Check Point SandBlast Threat Extraction: Как работает проактивная защита от эксплойтов?

Check Point SandBlast Threat Extraction:  Как работает проактивная защита от эксплойтов?

В статье описывается практическое применение технологии Check Point SandBlast Threat Extraction — одного из ключевых компонентов Check Point SandBlast. Данная технология предназначена для оперативного исключения из файлов, передаваемых пользователю по сети, потенциально опасного содержимого и предоставления ему чистых реконструированных файлов.

 

 

 

1. Введение

2. Принцип работы

3. Пример использования

4. Выводы

 

 

Введение

Обмен документами, деловая переписка, осуществляемые в электронном виде, позволяют значительно сократить время, необходимое для принятия решений и заключения значимых для организации договорных отношений. Однако, как и у любой медали, тут есть и обратная сторона.

Все чаще злоумышленники используют электронную почту и присущее любому человеку любопытство и чрезмерную ответственность, чтобы внедрить в корпоративную инфраструктуру организации зловредный код. Эксплойты (используемые в дальнейшем для подтягивания «тяжелой артиллерии») размещаются в сообщениях электронной почты в виде вложений или ссылок, открывая которые, сотрудник «распахивает двери» корпоративной сети злоумышленнику. К тому же, зависимость пользователей от социальных сетей и размещения там всевозможной информации о себе (место работы, должность, фотографии, сведения о коллегах – «в друзьях» ) позволяет злоумышленнику без особых усилий получить необходимую информацию и подготовить пользователю «персонализированное» сообщение. Такое сообщение никак не будет выдавать свою злонамеренность, но заставит пользователя отреагировать соответствующим образом, необходимым злоумышленнику.

Просмотр вложенных файлов и переход по ссылкам осуществляется по разным причинам, например:

  • простое любопытство;
  • письмо пришло якобы от руководителя или надзорного органа (или с адресов, очень похожих на них), и на исполнение поручений, представленных в письме, отводится слишком мало времени, чтобы прояснить ситуацию.

Во многих крупных организациях уже используются так называемые «песочницы» — решения, позволяющие осуществлять эмуляцию среды развертывания зловредного кода и выявить потенциальную опасность. Однако большинство случаев песочницы работают только в режиме обнаружения, а не блокирования (предотвращения). В таком режиме вредоносный код эмулируется  после или параллельно его фактической доставке жертве. За это время его уже могут успеть запустить и атака начнет реализовываться. Следовательно, необходимо будет принимать меры, чтобы предотвратить его дальнейшее распространение. Но независимо от того, какой режим работы установлен в «песочнице», эмуляция и обнаружение опять же требуют определенного времени, а бизнесу для решения его задач присланные данные нужны прямо сейчас.

Одна из египетских легенд гласит: «Фараон настолько боялся быть отравленным, что просил писцов переписывать все приходящие сообщения на свои папирусы, но это занимало длительное время». Одно из таких решений, выступающее в качестве «писцов» из египетской легенды, но позволяющих оперативно (мгновенно и автоматически) предоставить бизнес-пользователям содержимое материалов переписки в безопасном виде, предложила компания Check Point в своей технологии SandBlast Threat Extraction (для краткости будем использовать сокращение TEx).

 

Принцип работы Check Point SandBlast Threat Extraction

Принцип работы SandBlast Threat Extraction звучит очень просто — исключить все потенциально опасное содержимое из документа, присланного сотруднику организации.

Алгоритм работы TEx в общем виде представлен на рисунке ниже.

 

Рисунок 1. Общий вид алгоритма работы Check Point SandBlast Threat Extraction

Общий вид алгоритма работы Check Point SandBlast Threat Extraction

 

Из письма, направленного сотруднику по электронной почте, извлекается файл-вложение. Этот файл анализируется и из него исключается все активное и потенциально опасное содержимое, например:

  • свойства документа;
  • макросы в документе;
  • гиперссылки и др.

После удаления такого содержимого полученный файл конвертируется в формат PDF для обеспечения большего уровня защищенности. Сконвертированный и очищенный файл прикрепляется к тексту письма, при этом в тело письма добавляется ссылка на исходный файл, который размещается на шлюзе безопасности и передается в «песочницу» для последующего детального анализа компонентом SandBlast Threat Emulation (см. обзор «Обзор технологии Check Point SandBlast Zero-Day Protection») . Сформированное сообщение передается адресату. При желании, пользователь может не просто скачать проверенный файл, а получить целиком оригинальное письмо. Кроме того, скачивание файла и получение оригинального письма осуществляются без участия (вмешательства) администратора или службы поддержки.

 

Пример использования Check Point SandBlast Threat Extraction

В качестве примера работы Check Point SandBlast Threat Extraction может быть продемонстрировано получение письма, содержащего документ с резюме кандидата на вакантную должность, «начиненного» потенциально опасным содержимым — вирусом-шифровальщиком. На рисунке ниже приведено:

  • слева — открытие файла без использования TEx;
  • справа — когда технология TEx применяется организацией.

 

Рисунок 2. Пример открытия потенциально опасного файла без использования и с использованием технологии SandBlast Threat Extraction

Пример открытия потенциально опасного файла без использования и с использованием технологии SandBlast Threat Extraction

 

С правой стороны на этом рисунке приведен уже очищенный и сконвертированный в формат PDF файл, содержащий резюме кандидата. Однако системный администратор при настройке TEx может указать типы файлов, которые необходимо анализировать, а также определить, будет ли файл конвертироваться в формат PDF или он останется в письме в исходном формате.

Адресату данного письма после очистки будет предоставлено письмо (приведено на рисунке ниже), содержащее:

  • очищенный файл (в исходном или сконвертированном формате);
  • ссылку на исходный файл.

 

Рисунок 3. Пример письма с очищенным файлом

Пример письма с очищенным файлом

 

При нажатии адресатом на ссылку (при необходимости получить исходный файл) ему отобразится окно, в котором он фактически принимает всю ответственность на себя, подтверждая получение файла от доверенного источника. Кроме того, в этом окне он должен указать причину необходимости открытия исходного файла. Это еще один барьер, заставляющий пользователей дополнительно подумать, прежде чем открыть исходный файл.

 

Рисунок 4. Окно запроса и обоснования необходимости открытия исходного файла

Окно запроса и обоснования необходимости открытия исходного файла

 

Выводы

Технология Check Point SandBlast Threat Extraction позволяет оперативно предоставить бизнес-пользователям содержимое материалов переписки в гарантированно безопасном виде, пока исходное содержимое проходит детальную проверку в «песочнице».

Эта технология оперативна потому, что не осуществляется анализ содержимого передаваемых файлов на предмет наличия в них именно зловредной начинки, а просто исключается любое активное или потенциально опасное содержимое (без разделения на «зловред» и «не зловред»). Фактически информация из передаваемых потенциально опасных файлов пересобирается системой на лету в формат PDF. При необходимости, например, если после конвертации файл потерял часть форматирования, пользователь может запросить оригинал и получить его после детального анализа в песочнице.

Гибкость настройки SandBlast Threat Extraction позволяют системному администратору указать типы файлов, которые необходимо анализировать, а также определить, будет ли файл конвертироваться в формат PDF или останется в письме в исходном формате.

Полезные ссылки: 
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru