2. Group-IB. Комплексная защита сети. TDS Sensor

2. Group-IB. Комплексная защита сети. TDS Sensor

Добрый день, коллеги! Продолжаем цикл статей, посвященный решениям информационной безопасности от компании Group-IB. В предыдущей статье мы кратко осветили комплексное решение для защиты от сложных киберугроз от компании Group-IB. Данная публикация будет посвящена модулю Threat Detection System (TDS) Sensor. Напомним, что TDS Sensor — модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне, а также для интеграции с различными подсистемами, входящий в программный комплекс TDS. В данной статье рассмотрим продукт с точки зрения функциональной части и архитектуры внедрения.

TDS Sensor



TDS Sensor – модуль продукта TDS, предназначенный для анализа входящих и исходящих пакетов данных. Используя собственные сигнатуры и поведенческие правила, Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Базы сигнатур и ML-моделей постоянно обновляются – исходя из расследований криминалистов и на основе информации из систем киберразведки.

Так как TDS Sensor это решение класса anti-APT, оно заточено под обнаружение целевых атак и сетевых аномалий. Это не решение класса IPS, оно не предназначено под обнаружение сканирования портов, обнаружение брутфорса или попытки SQL injection. Организациям, которым требуются защита от целевых атак уже необходимо обладать внутри своей инфраструктуры IPS/IDS решениями. Отличительной особенностью решений класса anti-APT является обнаружение попыток передачи каких-то данных во вне периметра, коммуникации с командными центрами злоумышленников (Command & Control, CnC), передачи вредоносных файлов. Поэтому сигнатуры разработаны именно под этот специфический трафик. Рассмотрим примерную схему целевой атаки, для большей ясности.

APT-атака



Схема APT атаки:
  1. Злоумышленник собирает данные относительно организации и ее сотрудниках, в которую хочет проникнуть. Чаще всего используются методы социальной инженерии и данные из различных открытых и закрытых интернет источников;
  2. Далее злодей находит конкретного сотрудника, которому отправляет письмо с вредоносным файлом. Либо загружает все тот же вредоносный файл на сервер через взлом различных контрагентов, получая доступ к файловому хранилищу. Чтобы обойти системы защиты, злоумышленники комбинируют способы проникновения — загружают зашифрованный архив, а пароль отправляют жертве по почте. Или отправляют архив с паролем к нему раздельными письмами;
  3. Далее жертва скачивает себе на компьютер стоящий в локальной сети вредонос. Это может быть shell code, эксплойт или троян. С высокой вероятностью такой трафик не будет проверяться средствами ИБ. Может, например, стоять IPS/IDS решение, которое проблему скорее всего не обнаружит;
  4. Вредонос исполняется и связывается с командным сервером злоумышленника (C&C). При чем этот трафик может выглядеть легитимно, например https сессия или ssl туннель;
  5. Далее идет распространение действий злоумышленника по сети, вплоть до доступа к ценным информационным активам организации;
  6. И наконец, злоумышленник получает доступ к данным, до которых рвался все это время. Тоже будет выглядеть как легитимный трафик.
Из всего вышеперечисленного напрашивается вывод, что для противодействиям таким атакам необходим высокий уровень ИБ в организации, правильно построенная архитектура проверки трафика. Но все же существует вероятность успешной атаки, поэтому anti-APT решения все больше набирают популярность. Выдвинем основной функционал, который должно покрывать решение anti-APT:
  1. Выявление взаимодействия зараженных устройств с командным центрам злоумышленников (сигнатуры + база C&C доменов);
  2. Обнаружение распространения вирусов и эксплойтов в корпоративной сети (сигнатуры + обнаружение аномалий);
  3. Обнаружение вирусов (проверка файлов в изолированной среде);
  4. Выявление вредоносной активности на хостах (агентские решения на локальных местах).
Решение по третьему и четвертому пункту буду рассмотрены в последующих статьях, TDS Sensor покрывает 1 и 2 случай.

Далее рассмотрим функционал TDS Sensor и его возможности по обнаружению вредоносной активности.

Тестирование TDS Sensor

В качестве генератора вредоносного трафика будем использовать Kali linux, который будет атаковать пользовательскую сеть. Стенд выглядит следующим образом:



Распространение вредоносного ПО и эксплойтов в корпоративной сети

Для того чтобы протестировать обнаружение эксплойтов, в качестве примера я взял сканирование хостов с помощью сканера Openvas в формате full and very deep ultimate. Эта конфигурация добавляет опасные плагины (попытка проэксплуатировать различные уязвимости), которые могут вызвать возможные сбои в работе службы или системы.


Смотрим в TDS Huntbox сработал ли TDS Sensor и выявлены ли какие-либо инциденты. Обнаружен эксплойт — EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style), более подробно можно почитать по ссылке .


Также можно выполнить тест от Group-IB. Для этого переходим на сайт threattest.group-ib.tech с макета и начинаем проверку. Описание безвредных вредоносов предоставлено в консоли:



Смотрим реакцию на TDS Huntbox:



Можно посмотреть более детальное описание:



Взаимодействие зараженных устройств с командным центрам злоумышленников

В качестве теста просто попробуем перейти на домен, использующийся как CnC центры, которые принадлежат тем или иным группировкам.


Проверяем на TDS Huntbox был ли инцидент:


Как видим, система зафиксировала сначала запрос к dns серверу — DNS Lookup, а затем переход на вредоносный сайт.

При пилотировании системы важно устанавливать TDS в инфраструктуре организации с действительными угрозами, а не проведение только синтетических тестов. Важной частью проекта является правильное расположение модулей в инфраструктуре, далее рассмотрим несколько типовых схем установки.

Архитектура внедрения

Типовая схема работы всех модулей TDS показана на картинке далее:


Как видим, практически весь трафик из критически важных сегментов зеркалируется на TDS Sensor. Данный модуль является образующей подсистемой всего решения и покрывает наиболее опасные участки сети, через которые более вероятнее всего прилетит вредоносный файл — проверяет почту, файловые хранилища, внутренний и внешний трафик. Устройство работает в режиме зеркалирования, поэтому решение не может влиять на процессы, задействованные в легитимном трафике. Далее рассмотрим сценарии использования.

Проверка почты

Поддерживается несколько способов получения писем для поведенческого анализа:
  • получение писем по SMTP;
  • получение писем с помощью механизма скрытой копии (BCC)
Получение писем по SMTP



TDS Sensor выступает как Mail Transfer Agent (или SMTP Relay), получая копию всей входящей почты через SMTP, либо стоя в разрез между почтовыми серверами. В последнем случае появляется возможность блокировать письма с вредоносными вложениями.


Получение писем с помощью механизма скрытой копии (BCC)


При данной интеграции создается дополнительный почтовый ящик, в который осуществляется копирование всей входящей почты. TDS Sensor подключается к подготовленному ящику и забирает письма для анализа.

Анализ файловых хранилищ



Режим подразумевает поведенческий анализ хранимых и/ или изменяемых файлов внутри файловых хранилищ с помощью TDS Polygon. Подключение к хранилищу реализуется с помощью модуля TDS Sensor и поддерживает два варианта работы с файловыми объектами:
  • сканирование всех хранящихся объектов и в том числе изменяемых или объектов, к которым запрашивается доступ;
  • сканирование только изменяемых объектов или объектов, к которым запрашивается доступ — с момента интеграции.
Перед изменением объекта и/или перед отправкой данного объекта по запросу пользователю, TDS Sensor скачивает файл и передает на анализ в TDS Polygon. По факту получения вердикта проанализированный объект либо смещается обратно в файловое хранилище, либо, если получен положительный вердикт (файл является ВПО) объект удаляется.

В настоящее время поддерживаются следующие протоколы интеграции:
  • WebDav;
  • SMB;
  • FTP;
  • NFS;

Анализ зашифрованного трафика


В ходе APT-атак, пользователь получает зараженный документ или переходит по фишинговой ссылке с высокой вероятностью по протоколу https. Затем троян или шелл код связывается с командным центром и скачивает вредоносное ПО или предоставляет окно для проникновения в инфраструктуру также по зашифрованному соединению. Соответственно обеспечение процесса информационной безопасности невозможно без вскрытия https соединений. Зеркалирование шифрованного трафика на TDS Sensor не позволит понять что передается в сессии. Поэтому требуется TDS Decryptor, который возьмет на себя расшифровывание сессий и передачу трафика на TDS Sensor.


TDS Decryptor встраивается в сетевые потоки клиента таким образом, чтобы выявлять факты инициации SSL/TLS-сессий, подменять сертификаты (Man-in-the-Middle) для них и обеспечивать расшифровку SSL-трафика, позволяя повышать видимость и уровень контроля трафика защищаемой инфраструктуры. TDS Decryptor поддерживает современные алгоритмы и стандартов шифрования, в том числе ГОСТ (GOST2012-GOST8912-GOST8912, GOST2001-GOST89-GOST89);

Также можно произвести интеграцию TDS Sensor и с другими решениями ИБ:
  • Интеграция с ICAP-прокси/DLP*;
  • Интеграция с SIEM и другими системами для анализа событий ИБ.
  • Интеграция с системами мониторинга (SNMP мониторинг)
Очень интересной особенностью системы является интеграция с тикет-системой в СERT-GIB:
  1. При обнаружении инцидента автоматически будет создан кейс;
  2. Инженер Group-IB возьмет кейс в работу и выдаст детальную информацию по инциденту с рекомендациями по устранению проблемы;
  3. В случае критических кейсов оповещают об угрозе специалистов в течении получаса, лично проверяли.
Заключение:

В данной статье мы рассмотрели возможности TDS Sensor по обнаружению APT-атак. Стоит упомянуть что использование только этого модуля не дает полноценной защиты от APT-атак, необходимы решения для проверки всех файлов в изолированной среде и агентские решения. Использование всех модулей системы и их правильное внедрение в инфраструктуру позволяет закрыть угрозу целевых атак на всех уровнях. Остается только быстро реагировать на все критичные инциденты.

В будущем мы планируем опубликовать подробные обзоры на каждый модуль TDS отдельно, с различными примерами тестов. Так что следите за обновлениями ( Telegram , Facebook , VK , TS Solution Blog ), Яндекс.Дзен . Также можете посмотреть совместный вебинар от TS Solution и Group-IB на тему защиты промышленных объектов.</div> </div>
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.