24.12.2016

Тестирование средств защиты от АРТ. Сравниваем «песочницы»

taratinov

Автор: Павел Таратынов

Должность: Начальник отдела безопасности сетевых технологий «Информзащиты»

Целенаправленные атаки и защита от них остаются одной из самых актуальных тем в ИБ-сообществе.  Немало прочитано докладов и написано статей на эту тему. Но как обстоят дела на практике, насколько эффективны предлагаемые меры защиты? Мы постарались это выяснить и провели тестирование «сетевых песочниц» в боевых условиях, на реальном интернет-трафике пользователей в головном офисе крупной телеком-компании.

Введение

Целевые (или таргетированные) атаки – это атаки, направленные на конкретную организацию, группу компаний либо отрасль и реализуемые на длительном отрезке времени, с использованием значительных ресурсов злоумышленника. При проведении таких атак часто используется зловредный код, разработанный или модифицированный специально для достижения цели. В англоязычной варианте для обозначения данного типа угроз используется термин «Advanced Persistant Threats» (далее – АРТ).

 Свойством данного вида атак является длительный характер воздействия на цель и сложность обнаружения. Злоумышленник «закрепляется» в скомпрометированной информационной системе и, действуя максимально скрытно, длительное время сохраняет контроль и доступ к конфиденциальной информации.

Изначально объектами целевых атак становились крупные правительственные организации, объекты военной и промышленной инфраструктуры, крупные банки. Но с течением времени, возможность использования эксплоитов и вирусов «нулевого дня» появляются у большего числа злоумышленников и, как следствие, расширяется круг потенциальных целей.  На сегодняшний день имеет смысл говорить не только об угрозах целевых атак в их изначальном понимании, но и о более массовых атаках с использованием модифицированных вирусов, позволяющих обходить традиционные сигнатурные методы обнаружения и блокирования.

В алгоритме проведения большинства целевых атак можно выявить последовательность действий, предпринимаемых злоумышленником при подготовке и проведении атаки. Такая последовательность действий злоумышленника получила название Cyber Kill Chain («убийственная» цепочка).  В рамках этой цепочки выделяется семь стадий проведения атаки:

  1. Разведка (Reconnaissance). Злоумышленник собирает данные о жертве, анализирует возможные пути проникновения в информационную систему. Часто для сбора информации злоумышленнику достаточно открытых источников данных – профайлы в соцсетях, сайт компании, списки рассылки и т.п.
  2. Вооружение (Weaponization). Подготовка файла с вредоносным содержимым (например, PDF или MS Office) для дальнейшей доставки жертве.
  3. Доставка (Delivery). Доставка вредоносного контента жертве, чаще всего посредством e-mail, веб-ресурса или USB-флешки.
  4. Заражение (Exploitation). Запуск вредоносного кода на целевой рабочей станции   жертвы.
  5. Инсталляция (Installation). Установка вредоносного ПО на целевой рабочей станции жертвы.
  6.  Получение управления (Command and Control).  Организация скрытого канала управления зараженной рабочей станцией, получение дополнительных модулей вредоносного кода, взаимодействие с C&C-серверами.
  7. Выполнение действий (Actions on Objective). Сбор и кража конфиденциальных данных, шифрование файлов, перехват управления, подмена данных и другие действия, в зависимости от цели атаки.

На текущий момент рынок решений по противодействию и обнаружению подобного рода угроз находится в стадии становления. Производители предлагают широкий спектр средств защиты от угроз АРТ, но часто такое позиционирование продукта делается в угоду маркетингу и не отражает реальной эффективности решений.

Однако, среди существующих на рынке средств защиты, одним из наиболее зрелых и уже доказавшим свою эффективность решений являются «песочницы». Средства защиты типа «песочница» позволяют проводить автоматизированный статистический и динамический анализ подозрительных файлов в виртуализированной среде, и при необходимости блокировать их. Это позволяет безопасно оценить «поведение» и последствие открытия подозрительного файла.  При этом, решения данного класса полагаются не на сигнатурные механизмы обнаружения вредоносного кода, а на оценку действий, выполняемых кодом, их безопасности и корректности в данной программном окружении. Анализ файла производится в виртуальной среде, идентичной используемой у пользователя рабочей станции (версия ОС, версии прикладного ПО, и т.д.). Необходимо добавить, что анализ файлов производится в автоматическом режиме и не требует специальных знаний в части анализа кода от администратора системы.

Принцип работы «песочниц» позволяет, в отличие от альтернативных решений по защите от АРТ, не только обнаружить следы целевой атаки в информационной системе, но и заблокировать атаку еще на стадии доставки зловредного кода пользователю (см. выше – Cyber Kill Chain). А независимость от сигнатурных методов детектирования позволяет обнаружить вредоносный код «нулевого дня», специально разработанного/модифицированного для проведения целевой атаки.

Тем не менее, реализация описанных выше механизмов защиты требует значительных вычислительных ресурсов. Их реализация на уровне конечных рабочих станций невозможна либо неэффективна, поэтому производители предлагают специализированные программно-аппаратные комплексы, работающие на уровне сети.

Наиболее распространенные альтернативные решения, позиционируемые производителями, как средства защиты от АРТ, базируются на следующих принципах или их вариации:

  1. Анализ аномальной сетевой активности (Network Behaviour & Anomaly Detection). Обычно такие решения собирают информацию о сетевой активности посредством протоколов SPAN и NetFlow, строят эталонную модель активности в сети и отслеживают возникающие отклонения. К недостаткам данного типа решений можно отнести невозможность работы в режиме блокирования и сравнительно высокие требования к квалификации эксплуатирующего персонала.
  2.  Защита конечных точек нового поколения (Next-Generation/Advanced Endpoint Protection). Решения подобного рода полагаются не на сигнатурные методы обнаружения, а отслеживают аномальную и/или опасную активность на рабочей станции пользователя. Принципы работы могут существенно отличаться в зависимости от решения и производителя – машинное обучение, поведенческий анализ, механизмы «контейнеризации» и white listening (список разрешенного ПО) запускаемых приложений, мониторинг системных процессов и файлов.  Часто такие решения входят в состав решений типа «песочница» как дополнительное агентское ПО.

Такие решения могут быть полезными в качестве «последнего эшелона», но явно недостаточны как единственное средство защиты.

В этой статье описываются результаты тестирования решений типа «сетевая песочница» от следующих компаний-производителей: FireEye, Check Point, Trend Micro.

Тестируемые решения

Платформа Trend Micro для защиты от угроз «нулевого дня» и целенаправленных атак (APT)

Основные компоненты платформы:

1) Deep Discovery Inspector (DDI)

2) Deep Discovery Analyzer (DDAn)

3) Deep Discovery Email Inspector (DDEI)

4) Deep Discovery Endpoint Sensor (DDES)

 

Платформа Check Point для защиты от угроз «нулевого дня» и целенаправленных атак (APT)

Основные компоненты платформы:

1) Check Point Sandblast Threat Emulation Appliance

2) Check Point Security Management Server

3) SandBlast Agent

 

Платформа FireEye для защиты от угроз «нулевого дня» и целенаправленных атак (APT)

Основные компоненты платформы:

1) FireEye NX (Network Protection)

2) FireEye EX (Email Protection)

3) FireEye HX (Host Protection)

4) FireEye CM (Central Management) 

 

Описание методики тестирования

Целями данного тестирования являлись:

  1. оценка эффективности и целесообразности применения «песочниц» в составе комплексной системы ИБ;
  2. оценка эффективности существующих у Заказчика сетевых средств защиты;

Тестирование «песочницы» проводилось в 2 этапа:

  1.  Тестирование с использованием «синтетических» образцов вредоносного кода.
  2.  Тестирование на реальном Интернет-трафике пользователей.

 

Синтетический тест

Синтетические тесты проводились с использованием временных виртуальных машин.

При доставке зловредов в тестовую зону использовались методы, затрудняющие обнаружение традиционными сигнатурными средствами защиты:

  • архивация файла с использованием форматов RAR, ZIP, 7-ZIP, в том числе с защитой архива паролем;
  • почтовые сообщения с веб-ссылками на вредоносный файл, в том числе c использованием «коротких» URL (URL shortening);
  • загрузка зловредного кода по частям;
  • шифрование (AES) вредоносного кода (payload) макроса в документах MS Word.

Необходимо отметить, что т.к. все решения тестировались в реальном сети Заказчика (в изолированной сетевой среде), то прежде чем попасть на анализ в «песочницу», файлы с зловредным кодом проходили анализ и блокировались имеющимися у Заказчика средствами защиты, с использованием сигнатурных и репутационных механизмов. Данный алгоритм тестирования выполнялся, в том числе, с целью оценки эффективности существующих средств защиты.

В рамках тестов анализировались основные каналы получения вирусов:

  • файлы, скачиваемые с веб-ресурсов;
  • файлы вложений в электронной почте

 

Тестирование на реальном Интернет-трафике

В рамках данного этапа тестирования, «песочницы» устанавливались в режиме TAP и получали копию сетевого Интернет-трафика. Все «песочницы» получали идентичную копию сетевого трафика. Сбор сетевого трафика длился 1 месяц.

Контролировались основные каналы получения вирусов из внешних сетей:

  • Электронная почта.
  • Взаимодействие с веб-сервисами в сети Интернет.

 

Результаты синтетического теста

Таким образом из 55 экземпляров, используемых при тестировании анализа веб-трафика, на анализ в «песочницы» попало 32 файла с зловредным кодом, не обнаруженных существующими сигнатурными средствами защиты. При тестировании на почтовом трафике, традиционные сигнатурные СРЕДСТВА ЗАЩИТЫ обнаружили только 1 из 15 зловредов – на анализ в «песочницы» поступило 14 из 15 файлов.

 

Результаты синтетического теста для веб-трафика

В синтетическом тесте для веб-трафика использовалось 55 различных зловредов. Существующими сигнатурными средствами защиты (защищенный шлюз доступа в Интернет) было заблокировано 23 из 55 экземпляров. На тестирование в «песочницы» поступило 32 из 55 файлов-зловредов.

Таблица 1 – Результаты синтетического теста для веб-трафика

  «Песочница» (лучший результат) Существующие СЗИ Заказчика Заказчика (Secure Web Gateway
Обнаруженные вредоносные программы 29/32 0/32

Результаты синтетического теста для почтового трафика

Таблица 2 – Результаты синтетического теста для почтового трафика

  «Песочница» (лучший результат) Существующие СЗИ Заказчика (Secure Email Gateway)
Обнаруженные вредоносные программы 9/14 0/14

Результаты тестов на реальном Интернет-трафике

В итоговый список инцидентов попали угрозы, которые не были заблокированы существующими у Заказчика средствами защиты, и, следовательно, попали на анализ в тестируемые «песочницы».

Таблица 3. Обнаруженные при помощи «сетевых песочниц» вредоносные программы

Тип зловреда Детекты [шт.]
Trojan 34
Worm 2
Backdoor 5
Trojan.Downloader 18
Ransomware 2
Spyware 2
Riskware/Adware 7
использование уязвимости в веб-браузере Web.Exploit 1
использование уязвимости в веб-браузере Mal/FakeAV-SE 1
попыток коммуникаций с внешним сервером управления ботнет-сетями (callbacks) 25
Итого (без учета callbacks) 72

Суммарно за один месяц система защиты от целевых атак зафиксировала 72 угрозы, не заблокированные и не зафиксированные существующими сигнатурными средствами антивирусной защиты.

Ниже описана часть наиболее интересных из обнаруженных инцидентов. Часть обнаруженных в рамках тестирования вредоносных программ не детектируется некоторыми сигнатурными антивирусами даже спустя несколько месяцев после окончания тестирования.

Разбор наиболее интересных инцидентов

InfoStealer.Fareit

Fareit – это семейство вирусов, первые экземпляры которого были зарегистрированы еще в 2012 году. Используется для первоначального проникновения в сеть и компьютеры компании и дальнейшей загрузки дополнительного зловредного кода (Zbot/Zeus, Necurs, например).

Также имеет функционал кражи данных (номера кредитных карт, пароли браузера, почты, FTP), в том числе в защищенных соединениях SSL (посредством MitM).

Обнаружение традиционными сигнатурными средствами затруднено, зловред изменяет hash-сумму вредоносных файлов при каждом новом заражении.

Материалы по теме

http://securityaffairs.co/wordpress/40720/cyber-crime/fareit-malware-multiple-haches.html

Метод доставки

На почту заказчика было доставлено сообщение с вложенным zip-архивом «payment.zip».

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз), по итогам антивирусной и анти-спам проверок, не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  • cбор сведений о системе через различные системные вызовы и реестр
  • реализация функций keylogger (Windows API: SetWindowsHookExA)
  • многократные попытки «уснуть»  – метод обхода песочницы
  • внесение правок в реестр
  • попытка кражи паролей FTP-клиента, MS Outlook, и др. через реестр создание файла с результатами подключения к внешнему серверу методом HTTP POST и отправка данных с обфускацией: hxxp://ursuz.com/rayboy/ponnie/gate.php
  • создание файла с результатами подключения к внешнему серверу методом HTTP POST и отправка данных с обфускацией: hxxp://ursuz.com/rayboy/ponnie/gate.php.

 

Trojan.Generic

Неизвестный зловредный код. Маскируется под файл системы обновления Windows. Зловред крадет логины и пароли приложений пользователей, включая браузеры, почту, FTP‑клиенты, и отправляет собранные сведения командному центру.

Метод доставки

Файл «weupdate_installer.exe». скачан с вредоносного сайта через защищенный прокси-сервер (Secure Web Gateway), метод HTTP GET.

Обнаружение

Защищенный прокси-сервер (Secure Web Gateway, лидер рынка по версии Gartner), после проверки сайта с использованием репутационных сервисов и проведения антивирусной проверки, не обнаружил угроз в скачиваемоv файле. Вредоносный файл поступил на проверку в тестируемую «песочницу» и был заблокирован.

Поведение в «песочнице»

  • сбор данных о рабочей станции через реестр и системные вызовы;
  • попытка «уснуть» на 30 мин.- один из методов обхода «песочниц»;
  • настройка через реестр однократного автоматического запуска инсталлятора;
  • отключение debugger и отслеживания процессов на уровне ОС через реестр: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Tracing\weupdate_installer_RASAPI32\”EnableFileTracing” = 0×00000000 и другие ключи
  • попытки подключения к серверам C&C и скачивания обновления

 

Trojan.Adwind

Adwind – cемейство кроссплатформенного вируса написанного на Java.

Материалы по теме

https://securelist.com/blog/research/73660/adwind-faq/

https://blog.kaspersky.com/adwind-rat/11252/

Метод доставки

На почту заказчика было доставлено почтовое сообщение с вложенным jar-файлом «payment & shipment.jar».

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз), по итогам антивирусной и анти-спам проверок, не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  • создание и запуск VBScript-скриптов
  • Создание временного текстового файла
  • создание скрытого файла: C:\Users\%USER%\ERvKgDNpQEC\xkbdZwfWLAC.qrADgK
  • обеспечение автозапуска через реестр
  • сокрытие папки C:\Users\%USER%\ERvKgDNpQEC\ с помощью attrib.exe
  • удаление ранее созданного VBScript

 

Bartallex.InfoStealer

Bartallex – семейство зловредов, использующих «макросы» в  документах Word|Excel и используемое, в том числе, для дальнейшей загрузки дополнительного вредоносного кода.

Материалы по теме

http://blog.trendmicro.com/trendlabs-security-intelligence/enterprises-hit-by-bartalex-macro-malware-in-recent-spam-outbreak/

Метод доставки

На почту заказчика было доставлено почтовое сообщение с вложенным файлом «Payment_Advice.doc».

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз), по итогам антивирусной и анти-спам проверок, не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  • cбор сведений о системе через различные системные вызовы и реестр
  • многократные попытки «уснуть» (метод обхода песочницы)
  • создание и запуск исполняемых файлов :C:\Documents and Settings\All Users\Memsys\ms.exe -Parentname: C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
  • запуск команд Command Line: “C:\Documents and Settings\All Users\Memsys\ms.exe”, C:\Documents and Settings\%USER%\Application Data\Fuhycy\eboz.exe
  • инъекция кода из eboz.exe в ms.exe, winword.exe, explorer.exe (попытка обход антивируса)
  • открытие порта TCP-сокета 0.0.0.0:12685
  • подключение к внешнему серверу для получения конфигурации:hxxp://gpdi-lippocikarang.com/dodo/server/config.jpg

 

Ransom.Troldesh

В ходе тестирования была обнаружена модификация «трояна-криптолокера» Ransom.Troldesh. Вирус шифрует данные пользователя, а затем выдает сообщение с требованием заплатить «выкуп» злоумышленнику для расшифровки данных. Так же может быть использовано для загрузки дополнительного зловредного кода на скомпрометированную рабочую станцию.

Материалы по теме

https://www.pcrisk.com/removal-guides/10070-troldesh-ransomware

https://support.kaspersky.ru/12015#block2

Метод доставки

На почту конкретного сотрудника организации было доставлено почтовое сообщение с вложенным файлом «radB406F.tmp».

Обнаружение

Существующие средства защиты (защищенный почтовый шлюз), по итогам антивирусной и анти-спам проверок, не обнаружили угроз в почтовом сообщении и вложении. Почтовое сообщение с вложением поступило на проверку в тестируемую «песочницу» и было заблокировано.

Поведение в «песочнице»

  • сбор сведений о системе (различные системные вызовы)
  • перебор запущенных процессов
  • изменение настроек IE через реестр
  • инъекция кода в копию своего процесса (метод обхода антивирусов)
  • создание файлов, похожих на системные процессы, и обеспечение автозапуска через реестр: C:\ProgramData\Windows\csrss.exe
  • многократные попытки «уснуть» (метод обхода «песочницы»)
  • перебор процессов Windows, захват окна
  • открытие TCP-сокета на локальном порту 127.0.0.1:1069 и подключение к нему (метод обхода антивирусов)
  • создание ключа в реестре с private key: REGISTRY\MACHINE\SOFTWARE\System32\Configuration\”pk” = —–BEGIN PUB LIC KEY<ключ в base64>
  • создание текстовых файлов на диске С: с руководством к оплате «выкупа»: C:\README.txt
  • попытки связаться с внешними серверами по IP для получения ключей: 154.35.32.5 (TCP/443), 208.83.223.34 (TCP/80), 194.109.206.212 (TCP/443)

 

Web.Exploit.Malware.Binary

Неизвестный вредоносный код, тип – «веб-эксплоит». После первичной компрометации рабочей станции, проводит инъекцию в процесс iexplorer.exe (Internet Explorer) и загрузку частей вредоносного кода (HTML, JavaScript, Flash) с различных веб-ресурсов.

Метод доставки

При загрузке веб-страницы на рабочую станцию загружается и выполняется вредоносный код Flash, JavaScipt.

Обнаружение

Существующие средства защиты (защищенный прокси-сервер), по итогам антивирусной и репутационных проверок, не обнаружили угроз на посещаемом пользователем веб-ресурсе.

Данный инцидент был обнаружен в отчете тестируемых «песочниц». Инфицированная рабочая станция была переведена в «карантин»

Поведение в «песочнице»

  • Иньекция кода в процесс iexplorer.exe (Internet Explorer);
  • попытки скачивания частей вредоносного кода с веб-ресурсов;
  • создание временных исполняемых файлов C:\Users\%USER%\AppData\Local\Microsoft\Windows\Temporary Internet Files\

Выводы

В ходе тестирования за довольно короткий промежуток времени (время тестирования – 1 месяц), были обнаружены многочисленные угрозы информационной безопасности, связанные с вредоносным ПО.

По итогам тестирования, выяснилось, что существующие средства защиты Заказчика, функционирующие на уровне почтового шлюза, прокси-сервера и рабочих станций, показали высокую степень защиты от известного зловредного кода, но оказались недостаточно эффективными при противодействии угрозам «нулевого дня», в том числе при обнаружении модифицированных вирусов.

В результате анализа входящих почтовых сообщений и веб-трафика пользователей тестируемыми средства защиты были обнаружены и заблокированы попытки заражения неизвестными и модифицированными зловредами типов «Trojan», «Worm», «Backdoor», «Trojan.Downloader», «Ramsomware», «Spyware». Данные образцы вирусов не были заблокированы существующими сигнатурными средства защиты Заказчика и имели низкий рейтинг обнаружения антивирусным ПО, согласно данным VirusTotal.

В случае успешного заражения рабочих станций сотрудников Заказчика таким зловредом, злоумышленник может получить доступ к конфиденциальной информации Заказчика и его клиентов, информации составляющей коммерческую тайну и/или нарушить работоспособность информационных ресурсов Заказчика, что может привести к существенных репутационным и финансовым потерям.

При выборе комплекса средств защиты типа «песочница» рекомендуется обратить внимание на следующие характеристики и функционал решений:

  • возможность функционирования решения в режиме блокирования;
  • поддерживаемые образы виртуальных ОС (Windows XP/7/8/10, Linux, MacOS, Android) и их актуальность для целевой инфраструктуры;
  • возможность интеграции с существующими средствами защиты, почтовым шлюзом и прокси-сервером;
  • типы поддерживаемых файлов и протоколов для инспекции;
  • наличие специализированного агентского ПО для защиты конечных станций;

В заключение необходимо отметить, что защита от целевых атак и угроз «нулевого» дня требует системного подхода к вопросу. Ни одно средство защиты не будет эффективно, если в организации не реализована сбалансированная и комплексная система обеспечения ИБ, не выстроены процессы управления ИБ, обнаружения и расследования инцидентов.

Немаловажным фактором также остается повышение осведомленности сотрудников организации в области информационной безопасности и грамотная настройка существующих средств защиты. Однако, при соблюдении этих условий, «песочницы» станут эффективным средством противодействия современными угрозами информационной безопасности и важным элементом комплексной системы ИБ организации.