Всем привет! Angara Security снова на связи.
Сегодня в нашем эфире еще один новый автор — Георгий Семенов, эксперт по кибербезопасности Angara Security.
Хаотичные нападки киберпреступников в попытках попасть в уязвимое место инфраструктуры в последние годы сменились сложными и продуманными целевыми атаками — такой тренд кибербеза мы наблюдаем в Angara Security. Основные хакерские «хиты» этих лет — проникновение с использованием средств социальной инженерии и человеческого фактора, а также атаки через доверенные стороны. Злоумышленники стали дорожить временем: стремятся максимально сократить период от получения учетных данных пользователей до закрепления на периметре компании и последующей атаки. Проще всего им это удается через фишинг. По оценке Angara Security, доля MITRE ATT&CK Т1566 в общем объеме атак сейчас составляет 30%, причем за 2024 год число фишинговых атак резко выросло на 41% по сравнению с 2023 годом. Самым эффективным средством защиты против фишинга в кибербезопасности все еще считаются песочницы SandBox или мультисканеры. Проводим несколько тестов для Anti-APT Sandbox и разбираемся, насколько мощно они держат оборону информационной безопасности.
АРТ-атаки против Anti-APT Sandbox
АРТ-атака тестирует устойчивость к враждебным воздействиям, ищет слабое звено системы. Обычно это многоуровневая и длительная целевая кибератака с маскировкой и проникновением в сеть компании, с продолжительным нахождением «под прикрытием». Хакеры имитируют стандартные системные процессы, обманывают систему, отслеживают перемещение данных и действия ключевых пользователей — все, лишь бы обнаружить уязвимость для сбора конфиденциальной информации и чувствительных данных.
Против АРТ-атак используется Anti-APT Sandbox — программное обеспечение для выявления и анализа сложных и продвинутых угроз (какой, безусловно, является АРТ). Anti-APT Sandbox изолирует подозрительные файлы и анализирует их активность в виртуальной среде. Это безопасное пространство, где можно исследовать поведение программ без риска для реальных систем (к слову, здесь же можно выявить попытки эксплуатации уязвимостей «нулевого дня»).
По шагам это выглядит так:
Изоляция
Подозрительные файлы, программы или сетевая активность перенаправляются в изолированную виртуальную среду — «песочницу». Она полностью отделена от основной сети и рабочих систем, поэтому распространение потенциальных угроз исключено.
Эмуляция реальной системы
Sandbox воспроизводит операционную систему и сетевое окружение, создавая для вредоносного ПО иллюзию работы на реальном устройстве. Все действия подозрительного объекта — изменения файлов, сетевой трафик, взаимодействие с программами и системными ресурсами — фиксируются для анализа. Это великая игра разработчиков, где вопрос в том, кто окажется «умнее» и кто кого введет в заблуждение — Sandbox или вредоносная программа.
Анализ поведения
Sandbox наблюдает за действиями объекта в виртуальной среде, отслеживает попытки установить внешние соединения, модифицировать системные файлы или проникнуть к конфиденциальным данным. Если объект уже известен как вредоносный, система быстро идентифицирует его с помощью базы данных сигнатур. Для новых и неизвестных угроз применяется метод «анализа без сигнатур» — он основан на выявлении аномалий и схожести их поведения с уже известными угрозами.
Формирование отчетов и реагирование
После анализа Sandbox формирует отчет, где описывает все обнаруженные аномалии и поведение объекта — удобно и наглядно для специалистов кибербезопасности. Можно настроить политики безопасности так, что система будет автоматически блокировать подозрительный объект, удалять его, уведомлять специалистов или обновлять правила защиты.
Интеграция с другими системами безопасности
Явное преимущество Sandbox в том, что «песочница» может использоваться совместно с системами обнаружения угроз (IDS/IPS), SIEM и другими инструментами кибербезопасности. Совместный анализ данных позволяет улучшить общую защиту сети.
Внимание, спойлер: эффективность SandBox зависит от сценария
Так насколько эффективен Sandbox против АРТ-атак? «Песочницы» действительно способны усилить безопасность и выступить достойным инструментом в борьбе с целенаправленными кибератаками и эксплуатацией уязвимостей «нулевого дня».
А теперь «но». Несмотря на свои явные преимущества, «песочницы» — не универсальное решение для защиты информации. Они высокоэффективны в определенных сценариях, но не заменяют комплексные системы кибербезопасности. Дело в вечной игре в «кошки-мышки» хакеров и кибербезопасников: современное вредоносное ПО уже умеет распознавать запуск в SandBox и меняет поведение, чтобы не быть обнаруженным. «Песочницы» приходится усиливать другими методами и технологиями защиты.
Для максимально эффективной работы SandBox грамотная настройка, интеграция с другими СЗИ, которые вместе образуют комплексную и продуманную систему информационной безопасности.
Как выбрать решение класса Anti-APT Sandbox
Рынок разработки предоставляет многочисленные решения класса Anti-APT Sandbox для гибкой настройки виртуальных сред под реальные рабочие станции, глубокого и всестороннего анализа сетевого трафика и файлов, защиты от целевых и массовых атак. Вендоры на свое усмотрение включают в свои разработки дополнительные функции и возможности: многоуровневый динамический анализ, интеграцию с глобальной базой знаний и получение данных о репутации файлов, веб-ресурсов и программного обеспечения, автоматическое объединение всей информации в единый инцидент ИБ для ускорения расследований и реакции на угрозы.
На что обращаем внимание при выборе Sandbox:
- наличие модулей статического и динамического анализа (позволит использовать песочницу как для защиты от уже известных угроз, так и для выявления опасностей, которые отсутствуют в базе сигнатур)
- оснащение инструмента модулем машинного обучения (проводит анализ активности пользователей в системе и на основе накопленных данных выявляет аномалии)
- возможности развёртывания системы (это может серьёзно сократить необходимые для запуска системы трудовые и временные затраты)
- количество предоставляемых гостевых ОС и возможность их кастомизации (требуются для динамического анализа файлов)
- аппаратные требования песочницы
- наличие сертификации ФСТЭК России (это важный критерий, так как в приказах ФСТЭК России прописаны требования к средствам технической защиты информации. В зависимости от присвоенного уровня доверия, средства могут применяться в тех или иных информационных системах различных классов).
Настраиваем и тестируем Sandbox
Проникновение через почту – один из наиболее вероятных сценариев доставки вредоносного ПО на целевую инфраструктуру. Для наглядности проверим работу Sandbox именно через защиту почтового сервера некой организации в режиме зеркалирования. Задача: быстро обнаружить отправленное во вложениях письма ВПО или ссылку на него, оперативно начать расследование инцидента, не влияя на скорость работы почтой службы.
При проведении эксперимента собрали тестовый стенд, который включает в себя сервер с развернутыми сервисами организации, подключили Windows и Linux-клиенты, а также настроили узлы инструментария, необходимые для проведения статического и динамического анализа. «Песочница» должна проверять все письма, проходящие через почтовый сервер организации.
Таблица 1 – Описание машин стенда
Тип устройства | Host name | ОС | Domain name | IP |
Сервер | dc | Windows server 2022 | dc.kasper.lcl | Ethernet0: 10.4.3.11 |
KATA central node | - | Astra Linux Special Edition 1.7.4 | cn.kasper.lcl | ens160: 10.4.3.10 |
KATA sandbox | - | Astra Linux Special Edition 1.7.4 | - | ens160: 10.4.3.15 ens192: 10.4.3.16 |
Windows-клиент | win | Windows 10 Pro | - | Ethernet0:10.4.3.7 |
Linux-клиент | alt-cli | ALT Linux 10.2 | - | Ens160: 10.4.3.5 |
Тест «опасный файл»
Отправляем тестовое письмо, содержащее некий исполняемый файл .com и сопроводительный текст, подозрительный для специалиста безопасности. Система проверила файл сигнатурным модулем обнаружения вредоносного ПО и присвоила ему высокий уровень опасности. Специалист по безопасности получил отчет об обнаружении (рисунок 1) подозрительного файла и предупреждение об опасности.
Тест «эксплуатация уязвимости»
В другом тесте мы отправляем скрипт, который зачастую применяется при эксплуатации уязвимости CVE-2023-3883 (уязвимость встречается в устаревших версиях WinRar). Модуль сигнатурного анализа не выявил признаков вредоносного ПО у данного файла. Но модуль динамического анализа распознал опасность и отправил отчет об обнаружении. В отчете о динамическом анализе файла получаем краткое саммэри действий проверенного ПО в эмулированной системе: список выполненных процессов, дерево активности и снимки экрана, сделанные во время эмуляции. Например, в дереве активностей видим, что из оболочки командной строки была запущена утилита reg.exe. Она используется для добавления, изменения, удаления и просмотра параметров и ключей реестра, а это уже является подозрительной активностью (техника MITRE ATT&CK T1112). Данная утилита пытается изменить значение параметра отвечающего за возможность подключения к конечному узлу по протоколу RDP (разрешить подключение). Модуль динамического анализа не только построил дерево зависимостей (рисунок 2) запускаемых процессов, но и определил техники, используемые вредоносным ПО.
Тест «видео с трояном»
Еще один тест содержит в теле письма ссылку на якобы «интересное видео». На самом деле это контроллер ботнета, распространяющий троян. В консоли специалиста безопасности тут же видим несколько новых обнаружений с высоким уровнем важности (рисунок 3). Все они связаны с отправленным ранее письмом. Первый из трех обнаруженных инцидентов безопасности детектирован модулем сигнатурного анализа (AM), система определила вложение как троян модулем сигнатурного анализа. Два других инцидента были обнаружены модулем проверки репутации ссылок (URL), ссылка определена как связанная с контроллером ботнета, распространяющего троян.
Наши выводы: обнаружение и анализ ссылок в Sandbox работает корректно. В случае реальных угроз «песочница» вовремя обнаружила бы все тестируемые виды киберопасностей. При правильном выборе и настройке решение Anti-APT Sandbox можно применять для повышения защищенности целевой инфраструктуры от целенаправленных продолжительных атак повышенной сложности.
