- PVSM.RU - https://www.pvsm.ru -
Продолжаем тему сетевых песочниц. В предыдущем модуле [1] я уже привел небольшую “печальную” статистику целенаправленных атак. Резюмируя ранее сказанное, можно сделать несколько основных выводов:
В связи с этим появился относительно новый тип средств защиты…
Песочница
На текущий день это наверно единственный способ борьбы с атаками нулевого дня. В чем собственно заключается задача классической песочницы? Далее будет много картинок из презентации и как обычно видео в конце (как теоретическая, так и практическая часть).
Задача Песочницы очень простая:
Естественно все действия происходят в виртуальной машине в специально подготовленных образах. Казалось бы, вот она победа над атаками нулевого дня. Но не все так просто.
Технологии обхода Песочниц
Как только были анонсированы песочницы как новое средство защиты, началась так называемая “Гонка вооружений”. Хакеры стали писать более умные зловреды:
Данная “гонка” вооружений продолжается до сих пор.
Check Point SandBlast
В связи с озвученными выше проблемами, относительно недавно была представлена новая технология песочниц — CheckPoint SandBlast.
Данная технология предоставляет очень широкий спектр средств защиты:
В этой статье и лабораторных работах мы сосредоточимся на Threat Emulation (т.е.эмуляции файлов) и Threat Extraction (т.е. очистке файлов).
Особенности Threat Emulation
В чем же особенность технологии эмуляции от компании Check Point? Как она справляется с ранее озвученной “гонкой вооружений”? Давайте рассмотрим работу модуля Threat Emulation на примере типового жизненного цикла практических всех зловредов.
Классические (традиционные) песочницы начинают работать именно на этом этапе. Такие песочницы еще называют OS Level. При этом велика вероятность, что песочница все же не сможет справиться с подобным кол-вом типов зловредов.
Подход чекпоинта в данном случае более логичен. Гораздо разумнее перехватывать зловредов там, где меньше всего их вариантов и вероятность их определения стремиться к 100%. Это этап эксплойтов.
Чекпоинт на уровне процессора видит выполнение эксплойта и позволяет заблокировать файл еще до выполнения или скачивания дополнительных модулей. Этот революционный подход (CPU Level) стал возможен после появления процессоров Intel Haswell, где на аппаратном уровне позволяется подобный мониторинг. При этом чекпоинт поддерживает и классический режим песочницы, т.е. OS Level.
Давайте теперь посмотрим как собственно выглядит сбор необходимого shellcodа.
Начнем с того, что передавать зловредный файл целиком на компьютер жертвы весьма примитивно, т.к. в этом случае различные антивирусы или IPS-ы могут определить атаку. Поэтому хакерами был придуман довольно интересный способ. Они стали собирать зловредный код прямо на компьютере жертвы используя уже запущенные процессы. Данный метод был назван ROP, т.е. return oriented programming. На данном слайде можно увидеть как происходит сбор кода для зловреда. Здесь представлена работа Adobe Reader в шеснадцатеричном виде. Выделяются нужные функции и собирается так называемый гаджет. Именно этот процесс (неправильного использования программы) позволяет увидеть и предотвратить Threat Emulation. Мы не будем подробно рассматривать ROP, т.к. это весьма сложная тема и заслуживает отдельного цикла статей.
Проблемы традиционных песочниц
Теперь давайте рассмотрим основные проблемы традиционных песочниц.
Главная проблема песочниц это то, что на анализ поступают не только зараженные файлы, но и обычные, чистые файлы (это касается и Threat Emulation). После чего происходит процесс эмуляции. Этот процесс не мгновенный и может занимать от 1 до 30 минут. При этом никто не исключает ложных срабатываний, когда нормальный файл будет принят за зловредный и отброшен. В итоге мы имеем кучу раздраженных пользователей, которые не хотят ждать свои файлы.
Как результат, большинство песочниц настраивают в режиме bypass, т.е. исходные файлы доходят до пользователей, пока идет эмуляция. А это уже обычное детектирование, а не блокирование. Это недопустимо в случае шифровальщиков, т.к. потом уже будет поздно.
Решить данную проблему призвана технология Threat Extraction.
Преимущества Threat Extraction
Данная технология предназначена для моментальной очистки файлов и отправке его пользователю. В это время исходный файл эмулируется с помощью модуля Threat Emulation.
Есть два основных способа очистки поступающих файлов:
Очень рекомендую обратить внимание именно на первый способ, т.к. в этом случае у зловреда нет ни малейшего шанса на выживание. Безопаснее будет только распечатка файла на реальную бумагу.
Кроме того, у пользователя еще сохраняется возможность получить исходный файл, если все же произошло ложное срабатывание, либо если исходный документ содержит важные макросы (ну например excel файл с макросами). Если взять для примера файлы, которые были получены по почте, то пользователю будут предоставлены уже очищенные файлы с сылкой на исходный файл.
Если нажать на данную ссылку, то пользователь попадет на специальный портал, где у него будет возможность запросить исходный файл. При этом он будет предупрежден о его возможной вредоносности. Получит ли этот файл пользователь уже зависит от настроек. Можно выдавать данные файлы в ручном режиме после более тщательного анализа администраторами информационной безопасности.
Продуктовая линейка Check Point SandBlast
Если рассмотреть продуктовую линейку CheckPoint SandBlast, то можно выделить 4 области. Это:
При этом, как видно из картинки, каждое решение обладает различным функционалом. В данной части мы сосредоточимся на первом варианте, т.е. защите на уровне сети. Для защиты на уровне сети есть три варианта внедрения:
Теперь мы можем перейти к лабораторным работам и на практике опробовать решения Threat Emulation и Threat Extraction.
Видеокурс по второй части
Всю вышеизложенную теор. часть можно посмотреть в формате видео:
Кроме того есть три лабораторные работы:
Лабораторная работа №3
В ходе этого урока мы настроим блейд Threat Emulation (облачную версию) и попробуем смоделировать прохождение зараженных файлов через шлюз. Затем мы снова проанализируем логи и заблокируем скачку вредоносных файлов для пользователя Win7.
Лабораторная работа №4
На этот раз мы рассмотрим вариант локальной эмуляции, т.е. без отсылки файлов в облако. Также мы опробуем проверку email сообщений, для этого настроим Check Point как MTA, т.е. mail transfer agent. Затем мы попробуем отправить зараженный файл по почте и убедимся, что он заблокируется. Ну и конечно же проанализируем логи.
Лабораторная работа №5
Как мы убедились в прошлом уроке, эмуляция файлов это очень эффективное средство защиты, однако это занимает некоторое время! Специально для тех, кто не любит ждать пока эмулируются файлы, существует технология Threat Extraction. В ходе урока мы ее активируем и попробуем еще раз отправить по почте зараженный файл. В результате мы должны получить уже очищенный, а точнее сконвертированный документ в формате pdf.
Продолжение следует…
Автор: TS Solution
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/cisco/252030
Ссылки в тексте:
[1] модуле: https://habrahabr.ru/company/tssolution/blog/325246/
[2] Источник: https://habrahabr.ru/post/325822/
Нажмите здесь для печати.