© 1995-2022 Компания «Инфосистемы Джет»
Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Информационная безопасность

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Главная>Информационная безопасность>Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Тренд

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

04.10.2016

Посетителей: 68

Просмотров: 54

Время просмотра: 0.6 мин.

Компания «Инфосистемы Джет» вместе с вендором FireEye провела семинар, посвященный защите от целенаправленных атак и угроз «нулевого» дня. Специалисты системного интегратора развернули тестовый стенд средств защиты информации, максимально приближенный к реальной инфраструктуре типового заказчика. Основной целью мероприятия было доказать эффективность использования механизмов sandbox по сравнению с классическими средствами защиты в борьбе с современными типами угроз.

 

 

Описание тестового стенда

 

На рабочих станциях пользователей в качестве антивируса использовался программный endpoint-агент Trend Micro OfficeScan, в котором был использован весь доступный функционал защиты: антивирус, хостовый IPS и т.д.

 

Трафик от рабочих станций проходил через прокси-сервер Blue Coat ProxySG, обеспечивающий контроль пользователей при доступе в Интернет. В качестве потокового антивируса к прокси-серверу было подключено устройство Blue Coat Content Analysis System (CAS). В составе CAS были задействованы все три антивирусных движка от «Лаборатории Касперского», Sophos и McAfee, которые работали на анализ трафика в двустороннем режиме.

 

На границе между тестовым стендом и сетью Интернет использовался межсетевой экран Palo Alto Networks. На борту межсетевого экрана был активирован движок системы обнаружения вторжений – IPS.

 

Почтовый трафик контролировался средствами антиспам-шлюза Cisco Email Security Appliance. На нем, в свою очередь, также использовался антивирус Sophos и были подключены репутационные базы Cisco.

 

На всех вышеупомянутых средствах защиты специально не были активированы механизмы проверки вредоносного кода в изолированных средах (подписки на облачные сервисы производителей). В рамках политики информационной безопасности (ИБ) на каждом средстве защиты была запрещена загрузка исполняемых файлов из Интернета.


Рис.1. Тестовый стенд

 

Первый тест

 

Описание теста:

  • Пользователь получает фишинговое письмо с архивом, защищенным паролем.
  • Пароль указан в теле письма.
  • Пользователь открывает полученное в письме вложение.

 

Результаты тестирования:

Классические средства защиты тестового стенда не смогли проверить полученное заархивированное вложение. Решение FireEye позволило проанализировать синтаксис письма (в том числе на русском языке), найти пароль, открыть архив и проверить содержимое в «песочнице».

 

Второй тест

 

Описание теста:

  • Пользователь получает фишинговое письмо со ссылкой на новую web-страницу.
  • Пользователь проходит по ссылке.

 

Note:

Особенностью данной проверки является то, что эксплойт находится на web-странице, запрашиваемой пользователем. При переходе на эту страницу запускается JavaScript, и на конечную станцию вредоносное ПО скачивается по частям с обфускацией. Вредоносный файл собирается только на конечной станции.

 

Результаты тестирования:

Обфусцированный файл за несколько сессий попал на рабочую станцию и собрался в один исполняемый вредоносный файл. Межсетевой экран при скачивании такого рода файлов не сработал, endpoint-агент не смог идентифицировать скачанные объекты как вредоносное программное обеспечение (ВПО). Аналогичные файлы успешно анализируются и детектируются в «песочнице» FireEye. «Песочница» показывает всю активность, которая происходила бы на рабочей станции при попадании на нее ВПО.

Рис. 2. Метод доставки ВПО с использованием логической операции «XOR»
 Метод доставки ВПО с использованием логической операции «XOR»

 

Вывод

 

Проведенные тесты демонстрируют, что сигнатурные средства защиты недостаточно эффективны против современных составных атак. Важно отметить, что мы намеренно выбирали Best of Breed решения, чтобы демонстрация была более наглядной. Нашей целью было не показать, что данные продукты плохо защищают. Напротив, они великолепно справляются со своими функциями. Основная проблема в том, что злоумышленники сегодня имеют в своем распоряжении недорогие инструменты, которые позволяют им довольно просто обойти выставленные барьеры, доставив вредоносный контент на станцию пользователя так, что его в процессе скачивания не сможет распознать межсетевой экран/IPS/прокси-сервер. В таких условиях важно, чтобы имеющаяся инфраструктура безопасности была дополнена технологиями динамического анализа контента.

Уведомления об обновлении тем – в вашей почте

Гиперконвергенция: настоящее и будущее

Одной из горячих тем последних лет является гиперконвергенция (HCI – Hyper-Converged Infrastructure). Гиперконвергентные решения пришли к нам из крупных интернет-компаний, таких как Google и Facebook, и принесли с собой новый подход к построению вычислительной инфраструктуры ЦОД.

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Компания Cisco представила новую версию HyperFlex

Cisco повысила производительность новой версии интегрированного гиперконвергентного инфраструктурного решения HyperFlex

«Не думайте, что хакеры живут на других планетах…»

Станислав Павлунин, вице-президент по безопасности Тинькофф Банка рассказ о подходе банка к защите от кибератак

Искусство управлять медиаконтентом

Средние и крупные компании все чаще сталкиваются с необходимостью поддерживать единый внутренний информационный фон – определенный уровень осведомленности сотрудников о деятельности предприятия

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Интервью Алексея Комкова, Технического директора компании "Лаборатория Касперского"

Интервью Комкова Алексея, технического директора компании "Лаборатория Касперского" информационному бюллетеню "Jet ...

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня