Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Информационная безопасность

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Главная>Информационная безопасность>Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Тренд

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

Дата публикации:
04.10.2016
Посетителей:
72
Просмотров:
57
Время просмотра:
0.6 мин.
Компания «Инфосистемы Джет» вместе с вендором FireEye провела семинар, посвященный защите от целенаправленных атак и угроз «нулевого» дня. Специалисты системного интегратора развернули тестовый стенд средств защиты информации, максимально приближенный к реальной инфраструктуре типового заказчика. Основной целью мероприятия было доказать эффективность использования механизмов sandbox по сравнению с классическими средствами защиты в борьбе с современными типами угроз.

 

 

Описание тестового стенда

 

На рабочих станциях пользователей в качестве антивируса использовался программный endpoint-агент Trend Micro OfficeScan, в котором был использован весь доступный функционал защиты: антивирус, хостовый IPS и т.д.

 

Трафик от рабочих станций проходил через прокси-сервер Blue Coat ProxySG, обеспечивающий контроль пользователей при доступе в Интернет. В качестве потокового антивируса к прокси-серверу было подключено устройство Blue Coat Content Analysis System (CAS). В составе CAS были задействованы все три антивирусных движка от «Лаборатории Касперского», Sophos и McAfee, которые работали на анализ трафика в двустороннем режиме.

 

На границе между тестовым стендом и сетью Интернет использовался межсетевой экран Palo Alto Networks. На борту межсетевого экрана был активирован движок системы обнаружения вторжений – IPS.

 

Почтовый трафик контролировался средствами антиспам-шлюза Cisco Email Security Appliance. На нем, в свою очередь, также использовался антивирус Sophos и были подключены репутационные базы Cisco.

 

На всех вышеупомянутых средствах защиты специально не были активированы механизмы проверки вредоносного кода в изолированных средах (подписки на облачные сервисы производителей). В рамках политики информационной безопасности (ИБ) на каждом средстве защиты была запрещена загрузка исполняемых файлов из Интернета.


Рис.1. Тестовый стенд

 

Первый тест

 

Описание теста:

  • Пользователь получает фишинговое письмо с архивом, защищенным паролем.
  • Пароль указан в теле письма.
  • Пользователь открывает полученное в письме вложение.

 

Результаты тестирования:

Классические средства защиты тестового стенда не смогли проверить полученное заархивированное вложение. Решение FireEye позволило проанализировать синтаксис письма (в том числе на русском языке), найти пароль, открыть архив и проверить содержимое в «песочнице».

 

Второй тест

 

Описание теста:

  • Пользователь получает фишинговое письмо со ссылкой на новую web-страницу.
  • Пользователь проходит по ссылке.

 

Note:

Особенностью данной проверки является то, что эксплойт находится на web-странице, запрашиваемой пользователем. При переходе на эту страницу запускается JavaScript, и на конечную станцию вредоносное ПО скачивается по частям с обфускацией. Вредоносный файл собирается только на конечной станции.

 

Результаты тестирования:

Обфусцированный файл за несколько сессий попал на рабочую станцию и собрался в один исполняемый вредоносный файл. Межсетевой экран при скачивании такого рода файлов не сработал, endpoint-агент не смог идентифицировать скачанные объекты как вредоносное программное обеспечение (ВПО). Аналогичные файлы успешно анализируются и детектируются в «песочнице» FireEye. «Песочница» показывает всю активность, которая происходила бы на рабочей станции при попадании на нее ВПО.

Рис. 2. Метод доставки ВПО с использованием логической операции «XOR»
 Метод доставки ВПО с использованием логической операции «XOR»

 

Вывод

 

Проведенные тесты демонстрируют, что сигнатурные средства защиты недостаточно эффективны против современных составных атак. Важно отметить, что мы намеренно выбирали Best of Breed решения, чтобы демонстрация была более наглядной. Нашей целью было не показать, что данные продукты плохо защищают. Напротив, они великолепно справляются со своими функциями. Основная проблема в том, что злоумышленники сегодня имеют в своем распоряжении недорогие инструменты, которые позволяют им довольно просто обойти выставленные барьеры, доставив вредоносный контент на станцию пользователя так, что его в процессе скачивания не сможет распознать межсетевой экран/IPS/прокси-сервер. В таких условиях важно, чтобы имеющаяся инфраструктура безопасности была дополнена технологиями динамического анализа контента.

Уведомления об обновлении тем – в вашей почте

Вперед в будущее - унифицированные коммуникации Cisco

В кинофантастике особое место занимают фильмы 80-х – начала 90-х, в которых в деталях описывается мир будущего: летающие машины, роботы, неотличимые от людей, уличные – общественные – суперкомпьютеры ..

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Обзор решений по защите от таргетированных атак

Обзор представляет решения Anti-APT от ведущих производителей: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA)

Интервью с Борисом Симисом, заместителем генерального директора компании Positive Technologies

Один день из жизни Ричарда Джилла, специального агента секретной службы США, превратился в кошмар наяву

Мониторинг бизнес-приложений: экономим 50 млн рублей в час

Сколько стоит час простоя бизнес-приложений? Что умеют и чего не умеют АРМ-решения? Как пилот может сократить стоимость внедрения?

Анализ современных методов маршрутизации

Маршрутизаторы становятся узким местом современных компьютерных сетей, как корпоративных, так и глобальных. Причин тому несколько (см. ):   Увеличение числа пользователей. Увеличение скорости передачи до гигабит в секунду. Появление новых ...

«Интерактивный офис» как интеллектуальный посредник

Переход компаний к персонифицированным отношениям с клиентами обусловлен развитием сегмента персональных устройств и снижением эффективности традиционных методов широковещательной рекламы

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

Новый игрок на рынке сетевой безопасности

Появление новых брендов на рынке решений в области информационной безопасности далеко не редкость

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня