WSTĘP CYKL ŻYCIA ATAKU

Transkrypt

1 WSTĘP Współczesne zagrożenia stacji roboczych użytkowników oparte są na dwóch wektorach. Pierwszym z nich jest malware czyli pliki wykonywalne realizujące złośliwy kod. Drugim natomiast są exploit y, czyli pliki i dokumenty wykorzystujące podatność aplikacji (m.in. Microsoft Office, Adobe Reader), które je uruchamia. Cyberprzestępcy korzystają z obu wektorów indywidualnie lub w pewnej kombinacji przy realizacji złożonych ataków. Exploit: Wykorzystuje podatność (lukę) w aplikacji. Posiada przygotowane instrukcje wykonywane przez legitymowaną aplikację. Oszukuje aplikacje celem wykonania własnego kodu. Ma przeważnie mały rozmiar pliku (mniej niż 1MB). Malware: To złośliwy kod w postaci pliku wykonywalnego. Nie wykorzystuje żadnej ze znanych podatności aplikacji. Jego głównym zadaniem jest przejęcie kontroli nad zainfekowanym komputerem. Ma przeważnie duży rozmiar pliku (do kilku MB). Obecnie skuteczna ochrona stacji roboczych powinna zapewniać bezpieczeństwo przeciwko obu wspomnianym wektorom, chronić przed zarówno znanymi jak i nieznanymi zagrożeniami niezależnie od fizycznej lokalizacji stacji użytkownika. CYKL ŻYCIA ATAKU Obserwując i analizując raporty z przeprowadzanych w ostatnich czasach atakach można zauważyć ich elementy wspólne. Każdy z nich posiadał swój cykl życia, czyli chronologiczne akcje i incydenty, które miały miejsce od rozpoczęcia kampanii cyberprzestępczej przez przełamanie zabezpieczeń i skompromitowanie stacji roboczej. Każdy skuteczny atak rozpoczyna się od fazy Rekonesansu, podczas którego hakerzy zbierają istotne informacje o organizacji, która ma paść ich celem. Wykorzystywane są do tego liczne narzędzia i portale. W pierwszej kolejności sporej dawki danych o firmie i jej strukturze mogą dostarczyć media społecznościowe. Świetnie do tych celów spisuje się LinkedIn, który nie tylko

2 daje pogląd na strukturę organizacyjną firmy, jej pracowników oraz ich adresy mailowe, ale wiele więcej niż można się spodziewać. To właśnie LinkedIn najczęściej jest podstawowym źródłem informacji na temat tego jakie rozwiązania systemowe i produkty bezpieczeństwa są w ramach infrastruktury stosowane. Skąd to się bierze? Źródła są dwa: Ogłoszenia o prace na stanowiska techniczne, informatyczne, w których wspomniane, jako wymaganie, są znajomość rozwiązań pewnych producentów oraz przykładowo znajomości pakietu Windows Server. Konta inżynierów bezpieczeństwa, na których upublicznione są odbyte przez nich szkolenia oraz certyfikaty branżowe pewnych rozwiązań. Oprócz tego stosowane są również zaawansowane narzędzia, takie jak skanery sieciowe i skanery podatności, które potrafią dostarczyć bardziej szczegółowych danych odnośnie konfiguracji poszczególnych rozwiązań. Następnie tak zebrane informacje wykorzystywane są po to, by możliwie najlepiej doszlifować scenariusz ataku, tak by ominąć lub złamać wdrożone systemy bezpieczeństwa. Po zrealizowaniu pierwszego kroku dalej atak przebiega według powyższego cyklu życia : 1. Zebranie informacji (rekonesans) znalezienie ofiary ataku. 2. Wprowadzenie exploit a w tym punkcie cyberprzestępcy przygotowują odpowiednią kampanie mailingową specjalnie dostosowaną do zainteresowań lub profilu działalności ofiary. Exploit wprowadzony jest najczęściej za pomocą załącznika zawierającego dokument (np. Microsoft Word) niewielkich rozmiarów lub poprzez link do skompromitowanego serwera www. Po uruchomieniu takiego dokumentu wykorzystywana jest podatność aplikacji i w efekcie wykonywany jest fragment złośliwym instrukcji, które najczęściej mają na celu pobranie pliku z malware m. 3. Wykonanie malware u w następnym kroku wykonywany jest złośliwy kod, który może na przykład zaszyfrować dyski twarde, rozprzestrzenić się po całej domenie broadcast owej lub nawiązać połączenie zwrotne do atakujących. 4. Kanał kontroli w tym punkcie nawiązywane jest połączenie zwrotne z zainfekowanego komputera do serwera Command&Control. Połączenie najczęściej dochodzi do skutku, gdyż jest realizowane za pomocą przeważnie otwartych na firewall u portach (TCP 80 i 443). W efekcie cyberprzestępcy

3 zestawiają szyfrowany kanał kontroli, dzięki któremu przejmują w pełni kontrolę nad zainfekowaną maszyną. 5. Kradzież danych. PALO ALTO TRAPS Rozwiązanie Traps od firmy Palo Alto Networks jest to zaawansowany system zabezpieczeń dla komputerów roboczych oraz serwerów. Realizuje ono ochronę w innowacyjny sposób oraz potrafi zabezpieczyć organizacje przed wektorami ataku w postaci Exploit i Malware jednocześnie nie obciążając mocno stacji użytkowników. ANTY-EXPLOIT Exploit dostarczony jest w postaci na pozór normalnie wyglądającego pliku odtwarzanego przez oprogramowanie zaufanych dostawców (jak np. Microsoft, Adobre, Oracle). Po uruchomieniu takiego pliku wbudowany w niego złośliwy kod wykorzystuje (znaną lub nieznaną) podatność danej aplikacji. Powodów występowania takowej podatności może być wiele, może to być nieodpowiednie alokowanie pamięci systemu operacyjnego lub zwyczajny błąd programistyczny. Skompromitowana w ten sposób aplikacja jest zmuszona do wykonywania kodu z instrukcjami zakodowanymi w strukturze pliku z exploit em i w tym momencie rozpoczyna się złośliwa aktywność. Tak specjalnie przygotowany plik jest niemalże niemożliwy do wykrycia przez klasyczne oprogramowanie antywirusowe, które bazuje na analizie sygnaturowej. Dzieje się tak, gdyż ten konkretny dokument nie został nigdzie wcześniej zaobserwowany w związku z tym nie została jeszcze przygotowana odpowiednia sygnatura opisująca go. Taki rodzaj ataku nosi nazwę Ataku dnia zerowego (Zero- Day Attack). Celem wykorzystania podatności aplikacji stosuje się jedną (lub kombinację kilku) technik exploit, które mają na celu odpowiednie manipulowanie pracą aplikacji tak, by ta rozpoczęła wykonywanie złośliwego kodu. Tych technik jest skończona liczba - około 20, co jest nieporównywalnie mniejszą wartością niż liczba możliwości kombinacji i ewolucji malware u.

4 Traps dzięki swojemu unikatowemu i nowatorskiemu podejściu potrafi skutecznie zablokować i ochronić przed exploit ami. Rozwiązanie nie porównuje uruchamianego pliku z zestawem wielu milionów znanych próbek, a skupia się na zidentyfikowaniu wykonania technik exploit. Dzięki skutecznemu zablokowaniu technik Traps skutecznie chroni organizacje przed nieznanymi atakami. Ochrona realizowana jest w oparciu o zdefiniowaną politykę bezpieczeństwa. W skład polityki wchodzą: Procesy monitorowanych i chronionych aplikacji (np. Microsoft Word, Microsoft PowerPoint, Microsoft Excel, Adobe Reader, Adobe Flash Player, 7Zip, itp.). Monitorowane techniki exploit (np. Heap Spray, CPL Protection, DLL Hijacking, Library Preallocation, itp.). Użytkownicy, komputery i serwery, dla których dana reguła ma być egzekwowana. Zdefiniowana akcja blokada, notyfikacja, powiadomienie użytkownika. Przed uruchomieniem danego chronionego procesu Agent Traps wstrzykuje do niech swoje własne sterowniki w postaci DLL. Są one odpowiedzialne za śledzenie operacji wykonywanych przez proces. W sytuacji wykrycia techniki exploit podejmowana jest akcja zgodna z polityką, a sam proces może zostać zatrzymany. Takie podejście zapewnia, że złośliwy kod nie zostanie wykonany. Traps zablokowało technikę exploit, której celem było wykorzystanie podatności aplikacji. ANTI-MALWARE Oprócz zaawansowanego silnika ochrony przed zagrożeniami typu Exploit rozwiązanie Traps posiada zestaw funkcjonalności zabezpieczających stację przed złośliwym oprogramowaniem. W skład polityki Anti-Malware wchodzi zestaw reguł, których celem jest minimalizowanie ryzyka zainfekowania stacji przez nałożenie zestawu restrykcji, możliwość analizy za pomocą WildFire oraz statyczna analiza plików wykonywalnych. Szczegółowy opis każdej z warstw zabezpieczeń znajduje się poniżej: Statyczna analiza przez uczenie maszynowe zapewnia identyfikację nieznanego pliku ze złośliwym oprogramowaniem nim ten zostanie faktycznie uruchomiony. Moduł ten wykrywa i blokuje malware poprzez analizę kilkuset atrybutów pliku wykonywalnego. Silnik bazuje na inteligencji uczenia maszynowego, zaimplementowanego pierwotnie w Palo Alto Networks WildFire, dzięki czemu jest stale trenowany podwyższając w ten sposób poziom bezpieczeństwa. Istotne jest, że nie bazuje on na analizie sygnaturowej, skanowaniu oraz analizie behawioralnej.

5 WildFire umożliwia wysyłanie plików wykonywalnych do analizy przez rozwiązanie klasy SandBox. Dzięki integracji Traps z WildFire otrzymywana jest dodatkowa warstwa zabezpieczeń nieznane pliki są wysyłane do chmury celem inspekcji i uruchomienia ich w odizolowanym środowisku. Chmura monitoruje wszystkie aktywności wykonane przez obserwowany plik i na ich podstawie silnik decyzyjny zwraca werdykt z informacją, czy dany plik jest złośliwy, czy też nie. Integracja zapewnia również dostęp do globalnej bazy skrótów plików z malware m. Zaufani dostawcy nowy moduł w polityce Anty-Malware odpowiadający za zezwolenie na uruchomienie jedynie tych plików EXE podpisanych przez zaufanych dostawców (np. Microsoft, Oracle, Palo Alto Networks, IBM). Restrykcje moduł odpowiedzialny za obniżenie ryzyka infekcji przez złośliwe oprogramowanie. Reguły restrykcji mogą uniemożliwić uruchomienie plików EXE ze wskazanych katalogów (lub urządzeń zewnętrznych, jak np. USB) lub też między innymi zablokować generowanie procesów potomnych wskazanym aplikacjom. W połączeniu z modułem ochrony przed zagrożeniami typu Exploit rozwiązanie Traps stanowi kompletny system zabezpieczający stacje robocze użytkowników. Całość polityki Anti-Malware zapewnia wielowarstwową ochronę przed złośliwym oprogramowaniem stosując wiele modeli ochrony. Traps gwarantuje dzięki temu bezpieczeństwo stacji niezależnie, czy znajduje się ona wewnątrz sieci organizacyjnej, czy poza nią.

6 ARCHITEKTURA SYSTEMU Rozwiązanie Traps firmy Palo Alto składa się z kilku komponentów. Należą do nich: Endpoint Security Manager (ESM) Console centralna konsola zarządzająca środowiskiem bezpieczeństwem Traps dostępna przez przeglądarkę. Uruchamiana jest jako rola IIS na systemie operacyjnym Microsoft Windows Server 2008 R2 (lub wyższym). Umożliwia zarządzanie incydentami bezpieczeństwa, monitorowanie zdrowia stacji roboczych oraz konfigurację polityki bezpieczeństwa. Endpoint Security Manager (ESM) Server komponent odpowiedzialny za połączenie z agentami Traps zainstalowanymi na zabezpieczonych komputerach i serwerach. Odpowiada również za komunikację z chmurą WildFire. Baza danych miejsce, gdzie składowane są wszystkie informacji dotyczące Palo Alto Traps, w tym: polityka bezpieczeństwa i historia incydentów na stacjach roboczych. Uruchamiana jest jako baza na platformie Microsoft SQL (począwszy od SQL Server Express). Całość rozwiązania może pracować w architekturze rozproszonej, w której każdy z komponentów zainstalowany jest na osobnym serwerze. Komunikacja między elementami Traps może być szyfrowana protokołem SSL przez co zapewnione jest bezpieczeństwo, poufność i integralność przesyłanych danych. Takie podejście bardzo dobrze sprawdza się w środowiskach dużych i rozproszonych oraz zapewnia wysoką skalowalność rozwiązania. Istnieje również możliwości instalacji Traps w architekturze scentralizowanej (All-in- One), w której wszystkie wymienionych ról realizuje jeden serwer. Jest to rekomendowana konfiguracja dla małych i średnich przedsiębiorstw o scentralizowanej strukturze sieciowej. Oprócz serwerów ESM na architekturę Traps składają się również agenci instalowani na komputerach użytkowników i serwerach. Samo oprogramowanie agenckie jest lekkie przez co system nie jest dodatkowo obciążony. Agent odpowiedzialny jest za egzekwowanie skonfigurowanych polityk bezpieczeństwa oraz komunikowanie się z ESM Server. Połączenie na linii Traps Agent i ESM Server również może być szyfrowane protokołem SSL.

7 WSPIERANE SYSTEMY W obecnej wersji Palo Alto Traps posiada pełne wsparcie dla zestawionych poniżej systemów operacyjnych: Windows XP (32-bit, SP3 lub nowszy) Windows 7 (32-bit, 64-bit, RTM i SP1, wszystkie wersje z wyjątkiem Home) Windows 8 (32-bit, 64-bit) Windows 8.1 (32-bit, 64-bit) Windows Embedded 8.1 Pro Windows 10 Pro (32-bit, 64-bit) Windows 10 Enterprise LTSB Windows Server 2003 (32-bit, SP2 lub nowszy) Windows Server 2003 R2 (32-bit, SP2 lub nowszy) Windows Server 2008 (32-bit, 64-bit) Windows Server 2012 (wszystkie wersje) Windows Server 2012 R2 (wszystkie wersje) Windows Vista (32-bit, 64-bit, i SP2) Istotne jest podkreślenie, że sam agent rozwiązania Traps obciąża stację roboczą w bardzo niskim stopniu. Dzieje się tak, gdyż samo oprogramowanie nie wykonuje proaktywnego skanowania silnie wykorzystującego zasoby systemu. Średnie obciążenie maszyny to zaledwie: Około 30MB RAM 0,2% CPU Opracowano na podstawie oficjalnych materiałów producenta.