ПроКАТить хакера! О возможностях решений «Лаборатории Касперского» KATA и KEDR

BIS Journal №3(42)/2021

23 июля, 2021

ПроКАТить хакера! О возможностях решений «Лаборатории Касперского» KATA и KEDR

Целевые атаки происходят не так часто и занимают незначительную по количеству долю всех кибератак, но ущерб от них на порядок превосходит потери от традиционной массовой киберпреступности. Атака становится целевой в тот момент, когда используется не для широкого распространения, а, напротив, направлена на конкретную организацию или объект.

 

КАК ОНИ ДЕЙСТВУЮТ

В современном мире крайне сложно утаить особенности и недостатки ИТ-инфраструктуры организации – все данные как на ладони. «Безопасность через неясность» уже не работает, выяснить тип или версию используемых средств защиты может любой злоумышленник, например, придя на собеседование или в беседе с бывшим сотрудником.

В силу достаточной трудоёмкости и больших финансовых затрат на преодоление защиты крупных корпораций киберпреступники нередко проникают внутрь сетевого периметра через взлом сетей или устройств небольших и плохо защищённых подрядных компаний.

При целевой атаке для злоумышленника важно не быть обнаруженным как можно дольше. Также для повышения вероятности успеха атаки киберпреступники выясняют версии и уязвимости конкретных сервисов, используемых в конкретной сети.

Часто используется комбинация из социальной инженерии и одной или нескольких технических уязвимостей. Это позволяет доставить используемый вредоносный код через небольшое количество шагов на рабочую машину сотрудника атакуемой организации.

 

«ПЕСОЧНИЦА»

Изначально для защиты от таких угроз применялись антивирусы на конечных точках и межсетевые экраны на сетевом периметре, но сегодня этого может оказаться недостаточно. За счёт ограниченных ресурсов рабочие устройства неспособны глубоко анализировать постоянно усложняющиеся кибератаки, вследствие чего функции проверки были вынесены на отдельные модули – так называемые песочницы.

Теперь рассмотрим саму песочницу. Её основной отличительной чертой и компонентом являются виртуальные машины, имитирующие обычные рабочие станции пользователя и мобильные устройства. На них и попадает потенциальный вредоносный объект.

Далее включается механизм анализа каждого шага запущенного в виртуальной машине вредоносного объекта. Ему нужно дать раскрыть себя во всей красе, поместив его в десятки различных условий и собрав данные о последующем поведении.

Песочницы являются одним из главных компонентов защиты от направленных атак, так как они справляются со специально разработанными под конкретную атаку вредоносными объектами, сигнатуры которых ранее не были известны. На сегодняшний день у злоумышленников сформировался ряд излюбленных методов обхода песочниц.

  • Проверка домена, чтобы выявить, принадлежит ли окружение, в котором находится вирус, целевой организации. Если не принадлежит, то атака останавливается.
  • Отложенный старт – выжидание некоторого времени до начала вредоносной активности для обмана средств защиты. Для обработки таких сценариев песочницы научились ускорять время в контексте виртуальных машин.
  • Запущен ли вредоносный код в среде виртуализации? Многие целенаправленные атаки проводят подобную проверку, считая, что рабочая станция сотрудника не может быть виртуальной. Песочница должна уметь эмулировать физический CPU, выдавая себя за настоящую рабочую станцию пользователя.
  • Есть ли в данном окружении активность пользователя? Песочницы эмулируют поведение пользователя – сетевая активность, клики мышкой по ссылкам, нажатия на клавиатуру и прокрутка экрана.

Перечисленные методы лишь примеры технологий сокрытия присутствия и ответов на них со стороны средств защиты, которые переносят задачу проверки угроз далеко за грань классического антивируса. Для нападающей стороны такое усложнение способов эксплуатации не остаётся незамеченным– затраты на обход защиты подобного уровня увеличиваются в разы, и попытки её «пробить» становятся нецелесообразными.

 

ВЗЯТЬ ПОД КОНТРОЛЬ

Исторически подход к защите от комплексных угроз менялся сначала от защиты периметра (доверяю всему, что внутри, не доверяю всему, что снаружи) к сегментации (разделяем сеть и бизнес-процессы на части, каждая сущность имеет права только в своём сегменте) и наконец к концепции нулевого доверия (полное отсутствие доверия кому-либо – даже пользователям внутри периметра).

В современном представлении о безопасности периметр размыт (например, BYOD – Bring Your Own Device), а злоумышленник существует как внутри сети, так и за её периметром. При таком подходе остаётся взять под контроль потоки передачи данных между доверенными сегментами, которые злоумышленники могут использовать для проникновения с использованием методов социальной инженерии.

 

ТОЧКИ ВХОДА

Выделяют три основные точки входа данных, которые необходимо контролировать с помощью средств защиты:

  • веб-трафик;
  • обмен почтовыми сообщениями;
  • рабочие станции пользователей.

Для каждой из них существуют специализированные решения защиты, которые, хотя и могут выявлять отдельные инциденты, обычно не способны распознать их как часть сложной направленной атаки. Проблема решается за счёт интеграции специализированных решений с песочницей. Например, антиспам-система получает возможность отправлять на проверку в песочницу письма, спам-рейтинг которых не удастся выставить без глубокого анализа содержимого (вложений и ссылок). 

В таких условиях преимущество получают разработчики средств защиты, предлагающие комплексный набор различных решений, позволяющих собирать образцы для проверки из разных источников. Продуктовая линейка производителя превращается в экосистему продуктов безопасности, а их интеграция производится с наименьшими затратами и может быть выполнена одним кликом.

 

КАТА

Рассмотрим такую интеграцию на примере Kaspersky Anti Targeted Attack (KATA) – системы защиты от целенаправленных атак. Система осуществляет сбор данных для проверки со всех основных потоков передачи данных компании, при этом поддерживая интеграцию как с продуктами «Лаборатории Касперского», так и с решениями сторонних вендоров.

Если для защиты почтового и веб-трафика достаточно анализа копии трафика, то для рабочих станций такой подход не работает. Классический антивирус в силу ограниченности ресурсов рабочей станции не способен поставить потенциальную угрозу в разные условия для наблюдения за её поведением (в т. ч. неограниченный доступ в сеть для связи с командными центрами), при этом не мешая работе пользователя.

 

KEDR

Учитывая появление всё более сложных методов обхода средств защиты, использования только антивируса может быть недостаточно для обнаружения и устранения угрозы. Появилась необходимость в компоненте, непрерывно наблюдающем за происходящим в ОС и проводящем анализ соответствия событий и обнаружений индикаторам атак (IOA – Indicator of Attack). Новый класс решений, получивший название End point Detection and Response (EDR), помимо формирования полной картины инцидента, занимается такими задачами, как сбор и долгосрочное хранение исторических данных для расследования, а также предоставляет инструменты реагирования, недоступные классическим антивирусным решениям.

У «Лаборатории Касперского» такой модуль называется Kaspersky EDR, или сокращённо KEDR. KEDR ориентирован на мониторинг и выявление аномалий в рядовых процессах ОС, таких как:

  • работа с реестром;
  • создание/удаление файлов;
  • загрузка модулей в память;
  • параметры командной строки, передаваемой в ОС;
  • сетевая активность процесса/службы;
  • события журналов Windows Event Log.

Сенсоры KEDR собирают данные о локальной активности и передают их на центральный узел KATA компоненту Target Attack Analyzer, который отвечает за анализ информации, поступающей со всей экосистемы средств защиты «Лаборатории Касперского» (антиспам-системы, веб-фильтрация, песочница, сенсоры на рабочих станциях) и делает вывод об обнаружении в инфраструктуре целевой атаки.

Подобный подход позволяет детектировать угрозы, недоступные для анализа классическому сигнатурному антивирусу.

Ещё одним немаловажным преимуществом КEDR является возможность активного реагирования на угрозы. Это позволяет офицеру безопасности выполнять на компьютерах различные операции, например:

  • блокировка сетевых соединений (вплоть до полной изоляции АРМ);
  • запрет и остановка файла либо процесса;
  • запрос файлов на рабочей станции на проверку;
  • запуск произвольных команд в ОС;
  • выявление индикаторов компрометации.

Возможность активного реагирования на угрозы из единой консоли открывает для администраторов безопасности широкие возможности для оперативного предотвращения атак. Так, в ходе одного из проектов специалистами службы безопасности банка совместно с экспертами iT PROTECT GROUP ещё на этапе пилотного тестирования была заблокирована целевая атака с использованием социальной инженерии. Сотрудникам банка приходили письма spear-фишинг с содержимым, интересным для конкретного сотрудника. В качестве вложения выступали файлы офисного формата, которые неопасны сами по себе, однако в их заголовках были обращения на внешние ресурсы. При открытии файлов офисными программами создавался SMB-запрос на внешние сервера, который содержал в себе хеш пароля сотрудника. По критериям события было создано правило IOA (Indicator of Attack), с помощью которого были найдены и обезврежены все подобные вредоносные файлы, попавшие во внутреннюю сеть.

Подводя итог, можно сказать, что использование в инфраструктуре интегрированных средств защиты информации, таких как песочница и EDR, существенно расширяет возможности по выявлению направленных атак, а также ускоряет реагирование на инциденты и облегчает их расследование, позволяя офицеру безопасности более точно восстанавливать хронологию событий. Интеграция с различными классами средств защиты информации позволяет модулю песочницы KATA получать образцы для проверки со всех потоков данных в организации, обеспечивая при этом возможность реагирования, недоступную классическим «хостовым» средствам защиты.

Смотрите также