Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Информационная безопасность

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Главная>Информационная безопасность>Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Тренд

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Дата публикации:
04.10.2016
Посетителей:
72
Просмотров:
57
Время просмотра:
0.6 мин.
Компания «Инфосистемы Джет» вместе с вендором FireEye провела семинар, посвященный защите от целенаправленных атак и угроз «нулевого» дня. Специалисты системного интегратора развернули тестовый стенд средств защиты информации, максимально приближенный к реальной инфраструктуре типового заказчика. Основной целью мероприятия было доказать эффективность использования механизмов sandbox по сравнению с классическими средствами защиты в борьбе с современными типами угроз.

 

 

Описание тестового стенда

 

На рабочих станциях пользователей в качестве антивируса использовался программный endpoint-агент Trend Micro OfficeScan, в котором был использован весь доступный функционал защиты: антивирус, хостовый IPS и т.д.

 

Трафик от рабочих станций проходил через прокси-сервер Blue Coat ProxySG, обеспечивающий контроль пользователей при доступе в Интернет. В качестве потокового антивируса к прокси-серверу было подключено устройство Blue Coat Content Analysis System (CAS). В составе CAS были задействованы все три антивирусных движка от «Лаборатории Касперского», Sophos и McAfee, которые работали на анализ трафика в двустороннем режиме.

 

На границе между тестовым стендом и сетью Интернет использовался межсетевой экран Palo Alto Networks. На борту межсетевого экрана был активирован движок системы обнаружения вторжений – IPS.

 

Почтовый трафик контролировался средствами антиспам-шлюза Cisco Email Security Appliance. На нем, в свою очередь, также использовался антивирус Sophos и были подключены репутационные базы Cisco.

 

На всех вышеупомянутых средствах защиты специально не были активированы механизмы проверки вредоносного кода в изолированных средах (подписки на облачные сервисы производителей). В рамках политики информационной безопасности (ИБ) на каждом средстве защиты была запрещена загрузка исполняемых файлов из Интернета.


Рис.1. Тестовый стенд

 

Первый тест

 

Описание теста:

  • Пользователь получает фишинговое письмо с архивом, защищенным паролем.
  • Пароль указан в теле письма.
  • Пользователь открывает полученное в письме вложение.

 

Результаты тестирования:

Классические средства защиты тестового стенда не смогли проверить полученное заархивированное вложение. Решение FireEye позволило проанализировать синтаксис письма (в том числе на русском языке), найти пароль, открыть архив и проверить содержимое в «песочнице».

 

Второй тест

 

Описание теста:

  • Пользователь получает фишинговое письмо со ссылкой на новую web-страницу.
  • Пользователь проходит по ссылке.

 

Note:

Особенностью данной проверки является то, что эксплойт находится на web-странице, запрашиваемой пользователем. При переходе на эту страницу запускается JavaScript, и на конечную станцию вредоносное ПО скачивается по частям с обфускацией. Вредоносный файл собирается только на конечной станции.

 

Результаты тестирования:

Обфусцированный файл за несколько сессий попал на рабочую станцию и собрался в один исполняемый вредоносный файл. Межсетевой экран при скачивании такого рода файлов не сработал, endpoint-агент не смог идентифицировать скачанные объекты как вредоносное программное обеспечение (ВПО). Аналогичные файлы успешно анализируются и детектируются в «песочнице» FireEye. «Песочница» показывает всю активность, которая происходила бы на рабочей станции при попадании на нее ВПО.

Рис. 2. Метод доставки ВПО с использованием логической операции «XOR»
 Метод доставки ВПО с использованием логической операции «XOR»

 

Вывод

 

Проведенные тесты демонстрируют, что сигнатурные средства защиты недостаточно эффективны против современных составных атак. Важно отметить, что мы намеренно выбирали Best of Breed решения, чтобы демонстрация была более наглядной. Нашей целью было не показать, что данные продукты плохо защищают. Напротив, они великолепно справляются со своими функциями. Основная проблема в том, что злоумышленники сегодня имеют в своем распоряжении недорогие инструменты, которые позволяют им довольно просто обойти выставленные барьеры, доставив вредоносный контент на станцию пользователя так, что его в процессе скачивания не сможет распознать межсетевой экран/IPS/прокси-сервер. В таких условиях важно, чтобы имеющаяся инфраструктура безопасности была дополнена технологиями динамического анализа контента.

Уведомления об обновлении тем – в вашей почте

SDDC - основа новой облачной инфраструктуры

Термин «программно-определяемый ЦОД» (Software Defined Datacenter, SDDC) в последнее время встречается все чаще. Что за ним скрывается?

Обзор средств защиты виртуальной инфраструктуры

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды

Искусство управлять медиаконтентом

Средние и крупные компании все чаще сталкиваются с необходимостью поддерживать единый внутренний информационный фон – определенный уровень осведомленности сотрудников о деятельности предприятия

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Обзор SDN-решений: Cisco ACI, VMware NSX и Nuage VSP

SDN – наверняка вы слышите этот термин не в первый раз. Интерес компаний к теме программно-определяемых сетей неуклонно растёт, у ИТ-специалистов уже складывается понимание концепции SDN.

Индустрия 4.0. Кибербезопасность: вызовы и решения

Совсем недавно вышел аналитический отчет «Лаборатории Касперского» о том, как обстоят дела с кибербезопасностью в 2018 г.

Круглый стол: «Лаборатория Касперского», Positive Technologies, R-Vision, Group-IB, UserGate и «Гарда Технологии» об изменениях в ИБ-отрасли

Как изменилась роль ИБ-отрасли за последние месяцы? Какова кадровая ситуация в сфере информационной безопасности? Почему далеко не все отечественные ИБ-решения нуждаются в доработке? Как относиться к Open Source (спойлер — единого мнения нет)?

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня