© 1995-2022 Компания «Инфосистемы Джет»
Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Информационная безопасность

Специалисты компании «Инфосистемы Джет» продемонстрировали, что такое таргетированные атаки на практике

Главная>Информационная безопасность>Advanced Persistent Threat в действии: демонстрация методов доставки вирусов
Информационная безопасность Тренд

Advanced Persistent Threat в действии: демонстрация методов доставки вирусов

04.10.2016

Посетителей: 56

Просмотров: 45

Время просмотра: 0.7 мин.

Компания «Инфосистемы Джет» вместе с вендором FireEye провела семинар, посвященный защите от целенаправленных атак и угроз «нулевого» дня. Специалисты системного интегратора развернули тестовый стенд средств защиты информации, максимально приближенный к реальной инфраструктуре типового заказчика. Основной целью мероприятия было доказать эффективность использования механизмов sandbox по сравнению с классическими средствами защиты в борьбе с современными типами угроз.

 

 

Описание тестового стенда

 

На рабочих станциях пользователей в качестве антивируса использовался программный endpoint-агент Trend Micro OfficeScan, в котором был использован весь доступный функционал защиты: антивирус, хостовый IPS и т.д.

 

Трафик от рабочих станций проходил через прокси-сервер Blue Coat ProxySG, обеспечивающий контроль пользователей при доступе в Интернет. В качестве потокового антивируса к прокси-серверу было подключено устройство Blue Coat Content Analysis System (CAS). В составе CAS были задействованы все три антивирусных движка от «Лаборатории Касперского», Sophos и McAfee, которые работали на анализ трафика в двустороннем режиме.

 

На границе между тестовым стендом и сетью Интернет использовался межсетевой экран Palo Alto Networks. На борту межсетевого экрана был активирован движок системы обнаружения вторжений – IPS.

 

Почтовый трафик контролировался средствами антиспам-шлюза Cisco Email Security Appliance. На нем, в свою очередь, также использовался антивирус Sophos и были подключены репутационные базы Cisco.

 

На всех вышеупомянутых средствах защиты специально не были активированы механизмы проверки вредоносного кода в изолированных средах (подписки на облачные сервисы производителей). В рамках политики информационной безопасности (ИБ) на каждом средстве защиты была запрещена загрузка исполняемых файлов из Интернета.


Рис.1. Тестовый стенд

 

Первый тест

 

Описание теста:

  • Пользователь получает фишинговое письмо с архивом, защищенным паролем.
  • Пароль указан в теле письма.
  • Пользователь открывает полученное в письме вложение.

 

Результаты тестирования:

Классические средства защиты тестового стенда не смогли проверить полученное заархивированное вложение. Решение FireEye позволило проанализировать синтаксис письма (в том числе на русском языке), найти пароль, открыть архив и проверить содержимое в «песочнице».

 

Второй тест

 

Описание теста:

  • Пользователь получает фишинговое письмо со ссылкой на новую web-страницу.
  • Пользователь проходит по ссылке.

 

Note:

Особенностью данной проверки является то, что эксплойт находится на web-странице, запрашиваемой пользователем. При переходе на эту страницу запускается JavaScript, и на конечную станцию вредоносное ПО скачивается по частям с обфускацией. Вредоносный файл собирается только на конечной станции.

 

Результаты тестирования:

Обфусцированный файл за несколько сессий попал на рабочую станцию и собрался в один исполняемый вредоносный файл. Межсетевой экран при скачивании такого рода файлов не сработал, endpoint-агент не смог идентифицировать скачанные объекты как вредоносное программное обеспечение (ВПО). Аналогичные файлы успешно анализируются и детектируются в «песочнице» FireEye. «Песочница» показывает всю активность, которая происходила бы на рабочей станции при попадании на нее ВПО.

Рис. 2. Метод доставки ВПО с использованием логической операции «XOR»
 Метод доставки ВПО с использованием логической операции «XOR»

 

Вывод

 

Проведенные тесты демонстрируют, что сигнатурные средства защиты недостаточно эффективны против современных составных атак. Важно отметить, что мы намеренно выбирали Best of Breed решения, чтобы демонстрация была более наглядной. Нашей целью было не показать, что данные продукты плохо защищают. Напротив, они великолепно справляются со своими функциями. Основная проблема в том, что злоумышленники сегодня имеют в своем распоряжении недорогие инструменты, которые позволяют им довольно просто обойти выставленные барьеры, доставив вредоносный контент на станцию пользователя так, что его в процессе скачивания не сможет распознать межсетевой экран/IPS/прокси-сервер. В таких условиях важно, чтобы имеющаяся инфраструктура безопасности была дополнена технологиями динамического анализа контента.

Уведомления об обновлении тем – в вашей почте

«Бизнес без опасности», или Зачем специалисту по информационной безопасности свой блог?

Сегодня мы беседуем с Алексеем Лукацким, бизнес-консультантом по безопасности Cisco Systems и автором одного из самых популярных ИБ-блогов в России «Бизнес без опасности».

Мониторинг бизнес-приложений: экономим 50 млн рублей в час

Сколько стоит час простоя бизнес-приложений? Что умеют и чего не умеют АРМ-решения? Как пилот может сократить стоимость внедрения?

Обзор SDN-решений: Cisco ACI, VMware NSX и Nuage VSP

SDN – наверняка вы слышите этот термин не в первый раз. Интерес компаний к теме программно-определяемых сетей неуклонно растёт, у ИТ-специалистов уже складывается понимание концепции SDN.

«Интерактивный офис» как интеллектуальный посредник

Переход компаний к персонифицированным отношениям с клиентами обусловлен развитием сегмента персональных устройств и снижением эффективности традиционных методов широковещательной рекламы

Противодействие угрозам на уровне рабочих станций: решение FortiClient

Как реализована защита от целенаправленных кибератак на конечных точках в решении FortiClient

В России проведено первое сравнение вендоров Wi-Fi 6. Что выяснили специалисты тестовой лаборатории «Инфосистемы Джет»?

В чем преимущества Wi-Fi 6? Особенности решений от Huawei, Cisco, Aruba и Ruijie? Результаты тестирования технологии в нашей лаборатории?

Обзор технических решений построения городской операторской сети на базе технологии «Optical Ethernet»

С каждым годом появляются новые технологии, направленные на повышение эффективности и производительности распределенных телекоммуникационных систем. Одна из таких технологий – «Оптический Ethernet». Основные цели разработки данной ...

Основные классы угроз в компьютерном сообществе 2003 года, их причины и способы устранения

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня