В рубрику "Таргетированные атаки" | К списку рубрик | К списку авторов | К списку публикаций
Рассмотрим, за счет каких технологий удается достичь результата в обнаружении таргетированной атаки.
Часть основополагающих технологий детектирования были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.
Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.
Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (Dashboard).
Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры, где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующим уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.
В целях обеспечения комплексного мониторинга решение анализирует следующую информацию:
Далее мы подробней расскажем про архитектуру решения и опишем функциональное назначение каждого уровня в отдельности.
Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни "делятся" анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который, в свою очередь, осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.
Рассмотрим применяемые технологии на каждом из уровней решения (см. рисунок).
Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, серверы электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.
Для сбора сетевых данных применяются следующие технологии:
Технология сигнатурного детектирования, применяемая на первом уровне, основана на технологии SNORT и отвечает за проверку сетевого трафика. Приведем несколько примеров обнаружения данной технологией:
Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:
Второй уровень приведенной выше общей схемы решения отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.
Рассмотрим некоторые реализованные на этом уровне технологии:
• Антивирусный движок (Anti-Malware Engine) – выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика.
Помимо файлов, из трафика производится проверка вложений электронной почты, перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа. l YARA-правила – реализована работа с открытым языком сигнатурного описания, что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых или бинарных шаблонах.
• Облачное детектирование – облачный сервис, предоставляющий оперативный доступ к базам знаний компании, в которых содержится информация по следующим категориям:
– База URL-репутации проверяет посещаемые URL, выносит вердикт по опасным и ненадежным адресам в сети Интернет, которые могут предоставлять угрозу безопасности пользователей. Также контроль распространяется и на электронные письма, в которых могут содержаться опасные URL-ссылки.
Категории Web-адресов, содержащиеся в репутационной базе данных:
– База репутации файлов использует для работы снятые контрольные суммы файлов выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках.
Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.
Каждый вердикт сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа.
– Risk Score Engine – анализ apk-файлов мобильной операционной системы Android.
Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk-файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.
Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.
Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно неважно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. То же самое касается URL-адресов, после прохождения репутационной базы они будут переданы на уровень динамического анализа.
Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред, на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.
Технология динамического анализа присутствует на рынке достаточно давно, и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:
В связи с этим песочница "Лаборатории Касперского" обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых:
Также песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.
Необходимо отметить две дополнительные задачи, решаемые песочницей:
1. Проверка неизвестных URL-адресов.
Дело в том, что в реализации второй фазы таргетированной атаки ("проникновение") киберпреступники могут скомпрометировать доверенный сторонний Web-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.
2. Проверка вложений электронной почты.
Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.
Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.
На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный – Красный, средний – Желтый, незначительный – Серый).
Targeted Attack Analyzer – анализатор таргетированных атак. Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.
Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:
1. Накопительный ретроспективный анализ и поиск аномалий.
Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.
Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой "Лаборатории Касперского" (распространенность, время жизни объектов, репутация, категоризация доменов и файлов и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.
Пример накопительного ретроспективного анализа:
Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.
1. Связь в хронологическом порядке подозрительной активности, относящейся к атаке.
Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.
Приведем пример перечня данных, на базе которых выстраивается хронологическая связь:
2. Сбор объектов с рабочих машин пользователей.
Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу либо статического анализа.
Поддерживается сбор следующих типов объектов:
Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.
В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.
1. Уровень сбора информации – обновление сигнатур для технологии обнаружения вторжений.
2. Статический анализ – обновление компонентов антивирусного движка; обновление методов анализа электронной почты.
3. Динамический анализ объектов – обновление логики определения подозрительности поведения в том числе Anti-Evasion-техник.
4. Статистический анализ – обновление логики анализа и выявления аномалий; правила заведения групповых инцидентов.
Задачу динамических обновлений решает специализированный сервис "Лаборатории Касперского", обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.
В случаях использования решения в закрытом контуре предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.
Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.
Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:
• Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.
• Внешний экспертный сервис "Расследование инцидентов" полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.
Задачи, решаемые экспертным сервисом:
Технология является продолжением развития специализированных решений, именуемых Honeypot, – предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, серверы), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.
Однако зачастую решения класса Honeypot не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.
Threat Deception подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса Honeypot. Threat Deception предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа, проводимого экспертом ИБ. Для этого в процессе имплементации решения защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.
Внутри ловушки повторяют основной набор бизнес-приложений и содержат специальные файлы-приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла-приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP-адрес, время, наименование ловушки).
Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.
На этом наш цикл статей завершен, мы надеемся, что он помог детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016