Защита корпоративных ресурсов от вредоносного ПО (malware)

Необходимость в решении по защите от активности вредоносного ПО

Вредоносное ПО эволюционирует вместе с Интернетом. Если ранее действия подобных программ носили деструктивный характер, то на сегодняшний день malware старается скрыть факт “заражения”, чтобы использовать ресурсы вычислительной системы в своих целях.

Ботнет – это совокупность сетевых хостов, которые были “заражены” зловредным программным обеспечением (далее malware). Данное ПО незаметно для пользователя контактирует с т.н. C&C (Command and Control) с целью получения команд / отправки информации. Типичное использование ботнетов – рассылка спама, осуществление DDoS атак, кража чувствительной информации (банковские аккаунты, номера кредитных карт, и т.д.).

“Заражение” хоста происходит несколькими путями: через вложение в e-mail, через уязвимость сервиса, через скачиваемый файл, и т.д. Самый распространённый способ – drive-by download (загрузка вредоносного ПО с web сайта, происходящая незаметно для пользователя). После того как malware тем или иным способом попадает на хост, как правило, происходят попытки “заражения” соседних станций. Таким образом, в гетерогенной среде распространение может происходить очень быстро.

Корпоративные сети не являются исключением, для них так же актуальны данные угрозы, как и для домашних ПК.

 
1 ESG APT Survey Октябрь 2011
2 Ponemon 2ое ежегодное исследование стоимости кибертерорризма Август 2011
3 Исследование Kaspersky lab. 2011
4 Отчет угроз безопасности Sophos 2011

Инструментальные средства

Предлагаемое решение основано на продукте Anti-bot Software Blade компании Check Point. Anti-bot Software Blade включен в ПО Check Point Security Gateway версии R75.40 и выше.

Инсталляция возможна также и в режиме мониторинга, когда осуществляется сбор трафика со SPAN порта. Второй вариант удобно использовать на начальном этапе, когда необходимо определить степень угрозы в конкретной сети, например, процент инфицированных хостов.

 

Включение функционала Anti-bot на файрволле периметра защищаемых сегментов сети дает возможность наиболее полно контролировать сетевую активность ботов и, при необходимости, активно подавлять ее.

Используемые технологии

Ключевыми элементом в организации защиты являются две информационные структуры, предоставляемые Check Point: ThreatCloud Repository и ThreatSpect Engine.

ThreatCloud представляет собой распределённое информационное хранилище, которое используется для идентификации заражённых сетевых хостов.

Хранилище наполняется данными, получаемыми из нескольких источников. В первую очередь это обширная сеть сенсоров, которые размещены по всему миру. Также данные собираются с самих устройств Check Point, на которых активирован Anti-Bot Software Blade. Дополнительная информация предоставляется компаниями-партнёрами. С ними осуществляется обмен информацией и репутации IP/DNS/URL.

Ещё одним источником обновлений является подразделение Check Point, занимающееся исследованием (в частности reverse engineering) экземпляров вредоносного ПО. Данное подразделение производит анализ поведения malware в изолированной среде. Информация, полученная в результате анализа, загружается в ThreatCloud.

Информация, содержащаяся в ThreatCloud, является набором адресов и DNS имён, которые используются ботами для коммуникации с C&C. Также там содержатся поведенческие сигнатуры различных семейств malware, и информация, получаемая с сенсоров.

ThreatSpect Engine является распределённой многоуровневой вычислительной системой, которая занимается анализом сетевого трафика и корреляцией полученных данных для обнаружения активности ботов, а также других типов malware.

Анализ осуществляется по нескольким направлениям:

  • Репутация – анализируется репутация URL, IP адресов и доменных имён, к которым хосты, расположенные внутри организации, пытаются получить доступ. Производится поиск известных ресурсов, либо подозрительной активности, такой как обращение C&C;
  • Сигнатурный анализ – определяется наличие угрозы путём поиска уникальных сигнатур в файлах, либо в сетевой активности;
  • Подозрительная e-mail активность – обнаружение инфицированных хостов путём анализа исходящего почтового трафика;
  • Поведенческий анализ – детектирование уникальных шаблонов в поведении хоста, которые свидетельствуют о факте заражения. Например, фиксированная частота обращений к C&C по определённому протоколу.

ThreatSpect и ThreatCloud работают совместно – ThreatSpect получает информацию для анализа из ThreatCloud, а после осуществления анализа и корреляции, загружает полученные данные обратно в распределённое хранилище в виде сигнатур и репутационных баз.

Главным преимуществом технологии является тот факт, что, по сути, мы имеем глобальную базу с информацией об активности вредоносного ПО, обновляемую в реальном времени. Таким образом, если происходит массированное заражение хостов в сети одного из участников данной системы, информация об атаке через ThreatCloud поступает другим участникам. Это позволяет ограничить быстрое распространение вредоносного ПО на сети многих компаний.

Методы, используемые для выявления угрозы

Следует понимать, что функционал Anti-Bot Software Blade направлен на выявление уже инфицированных станций и минимизацию вреда от них. Данное решение не предназначено для предотвращения заражения. Для этих целей следует использовать другие средства.

Для обнаружения подозрительной активности используются следующие методы:

  • Идентификация адресов и доменных имён C&C – изменение адресов происходит постоянно, поэтому важно поддерживать список в актуальном состоянии. Это достигается при помощи инфраструктуры Check Point ThreatCloud;
  • Идентификация шаблонов, используемых при коммуникации различными семействами malware – каждое семейство malware имеет свои уникальные параметры, по которым его можно идентифицировать. Исследования проводятся в отношении каждого семейства с целью формирования уникальных сигнатур;
  • Идентификация по поведению – детектирование инфицированной станции путём анализа её поведения, например, при участии в DDoS атаке, или рассылке спама.

Анализ инцидентов, зафиксированных Anti-Bot Software Blade, производится при помощи компонентов SmartConsole: SmartView Tracker и SmartEvent. В SmartView Tracker можно получить подробную информацию о трафике, который вызвал срабатывание Anti-Bot Blade. SmartEvent содержит более подробную информацию о событиях. Можно осуществлять группировку по различным категориям, также присутствует возможность анализа событий безопасности за длительный период, генерация отчётов.

Методы, используемые для предотвращения угрозы

Помимо обнаружения угроз, Anti-Bot Software Blade способен предотвращать ущерб, который могут принести инфицированные хосты.

Осуществляется блокировка попыток инфицированного хоста связаться с C&C, и получить от него инструкции. Такой режим работы доступен только когда трафик проходит через гейтвей с включённым Anti-Bot Software Blade (режим inline).

Используется два независимых метода блокировки:

  • Блокировка трафика, который направлен к известному адресу C&C;
  • DNS Trap – реализация техники DNS sinkhole. Блокировка происходит при попытке разрешить доменное имя, которое используется инфицированными хостами для обращения к C&C. В ответе DNS сервера IP адрес подменяется на фиктивный, таким образом, делая невозможным отправку запроса к C&C для заражённого хоста.

В общем случае информация получается из кэша, но, если обнаружена подозрительная активность, которая однозначно не идентифицируется имеющимися сигнатурами, Anti-Bot Software Blade делает запросы к ThreatCloud в реальном времени.

 

Классификация и оценка достоверности

 

Обнаружение активности вредоносного ПО осуществляется полностью на основании информации, содержащейся в базе ThreatCloud. Каждый инцидент безопасности, сгенерированный Anti-Bot Software Blade, соответствует определённому вхождению в этой базе.

Типы защиты делится по нескольким категориям. Категория определяется тем, какая именно информация используется для детектирования. Это могут быть списки репутации, сигнатурные базы, и т.д. Каждый тип защиты соответствует одному из направлений, в котором ThreatSpect Engine осуществляет анализ трафика.

Процесс работы с событиями безопасности

Обработка информации, собранной при помощи Anti-Bot Software Blade, осуществляется двумя приложениями SmartConsole – SmartView Tracker и SmartEvent. SmartEvent требует наличия отдельного блейда (SmartEvent Software Blade), и крайне рекомендуется к использованию при анализе.

При анализе событий Anti-Bot Software Blade, в первую очередь следует обращать внимание на множественные срабатывания на трафике с одним Source IP и срабатывания, случающиеся с некоторой периодичностью.
Во многом картина зависит от модели поведения бот-программы.
Например, примитивные типы malware делают частые обращения к DNS в попытке разрешить имя C&C. При этом в SmartEvent будет достаточно большое количество однотипных событий с одинаковым Source IP, а отличаться друг от друга события будут только DNS именем в запросе к серверу.

Также следует обратить внимание на множественные одиночные детектирования одного типа malware для разных source IP. Данный метод анализа эффективен, т.к. malware обычно старается распространиться на другие уязвимые хосты в локальной сети. Для корпоративной среды это особенно актуально, и набор ПО, в том числе антивирусного, зачастую одинаков на рабочих станциях. На скриншоте выше показано массовое детектирование одного типа malware. В похожей ситуации стоит выборочно проверить пару машин из списка.

Общие рекомендации по анализу событий

Хотя Anti-Bot Software Blade помогает обнаружить и блокировать активность заражённых malware хостов, в большинстве случаев требуется дополнительный анализ полученной информации. Не все типы malware могут быть легко идентифицированы. Для обработки инцидентов необходимы квалифицированные специалисты, которые будут изучать пакетные трассы, выявлять активность вредоносного ПО. Anti-Bot Software Blade представляет из себя мощный инструмент для автоматизации мониторинга malware активности.

 

Действия после обнаружения

В первую очередь необходимо воспользоваться базой Threat Wiki, предоставляемой Check Point.
Если угроза является актуальной, необходимо воспользоваться процедурой, рекомендованной вендором.

Также для подтверждения заражения хоста следует через Google поискать malware по имени, вероятно удастся найти технические подробности данного вредоносного ПО, что поможет безошибочно его идентифицировать. Например, поиск по имени “Juasek” (название взято из события Anti-Bot Software Blade) позволяет найти много информации о данном malware на сайте Symantec. Также там содержится описание процедуры удаления.

Если не преследуется цель изучения malware, то можно воспользоваться одним или несколькими malware removal tool. Самыми популярными являются продукты от Malwarebytes, Kaspersky, Microsoft.

 

 

Практические результаты использования

Ниже представлены результаты суточного мониторинга трафика в организации. На коммутаторе был зеркалирован трафик одного из пользовательских сегментов, идущий к DNS-серверам, и к прокси-серверам. Отчёты получены при помощи ПО Check Point SmartEvent.

Статистика практического использования Antibot

За сутки в отчёт Antibot попало 1712 событий, из них уникальных хостов – 134. Результаты выборочной проверки компьютеров:

На компьютере %
Обнаружено и удалено вредоносное ПО 26
Обнаружено несанкционированно установленное ПО 14
Поиск вредоносного ПО результатов не дал (ложное срабатывание в результате активности санкционировано установленного ПО) 60

 


Круглосуточная служба технической поддержки: +7 (495) 120-00-60.
Телефоны: +7 (499) 7500-499; +7 (499) 750-15-50; +7 (495) 749-15-09.
Адрес 107113, Россия, Москва, ул. Сокольнический вал, д. 2а, офис 522
©2016 ЭКОН Технологии
Напишите нам