20.03.

2020 Защита корпоративных ресурсов от вредоносного ПО (malware) | ЭКОН Технологии

Главная Контакты Пользоват

НОВОСТИ О КОМПАНИИ ПРОДУКТЫ И УСЛУГИ ТЕХНИЧЕСКИЙ ЦЕНТР

Главная » Технический центр » Статьи

Защита корпоративных ресурсов от вредоносного ПО (malware)

Необходимость в решении по защите от активности вредоносного ПО

Вредоносное ПО эволюционирует вместе с Интернетом. Если ранее действия подобных
программ носили деструктивный характер, то на сегодняшний день malware старается
скрыть факт “заражения”, чтобы использовать ресурсы вычислительной системы в своих
целях.

Ботнет – это совокупность сетевых хостов, которые были “заражены” зловредным

программным обеспечением (далее malware). Данное ПО незаметно для пользователя
контактирует с т.н. C&C (Command and Control) с целью получения команд / отправки
информации. Типичное использование ботнетов – рассылка спама, осуществление DDoS
атак, кража чувствительной информации (банковские аккаунты, номера кредитных карт, и
т.д.).

“Заражение” хоста происходит несколькими путями: через вложение в e-mail, через

уязвимость сервиса, через скачиваемый файл, и т.д. Самый распространённый способ –
drive-by download (загрузка вредоносного ПО с web сайта, происходящая незаметно для
пользователя). После того как malware тем или иным способом попадает на хост, как
правило, происходят попытки “заражения” соседних станций. Таким образом, в
гетерогенной среде распространение может происходить очень быстро. 1 ESG APT Survey Октябрь 2011
2 Ponemon 2ое ежегодное исследование стоимости кибертерорризма Август 2011
Корпоративные сети не являются исключением, для них так же актуальны данные угрозы,
как и для домашних ПК. 3 Исследование Kaspersky lab. 2011
4 Отчет угроз безопасности Sophos 2011

Инструментальные средства
Предлагаемое решение основано на продукте Anti-bot Software Blade компании Check Point.
Anti-bot Software Blade включен в ПО Check Point Security Gateway версии R75.40 и выше. Включение функционала Anti-bot на файрволле периметра защищаемы
Инсталляция возможна также и в режиме мониторинга, когда осуществляется сбор трафика со сегментов сети дает возможность наиболее полно контролирова
SPAN порта. Второй вариант удобно использовать на начальном этапе, когда необходимо сетевую активность ботов и, при необходимости, активно подавлять ее.
определить степень угрозы в конкретной сети, например, процент инфицированных хостов.

Используемые технологии
Ключевыми элементом в организации защиты являются две информационные структуры, предоставляемые Check Point: ThreatCloud Repository и ThreatSpect Engine.

ThreatCloud представляет собой распределённое информационное хранилище, которое используется для идентификации заражённых сетевых хостов.

Хранилище наполняется данными, получаемыми из нескольких источников. В первую очередь это обширная сеть сенсоров, которые размещены по всему миру. Также дан
собираются с самих устройств Check Point, на которых активирован Anti-Bot Software Blade. Дополнительная информация предоставляется компаниями-партнёрами. С н
осуществляется обмен информацией и репутации IP/DNS/URL.

Ещё одним источником обновлений является подразделение Check Point, занимающееся исследованием (в частности reverse engineering) экземпляров вредоносного ПО. Дан
подразделение производит анализ поведения malware в изолированной среде. Информация, полученная в результате анализа, загружается в ThreatCloud.

Информация, содержащаяся в ThreatCloud, является набором адресов и DNS имён, которые используются ботами для коммуникации с C&C. Также там содержатся поведенче
сигнатуры различных семейств malware, и информация, получаемая с сенсоров.

ThreatSpect Engine является распределённой многоуровневой вычислительной системой, которая занимается анализом сетевого трафика и корреляцией полученных данных
обнаружения активности ботов, а также других типов malware.

Анализ осуществляется по нескольким направлениям:

Репутация – анализируется репутация URL, IP адресов и доменных имён, к которым хосты, расположенные внутри организации, пытаются получить доступ. Производ
поиск известных ресурсов, либо подозрительной активности, такой как обращение C&C;
Сигнатурный анализ – определяется наличие угрозы путём поиска уникальных сигнатур в файлах, либо в сетевой активности;
Подозрительная e-mail активность – обнаружение инфицированных хостов путём анализа исходящего почтового трафика;
Поведенческий анализ – детектирование уникальных шаблонов в поведении хоста, которые свидетельствуют о факте заражения. Например, фиксированная час
обращений к C&C по определённому протоколу.

ThreatSpect и ThreatCloud работают совместно – ThreatSpect получает информацию для анализа из ThreatCloud, а после осуществления анализа и корреляции, загруж
полученные данные обратно в распределённое хранилище в виде сигнатур и репутационных баз.

Главным преимуществом технологии является тот факт, что, по сути, мы имеем глобальную базу с информацией об активности вредоносного ПО, обновляемую в реаль
времени. Таким образом, если происходит массированное заражение хостов в сети одного из участников данной системы, информация об атаке через ThreatCloud поступает дру
участникам. Это позволяет ограничить быстрое распространение вредоносного ПО на сети многих компаний.

Методы, используемые для выявления угрозы

Следует понимать, что функционал Anti-Bot Software Blade направлен на выявление уже инфицированных станций и минимизацию вреда от них. Данное решение не предназнач
для предотвращения заражения. Для этих целей следует использовать другие средства.

Для обнаружения подозрительной активности используются следующие методы:

Идентификация адресов и доменных имён C&C – изменение адресов происходит постоянно, поэтому важно поддерживать список в актуальном состоянии.
достигается при помощи инфраструктуры Check Point ThreatCloud;

https://www.akontech.ru/ru/antibot-solution 1/3
20.03.2020 Защита корпоративных ресурсов от вредоносного ПО (malware) | ЭКОН Технологии
Идентификация шаблонов, используемых при коммуникации различными семействами malware – каждое семейство malware имеет свои уникальные параметры
которым его можно идентифицировать. Исследования проводятся в отношении каждого семейства с целью формирования уникальных сигнатур;
Идентификация по поведению – детектирование инфицированной станции путём анализа её поведения, например, при участии в DDoS атаке, или рассылке спама.

Анализ инцидентов, зафиксированных Anti-Bot Software Blade, производится при помощи компонентов SmartConsole: SmartView Tracker и SmartEvent. В SmartView Tracker мо
получить подробную информацию о трафике, который вызвал срабатывание Anti-Bot Blade. SmartEvent содержит более подробную информацию о событиях. Можно осуществл
группировку по различным категориям, также присутствует возможность анализа событий безопасности за длительный период, генерация отчётов.

Методы, используемые для предотвращения угрозы

Помимо обнаружения угроз, Anti-Bot Software Blade способен предотвращать ущерб, который могут принести инфицированные хосты.

Осуществляется блокировка попыток инфицированного хоста связаться с C&C, и получить от него инструкции. Такой режим работы доступен только когда трафик проходит ч
гейтвей с включённым Anti-Bot Software Blade (режим inline).

Используется два независимых метода блокировки:

Блокировка трафика, который направлен к известному адресу C&C;

DNS Trap – реализация техники DNS sinkhole. Блокировка происходит при попытке разрешить доменное имя, которое используется инфицированными хостами
обращения к C&C. В ответе DNS сервера IP адрес подменяется на фиктивный, таким образом, делая невозможным отправку запроса к C&C для заражённого хоста.

В общем случае информация получается из кэша, но, если обнаружена подозрительная активность, которая однозначно не идентифицируется имеющимися сигнатурами, Ant
Software Blade делает запросы к ThreatCloud в реальном времени.

Классификация и оценка достоверности

Обнаружение активности вредоносного ПО осуществляется полностью на основании информации, содержащейс
базе ThreatCloud. Каждый инцидент безопасности, сгенерированный Anti-Bot Software Blade, соответст
определённому вхождению в этой базе.

Типы защиты делится по нескольким категориям. Категория определяется тем, какая именно информация использу
для детектирования. Это могут быть списки репутации, сигнатурные базы, и т.д. Каждый тип защиты соответст
одному из направлений, в котором ThreatSpect Engine осуществляет анализ трафика.

Процесс работы с событиями безопасности

Обработка информации, собранной при помощи Anti-Bot Software Blade, осуществляется двумя приложениями SmartConsole – SmartView Tracker и SmartEvent. SmartE
требует наличия отдельного блейда (SmartEvent Software Blade), и крайне рекомендуется к использованию при анализе.

При анализе событий Anti-Bot Software Blade, в первую очередь следует обращать внимание на множественные срабатывания на трафике с одним Source IP и срабатыва
случающиеся с некоторой периодичностью.
Во многом картина зависит от модели поведения бот-программы.
Например, примитивные типы malware делают частые обращения к DNS в попытке разрешить имя C&C. При этом в SmartEvent будет достаточно большое количество однотип
событий с одинаковым Source IP, а отличаться друг от друга события будут только DNS именем в запросе к серверу.

Также следует обратить внимание на множественные одиночные детектирования одного типа malware для разных source IP. Данный метод анализа эффективен, т.к. malw
обычно старается распространиться на другие уязвимые хосты в локальной сети. Для корпоративной среды это особенно актуально, и набор ПО, в том числе антивирусн
зачастую одинаков на рабочих станциях. На скриншоте выше показано массовое детектирование одного типа malware. В похожей ситуации стоит выборочно проверить пару ма
из списка.

Общие рекомендации по анализу событий

Хотя Anti-Bot Software Blade помогает обнаружить и блокировать активность заражённых malware хостов, в большинстве случаев требуется дополнительный анализ получен
информации. Не все типы malware могут быть легко идентифицированы. Для обработки инцидентов необходимы квалифицированные специалисты, которые будут изу
пакетные трассы, выявлять активность вредоносного ПО. Anti-Bot Software Blade представляет из себя мощный инструмент для автоматизации мониторинга malware активности

Действия после обнаружения

В первую очередь необходимо воспользоваться базой Threat Wiki, предоставляемой Check Point.
Если угроза является актуальной, необходимо воспользоваться процедурой, рекомендованной вендором.

Также для подтверждения заражения хоста следует через Google поискать malware по имени, вероятно удастся найти технические
подробности данного вредоносного ПО, что поможет безошибочно его идентифицировать. Например, поиск по имени “Juasek”
(название взято из события Anti-Bot Software Blade) позволяет найти много информации о данном malware на сайте Symantec. Также
там содержится описание процедуры удаления.

Если не преследуется цель изучения malware, то можно воспользоваться одним или несколькими malware removal tool. Самыми
популярными являются продукты от Malwarebytes, Kaspersky, Microsoft.

Практические результаты использования

Ниже представлены результаты суточного мониторинга трафика в организации. На коммутаторе был зеркалирован трафик одного из пользовательских сегментов, идущий к D
серверам, и к прокси-серверам. Отчёты получены при помощи ПО Check Point SmartEvent.

https://www.akontech.ru/ru/antibot-solution 2/3
20.03.2020 Защита корпоративных ресурсов от вредоносного ПО (malware) | ЭКОН Технологии

Статистика практического использования Antibot

За сутки в отчёт Antibot попало 1712 событий, из них уникальных хостов – 134. Результаты выборочной проверки компьютеров:

На компьютере %
Обнаружено и удалено вредоносное ПО 26

Обнаружено несанкционированно установленное ПО 14

Поиск вредоносного ПО результатов не дал (ложное срабатывание в результате

60
активности санкционировано установленного ПО)

Круглосуточная служба технической поддержки: +7 (495) 120-00-60.

Телефоны: +7 (499) 7500-499; +7 (499) 750-15-50; +7 (495) 749-15-09.
Напишите нам
Адрес 107113, Россия, Москва, ул. Сокольнический вал, д. 2а, офис 522
©2019 ЭКОН Технологии

https://www.akontech.ru/ru/antibot-solution 3/3