SandBox nie do zabawy

Najważniejszym zagrożeniem dla bezpieczeństwa IT w firmie jest obecność i aktywność złośliwego oprogramowania. Odpieranie podobnych ataków nie jest proste. Niekiedy jedynym skutecznym narzędziem staje się analiza aktywności w kontrolowanym środowisku.

Ataki przeciw firmom można podzielić na dwie zasadnicze grupy: ataki masowe, związane z typowymi kradzieżami pieniędzy klientów bankowości elektronicznej, oraz specjalnie przygotowywane ataki kierowane, APT (Advanced Persistent Threats) lub ATA (Advanced Targeted Attacks), niekiedy klasy militarnej. Najczęściej mamy do czynienia z masowymi atakami, w których głównym celem są użytkownicy systemów bankowości elektronicznej konkretnego banku, a nie pracownicy wybranej firmy.

Infekcja rozpoczyna się zazwyczaj od zwabienia użytkownika za pomocą technik socjotechnicznych, a w konsekwencji np. przekierowania jego przeglądarki do specjalnie przygotowanej strony, na której hostowane jest złośliwe oprogramowanie. Użytkownik zachęcony za pomocą wcześniejszych działań socjotechnicznych pobiera program, który zainstaluje kolejne składniki konia trojańskiego służącego do kradzieży pieniędzy z kont internetowych.

Możliwy jest też szereg bardziej wysublimowanych działań prowadzących do zainfekowania systemu użytkownika, polegający na wykorzystaniu najnowszych, często jeszcze nieopublikowanych podatności występujących w najbardziej popularnych aplikacjach użytkowników. Wtedy to niczego niespodziewający się użytkownik, otwierając spreparowany link, dokument lub załącznik pocztowy, staje się ofiarą ataku bez ?konieczności? uruchamiania pliku wykonywalnego (exe). Zagrożenie to jest powszechne i znane, dzięki czemu rutynowe działania dostawców technologii bezpieczeństwa zaczynają przynosić coraz lepsze efekty.

Tomasz Niewdana, inżynier systemowy w firmie Fortinet, mówi: ?W większości przypadków znamy najważniejsze symptomy i zachowania związane ze scenariuszem infekcji. Dysponujemy możliwością identyfikowania ruchu botnetowego, wykrywamy połączenia do podejrzanych i skompromitowanych adresów IP oraz URL, rozpoznajemy protokoły komunikacji z serwerem kontroli botnetu (C&C ? Command and control center). Zauważamy także częste wykorzystywanie tej samej technologii przez napastników na poszczególnych etapach ataku. Nawet jeśli występuje w nich eksploit na nową nieznaną wcześniej podatność lub nowy sposób omijania tradycyjnych zabezpieczeń, takich jak antywirus czy IPS, to często kanał lub mechanizm komunikacji zostaje ten sam, a niekiedy nawet adresy IP, użyte rekordy DNS czy adresy URL stosowane do poszczególnych etapów ataku są identyczne. A to znacznie ułatwia detekcję potencjalnie nieznanego zagrożenia. Posiadamy centrum wykrywania FortiGuardLabs, które analizuje próbki malware'u. Przechwytujemy wiele podejrzanych plików i wcześniej niezidentyfikowanych zagrożeń, a ich sygnatury oraz inne charakterystyczne niebezpieczne wzorce zachowań w zautomatyzowany sposób trafiają do naszych sygnatur antywirusowych, baz filtrowania treści i innych list reputacji?.

Kierowany atak specjalny

Ataki kierowane APT/ATA przeciw firmom technologicznym mają inny cel ? zamiast masowych kradzieży pieniędzy z systemów transakcyjnych złodzieje kradną z firmy lub instytucji informację. Atak taki rozpoczyna się od rozpoznania pracowników, np. przy wykorzystaniu informacji w sieciach społecznościowych, takich jak LinkedIn, GoldenLine czy Facebook, a następnie napastnicy opracowują specjalnie spreparowaną wiadomość e-mail lub korzystają z innych dróg, by uzyskać dostęp do firmowej infrastruktury od środka. Obecnie celem zaawansowanych ataków nie są same systemy informatyczne , ale klienci bądź pracownicy danej firmy.

Tomasz Niewdana wyjaśnia: ?Pierwszym krokiem jest link kierujący do podstawionej strony albo załącznik w formacie PDF lub Microsoft Office zawierający eksploita. Po wykorzystaniu podatności w aplikacjach lub wtyczkach takich jak Java i Flash złośliwe oprogramowanie przejmuje kontrolę nad systemem na stacji roboczej i stopniowo rozszerza swój zasięg działania. Do tego celu używa się nieznanych dla ogółu eksploitów tzw. 0-day, cały proces infekcji jest niezauważalny dla użytkownika. Napastnicy wykorzystują również podrzucane pamięci USB. Droga infekcji jest kilkuetapowa i specjalnie opracowywana pod kątem konkretnych użytkowników. Scenariusze ataków przewidują również możliwość infekcji danego użytkownika poza zabezpieczonym środowiskiem korporacyjnym. Na przykład ktoś klika w link zawarty w wiadomości wysłanej na Facebooku przez znajomego, korzystając z firmowego komputera, będąc w zasięgu domowego lub hotelowego Wi-Fi. Wtedy większość sieciowych mechanizmów bezpieczeństwa, które znajdują się w firmie, jest po prostu omijana?.

Po udanym przejęciu kontroli nad systemem operacyjnym odbywa się zestawienie sesji komunikacji zwrotnej od zarażonego komputera do serwera botnetu. W odróżnieniu od pospolitych koni trojańskich takich jak ZeuS przy atakach kierowanych klasy enterprise lub militarnych komunikacja odbywa się za pomocą tuneli i żądań DNS, NTP, a nawet ICMP. Tych kanałów może być kilka, i to bardzo zróżnicowanych. Zadaniem komunikacji zwrotnej jest wysłanie w niezauważony sposób jak największej porcji danych. Sam atak jest nadzorowany przez cyberprzestępców i operacja kradzieży informacji z firmy ma pozostać niewidoczna tak długo, jak to możliwe.

Przy wykrywaniu podobnych ataków ważna jest dokładna analiza podejrzanych i niesklasyfikowanych wcześniej obiektów, z których korzystają użytkownicy. Przydatne jest także monitorowanie anomalii ruchu sieciowego. Dogłębnej analizy nie można skutecznie wykonać ?w locie?, przy pobieraniu pliku z internetu, gdyż proces analizy nieznanych zagrożeń może zająć nawet kilka minut, a żaden użytkownik nie będzie miał tyle cierpliwości, czekając na otwarcie strony WWW. Ale w przypadku poczty elektronicznej takie opóźnienie można już zaakceptować. Wtedy wiadomość jest wstrzymywana na czas analizy treści, adresów URL czy załączników i znajdzie się w kolejce przychodzącej dopiero po jej pozytywnym rezultacie zakończenia.

Ważnym aspektem wielowarstwowej ochrony przed tego typu atakami jest możliwość pełnej integracji i zasilania samego sandboksa próbkami z takich urządzeń, jak: zapory sieciowe, system ochrony antyspamowej czy program antywirusowy na stacji końcowej użytkownika. Dzięki temu możemy wyłapywać nieznane zagrożenia na wielu warstwach komunikacji.

Jak działa sandbox

Analiza z wykorzystaniem chronionego środowiska znacznie różni się od skanowania strumienia przy ochronie przed złośliwym kodem na zaporze sieciowej. Wynik skanowania można dostarczyć później, gdyż kilkuminutowe opóźnienie w przypadku poczty elektronicznej nie ma znaczenia dla użytkownika, a zatem sprawdzenie podejrzanych obiektów można przeprowadzić dokładniej niż przy prostym skanowaniu strumienia danych.

Tomasz Niewdana, inżynier systemowy w firmie Fortinet, wyjaśnia: ?Za pomocą technologii FortiSandbox można sprawdzić pliki zarówno w formie standardowej, jak i wewnątrz archiwów oraz adresy URL. Ponieważ mamy więcej czasu na analizę, obiekt jest skanowany bardzo dokładnie jako całość. Dzięki temu technologie zaciemnienia kodu, które umożliwią ominięcie skanerów strumieniowych, nie będą skuteczne w piaskownicy?.

Skanowanie antywirusowe

Badanie podejrzanego pliku zaczyna się od skanowania antywirusowego. Ważną przewagą skanera w sandboksie jest wielkość bazy sygnatur. Przy skanowaniu można uwzględnić starsze technologie sprzed lat, których nikt już nie używa w antywirusach sieciowych z racji dbałości o wydajność. Bez szkody dla ciągłości działania można wprowadzić także najnowsze eksperymentalne szczepionki charakteryzujące się potencjalnie wysokim współczynnikiem fałszywych alarmów. Na stacji roboczej fałszywy alarm antywirusa grozi zablokowaniem systemu Windows, ale w piaskownicy może spowodować co najwyżej wysłanie do kwarantanny pojedynczej wiadomości e-mail.

Odpytanie chmury

Masowe infekcje za pomocą malware'u nie są ograniczone do pojedynczej instalacji, dlatego można skorzystać z efektu skali i odpytać mechanizm chmurowy dostawcy. Jeśli ktoś przedtem skanował plik o danym skrócie kryptograficznym (i innych metadanych), to w ciągu kilku sekund można uzyskać odpowiedź. Jest to drugi krok analizy. Trwa zazwyczaj kilka sekund.

Emulacja kodu

Trzeci krok zakłada sprawdzenie za pomocą zaawansowanego podejścia sygnaturowego, w którym nie ma sygnatury pojedynczego zagrożenia, ale są szerzej opisane reguły potrafiące wychwycić od kilkuset do kilku tysięcy wariantów tego samego złośliwego oprogramowania. Tutaj sprawdza się także obecność pętli antydebugowych oraz innych sposobów obrony przed analizą kodu.

Uruchomienie w piaskownicy

Ostatnim krokiem jest uruchomienie kodu w środowisku wirtualnym wyposażonym w kontrolowane wirtualne łącze do internetu. Próbka jest monitorowana pod kątem dziwnych zachowań, takich jak: kasowanie lub nadpisywanie plików, niestandardowe wpisy w rejestrach, ukrywanie swojego działania w systemie, dodawanie się do automatycznego startu, uruchamianie innych procesów, podszywanie się pod usługi systemowe generowanie podejrzanych zapytań DNS. Sprawdzane są także adresy internetowe, do których łączy się dany program. Jeśli wśród tych cech znajdą się symptomy niebezpieczeństwa, próbkę można zablokować. W ten sposób udaje się wykryć wiele dropperów popularnego złośliwego oprogramowania.

Na podstawie wyników powyższej analizy powstaje ocena ryzyka związanego z danym plikiem. Jeśli analiza wykaże, że podejrzany plik jest wirusem, to niebawem będzie dostępna integracja piaskownicy z centralnym systemem antywirusowym. Wygenerowana za pomocą sandboksa sygnatura dla tego zagrożenia będzie wprowadzona do lokalnego systemu antywirusowego, by chronić pozostałych użytkowników organizacji. Jeśli komputer kolejnego użytkownika pobierze taki plik, skaner antywirusowy na urządzeniu firewall lub komputerze użytkownika zablokuje infekcję.

 

Źródło : http://www.computerworld.pl/