Главная » Блоги Экспертов И ИТ-Компаний » Мгновенное выявление вредоносного ПО и несанкционированной активности в ИТ-инфраструктуре организации

Мгновенное выявление вредоносного ПО и несанкционированной активности в ИТ-инфраструктуре организации

Средний срок выявления вирусов, закладок и любого другоговредоносного ПО составляет 70 дней. Нередки случаи, когда их разрушительная деятельность не обнаруживается вообще. Однако при развитии компании в современном мире без развития ИТ-инфраструктуры, а следовательно, и без увеличения риска атак и потери данных не обойтись. В связи с этим, средства обнаружения вредоносного ПО рассматирваются сейчас в качесте основного среди средств защиты информационных активов любой компании.

Zombie Zero – это метод атаки, который специалисты TrapX обнаружили в 2014 году. Начиная с мая 2013 года, этим способом были скомпрометированы как минимум восемь компаний. Zombie Zero необычен тем, что точкой входа для него является вредоносная программа,  загруженная в аппаратное обеспечение, которое производится заводом-изготовителем и затем продаётся ничего не подозревающему заказчику.

В рассматриваемом случае вредоносное ПО Zombie Zero было загружено в новые сканеры, которые были произведены в Китае. Они продавались на открытом рынке транспортным и логистическим компаниям. Среди них были крупнейшие производственные компании в мире. После установки и включения сканеров на месте эксплуатации тайно установленное ПО сразу получало доступ к ИТ-инфраструктуре внутри периметра. Таким образом, сеть оказывалась скомпрометированной изнутри, и после удаленного обновления вредоносное ПО приобретало дополнительные функции, которые помогали злоумышленникам в Китае скачивать конфиденциальную финансовую и транспортную информацию.

В процессе расследования было установлено, что сканеры были приобретены семью транспортно-логистическими и одной производственной компанией для использования их в процессе контроля отгрузки товаров.

Реальный масштаб этого заражения не знает никто, за исключением, наверное, самого организатора.

Атака Zombie Zero, судя по всему, берёт своё начало в Китае, в районе, расположенном рядом с Университетом Ланьсян, сеть которого ранее была задействована в операциях китайского правительства в разведывательных операциях. Данный университет находится в провинции Шаньдун, неподалёку от места, где были произведены сканеры, и этот факт уже нельзя расценивать как случайное совпадение, особенно учитывая то, что Ланьсян был замешан в предыдущих атаках на Google и другие корпорации США в рамках кампании «Операция Аврора».

Отследить атаку до самого источника всегда очень сложно. Опытные и хорошо подготовленные хакеры, поддерживаемые государством, могут для заметания следов изменять код, удаляя «сигнатуры», запускать атаки из различных мест, особенно из-за пределов той страны, в которой они находятся, а также использовать разнообразные зашифрованные сетевые сервисы VPN и IP2 / TOR, бросая тень на другие государства.

Опасность программных закладок

Предустановленное вредоносное ПО обычно срабатывает неожиданно и захватывает компании врасплох. Мы не думаем о безопасности всей цепи поставок и склонны считать, что новое устройство не содержит вредоносных программ и скрытых инструментов злоумышленников. Однако те случаи, в которых оборудование производится за рубежом, доказывают обратное. Всё чаще встречаются случаи, когда вирусное ПО предустанавливается на новых компьютерах, периферийных устройствах, коммутаторах, брандмауэрах, картах памяти и интернет-устройствах (IoT).

Вредоносные программы также могут быть помещены в прошивку и аппаратное ПО новых микросхем. В последние годы правительственные структуры разных стран стали уделять этим проблемам больше внимания. Поддерживаемые госструктурами злоумышленники могут использовать заранее установленное вредоносное ПО для нанесения удара по секретным правительственным программам, используя для этого цепочку поставок подрядчиков, которые обеспечивают её работу.

Источники предварительно установленных вредоносных программ включают государственные структуры, преступные организации и даже производителей устройств. Задачи национальной безопасности приводят к появлению микросхем с предустановленным вредоносным ПО. Государственные структуры постоянно предпринимают попытки внедрять скомпрометированные устройства в цепи поставок организаций. Главная цель - получить возможность для получения конфиденциальной информации.

Организованная преступность обычно преследует более примитивную цель - деньги. Предустанавливая вредоносное ПО на новые устройства, преступные организации могут быстро разворачивать масштабные бот-сети, которые затем можно использовать для разных целей. Например, специалисты Microsoft, изучая контрафактное ПО в Китае в 2012 году, обнаружили на новых компьютерах вредоносное ПО «Nitol», которое открывало доступ к скомпрометированным компьютерам с поддомена 3322.org, который является в Китае доменом верхнего уровня.

«Nitol» - это семейство крайне опасных троянов, которые запускают DDoS-атаки, обеспечивают доступ и контроль через закладки, а также загружают и запускают файлы на зараженных компьютерах. Если вставить USB-накопителя в компьютер, который инфицирован «Nitol», то троян сам скопирует себя на диск, а затем и на тот компьютер, к которому будет подключён USB-накопитель. «Nitol» поддерживает DDoS-атаки, программные закладки, обеспечивает последующий контроль заражённых компьютеров, загрузку на них и скачивание с них любых файлов и другие вредоносные действия.

Другой пример касается одного крупного производителя компьютеров в Китае, который предустанавливал вредоносное ПО на новые ноутбуки. Этой компании запретили поставлять компьютеры для оборонных и правительственных организаций.

Конкретный пример Zombie Zero

Специалисты TrapX обнаружили, что китайский производитель реализовал сканеры, работающие под ОС Windows XP с предустановленным Zombie Zero. Компания TrapX считает, что данный производитель несёт прямую ответственность за данное вредоносное ПО, поскольку последующий более глубокий анализ показал, что 16 из 48 сканеров, приобретенных заказчиком, были заражены вирусным ПО. Та же самая вредоносная программа была обнаружена в файле обновления прошивки на веб-сайте производителя. В соответствии с нашей политикой раскрытия информации, мы сообщаем, что данная компания удалила заражённое обновление прошивки сразу после того, как TrapX заявил об этой проблеме, но позже обновление с вредоносным ПО было выложено снова.

Данная модель сканера с вирусом Zombie Zero была продана одной производственной компании и ещё семи другим заказчикам. Вредоносная программа осталась во встроенной версии Windows XP на размещённом в Китае веб-сайте поддержки производителя.

Целевая аудитория

Объектом изучения в данном случае стал процесс применения сканеров. Они использовались для отслеживания передвижения товаров, этапов погрузки и выгрузки с кораблей, грузовиков и самолётов. Отсканированные данные (происхождение товара, назначение, содержимое, стоимость, погрузка, разгрузка и т. д.) передавались в корпоративную ERP через внешнюю беспроводную сеть.

Клиент развернул сканеры на двух основных сайтах. На сайте 1 между корпоративной производственной сетью и беспроводной сетью сканеров конечных точек, обеспечивающей разделение интересов между вычислительными средами, был установлен межсетевой экран. На сайте 2 не было межсетевого экрана.

Клиент выстроил серьёзную защиту с использованием брандмауэров ведущих брендов, IPS, IDS, mail-шлюзов и конечных продуктов на основе агентов. ERP клиента была поставлена одним из ведущих вендоров в мире. Клиент установил сертификаты безопасности на сканеры для сетевой проверки подлинности, но так как вредоносное ПО уже было установлено на оборудовании, сертификаты оказались скомпрометироваными.

Скомпрометированные сканеры дали злоумышленникам возможность закрепиться внутри сети компании, создать опорную точку, которая затем могла бы быть использована для компрометации всей сети компании. Так у злоумышленников появилась закладка внутри сетевой инфраструктуры. С помощью неё они могли спокойно получить доступ к большей части узлов внутри периметра, включая устройства IoT, которые практически не сканировались стандартным программным обеспечением защиты конечных точек. Эвристический анализ и программное обеспечение обнаружения вторжений не могли отследить эту закладку внутри устройства.

На первом этапе атаки вредоносное ПО сканировало сеть при помощи протоколов общего доступа к файлам Windows (SMB, порты 135/445) и удаленного администрирования (RADMIN порт 4899), чтобы обнаружить серверы со словом «finance» в имени хоста.

Хотя корпоративные файерволы обычно блокируют SMB, они часто оставляют удаленные порты администрирования открытыми для облегчения управления серверами в масштабах всей сети. Поскольку многие компании также используют в имени сервера дескрипторы, то при размещении ERP-систем в сети атака была бы успешной. Для загрузки дополнительного программного обеспечения на уязвимые ERP-системы, а затем и во все финансовые базы данных использовалась сеть системы контроля и управления (CnC). Второй этап атаки обеспечивал загрузку «спящего» вируса со сканера. Таким образом, вредоносное ПО сначала установило полноценное CnC-соединение с китайским ботнетом, расположенным в учебном заведении Ланьсянь, входящем в сеть Unicom провинции Шаньдун, Китай, (China Unicom Shandong province network). Затем с ботнета была загружена вторая часть вируса, которая создала более сложную CnC-сеть финансового сервера компании. Параллельно в Пекине была установлена вторичная скрытая CnC-сеть (информация о владельце IP-адреса была недоступна).

Поведение Zombie Zero

После того, как сканер был подключен к беспроводной сети, он сразу же начал автоматическую атаку на корпоративную среду по протоколу SMB (порт 135/445). На сайте №1, где клиент сегментировал сеть с помощью брандмауэра, атака SMB была отражена. Однако вредоносное ПО было полиморфным и автоматически запустило вторую атаку, используя протокол RADMIN (порт 4899), в результате которой ему удалось инфицировать  девять серверов. Вторичная атака на сайт №1 оказалась успешной, потому что на сайте №2 не был установлен брандмауэр.

Клиент развернул в своей сети 48 сканеров данного китайского производителя, 16 из которых были заражены вредоносным ПО APT (целенаправленная устойчивая угроза). Все атаки со сканеров были нацелены на конкретные корпоративные серверы. Вирус искал и компрометировал те серверы, у которых в имени хоста содержалось слово «finance». Эта система ERP управляла всеми аспектами корпоративных транзакций в компании, включая, помимо всего прочего, финансовые данные, данные клиентов и подробную информацию об отгрузках и грузовых декларациях.

В результате атаки злоумышленникам удалось найти и скомпрометировать финансовый сервер ERP, что позволило им удалённо получить над ним полный контроль. Нападавшие скачали все финансовые данные и данные ERP, получив полную картину о работе данной компании во всем мире.

Обнаружение Zombie Zero

Для получения доказательств в среде клиента была установлена TrapX DeceptionGrid™, которая сразу начала передавать данные сертифицированному провайдеру службы безопасности TrapX (MSSP). Через несколько минут было получено предупреждение об обнаружении атаки.

Клиент немедленно потребовал, чтобы специалисты TrapX установили на сайте №2 дополнительные компоненты DeceptionGrid. Это было сделано удаленно, и через 60 секунд на сайте №2 была обнаружена первая атака. Программное обеспечение TrapX обнаружило и отследило распространение атаки от считывателей штрихового кода внутри сети. Данная атака затронула нескольких установленных ловушек (набор «приманок» в виде серверов и рабочих станций, развернутых по всей сети) и была классифицирована как «вредоносная деятельность» с чрезвычайно высокой вероятностью.

Технология имитации

Введение в DeceptionGrid

Сегодня вопрос заключается не в том, смогут ли злоумышленники проникнуть в вашу сеть, а в том, когда это они это сделают и как часто это будет повторяться. Атакующие используют всё более изощренные методы для проникновения в самые надежные средства защиты периметра и конечных устройств. Как узнать, взломали вашу сеть или нет? Есть ли способ быстро идентифицировать злоумышленников? Каковы их намерения? Как можно быстро остановить атаку и вернуться к нормальной работе?

Архитектура TrapX Deception in Depth отвечает на все эти вопросы при помощи мощной многоуровневой платформы (DeceptionGrid ™), которая отслеживает каждый этап сложной атаки с помощью отдельного слоя ловушек-имитаторов. По мере развития атаки DeceptionGrid переводит её на каждом уровне на «приманку», где срабатывают ловушки, блокирующие атакующих.

Когда кибер-злоумышленники проникают в корпоративную сеть, они стремятся развить атаку во всех направлениях, чтобы найти целевые объекты с высокой стоимостью. TrapX Deception in Depth сочетает в себе широкие возможности имитации ИТ-инфраструктуры для привлечения атакующих к ложным узлам и приманкам с помощью ложных видов атак, которые точно соответствуют поведению злоумышленников. Эта многоуровневая архитектура создаёт для злоумышленников привлекательную среду, где их ждёт мгновенная идентификация. Атакующему достаточно только один раз среагировать на объект DeceptionGrid, и система сраз увыдаст предупреждение о нарушении. Также DeceptionGrid интегрируется с ключевыми элементами сети и экосистемой безопасности для сдерживания атак и обеспечения нормальной работы.

Этот многоуровневый подход к взаимодействию максимально масштабирует имитационную поверхность для приманки злоумышленника, позволяя TrapX быстро выявлять нападающих, определять их намерения и собирать подробные криминалистические данные и доказательства. Такой глубокий анализ вредоносной активности в сети может минимизировать или устранить риск причинения вреда интеллектуальной собственности, ИТ-активам, критической инфраструктуре и влияния на бизнес-операции.

Высокая точность обеспечивает минимальное количество срабатываний на инциденты

На крупных предприятиях обычные средства киберзащиты, такие как брандмауэры и ПО по защите конечных точек, могут ежедневно генерировать тысячи или даже миллионы сообщений, перегружая систему кибербезопасности. К сожалению, всего лишь одно успешное проникновение может поставить под угрозу всю сеть. DeceptionGrid использует другой подход. В отличие от брандмауэров и ПО защиты конечных точек, которые генерируют предупреждения на основе вероятностей, предупреждения DeceptionGrid являются бинарными: злоумышленники либо пытаются атаковать наши ловушки, либо нет. Если это происходит, мы с почти 100-процентной уверенностью знаем, что это атака.

Основные компоненты DeceptionGrid ™ / DeceptionGrid Core Functionality

DeceptionGrid позволяет легко автоматизировать развертывание всеобъемлющей многоуровневой среды имитации. Эта среда включает в себя:

- приманки уровня конечных устройств - они появляются как обычные файлы, скрипты и базы данных, встроенные в реальные ИТ-активы. Они предназначены для привлечения внимания злоумышленников, которые исследуют внутреннюю структуру конечных точек, и заманивают атакующих в ловушки. Функция активных ловушек создает между ними поток ложного сетевого трафика, чтобы запутать и перенаправить злоумышленников, отслеживающих сетевой трафик;

- имитационные ловушки среднего уровня - они могут эмулировать большое количество ИТ-активов и устройств IoT без привлечения дополнительного ПО и приложений и предназначены для немедленной идентификации злоумышленника в момент перехода от конечной точки к сетевым системам. Все эти ловушки могут быть автоматически развернуты в масштабах крупного предприятия на любых объектах информационной инфраструктуры. Ловушки среднего взаимодействия включают расширенные шаблоны для специализированных устройств, применяемых в различных отраслях. Эти шаблоны включают в себя активы ATM и SWIFT для финансовых услуг или устройства POS-терминалы для розничной торговли, а также аппараты, которые используются медицине, производстве и многое другое, что позволяет владельцам этих ресурсов определять направленность и характер атаки, а также степень подверженности таких активов угрозам;

- ловушки с высокой степенью взаимодействия  - это целые операционные системы и приложения, предназначенные для создания зеркала критических активов и глубокого вовлечения атакующих внутрь сети, чтобы за это время можно было собрать о них подробную криминалистику;

Функция активных ловушек (Active traps feature) – создаёт иллюзию реального сетевого трафика. Deception in Depth делает иллюзию ещё убедительнее, создавая такую же иллюзию сетевого трафика среди ловушек.

Функция автоматического сбора криминалистической информации (Full Automated Forensics) обеспечивает изоляцию инструментов злоумышленника и вредоносное ПО в режиме реального времени с возможностью его последующей пересылки для расширенного анализа. Службы анализа вредоносных программ TrapX работают на базе интеграции с экосистемами, а также могут работать в облаке. TrapX объединяет в единое целое аналитические данные с результатами постоянного мониторинга, предоставляя команде центра операций по обеспечению безопасности всестороннюю оценку угроз ИТ-инфраструктуры.

Опция Network Intelligence Sensor анализирует исходящие сообщения и вместе с анализом активности создает полную картину скомпрометированных активов и активности злоумышленников.

AIR Module был разработан для быстрого автоматизированного судебно-критического анализа подозрительных конечных точек. Он является основным компонентом DeceptionGrid и ключевой частью нашей архитектуры Deception in Depth. Автоматический анализ инициируется признаками компрометации (IOC), которые определяет DeceptionGrid, что часто указывает на скомпрометированные конечные точки. Модуль AIR выполняет полный, полностью автоматический судебный анализ любых подозрительных конечных точек, а затем загружает артефакты судебных экспертиз из конечных точек в модуль AIR. Затем модуль выполняет интеллектуальную корреляцию интеллекта с артефактами для завершения анализа.

Интегрированное управление событиями и аналитика угроз (Integrated Event Management and Threat Intelligence). Информация из автоматизированного судебно-медицинского анализа передаётся в систему управления с уникальным идентификатором, а затем хранится в интегрированной базе данных событий. Механизм бизнес-аналитики объединяет эту информацию с данными изучения угроз с целью предотвращения будущих атак. Центр анализа сетевых угроз отслеживает исходящую активность на реальных хостах на основе информации о злонамеренной деятельности, обнаруженной в системах приманки.

Модуль CryptoTrap™ является ещё одним важным компонентом DeceptionGrid и ключевой частью архитектуры Deception in Depth. CryptoTrap разработан специально для того, чтобы обманывать, блокировать и нейтрализовать действие вирусов-вымогателей в начале атаки, останавливая её и защищая ценные ресурсы. Вместо них создаются ловушки. Клиенты также могут предоставлять для приманок свои собственные данные, чтобы сделать информацию более аутентичной. CryptoTrap мгновенно реагирует на атаки вирусов-вымогателей, блокируя их и отключая от источника атаки для защиты реальных систем.

Евтишенков Игорь

Более подробно: http://softprom-blog.ru/trapx.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
---



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>