Unternehmensbezeichnungen in allen möglichen Schreibweisen, wie etwa „Bank“, „Bank Group“, „Global Bank“ oder auch „Finanzinstitut‚ Bank“. Hier müssen die zuständigen Mitarbeiter genau klären, wonach gesucht werden soll. Wenn es sich um Personen handelt, müssen auch die unterschiedlichen Schreibweisen des Namens im Netz Berücksichtigung finden: „Monika Musterfrau“, „MonikaMusterfrau“, „Monika.Musterfrau“, „Monika-Musterfrau“, „Monika_Musterfrau“, „Musterfrau, Monika“ und so weiter.

Die Definition eines VIP-Kontos
Die „Profile Terms“ kommen bei Konten zum Einsatz, die zuvor mit den Einträgen in „Names and Aliases“ gefunden wurden. Verfügen solche Konten über Biografien und Profildetails, so werden diese mit den hier aufgeführten Begriffen durchsucht. Das können beispielsweise Niederlassungen oder auch die Sektoren sein, in denen das jeweilige Unternehmen tätig ist. Die „Combined Terms“ bieten im Gegensatz dazu eine „und“-Verknüpfung bei der Suche an. Auf diese Weise grenzen die zuständigen Mitarbeiter allgemeine Begriffe ein und verwenden zum Beispiel statt „Apple“ „Apple + Quellcode“, um Treffer auszuschließen, die sich nur mit Obst befassen und keinen Bezug zu Quellcode haben. Die „Independent Terms“ arbeiten als „oder“-Logik, es ruft also jeder gefundene Begriff einen Alarm hervor. Das bringt Vorteile, wenn es um Benutzernamen, Telefonnummern, Hashtags und Keywords geht, die einen Asset leicht identifizieren können. Hier muss man allerdings darauf achten, sehr spezifisch zu bleiben, um zu viele Meldungen zu vermeiden.
Die „Exclusion Terms“ schließen einen Begriff schließlich von der Suche aus. Alle Suchbegriffe sind nicht case-sensitive und werden im Unicode-Format verarbeitet.
Unter „Advanced Settings“ lassen sich zudem Google-Suchen einbinden. Ein Term wie „intext:‘adidas‘ + apk“ würde beispielsweise App-Einträge einer adidas-app finden. Bei diesen lässt sich dann – etwa über Unterschiede in der Dateigröße – feststellen, ob es sich um Piraterie-Apps handelt. Eine Reverse Image Search, die bestimmte Bilder im Internet finden kann, schließt den Leistungsumfang der Profildefinition ab. Letztere lässt sich beispielsweise nutzen, um den Mißbrauch von Logos aufzudecken. Steht auf einer Webseite „sposored by“, gefolgt von einem Coca-Cola-Logo, so würde bei eine reinen Textsuche nicht auffallen, dass der Inhaber dieser Webseite, der in Wirklichkeit nichts mit Coca-Cola zu tun hat, versucht, sich über Fehlinformationen ein besseres Image oder höhere Glaubwürdigkeit zu verschaffen. Die Reverse-Image-Suche deckt solche Fälle durch das Auffinden des Logos im falschen Kontext auf.
Sobald das Profil erstellt wurde, kann es daran gehen, die darin definierte Umgebung zu überwachen. Einen allgemeinen Überblick hierzu liefert der Reiter „Dashboard“. Hier zeigt das System die eskalierten Alarmmeldungen an, die dabei zugrundeliegende Triage führt ZeroFox durch. Alle Alarme in der Liste lassen sich anklicken, daraufhin präsentiert das System eine Seite mit weiteren Informationen. Diese enthält Details zum Vorgang und den betroffenen Komponenten sowie Empfehlungen zur Problemlösung. An gleicher Stelle können die Verantwortlichen auch eine weitergehende Untersuchung in Auftrag geben, die dann von Mitarbeitern von ZeroFox durchgeführt wird.
Der Reiter „Assets“ ermöglicht es im Gegensatz dazu, einzelne Assets wie Mitarbeiter, Domänen, Orte, Produkte, Hostnamen und so weiter, anzulegen. Auch hier erfolgt die Definition in den meisten Fällen wieder mit Bildern, Suchbegriffen und Social-Media-Konten, bei bestimmten Komponenten – wie etwa Hosts – können das aber auch andere Informationen, wie etwa IP-Adressen, sein.
Zum Überwachen von Domänen reicht es, die jeweilige Top Level Domain anzugeben. Alle Subdomains werden dann automatisch in die Überwachung eingebunden. Regex wird bei der Domaindefinition unterstützt, ein Tool namens „Estimate Matches“ zeigt im Betrieb, wie viele Suchanfragen voraussichtlich aus der aktuell vorliegenden Regex-Abfrage erzeugt würden.
Abgesehen davon besteht die Möglichkeit, Domain-Substrings und Favicons anzugeben, in letzterem Fall würde das System darauf hinweisen, wenn ein in die Suche integriertes Favicon auf einer fremden Seite zum Einsatz kommen würde. Ebenfalls interessant: die „Web Beacons“. Diese stellen einen auf der Webseite des Kunden eingebundenen Pixel dar, der einen Hartbeat an die ZeroFox-Server in der AWS-Cloud überträgt. Clont jemand die Webseite, so erscheint der Hartbeat ein zweites Mal und es wird sofort klar, dass die Seite kopiert wurde. Wird das Beacon gelöscht, gibt das System zudem eine entsprechende Meldung aus.
Was die bereits erwähnte Dark-Web-Suche angeht, so untersucht ZeroFox etwa 500 unterschiedliche Marktplätze und mehrere tausend Quellen. Der letzte Bereich der Domänenkonfiguration nennt sich „Data Sources“, hier lassen sich alle an die jeweilige Domäne angeschlossenen Quellen anzeigen und ein- beziehungsweise ausschalten. Soll das System alle Quellen anzeigen, die es kennt, so finden sich diese unter Settings / Data Connectors und können hier ebenfalls aktiviert und deaktiviert werden.
Unter „Attack Surfaces” findet sich eine Übersicht über die aktuellen Angriffsflächen auf die aus dem Internet erreichbaren Assets einer Organisation. Sie enthält Informationen wie „Hostname“, „IP-Adresse“, „Root Domains“, „Certificates“, „Services“ und „Vulnerabilities“. Letztere werden mit Hilfe von unterschiedlichen Scores bewertet (CISA KEV und EPSS). Klickt ein Benutzer auf einen Eintrag in der Liste, er erhält er Detailinformationen zum Vorgang und Empfehlungen zum Lösen des Problems.

Die Policies
Zum Bearbeiten der Findings liefert ZeroFox eine große Zahl an Policies mit, es besteht aber auch die Option, eigene Policies zu definieren. Die genannten Regeln befassen sich damit, wie das System vorgehen soll, wenn in Bereichen wie „Executive/VIP“, „Location“, „Mobile App“, „Brand“ oder „E-Mail“ Unregelmäßigkeiten auftauchen. Die Policies selbst bestehen aus Regelgruppen, die unterschiedliche Regeln enthalten. Bei letzteren handelt es sich um Aktionen, die die Benutzer entweder manuell oder automatisch ausführen können und die beispielsweise besagen, was passiert, wenn der Zugriff zu einer Facebook-Page verloren geht, oder wenn Nachrichten in einem Konto auftauchen, die vermuten lassen, dass dieses Konto gehackt wurde. Automatische Aktionen sind in diesem Zusammenhang „Lock Account“, „Hide Content“, „Delete Content“, Request Takedown“, „Block Content“, „E-Mail Alert“, „Push Notifications“ oder „Alert Assinee“, also das Zuweisen des Alarms zu einem bestimmten ZeroFox-User.

Die Regeldefinition läuft immer im Kontext des jeweiligen Anwendungsbereichs ab, bei „Compromised Credentials“ sind die Anwender zum Beispiel dazu in der Lage, anzugeben, ab welcher Passwortlänge und ab welcher Passwort-Komplexität das System Alarme generiert. Die entsprechenden Angaben lassen sich dabei im Web-Interface vornehmen. Sollen individuelle Erkennungslogiken oder automatisierte Reaktionen abgebildet werden, die das Web-Interface nicht darstellen kann, so kommt eine Skriptsprache namens „FoxScript“ zum Einsatz, die an JavaScript angelehnt wurde. Diese lässt sich auch zur Datenanreicherung und -filterung verwenden.
Die Alerts werden im System in Listenform angezeigt. Die Liste umfasst jeweils eine Beschreibung, den Zeitpunkt des Alarms, die Risikoeinstufung, die Asset Group, in der der Alarm ausgelöst wurde, die Account Source, die betroffene Regel, den Status (Open, Escalated, etc.), die Datenquelle (Facebook, Pastebin, Apple App Store und so weiter), die Content-URL, den Alarmtyp (Impersonating Account, Location, Self Post oder ähnliches) und die Alert ID. Die Einträge lassen sich nach Spalten filtern und die Benutzer können ihnen bei Bedarf Tags hinzufügen.

Klickt ein User auf einen Alert, so erhält er Detailinformationen dazu, warum dieser generiert wurde und kann ihm Dateien und Notizen hinzufügen. Außerdem lässt sich das Alert-Log einsehen, das Aufschluss darüber gibt, wann der Alert auftrat, wann Tags angepasst wurden, wann der Alarm analysiert, eskaliert und an einen Mitarbeiter gemailt wurde und so weiter. Es existiert also ein umfassender Audit-Trail. Tipps zum Beheben des zugrundeliegenden Problems gehören ebenfalls zum Leistungsumfang des Eintrags.
ZeroFox stellt über das Web-Interface eine große Zahl vordefinierter Reports bereit. Diese Berichte liefern Details zu Alarmen, eine Übersicht über die Asset-Konfiguration, eine Liste kompromittierter Zugriffsdaten, eine Übersicht über die wichtigsten Ereignisse, einen Report zu den geschützten Marken und ähnliches. Es besteht auch die Möglichkeit, eigene Reports zu erstellen. Die Reports decken frei definierbare Zeiträume ab und liefern bei Bedarf Details zu „Asset Type“, „Status“ und vergleichbaren Informationen.

Im Bereich „Intelligence“ dient zu Durchführen umfangreicher Suchen. Eine Suche wie „is:data_breach_credentials and email_domain:twinsoft.de and password:*” zeigt beispielsweise unter anderem E-Mail-Adressen bei Twinsoft, bei denen das Passwortfeld nicht leer ist und den dazugehörigen Breach. Da es sich um eine sehr mächtige Suchsyntax handelt, besteht auch die Möglichkeit, die Anfragen direkt von ZeroFox erstellen zu lassen.
Abgesehen davon lassen sich im Intelligence-Bereich auch Informationen zu den aktuell wichtigsten Ereignissen und zu im Dark Web angebotenen Exploits abrufen. Bei Bedarf besteht auch die Möglichkeit, Suchen zu speichern und später wiederzuverwenden.

Möchten die Anwender Inhalte oder Bedrohungen an ZeroFox melden, damit sich das Unternehmen darum kümmert, dass diese aus dem Netz genommen werden (falls dies nicht automatisch über eine Regel geschieht), so ist das im Web-Interface an verschiedenen Stellen möglich, beispielsweise über das Dashboard, über das „Disruption“-Menü, über „Alerts / Submit Takedown“ oder über „Alerts / Submit Threat“. Wie schnell die gemeldeten Inhalte dann wirklich verschwinden, hängt vom jeweiligen Content-Provider ab. Manchmal passiert das in 15 Minuten, manchmal dauert es mehrere Tage.
Oft kann es sein, dass mehrere Anträge gestellt werden müssen, damit ein Takedown funktioniert. ZeroFox zählt aber immer nur erfolgreiche Takedowns, sind also acht Anträge nötig und erst der achte führt zum Erfolg, so zählt das als ein Takedown, nicht als acht. Es gibt laut ZeroFox derzeit über 100.000 erfolgreiche Takedowns im Monat.

Das „Global Disruption Network“ (GDN) kommt zudem zum Einsatz um Domänen mit Partnern wie Google, Microsoft und diversen IPS zu teilen. Diese unterbinden dann den Zugriff auf gefälschte Websites, was es sehr schnell ermöglicht, die betroffenen Domänen unerreichbar zu machen.
Übernimmt das ZeroFox-Team – beispielsweise nachdem Melden eines Vorfalls im Dark Web – die Untersuchung, so fallen dafür so genannte ODI-Credits (On-Demand-Intelligence) an. Sie finden unter anderem Verwendung, um die genannten Dark-Web-Untersuchungen durchzuführen, Bedrohungen für Führungskräfte zu analysieren, geopolitische Analysen zu realisieren und komplexe Takedowns durchzuführen. All diese Vorgänge laufen manuell ab, deswegen entstehen dafür zusätzliche Kosten. Derzeit kostet ein ODI-Credit etwa 1200 Euro. Das Erstellen der Reports dauert üblicherweise zehn bis 14 Tage und die Analysen können auch von Auftraggebern initiiert werden, die keine Kunden des „normalen“ ZeroFox-Systems sind.
Fazit
Die Lösung von ZeroFox macht einen sehr ausgereiften Eindruck und verfügt über einen beeindruckenden Funktionsumfang. Die Möglichkeit, bei Bedarf Recherchen hinzuzubuchen, die von echten Analysten mit Erfahrung und nicht von automatischen Algorhythmen durchgeführt werden, dürfte in Krisensitationen und in Umgebungen mit besonders hohen Sicherheitsanforderungen sehr interessant sein, da hier relativ schnell hochqualitative Ergebnisse zustande kommen können. Das Tool ist also rundum empfehlenswert.
Direkter Link zu ZeroFox: External Cybersecurity Platform | ZeroFox
