Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Кейси для застосування засобів аналізу мережевих аномалій: атаки через плагіни браузерів

2020-02-24
Автор: Телесфера

Атаки на браузери є досить популярним вектором для зловмисників, які через різні уразливості в програмах для серфінгу в
Інтернеті або через слабо захищені плагіни до них намагаються проникати всередину корпоративних і відомчих мереж.
Починається це зазвичай на цілком легальних і навіть внесених в білі списки сайтах, які при цьому мають уразливості, що
використовуються зловмисниками. Доповнення (add-on), розширення (extensions), плагіни (plugin), будучи одного разу
встановленими навіть в благих цілях, починають моніторити призначену для користувача активність, "зливати" розробникам
історію відвіданих сайтів, впроваджувати в відвідувані сторінки настирливу рекламу, іноді шкідливу. Користувачі часто
навіть не розуміють, що рекламний банер, який вони бачать на сторінці сайту, доданий ними ж встановленим плагіном, а не є
споконвічно впровадженим на сторінці. А іноді такі плагіни і розширення і зовсім служать вхідними дверима для зловмисників
на комп'ютери користувачів, з яких починається переможний хід по внутрішній мережі підприємства. Саме через такі
розширення зловмисники можуть встановлювати шкідливий код, відстежувати дані або красти їх. При цьому не завжди ми в змозі
змусити всіх користувачів правильно налаштовувати свої браузери і стежити за їх конфігурацією. Що ж робити в такій
ситуації, коли лише один користувач може стати найслабшою ланкою і відкрити "ворота в пекло"? Рішення з моніторингу
мережевого трафіку можуть допомогти і в даному кейсі.

Один з дослідних підрозділів Cisco, Cisco Cognitive Intelligence, який з'явився у нас після покупки багато років тому
чеської компанії Cognitive Security, виявив, що багато шкідливих плагінів до браузерів мають унікальні характеристики, які
можна виявляти і відстежувати в рамках аналізу саме мережевого трафіку. Єдина відмінність, яка присутня в порівнянні з
попередніми трьома розглянутими раніше кейсами (виявлення витоків, шкідливого коду і кампанії DNSpionage) - щоб детектити 
активність плагінів, які впроваджують рекламу, на показі якої заробляють зловмисники, або зливають ваші дані, вам треба
або самостійно провести велике дослідження (ми витратили близько року на аналіз декількох тисяч плагінів, щоб виявити
шаблони поведінки і описати їх), або довіритися виробнику рішення класу NTA, який містить в собі таку можливість.

Ось як виглядає така можливість у вирішенні Cisco Stealthwatch. Ми бачимо, що з двох адрес внутрішньої мережі з адресами
10.201.3.45 і 10.201.3.108 фіксується активність, пов'язана з накрутками кліків (click fraud), впровадженням реклами в
сторінки (Ad injection), шкідливою рекламою.

Очевидно, що ми хочемо провести розслідування даної активності:

Ми бачимо, що вузол в корпоративній мережі взаємодіє з доменом, розташованим на легальному Amazon (тож блокувати за IP-
адресою не вийде). Однак застосування різних алгоритмів машинного навчання до трафіку показує, що ця активність саме шкідлива.

Ще більш глибоке занурення дозволяє нам зрозуміти ще більше деталей про загрозу.

Наприклад, кейс # CADP01 пов'язаний з шкідливим кодом AdPeak, який впроваджує додаткову рекламу в відвідувані Web-сторінки
і за їх показ зловмисники заробляють гроші.

Кейс # CDPY01 пов'язаний з потенційно небажаним додатком, який впроваджує рекламу в сесію браузера і може привести до
подальшого зараження комп'ютера.

Так як виявлення шкідливої активності браузера може бути ознакою, що вже сталося зараження, нам необхідно провести
розслідування, яке покаже, з ким взаємодіє в нашій мережі скомпрометований вузол, що це за вузол, яка його роль, який
користувач за ним працює і т.п.

Наприклад, згаданий вузол 10.201.3.45 відноситься до групи Development (розвиток або розробка ПЗ). Ми також бачимо всі 
асоційовані з даним вузлом потоки даних і основні події безпеки.

Цікаво, що найчастіше вузол, який нас цікавить, взаємодіє з локальними DNS-серверами, що наводить на думки про можливу атаку на DNS або через DNS.

Що ми бачимо в списку подій безпеки? Flow Denied. Що це таке? Відповідь на це питання сильно залежить від контексту, так
як з'єднання внутрішніх вузлів з внутрішніми сильно відрізняються від з'єднання внутрішніх вузлів із зовнішніми, і може
означати зовсім різне. Наприклад, якщо у внутрішнього вузла багато заборонених з'єднань (потоків) з внутрішнім ресурсом
через один і той же порт, то, ймовірно, це невірна конфігурація будь-якої програми. Безліч заборонених потоків до різних 
портів або внутрішніх вузлів, каже, швидше за все, про розвідку, один з перших етапів в рамках будь-якої атаки.
Заблоковані потоки зсередини до зовнішніх Інтернет-вузлів можуть характеризувати роботу шкідливого коду, утиліт
віддаленого доступу (RAT), витік інформації і багато інших "цікавих" подій, які визначені вашою політикою безпеки як
заборонені. І якщо вони виявляються вашою системою аналізу мережевого трафіку, то значить, щось у вас не так.

Цей кейс цікавий тим, що він трохи змінює погляд на можливості систем класу NTA, які спираються на аналіз Netflow (чи
інших flow-протоколів) в своїй роботі. Видно, що такі системи здатні не тільки працювати на мережевому рівні, а й
дозволяють піднятися нам набагато вище і виявляти атаки на прикладному рівні, які далеко не завжди видно міжмережевому 
екрану або навіть засобам захисту кінцевих пристроїв.

Джерело: https://habr.com/ru/company/cisco/blog/488386/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco представила нові рішення в області мереж на основі намірів

Cisco представила нові рішення в області мереж на основі намірів
Cisco,Cisco Wi-Fi,Cisco Network,cisco,cisco безпека,Налаштування Cisco,новини,Послуги Телесфера Інтеграція

В ході конференції Cisco Live, яка вперше пройшла в онлайн форматі, компанія Cisco представила нові рішення в області мереж на основі намірів (IBN, Intent Based Networks). Ці продукти призначені для оптимізації мережевих і бізнес-операцій, вони спрямовані на автоматизацію різних процесів і надання аналітики, яка допоможе ІТ-службам підвищити гнучкість і краще координувати свою діяльність з бізнес-цілями компаній.

Aruba Edge Services Platform (ESP)

Aruba Edge Services Platform (ESP)
Aruba Networks,IoT,Налаштування Aruba,Налаштування,Налаштування Aruba Instant,новини

10 червня 2020 року стало відомо, що компанія Hewlett Packard Enterprise представила хмарну платформу на основі технологій штучного інтелекту - Aruba ESP (Edge Services Platform), яка прогнозує і вирішує проблеми на кордоні мережі до того, як вони виникнуть. Aruba ESP являє собою автоматизовану платформу, яка побудована на базі AIOps (штучний інтелект для управління ІТ) і реалізує модель «нульової довіри» (Zero Trust) для забезпечення мережевої безпеки.

Лінійка Aruba Instant On поповнилася новими комутаторами для малого бізнесу

Лінійка Aruba Instant On поповнилася новими комутаторами для малого бізнесу
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини

Aruba, компанія Hewlett Packard Enterprise, оголосила про розширення лінійки продуктів Aruba Instant On за рахунок включення в нього комутаторів нової серії, які дозволяють малим підприємствам розгорнути єдину високошвидкісну мережу, просту в налаштуванні, управлінні і обслуговуванні. Нові комутатори Aruba Instant On 1930 легко інтегруються з існуючими точками доступу Aruba Instant On і можуть централізовано управлятися за допомогою мобільного додатку Instant On, незалежно від того, чи будуть вони розгорнуті для забезпечення безперервності ведення бізнесу або проекту по модернізації мережі.