Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Кейси для застосування засобів аналізу мережевих аномалій: атаки через плагіни браузерів

2020-02-24
Автор: Телесфера

Атаки на браузери є досить популярним вектором для зловмисників, які через різні уразливості в програмах для серфінгу в
Інтернеті або через слабо захищені плагіни до них намагаються проникати всередину корпоративних і відомчих мереж.
Починається це зазвичай на цілком легальних і навіть внесених в білі списки сайтах, які при цьому мають уразливості, що
використовуються зловмисниками. Доповнення (add-on), розширення (extensions), плагіни (plugin), будучи одного разу
встановленими навіть в благих цілях, починають моніторити призначену для користувача активність, "зливати" розробникам
історію відвіданих сайтів, впроваджувати в відвідувані сторінки настирливу рекламу, іноді шкідливу. Користувачі часто
навіть не розуміють, що рекламний банер, який вони бачать на сторінці сайту, доданий ними ж встановленим плагіном, а не є
споконвічно впровадженим на сторінці. А іноді такі плагіни і розширення і зовсім служать вхідними дверима для зловмисників
на комп'ютери користувачів, з яких починається переможний хід по внутрішній мережі підприємства. Саме через такі
розширення зловмисники можуть встановлювати шкідливий код, відстежувати дані або красти їх. При цьому не завжди ми в змозі
змусити всіх користувачів правильно налаштовувати свої браузери і стежити за їх конфігурацією. Що ж робити в такій
ситуації, коли лише один користувач може стати найслабшою ланкою і відкрити "ворота в пекло"? Рішення з моніторингу
мережевого трафіку можуть допомогти і в даному кейсі.

Один з дослідних підрозділів Cisco, Cisco Cognitive Intelligence, який з'явився у нас після покупки багато років тому
чеської компанії Cognitive Security, виявив, що багато шкідливих плагінів до браузерів мають унікальні характеристики, які
можна виявляти і відстежувати в рамках аналізу саме мережевого трафіку. Єдина відмінність, яка присутня в порівнянні з
попередніми трьома розглянутими раніше кейсами (виявлення витоків, шкідливого коду і кампанії DNSpionage) - щоб детектити 
активність плагінів, які впроваджують рекламу, на показі якої заробляють зловмисники, або зливають ваші дані, вам треба
або самостійно провести велике дослідження (ми витратили близько року на аналіз декількох тисяч плагінів, щоб виявити
шаблони поведінки і описати їх), або довіритися виробнику рішення класу NTA, який містить в собі таку можливість.

Ось як виглядає така можливість у вирішенні Cisco Stealthwatch. Ми бачимо, що з двох адрес внутрішньої мережі з адресами
10.201.3.45 і 10.201.3.108 фіксується активність, пов'язана з накрутками кліків (click fraud), впровадженням реклами в
сторінки (Ad injection), шкідливою рекламою.

Очевидно, що ми хочемо провести розслідування даної активності:

Ми бачимо, що вузол в корпоративній мережі взаємодіє з доменом, розташованим на легальному Amazon (тож блокувати за IP-
адресою не вийде). Однак застосування різних алгоритмів машинного навчання до трафіку показує, що ця активність саме шкідлива.

Ще більш глибоке занурення дозволяє нам зрозуміти ще більше деталей про загрозу.

Наприклад, кейс # CADP01 пов'язаний з шкідливим кодом AdPeak, який впроваджує додаткову рекламу в відвідувані Web-сторінки
і за їх показ зловмисники заробляють гроші.

Кейс # CDPY01 пов'язаний з потенційно небажаним додатком, який впроваджує рекламу в сесію браузера і може привести до
подальшого зараження комп'ютера.

Так як виявлення шкідливої активності браузера може бути ознакою, що вже сталося зараження, нам необхідно провести
розслідування, яке покаже, з ким взаємодіє в нашій мережі скомпрометований вузол, що це за вузол, яка його роль, який
користувач за ним працює і т.п.

Наприклад, згаданий вузол 10.201.3.45 відноситься до групи Development (розвиток або розробка ПЗ). Ми також бачимо всі 
асоційовані з даним вузлом потоки даних і основні події безпеки.

Цікаво, що найчастіше вузол, який нас цікавить, взаємодіє з локальними DNS-серверами, що наводить на думки про можливу атаку на DNS або через DNS.

Що ми бачимо в списку подій безпеки? Flow Denied. Що це таке? Відповідь на це питання сильно залежить від контексту, так
як з'єднання внутрішніх вузлів з внутрішніми сильно відрізняються від з'єднання внутрішніх вузлів із зовнішніми, і може
означати зовсім різне. Наприклад, якщо у внутрішнього вузла багато заборонених з'єднань (потоків) з внутрішнім ресурсом
через один і той же порт, то, ймовірно, це невірна конфігурація будь-якої програми. Безліч заборонених потоків до різних 
портів або внутрішніх вузлів, каже, швидше за все, про розвідку, один з перших етапів в рамках будь-якої атаки.
Заблоковані потоки зсередини до зовнішніх Інтернет-вузлів можуть характеризувати роботу шкідливого коду, утиліт
віддаленого доступу (RAT), витік інформації і багато інших "цікавих" подій, які визначені вашою політикою безпеки як
заборонені. І якщо вони виявляються вашою системою аналізу мережевого трафіку, то значить, щось у вас не так.

Цей кейс цікавий тим, що він трохи змінює погляд на можливості систем класу NTA, які спираються на аналіз Netflow (чи
інших flow-протоколів) в своїй роботі. Видно, що такі системи здатні не тільки працювати на мережевому рівні, а й
дозволяють піднятися нам набагато вище і виявляти атаки на прикладному рівні, які далеко не завжди видно міжмережевому 
екрану або навіть засобам захисту кінцевих пристроїв.

Джерело: https://habr.com/ru/company/cisco/blog/488386/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи
Cisco,cisco безпека,Налаштування Cisco,новини,cisco

Сьогодні всі підприємства змушені адаптуватися до масштабних цифрових трансформацій, що відбулися за останні два роки і докорінно змінили їх технологічні стратегії та характер діяльності, включаючи гібридні хмарні середовища для об'єднання приватних та публічних хмар, штучний інтелект та машинне навчання для прискорення впровадження IoT-рішень, гібридну модель роботи для захищеного підключення всіх працівників та всіх цифрових активів. Успішна організація гібридної роботи не обмежується лише ефективною підтримкою віддалених працівників. Необхідно мати можливість адаптуватися до змін у міру їх виникнення, і це насамперед стосується корпоративних мереж.

Багатофакторна аутентифікація важлива для кіберзахисту як ніколи

Багатофакторна аутентифікація важлива для кіберзахисту як ніколи
Cisco,cisco,cisco безпека,Блог Телесфера,Продуктивність

Група боротьби з кіберзагрозами Cisco Talos Incident Response (CTIR) розповіла про головні події на ринку кібербезпеки в 2021 році. На тлі пандемії, яка спричинила за собою низку специфічних проблем ІБ, фахівцям з ІБ довелося мати справу зі зростаючим колом зловмисників, що промишляють програмами-вимагачами, займаючись при цьому великими інцидентами безпеки, які торкнулися організації по всьому світу.

Cisco розширює можливості комутаторів корпоративного класу для модернізації та захисту критично важливих інфраструктур

Cisco розширює можливості комутаторів корпоративного класу для модернізації та захисту критично важливих інфраструктур
Cisco,Cisco Network,cisco,новини,Налаштування Cisco,Продуктивність

Cisco оголосила про розширення асортименту рішень Cisco Catalyst 9000. Вони створені на базі Cisco Unified Access Data Plane (UADP) ASIC, що дозволить урізноманітнити функціональні можливості для комутації корпоративного рівня в промислових граничних середовищах для галузей, що працюють у складних погодних умовах та підтримують критично важливі інфраструктури, включаючи комунальні служби, нафтогазову промисловість, автомобільний та залізничний транспорт.