Тестирование средств защиты от целевых атак: сравнение «сетевых песочниц»

Тестирование средств защиты от целевых атак: сравнение «сетевых песочниц»

Целенаправленные атаки и защита от них остаются одной из самых актуальных тем в ИБ-сообществе.  Немало прочитано докладов и написано статей на эту тему. Но как обстоят дела на практике, насколько эффективны предлагаемые меры защиты? Мы постарались это выяснить и провели тестирование «сетевых песочниц» в боевых условиях, на реальном интернет-трафике пользователей в головном офисе крупной телеком-компании.

 

 

 

1. Введение

2. Тестируемые решения

2.1. Платформа Trend Micro для защиты от угроз «нулевого дня» и целенаправленных атак

2.2. Платформа Check Point для защиты от угроз «нулевого дня» и целенаправленных атак

2.3. Платформа FireEye для защиты от угроз «нулевого дня» и целенаправленных атак

3. Описание методики тестирования сетевых песочниц

3.1. Синтетический тест

3.2. Тестирование на реальном интернет-трафике

4. Результаты синтетического теста сетевых песочниц

4.1. Результаты синтетического теста для веб-трафика

4.2. Результаты синтетического теста для почтового трафика

5. Результаты тестов на реальном интернет-трафике

6. Разбор наиболее интересных инцидентов

6.1. InfoStealer.Fareit

6.2. Trojan.Generic

6.3. Trojan.Adwind

6.4. Bartallex.InfoStealer

6.5. Ransom.Troldesh

6.6. Web.Exploit.Malware.Binary

7. Выводы

 

Введение

Целевые (или таргетированные) атаки — это атаки, направленные на конкретную организацию, группу компаний либо отрасль и реализуемые на длительном отрезке времени, с использованием значительных ресурсов злоумышленника. При проведении таких целевых атак часто используется зловредный код, разработанный или модифицированный специально для достижения цели. В англоязычном варианте для обозначения данного типа угроз часто используется термин Advanced Persistant Threats (далее — АРТ).

Свойством данного вида атак является длительный характер воздействия на цель и сложность обнаружения. Злоумышленник «закрепляется» в скомпрометированной информационной системе и, действуя максимально скрытно, длительное время сохраняет контроль и доступ к конфиденциальной информации.

Изначально объектами целевых атак становились крупные правительственные организации, объекты военной и промышленной инфраструктуры, крупные банки. Но с течением времени возможность использования эксплойтов и угроз «нулевого дня» появляются у большего числа злоумышленников, и, как следствие, расширяется круг потенциальных целей.  На сегодняшний день имеет смысл говорить не только об угрозах целевых атак в их изначальном понимании, но и о более массовых атаках с использованием модифицированных вирусов, позволяющих обходить традиционные сигнатурные методы обнаружения и блокирования.

В алгоритме проведения большинства целевых атак можно выявить последовательность действий, предпринимаемых злоумышленником при подготовке и проведении атаки. Такая последовательность действий злоумышленника получила название Cyber Kill Chain («убийственная» цепочка - Термин стал широко применяться после публикации отчета компании Lockheed Martin «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» за 2011г.).  В рамках этой цепочки выделяется семь стадий проведения атаки:

  1.  Разведка (Reconnaissance). Злоумышленник собирает данные о жертве, анализирует возможные пути проникновения в информационную систему. Часто для сбора информации злоумышленнику достаточно открытых источников данных — профайлы в соцсетях, сайт компании, списки рассылки и т. п.
  2.  Вооружение (Weaponization). Подготовка файла с вредоносным содержимым (например, PDF или MS Office) для дальнейшей доставки жертве.
  3.  Доставка (Delivery). Доставка вредоносного контента жертве, чаще всего посредством e-mail, веб-ресурса или USB-флешки.
  4.  Заражение (Exploitation). Запуск вредоносного кода на целевой рабочей станции   жертвы.
  5.  Инсталляция (Installation). Установка вредоноса на целевой рабочей станции жертвы.
  6.  Получение управления (Command and Control).  Организация скрытого канала управления зараженной рабочей станцией, получение дополнительных модулей вредоносного кода, взаимодействие с C&C-серверами.
  7.  Выполнение действий (Actions on Objective). Сбор и кража конфиденциальных данных, шифрование файлов, перехват управления, подмена данных и другие действия, в зависимости от цели атаки.

На текущий момент рынок решений по противодействию и обнаружению целевых атак и сложных типов APT находится в стадии становления. Производители предлагают широкий спектр средств защиты, но часто такое позиционирование продукта делается в угоду маркетингу и не отражает реальной эффективности решений.

Однако среди существующих на рынке средств защиты одним из наиболее зрелых и эффективных решений являются так называемые «песочницы». Такие средства защиты позволяют проводить автоматизированный статистический и динамический анализ подозрительных файлов в виртуализированной среде и при необходимости блокировать их. Это позволяет безопасно оценить «поведение» и последствия открытия подозрительного файла.  При этом решения данного класса полагаются не на сигнатурные механизмы обнаружения вредоносного кода, а на оценку действий, выполняемых кодом, их безопасности и корректности в данном программном окружении. Анализ файла производится в виртуальной среде, идентичной используемой у пользователя рабочей станции (версия ОС, версии прикладного ПО и т. д.). Необходимо добавить, что анализ файлов производится в автоматическом режиме и не требует специальных знаний в части анализа кода от администратора системы.

Принцип работы «песочниц» позволяет, в отличие от альтернативных решений по защите от целевых атак, не только обнаружить следы целевой атаки в информационной системе, но и заблокировать атаку еще на стадии доставки зловредного кода пользователю (см. выше — Cyber Kill Chain). А независимость от сигнатурных методов детектирования позволяет обнаружить вредоносный код «нулевого дня», специально разработанный/модифицированный для проведения целевой атаки.

Тем не менее реализация описанных выше механизмов защиты требует значительных вычислительных ресурсов. Их реализация на уровне конечных рабочих станций невозможна либо неэффективна, поэтому производители предлагают специализированные программно-аппаратные комплексы, работающие на уровне сети.

Наиболее распространенные альтернативные решения, позиционируемые производителями как средства защиты от АРТ, базируются на следующих принципах или их вариациях:

  1.  Анализ аномальной сетевой активности (Network Behaviour & Anomaly Detection). Обычно такие решения собирают информацию о сетевой активности посредством протоколов SPAN и NetFlow, строят эталонную модель активности в сети и отслеживают возникающие отклонения. К недостаткам данного типа решений можно отнести невозможность работы в режиме блокирования и сравнительно высокие требования к квалификации эксплуатирующего персонала.
  2.  Защита конечных точек нового поколения (Next-Generation/Advanced Endpoint Protection). Решения подобного рода полагаются не на сигнатурные методы обнаружения, а отслеживают аномальную и/или опасную активность на рабочей станции пользователя. Принципы работы могут существенно отличаться в зависимости от решения и производителя — машинное обучение, поведенческий анализ, механизмы «контейнеризации» и white listening (список разрешенного ПО) запускаемых приложений, мониторинг системных процессов и файлов.  Часто такие решения входят в состав решений типа «песочница» как дополнительное агентское ПО.

Такие решения могут быть полезными в качестве «последнего эшелона», но явно недостаточны как единственное средство защиты.

В этой статье описываются результаты тестирования решений типа «сетевая песочница» от следующих компаний-производителей: FireEye, Check Point, Trend Micro.

 

Тестируемые решения

Платформа Trend Micro для защиты от угроз «нулевого дня» и целенаправленных атак

Основные компоненты платформы:

  1. Deep Discovery Inspector (DDI)
  2. Deep Discovery Analyzer (DDAn)
  3. Deep Discovery Email Inspector (DDEI)
  4. Deep Discovery Endpoint Sensor (DDES)

Платформа Check Point для защиты от угроз «нулевого дня» и целенаправленных атак

Основные компоненты платформы:

  1. Check Point Sandblast Threat Emulation Appliance
  2. Check Point Security Management Server
  3. Check Point SandBlast Agent

Платформа FireEye для защиты от угроз «нулевого дня» и целенаправленных атак

Основные компоненты платформы:

  1. FireEye NX (Network Protection)
  2. FireEye EX (Email Protection)
  3. FireEye HX (Host Protection)
  4. FireEye CM (Central Management)

 

Описание методики тестирования «сетевых песочниц»

Целями данного тестирования являлись:

  1.  Оценка эффективности и целесообразности применения «песочниц» в составе комплексной системы ИБ.
  2.  Оценка эффективности существующих у заказчика сетевых средств защиты.

Тестирование «песочницы» проводилось в 2 этапа:

  1.  Тестирование с использованием синтетических образцов вредоносного кода.
  2.  Тестирование на реальном интернет-трафике пользователей.

Синтетический тест

Синтетические тесты проводились с использованием временных виртуальных машин.

 При доставке зловредов в тестовую зону применялись методы, затрудняющие обнаружение традиционными сигнатурными средствами защиты:

  •  архивация файла с использованием форматов RAR, ZIP, 7-ZIP, в том числе с защитой архива паролем;
  •  почтовые сообщения с веб-ссылками на вредоносный файл, в том числе c использованием «коротких» URL (URL shortening);
  •  загрузка зловредного кода по частям;
  •  шифрование (AES) вредоносного кода (payload) макроса в документах Microsoft Word.

Необходимо отметить, что поскольку все решения тестировались в реальной сети заказчика (в изолированной сетевой среде), то прежде чем попасть на анализ в «песочницу», файлы с зловредным кодом проходили анализ и блокировались имеющимися у заказчика средствами защиты, с использованием сигнатурных и репутационных механизмов. Данный алгоритм тестирования выполнялся в том числе для оценки эффективности существующих средств защиты.

В рамках тестов анализировались основные каналы получения вирусов:

  •  файлы, скачиваемые с веб-ресурсов;
  •  файлы вложений в электронной почте.

Тестирование на реальном интернет-трафике

В рамках данного этапа тестирования «песочницы» устанавливались в режиме TAP и получали для анализа копию сетевого интернет-трафика. Все «сетевые песочницы» получали идентичную копию сетевого трафика. Сбор сетевого трафика длился 1 месяц.

Контролировались основные каналы получения вирусов из внешних сетей:

  • Электронная почта.
  • Взаимодействие с веб-сервисами в интернете.

 

Результаты синтетического теста «сетевых песочниц»

Таким образом из 55 экземпляров, используемых при тестировании анализа веб-трафика, на анализ в «песочницы» попало 32 файла с зловредным кодом, не обнаруженных существующими сигнатурными средствами антивирусной защиты. При тестировании на почтовом трафике традиционные сигнатурные средства защиты обнаружили только 1 из 15 вредоносных программ — на анализ в «сетевые песочницы» поступило 14 из 15 файлов.

Результаты синтетического теста для веб-трафика

В синтетическом тесте для веб-трафика использовалось 55 различных зловредов. Существующими сигнатурными средствами защиты (защищенный шлюз доступа в интернет) было заблокировано 23 из 55 экземпляров. На тестирование в «песочницы» поступило 32 из 55 файлов-зловредов.

 

Таблица 1. Результаты синтетического теста «сетевых песочниц» для веб-трафика

   Лучший результат «песочницы» Существующие СЗИ заказчика  (Secure Web Gateway)
Обнаруженные вредоносные программы 29/32 0/32

Результаты синтетического теста для почтового трафика

 

Таблица 2. Результаты синтетического теста «сетевых песочниц» для почтового трафика

  Лучший результат «песочницы» Существующие СЗИ заказчика

(Secure Email Gateway)

Обнаруженные вредоносные программы

9/14 0/14

 

Результаты тестов на реальном интернет-трафике

В итоговый список инцидентов попали угрозы, которые не были заблокированы существующими у заказчика штатными средствами защиты за все время тестирования, и, следовательно, попали на анализ в «сетевые песочницы».

 

Таблица 3. Обнаруженные при помощи «сетевых песочниц» вредоносные программы

Тип зловреда Детекты [шт.]
Trojan 34
Worm 2
Backdoor 5
Trojan.Downloader 18
Ransomware 2
Spyware 2
Riskware/Adware 7
Использование уязвимости в веб-браузереWeb.Exploit 1
Использование уязвимости в веб-браузереMal/FakeAV-SE 1
Попыток коммуникаций с внешним сервером управления ботнет-сетями (callbacks) 25
Итого (без учета callbacks) 72

 

Суммарно за один месяц система защиты от целевых атак зафиксировала 72 угрозы, не заблокированные и не зафиксированные существующими сигнатурными средствами антивирусной защиты.

Ниже описана часть наиболее интересных из обнаруженных инцидентов. Часть обнаруженных в рамках тестирования вредоносных программ не детектируется некоторыми сигнатурными антивирусами даже спустя несколько месяцев после окончания тестирования.

 

Разбор наиболее интересных инцидентов

InfoStealer.Fareit

Fareit — это семейство вирусов, первые экземпляры которого были зарегистрированы еще в 2012 году. Используется для первоначального проникновения в сеть и компьютеры компании и дальнейшей загрузки дополнительного зловредного кода (например, Zbot/Zeus, Necurs).

 Также имеет функционал кражи данных (номера кредитных карт, пароли браузера, почты, FTP), в том числе в защищенных соединениях SSL (посредством MitM).

Обнаружение традиционными сигнатурными средствами затруднено, зловред изменяет hash-сумму вредоносных файлов при каждом новом заражении.

Материалы по теме

http://securityaffairs.co/wordpress/40720/cyber-crime/fareit-malware-multiple-haches.html

Метод доставки

На почту заказчика было доставлено сообщение с вложенным zip-архивом payment.zip.

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз), по итогам антивирусной и анти-спам проверок, не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  •  cбор сведений о системе через различные системные вызовы и реестр;
  •  реализация функций keylogger (Windows API: SetWindowsHookExA);
  •  многократные попытки «уснуть» — метод обхода «песочницы»;
  •   внесение правок в реестр;
  •  попытка кражи паролей FTP-клиента, MS Outlook, и др. через реестр;
  •  создание файла с результатами подключения к внешнему серверу методом HTTP POST и отправка данных с обфускацией: hxxp://ursuz.com/rayboy/ponnie/gate.php.

Trojan.Generic

Неизвестный зловредный код. Маскируется под файл системы обновления Windows.Зловред крадет логины и пароли приложений пользователей, включая браузеры, почту, FTP‑клиенты, и отправляет собранные сведения командному центру.

Метод доставки

Файл weupdate_installer.exe скачан с вредоносного сайта через защищенный прокси-сервер (Secure Web Gateway), метод HTTP GET.

Обнаружение

Защищенный прокси-сервер (Secure Web Gateway, лидер рынка по версии Gartner), после проверки сайта с использованием репутационных сервисов и проведения антивирусной проверки, не обнаружил угроз в скачиваемом файле. Вредоносный файл поступил на проверку в тестируемую «песочницу» и был заблокирован.

Поведение в «песочнице»

  •  сбор данных о рабочей станции через реестр и системные вызовы;
  •  попытка «уснуть» на 30 мин. — один из методов обхода «песочниц»;
  •  настройка через реестр однократного автоматического запуска инсталлятора;
  •  отключение debugger и отслеживание процессов на уровне ОС через реестр: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\weupdate_installer_RASAPI32\"EnableFileTracing" = 0x00000000 и другие ключи;
  •  попытки подключения к серверам C&C и скачивания обновления.

Trojan.Adwind

Adwind — cемейство кроссплатформенного вируса, написанного на Java.

Материалы по теме

https://securelist.com/blog/research/73660/adwind-faq/

https://blog.kaspersky.com/adwind-rat/11252/

Метод доставки

На почту заказчика было доставлено почтовое сообщение с вложенным jar-файлом payment & shipment.jar.

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз) по итогам антивирусной и анти-спам проверок не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  •  создание и запуск VBScript-скриптов;
  •  создание временного текстового файла;
  •  создание скрытого файла: C:\Users\%USER%\ERvKgDNpQEC\xkbdZwfWLAC.qrADgK;
  •  обеспечение автозапуска через реестр;
  •  сокрытие папки C:\Users\%USER%\ERvKgDNpQEC\ с помощью attrib.exe;
  •  удаление ранее созданного VBScript.

Bartallex.InfoStealer

Bartallex — семейство зловредов, использующих «макросы» в документах Word|Excel, применяются в том числе для дальнейшей загрузки дополнительного вредоносного кода.

Материалы по теме

http://blog.trendmicro.com/trendlabs-security-intelligence/enterprises-hit-by-bartalex-macro-malware-in-recent-spam-outbreak/

Метод доставки

На почту заказчика было доставлено почтовое сообщение с вложенным файлом Payment_Advice.doc.

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз) по итогам антивирусной и анти-спам проверок не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  •  cбор сведений о системе через различные системные вызовы и реестр;
  •  многократные попытки «уснуть» (метод обхода «песочницы»);
  •  создание и запуск исполняемых файлов: C:\Documents and Settings\All Users\Memsys\ms.exe -Parentname: C:\Program Files\Microsoft Office\Office12\WINWORD.EXE;
  •  запуск команд Command Line: C:\Documents and Settings\All Users\Memsys\ms.exe, C:\Documents and Settings\%USER%\Application Data\Fuhycy\eboz.exe;
  •  инъекция кода из eboz.exe в ms.exe, winword.exe, explorer.exe (попытка обход антивируса);
  •  открытие порта TCP-сокета 0.0.0.0:12685;
  •  подключение к внешнему серверу для получения конфигурации: hxxp://gpdi-lippocikarang.com/dodo/server/config.jpg.

Ransom.Troldesh

В ходе тестирования была обнаружена модификация «трояна-криптолокера» Ransom.Troldesh. Вирус шифрует данные пользователя, а затем выдает сообщение с требованием заплатить «выкуп» злоумышленнику для расшифровки данных. Также может быть использован для загрузки дополнительного зловредного кода на скомпрометированную рабочую станцию.

Материалы по теме

https://www.pcrisk.com/removal-guides/10070-troldesh-ransomware

https://support.kaspersky.ru/12015#block2

Метод доставки

На почту конкретного сотрудника организации было доставлено почтовое сообщение с вложенным файлом adB406F.tmp.

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз) по итогам антивирусной и анти-спам проверок не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  •  сбор сведений о системе (различные системные вызовы);
  •  перебор запущенных процессов;
  •  изменение настроек IE через реестр;
  •  инъекция кода в копию своего процесса (метод обхода антивирусов);
  •  создание файлов, похожих на системные процессы, и обеспечение автозапуска через реестр: C:\ProgramData\Windows\csrss.exe;
  •  многократные попытки «уснуть» (метод обхода «песочницы»);
  •  перебор процессов Windows, захват окна;
  •  открытие TCP-сокета на локальном порту 127.0.0.1:1069 и подключение к нему (метод обхода антивирусов);
  •  создание ключа в реестре с private key: REGISTRY\MACHINE\SOFTWARE\System32\Configuration\"pk" = -----BEGIN PUB LIC KEY<ключ в base64>;
  •  создание текстовых файлов на диске С: с руководством к оплате «выкупа»: C:\README<1-10>.txt;
  •  попытки связаться с внешними серверами по IP для получения ключей: 154.35.32.5 (TCP/443), 208.83.223.34 (TCP/80), 194.109.206.212 (TCP/443).

Web.Exploit.Malware.Binary

Неизвестный вредоносный код, тип — «веб-эксплойт». После первичной компрометации рабочей станции проводит инъекцию в процесс iexplorer.exe (Internet Explorer) и загрузку частей вредоносного кода (HTML, JavaScript, Flash) с различных веб-ресурсов.

Метод доставки

При загрузке веб-страницы на рабочую станцию загружается и выполняется вредоносный код Flash, JavaScipt.

Обнаружение

Существующие средства защиты (защищенный прокси-сервер) по итогам антивирусной и репутационных проверок не обнаружили угроз на посещаемом пользователем веб-ресурсе.

Данный инцидент был обнаружен в отчете тестируемых «песочниц». Инфицированная рабочая станция была переведена в «карантин».

Поведение в «песочнице»

  •  инъекция кода в процесс iexplorer.exe (Internet Explorer);
  •  попытки скачивания частей вредоносного кода с веб-ресурсов;
  •  создание временных исполняемых файлов C:\Users\%USER%\AppData\Local\Microsoft\Windows\Temporary Internet Files\.

 

Выводы

В ходе тестирования за месяц были обнаружены многочисленные угрозы информационной безопасности, связанные с вредоносными программами.

По итогам тестирования выяснилось, что существующие антивирусные средства защиты заказчика, функционирующие на уровне почтового шлюза, прокси-сервера и рабочих станций, показали высокую степень защиты от известного зловредного кода, но оказались недостаточно эффективными при противодействии угрозам «нулевого дня», в том числе при обнаружении модифицированных вирусов.

В результате анализа входящих почтовых сообщений и веб-трафика пользователей тестируемыми средства защиты были обнаружены и заблокированы попытки заражения неизвестными и модифицированными зловредами типов Trojan, Worm, Backdoor, Trojan.Downloader, Ramsomware, Spyware. Данные образцы вредоносных программ не были заблокированы штатными средствами антивирусной защиты заказчика и имели низкий рейтинг обнаружения антивирусным ПО, согласно данным VirusTotal.

В случае заражения рабочих станций заказчика таким вредоносным кодом злоумышленник может получить доступ к конфиденциальной информации заказчика и его клиентов, информации, составляющей коммерческую тайну, и нарушить работоспособность информационных ресурсов заказчика, что может привести к существенным репутационным и финансовым потерям.

При выборе комплекса средств защиты типа «сетевая песочница» рекомендуется обратить внимание на следующие характеристики решений:

  •  возможность функционирования решения в режиме блокирования, а не только для анализа копии трафика;
  •  поддерживаемые образы виртуальных ОС (Windows XP/7/8/10, Linux, macOS, Android) и их актуальность для целевой инфраструктуры;
  •  возможность интеграции с существующими средствами защиты, почтовым шлюзом и прокси-сервером;
  •  типы поддерживаемых файлов и протоколов для инспекции;
  •  наличие специализированного агентского ПО для защиты конечных точек сети.

В заключение необходимо отметить, что защита от целевых атак и угроз «нулевого дня» требует системного подхода к вопросу. Ни одно средство защиты не будет эффективно, если в организации не реализована сбалансированная и комплексная система обеспечения ИБ, не выстроены процессы управления ИБ, обнаружения и расследования инцидентов.

Немаловажным фактором также остается повышение осведомленности сотрудников организации в области информационной безопасности и грамотная настройка существующих средств защиты. При соблюдении этих условий «песочницы» станут эффективным средством противодействия современным угрозам информационной безопасности и важным элементом комплексной системы ИБ организации.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru