Zero-Day-Angriffe, APT-Angriffe und Abwehrmechanismen mit Check Point-Lösungen



    Viele heutige Sicherheitssysteme sind Systeme zur Suche nach Übereinstimmungen (Signaturen) und Verhaltensmustern bereits bekannter Bedrohungen. Sie sind machtlos gegen neue Angriffe, für die es keine Signaturen und Patches vom Hersteller gibt. Darüber hinaus zielen neue Angriffe in der Regel nicht darauf ab, spürbaren Schaden zu verursachen, sondern zielen darauf ab, unmerklich und verdeckt schädliche Aktionen auszuführen.

    In diesem Artikel werden die Anatomie des Eindringens von Malware in IT-Infrastrukturen sowie Check Point-Lösungen untersucht, die zum Schutz vor solchen Angriffen verwendet werden können.

    Wie sieht es also mit den Phasen des Eindringens eines Zero-Day-Angriffs in IT-Infrastrukturen aus?

    1. Eine E-Mail erreicht einen bestimmten Mitarbeiter über gezieltes Phishing, das einen Anhang (Datei, Archiv), in der Regel eine Adobe Reader-Datei (da die anfälligste Unternehmensanwendung Adobe Reader ist) oder eine MS DOC-Datei mit einem verkabelten Exploit für die verwendete Anwendung enthält . Sobald der Benutzer es öffnet oder eine Vorschau durchführt, ist der Exploit bereits in Betrieb. Es führt einen Pufferüberlauf für die Anwendung aus, die die Datei geöffnet hat, und erhält lokale Administratorrechte, indem der Ausführung der entsprechende Befehl angehängt wird.

    2. Danach führt der Schadcode einen ausgehenden Rückruf zum Verwaltungsserver (Command & Control Server) durch.

    3. Mit Informationen über die installierte Software und das Opfer, das vom Betriebssystem verwendet wird, wird bösartiger Code mit der wget-Methode vom C & C-Server heruntergeladen, normalerweise in verschlüsselter Form und in eine JPG-Datei integriert, um ein Löschen durch das Web-Gateway zu vermeiden (in den meisten Fällen ist das Herunterladen von EXE-Dateien untersagt Unternehmenspolitik).

    4. Die heruntergeladene Datei wird entschlüsselt, im System installiert und beginnt mit der Datenexfiltration, d. H. Finden Sie persönliche Daten (Logins, Passwörter, persönliche Dateien), Unternehmensdaten (Konten, Rechnungen usw.) und senden Sie diese an eine bestimmte Adresse (normalerweise über einen verschlüsselten Kanal).

    5. Der letzte Schritt ist die Ausbreitung und Infektion anderer Systeme. Wenn Sie die Kennwörter von persönlichen Kommunikationsdiensten kennen (indem Sie einen Keylogger auf einem kompromittierten System installieren), können Sie im Namen des Opfers böswillige Links an alle Personen senden, die mit ihr kommunizieren.
    Alle diese Aktionen sind in Abb

    . 1 dargestellt . Der Prozess des Eindringens von Malware in die IT-Infrastruktur


    Identifizieren Sie Zero-Day-Angriffe und erweiterte permanente Bedrohungen



    Schauen wir uns nun an, wie Check Point-Lösungen solche Eindringversuche erkennen und welche Schlüsselfaktoren für die Analyse solcher Angriffe gelten.

    Beginnen wir mit der Ermittlung von Malware.

    Wie bereits erwähnt, erhält der Benutzer zunächst einen Anhang in einer E-Mail-Nachricht mit dem Inhalt des Exploits. Woher weiß ich, ob ein Anhang infiziert ist oder nicht?

    Die Antwort besteht in einer statischen und erforderlichenfalls dynamischen Analyse aller Dokumente und Anhänge in E-Mails hinsichtlich des Inhalts von Bedrohungen.

    Bei der statischen Analyse wird überprüft, ob die Virensignaturen von Check Point eingehalten werden.

    Wenn in Webobjekten und -dokumenten keine Bedrohungen gefunden werden, werden diese mithilfe der folgenden Methoden auf Verdacht überprüft:
    • heuristische Analyse;
    • Überprüfung der SNORT- und YARA-Regeln;
    • Überprüfung der Verfügbarkeit einer vertrauenswürdigen digitalen Signatur des Dokuments;

    Wenn sich herausstellt, dass das Dokument verdächtig ist, wird eine dynamische Analyse durchgeführt, die in einer emulierten Benutzerumgebung gestartet wird, bei der es sich um eine virtuelle Maschine mit vorinstallierten Hauptanwendungen handelt. Als Nächstes überwacht das Check Point-System das Verhalten des ausgeführten Dokuments (Erstellen zusätzlicher Dateien, Ändern von Schlüsseln in der Registrierung, Herstellen der Kommunikation mit C & C-Servern).

    Als nächstes wird ein Urteil über die Schädlichkeit des Dokuments gefällt. Wenn sich herausstellt, dass es infiziert ist, wird ein solches Dokument blockiert. Nein - zum Benutzer übersprungen.

    Regelbare Verzögerung bei der Überprüfung durch statische und dynamische Analyse - bis zu 2 Minuten.

    Diese Lösung in Check Point wird in zwei Formen dargestellt:
    • Cloud-Service
    • Gerät beim Kunden vor Ort

    Service


    Beim Verbinden des Dienstes gibt es verschiedene Arten von Kontingenten, die in Tabelle 1 angezeigt werden.


    Tabelle 1. Zitieren des Check Point-Clouddiensts für E-Mail-Anhänge auf den Inhalt von Zero-Day-Angriffen und APT-Angriffen Die

    unterstützten Check Point-Plattformen und Betriebsumgebungen für die Verbindung des Diensts sind in der folgenden Tabelle aufgeführt



    .

    Gerät vor Ort beim Kunden



    Wenn Sie aus irgendeinem Grund keine Verbindung zu einem Cloud-Dienst herstellen möchten, können Sie ein speziell für diesen Zweck entwickeltes Check Point- Gerät verwenden .

    Für diese Aufgabe gibt es zwei Check Point-Geräte. Das Angebot richtet sich auch nach der Anzahl der geprüften Dateien pro Monat. Die Anzahl der Benutzer wird empfohlen, ist jedoch nicht so wichtig wie die Anzahl der Dateien. Gerätedaten und deren Parameter sind in Abb. 2 dargestellt.


    2. Check Point-Geräte zum Überprüfen von E-Mail-Anhängen auf den Inhalt von Zero-Day-Angriffen und APT-Angriffen

    Sowohl der Dienst als auch das Gerät haben dieselben technischen Spezifikationen für die Typen der überprüften Dateien und die unterstützten emulierten Betriebsumgebungen. Die Spezifikation für diese Parameter ist in Tabelle 2 dargestellt.


    Tabelle 2. Unterstützte Dateiformate und virtuelle Umgebungen zum Überprüfen von E-Mail-Anhängen

    Es gibt auch einen Online-Testdienst, mit dem Sie die Datei auf das Vorhandensein von schädlicher Software analysieren können. Im positiven Fall werden ihre Aktionen in einer emulierten Benutzerumgebung angezeigt. Dieser Dienst ist unter dem folgenden Weblink verfügbar:
    threatemulation.checkpoint.com/teb/upload.jsp

    Zusammenfassung


    In allen Fällen wird ein Exploit verwendet, der die Kontrolle über den PC des Opfers erlangt und die ausgehende Netzwerkkommunikation zu einem C & C-Server herstellt, der dann Malware überträgt, die eine Vielzahl von Aktionen ausführt.

    Es ist äußerst schwierig, solche Angriffe zu bemerken, da sie noch nicht bekannt sind und fast alle modernen Sicherheitssysteme nach dem Prinzip der Suche nach Übereinstimmungen und bekannten Verhaltensmustern arbeiten. In den meisten Fällen ist es auch schwierig zu erkennen, da sie ihre Handlungen offensichtlich nicht zeigen, sondern leise Daten an den Angreifer senden.

    Jetzt auch beliebt: