Разработка адаптивных и гибких архитектур, способных выдержать серьезные кибератаки в непредвиденных и разрушительных обстоятельствах пандемии

Ниже приведён пример, если атакующий, например, знает имя какого-либо пользователя в системе. Если оно известно, то можно попытаться сделать действия, связанные с этим пользователем. Как пример - попытаться написать либо прочитать файлы из директории пользователя. Код ниже пытается создать файл на рабочем столе пользователя, записать в него несколько символов, после чего открыть и прочесть эти символы. Только после успеха данных действий начинается расшифровка и распаковка вредоносной части кода.Рисунок 23 - Проверка нахождения в эмулируемом окружении посредством выполнения операций в контексте настоящего окружения.Последние несколько примеров базируются на том, что эмулируемое окружение имеет свою собственную специфику и некоторые проверки дадут результат, отличный от результата в реальной системе. Существует много способов провести подобные проверки, и некоторые из них приведены ниже.Проверяемая програма может проверить память текущего процесса. Некоторые антивирусы выделяют больше памяти процессу, чем ему требуется для того, чтобы минимизировать возможные ограничения, которые могут не дать проверяемому коду сделать те либо иные действия. Таким образом, можно узнать сколько памяти выделено текущему процессу и, если он больше чем атакующий ожидает, то значит код исполняется в окружении антивируса. Если это не так - то происходит распаковка и исполнение вредоносной части.Рисунок 24 - Проверка нахождения в эмулируемом окружении посредством проверки выделенной памятиВторой пример базируется на разнице разница во времени. Выше было упомянуто, что функция Sleep не эмулируется антивирусом. Но этот же, казалось бы, недостаток можно использовать.Рисунок 25 - Проверка нахождения в эмулируемом окружении посредством проверки разницы во времениВ данном примере используется команда Sleep, которая в реальном окружении бы заморозила исполнение програмы на секунду, и измеряется время до вызова этой функции и после. Если разница между замерами до и после меньше секунды, то означает, что данная команда не исполнилась и програма находится в эмуляции. В обратном же случае происходит расшифровка кода и его запуск.Последний пример является самым простым. Данный метод был описан исследователем Attila Marosi из организации DeepSec. В связи с тем, что програма исполняется в эмулируемом окружении, скорее всего, и сам исполняемый файл будет переименован. Так как атакующий знает, как он назвал исходный файл, он может проверить имя файла во время исполнения, и, если оно не совпадает, то не расшифровывать код.Рисунок 26 - Проверка нахождения в эмулируемом окружении посредством проверки имени файлаРисунок 27 - Детектирование вредоносного ПО между первым запуском и последним (после обмена новыми сигнатурами)Источник – ImpervaТаблица 9 - Оценка эффективности антивирусного ПО относительно цепи атакиЭтапРазведкаВооружениеДоставкаЭксплуатацияЗакрепление в системеC&CПродвижение в системеОценка0023322МестоХостВнутренняя сетьВнешний периметрОценка300Таблица 10 - Оценка эффективности антивирусного ПО относительно места в инфраструктуре сетиТаким образом, вышеприведенные примеры показывают, что антивирусы не самое надежное средство защиты от внешних кибер атак в непредвиденных и разрушительных обстоятельствах пандемии. Как и в случае с IDS/IPS, антивирусное ПО скорее всего защитит от случайных (боты) либо непрофессиональных атак, но не предотвратит целенаправленную атаку на пользователя. Более того было проведено большое количество исследований различных аналитических компаний, например исследования организации Imperva, которые показывают малую эффективность большинства антивирусов в условиях настоящих атак. 2.4 DLP системы как элемент адаптивных и гибридных архитектурНесмотря на то, что основной задачей DLP систем является предотвращение утечек и защита от внутреннего нарушителя (инсайдера) и, по сути, данные системы не совсем подходят под класс средств защиты от внешних кибер атак в непредвиденных и разрушительных обстоятельствах пандемии, есть причины по которым они были рассмотрены в данном исследовании.На самом деле, данные системы могут помочь в отражении атаки на поздних этапах. А именно, когда атакующий уже проник в систему, проэксплуатировал рабочую станцию и пытается закрепиться в системе и наладить связь с командным сервером (C2). В таком случае, есть вероятность, что DLP система может помочь предотвращению дальнейшего развития атаки и непосредственно финансовым и репутационным потерям организации при попытке атакующего получить конфиденциальную информацию либо пытаться получить доступ над системами других пользователей.DLP системы делятся по методу распознавания конфиденциальной информации (в нашем случае вообще всей информации, которая проходит через сеть и через агента) и существует два таких метода:Анализ формальных признаков. По сути это практически то же самое, что сигнатурный анализ, только в этом случае сигнатуры строятся не на основе кода програм, которые пытаются попасть на целевые компьютеры, а на основе других факторов. Например, специально введенных метках, внедренных в конфиденциальные документы, либо на основе грифов документов. Анализ контента. Данный способ допускает больше ложных срабатываний, но зачастую позволяет идентифицировать попытки передачи конфиденциальных документов либо просто файлов с чувствительной информацией, на которых нет грифов либо специальных меток. Рисунок 28 - Алгоритм анализа контента типовой DLP системы Источник - searchinform.comМногие DLP системы очень сложны и имеют большое количество модулей и расширений. Рисунок 29 - Архитектура DLP системы на примере DeviceLock DLPИсточник - devicelock.com.Так как правила распознавания и анализа задаются администраторами системы, то можно настроить систему так, чтобы она распознавала большее количество типов файлов, а не только документы. Именно поэтому, можно считать, что атакующий может быть обнаружен службой безопасности даже не из-за IDS либо антивируса, а из-за системы предотвращения утечек.Тем не менее, данный тип систем не сильно помогает, если атакующий уже успел закрепиться в системе и повысить себе привилегии. Таблица 11 - Оценка эффективности DLP относительно цепи атакиЭтапРазведкаВооружениеДоставкаЭксплуатацияЗакрепление в системеC&CПродвижение в системеОценка0001342Таблица 12 - Оценка эффективности DLP относительно места в инфраструктуре сетиМестоХостВнутренняя сетьВнешний периметрОценка110Большинство и хостовых и сетевых DLP умеют анализировать трафик и отслеживать попытки установки VPN соединений, но атакующий, если он повысил привилегии и смог пробраться в так называемый Ring 0 (пространство исполнения кода ядра), например, с помощью руткита, то он может попросту выключить агент либо запретить ему отправлять какие-либо события на управляющий сервер. Тем не менее, это требует серьезной технической подготовки, и не каждый атакующий способен, либо станет, это делать. 3. АНАЛИЗ АДАПТИВНЫХ И ГИБРИДНЫХ АРХИТЕКТУР, СПОСОБНЫХ ВЫДЕРЖАТЬ СЕРЬЕЗНЫЕ КИБЕРАТАКИ В НЕПРЕДВИДЕННЫХ И РАЗРУШИТЕЛЬНЫХ ОБСТОЯТЕЛЬСТВАХ ПАНДЕМИИВ результате проведенного анализа недостатков програмно-апаратных защитных решений, каждый из рассмотренных классов средств был оценен по двум критериям:Оценка относительно противодействия каждому из этапов цепи атаки (kill chain).Оценка относительно противодействия атаки на тот узел либо сегмент сети, данный класс устройств может быть установлен.В результате было составлено две сводных таблицы, наглядно показывающие слабые места инфраструктуры, защищенной теми либо иными классами средств защиты, а также этапы атаки, перед которыми инфраструктура защищенная типовыми средствами наиболее беззащитна.Таблица 13 - Общая оценка эффективности рассматриваемых средств защиты относительно цепи атакиРассматриваемый класс решенийРазведкаВооружениеДоставкаЭксплуатацияЗакрепление в системеC&CПродвижение в системеПакетные фильтры2-2--22Инспекторы состояний4-4--44DPI/NGFW3-3--32IDS/IPS3-34-23Антивирусное ПО1-23322DLP системы---1342Таблица 14 - Оценка эффективности рассматриваемых средств защиты относительно их места в инфраструктуре сетиРассматриваемый класс решенийХостВнутренняя сетьВнешний периметрПакетные фильтры222Инспекторы состояний444DPI/NGFW332IDS/IPS344Антивирусное ПО300DLP системы110По понятным причинам, ни одно из решений не противодействует этапу вооружения атакующего, потому что этот процесс происходит полностью на машине злоумышленника либо специалиста по тестированию на проникновение и анализу защищенности систем. Поэтому этот критерий не стоит брать в расчёт. На основе проведенного исследования можно вынести ряд рекомендаций по улучшению защищенности организации, с учетом выявленных недостатковВо-первых, вполне очевидно, что не стоит ограничиваться одним классом средств и нужна комплексная защита каждого элемента инфраструктуры организации. Во-вторых, из выше изложенной таблицы видно что только програмно-апаратными средствами не защитить инфраструктуру в полной мере (ни одному из решений не был выставлен высший бал, так как в них всех были недостатки, легко эксплуатируемые атакующей стороной) и она всегда будет уязвима. В данной таблице наименее защищенным оказывается внешний периметр и внутренняя сеть. Для решения данной проблемы рекомендуется привлечь либо открыть собственный отдел службы безопасности и SOC (Security Operations Center) либо CERT. В случае, если у организации недостаточно средств для содержания целого отдела существуют организации, которые предоставляют вышеупомянутые услуги на аутсорс. Во-первых, данное решение позволит анализировать сеть в режиме реального времени и своевременно обрабатывать все инциденты, которые фиксируют рассматриваемые системы защиты, во-вторых, данные структуры могут позволить оперативно реагировать на инциденты, в том числе, прерывая атаку до ее успешного завершения.Также, SOC либо CERT повысят устойчивость перед эксплуатацией и закреплением в системе, которые, учитывая результаты проведенного исследования, являются этапами, перед которыми системы наименее устойчивы.Рисунок 30 - Составные части процесса работы SOC. Источник - anti-malware.ruТакже, значительно повысит защищенность рабочих станций повышение осведомленности в информационной безопасности среди сотрудников. Для этого необходимо проводить обучающие семинары и тренинги по информационной безопасности среди сотрудников. Большинство атак с использованием вредоносного ПО все еще используют фишинг в качестве доставки. Компьютерная грамотность сотрудников должна повысить устойчивость организации к кибератакам даже если доставка была удачной (письмо прошло все антиспам фильтры и антивирусы), то есть на этапах установки и закрепления в системе.ЗАКЛЮЧЕНИЕВ начале работы были выделены следующие задачи в рамках данного исследования:Разработка методологии, используемой для составления свода рекомендаций.Анализ преимуществ и недостатков различных классов програмно-апаратных средств защиты.Обобщение полученных данных с помощью вышеупомянутой методологии. Целью данного исследования являлась разработка адаптивных и гибких архитектур, способных выдержать серьезные кибератаки в непредвиденных и разрушительных обстоятельствах пандемииВ рамках данной работы была составлена методология, основанная сопоставлении эффективности каждого из рассматриваемых решений с концепцией kill chain (цепь атаки) и местом, где данные решения могут быть установлены. Также был проведен анализ преимуществ и недостатков четырех классов програмно-апаратных средств защиты:Межсетевые экраны (Firewalls)Stateless (без отслеживания состояний)Stateful (с отслеживанием состояний)DPI/NGFWIDS/IPS (системы обнаружения/предотвращения вторжений)Антивирусное ПОDLP (системы предотвращения утечек)Проведенное исследование показало, что ни одна инфраструктура, защита которой опирается лишь только на програмно-апаратные средства защиты не устоит перед целенаправленной APT атакой. Особенно слабым оказалось противодействие эксплуатации и закреплению в системе. Что же касается архитектурной части, то слабее всего оказался защищенным внешний периметр. На основе полученных результатов были приведены рекомендации по укреплению устойчивости компаний перед кибер-атаками. Основными рекомендациями являются:Использование разных классов защитных решений во всех элементах инфраструктуры - во внутренней сети, на внешнем периметре и на хостах.Привлечение SOC/CERT либо организация подобной структуры внутри организации.Повышение компьютерной грамотности и осведомленности сотрудников в вопросах информационной безопасности, проведение тренингов и семинаров по этой теме.В итоге, все заявленные задачи были в полной мере решены, а цель работы достигнута.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВPositive Technologies. Актуальные киберугрозы — 2020. Тренды и прогнозы - URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020/ (дата обращения 01.03.2021)Anti-Malware. Информационная безопасность в цифрах - URL: https://anti-malware.ru/analytics/Threats_Analysis/2020-cybersecurity-statistics (дата обращения 01.03.2021)Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, Ph.D., Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains. 2019. - URL: https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf (дата обращения 05.03.2021)MITRE ATT&ACK - URL: https://attack.mitre.org (дата обращения 05.03.2021)Дэвид Чепмен, Энди Фокс. Брандмауэры Cisco Secure Pix. - М.: Издательство Вильгельм, 2018. – 384 с.Network Security – Firewalls - URL: https://www.tutorialspoint.com/network_security/network_security_firewalls.htm (датаобращения 05.03.2021)Лапонина О. Р. Межсетевое экранирование. — Бином, 2019. — 343 с.Лебедь С. В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. — МГТУ им. Н. Э. Баумана, 2019. — 306 с.Choosing a Personal Firewall - URL: https://www.informit.com/articles/article.aspx?p=31945&seqNum=3 (датаобращения 05.03.2021)Basic architecture of intrusion detection system (IDS) - URL: https://www.researchgate.net/figure/4-Basic-architecture-of-intrusion-detection-system-IDS_fig2_232623012 (датаобращения 06.03.2021)Network Design: Firewall, IDS/IPS - URL: https://resources.infosecinstitute.com/network-design-firewall-idsips/ (датаобращения 06.03.2021)Imtiaz Ullah, Qusay H. Mahmoud, A filter-based feature selection model for anomaly-based intrusion detection systems. 2019 IEEE International Conference on Big Data (Big Data) - URL: https://ieeexplore.ieee.org/document/8258163/ (датаобращения 10.03.2021)Cybrary.IT - Tiny Fragment Attack - URL: https://www.cybrary.it/glossary/t-the-glossary/tiny-fragment-attack/ (датаобращения. 12.03.2021)Datacom Systemc Inc. - Explore new firmware that’s helping organizations see attacks as they happen. - URL: https://www.datacomsystems.com/news-events/news/2015/nov/3/explore-new-firmware-that-s-helping-organizations-see-attacks-as-they-happen (датаобращения 12.03.2021)Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — 4-е изд. — СПб.: Питер, 2019. — 944 сNeel H. Pathak, Anti-Virus Mechanism and Anti-Virus Bypassing Techniques - URL: https://www.scribd.com/doc/176058721/Anti-Virus-Mechanism-and-Anti-Virus-Bypassing-Techniques (датаобращения 14.03.2021)Emeric Nasi, Bypass Antivirus Dynamic Analysis. Limitations of the AV model and how to exploit them - URL: https://wikileaks.org/ciav7p1/cms/files/BypassAVDynamics.pdf (датаобращения 20.03.2021)CallNextHookEx function - URL: https://docs.microsoft.com/en-us/windows/desktop/api/winuser/nf-winuser-callnexthookex (датаобращения 25.03.2021)DeepSec 2018 Talk: Easy Ways To Bypass Anti-Virus Systems - URL: https://blog.deepsec.net/?p=1613 (датаобращения 18.03.2021)StoneSoft updates - URL: https://update.stonesoft.com/releases/575-5211-RLNT.html (дата обращения 18.03.2021)Imperva. Hacker Intelligence Initiative, Monthly Trend Report #14. Assessing the Effectiveness of Antivirus Solutions. - URL: https://imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf (датаобращения 18.03.2021)DeviceLock - URL: https://devicelock.com/ (дата обращения 19.03.2021)Anti-Malware. Обзор предпосылок для создания SOC - URL: https://www.anti-malware.ru/practice/methods/preconditions-outsourcing-soc (дата обращения 19.03.2021)