Как известно, значительное количество инцидентов, связанных с хищением денег, осуществляется с использованием так называемых АPT-атак (Advanced Persistent Threat) — неизвестных ранее целенаправленных атак. Эксперты по информационной безопасности расходятся в определении термина APT. И эту тему я затрагивать не буду. Важно, что в ходе таких атак злоумышленники проникают в сеть организации, используя разные техники нападения.

Одним из способов проникновения в сеть организации являются динамические техники обхода средств защиты (Advanced Evasion Technique — AET). Для того чтобы обойти элементы обеспечения безопасности сети, такие как межсетевые экраны и IPS, в динамических техниках обхода используется сочетание различных средств на основе принципа фрагментации файлов. Техники AET работают за счет разбиения вредоносного содержимого на более мелкие фрагменты, которые маскируются и одновременно отправляются в сеть через различные редко используемые протоколы. Попадая в сеть, фрагменты снова собираются в первоначальный вид для распространения и продолжения атаки.

О техниках AET принято говорить как об атаках, основанных на особенностях построения сетей. Большинство систем безопасности, представленных на рынке — системы предотвращения вторжений (IPS), системы унифицированного управления угрозами (UTM) и даже межсетевые экраны нового поколения (NGFW), — не обладают встроенными средствами для блокировки методов обхода, так как могут лишь анализировать сетевые уровни в пределах одного протокола и проверять отдельные сегменты.  Обнаружение техник AET требует анализа всего стека протоколов, поэтому является непростой задачей.

При реализации AET-атаки создаются «пакеты уклонения» — фрагменты вредоносного содержимого, направленные в сеть через редко используемые протоколы или через значительные интервалы времени.

Перед сотрудниками отдела ИБ встаёт закономерный вопрос: как проверить, что сеть компании защищена от такого вида угроз? Еще в середине 2012 года финская компания Stonesoft (сейчас является частью Intel Security) выпустила программный продукт Evader, который дает возможность самостоятельно протестировать способность установленных средств сетевой защиты противостоять AET-атакам. Сейчас Evader можно свободно скачать с сайта McAfee: http://evader.mcafee.com/. Последняя версия утилиты датирована январем 2014 года. После скачивания вы получаете образ DVD-диска, который содержит программное обеспечение для «злоумышленника» и модель информационной системы «жертвы», которая состоит из:

  • Apache HTTP Server version 2.0.64
  • MySQL 4.1.22
  • PHP 4.2.2
  • phpBB 2.0.10 (CVE-2004-1315)

Имеется возможность изменить состав атакуемой информационной системы, используя технологию виртуализации (на DVD нет средств для создания виртуальной машины).  Если вы хотите тестировать Windows 7 в качестве компьютера жертвы, то можете собрать стенд следующей конфигурации:

  • Windows 7 (en-US) без установленного пакета обновлений MS12-020
  • На Windows 7 (en-US) должна быть запущена служба RDP и разрешены соединения с удаленными компьютерами по RDP (Подробные инструкции есть здесь http://technet.microsoft.com/en-us/magazine/ff404238.aspx)

После установки Evader на компьютер, с которого будет происходить «атака», а также настройки компьютеров «жертвы» и «злоумышленника» (подробности настройки есть в файле evader-users-guide.pdf), достаточно запустить web-браузер и набрать http://localhost:8000 (запустится web-интерфейс Evader).

Для проведения теста на проникновение Evader предлагает на выбор три эксплоита:

  • http_phpbb_highlight (CVE-2004-1315)
  • conficker (CVE-2008-4250)
  • rdp_dos (CVE-2012-0002)

Эти уязвимости хорошо известны. C их описанием можно ознакомиться, например, в NIST National Vulnerability Database по адресу https://nvd.nist.gov.

Далее предлагается выбрать средство защиты, которое будет «противостоять атаке»:

Evader запускает «атаку», что позволяет проверить, насколько хорошо от нее защищают установленные в организации: межсетевой экран нового поколения (NGFW) или система предотвращения вторжений (IPS).  По умолчанию, «атака» длится 24 часа.

По результатам работы Evader формирует Log-файл, в котором сохраняется информация, полученная в результате его активности. Этот Log-файл возможно использовать для оценки защищенности системы.

Помимо автоматического режима, Evader поддерживает задание вручную техник обхода средств защиты. Кроме того, есть возможность воспользоваться специальным встроенным инструментом автоматизации тестирования — Mongbat, чтобы попробовать все возможные комбинации обхода защиты. Одновременно можно запустить несколько сессий. Синтаксис Mongbat описан в руководстве пользователя Evader. В ручном режиме предоставляется выбор любой из 38 техник AET по обходу систем ИБ.

Таким образом, Evader позволяет самим убедиться, что используемые средства безопасности могут выдержать AET-атаки и определить те из них, которые не обнаруживаются. Далее необходимо настроить свои средства защиты так, чтобы обнаруживать атаки даже с техниками обхода. В случае, если определённые виды AET-атак имеющимися средствами обнаружить не удаётся, требуется принять решение об использовании иных мер защиты.

Отмечу, что Evader лишь имитирует действия хакера, а для организации реальной атаки злоумышленник будет производить всестороннее изучение атакуемой системы. В целях противостояния его устремлениям, компании очень важно иметь системы мониторинга и анализа событий безопасности (SIEM) для того, чтобы выявить атаку раньше, чем злоумышленник обнаружит уязвимости защищаемой системы.

Безусловно Evader – нужная и полезная для специалистов по информационной безопасности утилита. Уверен, что многим специалистам в области ИБ будет интересно попробовать её использование на практике. Если при этом у Вас возникнут какие-то технические вопросы или затруднения – обращайтесь, буду рад подсказать.

 

Все публикации в данном блоге отражают личное мнение авторов, которое может не совпадать с официальной позицией Компании.