حالات لتطبيق أدوات تحليل الشذوذ في الشبكة: اكتشاف انتشار الشفرة الضارة

سأستمر في مراجعة الحالات المتعلقة باستخدام حلول مراقبة IS باستخدام حل فئة NTA (تحليل حركة مرور الشبكة). في المرة الأخيرة التي بينت فيها كيف يمكنك الكشف عن تسرب المعلومات ، لكننا سنتحدث هذه المرة عن تحديد الشفرة الخبيثة داخل شبكة الشركة أو القسم.



ما هو الصعب للغاية في الكشف عن التعليمات البرمجية الضارة؟ يضعون مضادًا للفيروسات ويمسك بأي برامج ضارة. واحسرتاه! إذا كان الأمر بهذه البساطة ، فربما كان بإمكانك نسيان هذه المشكلة إلى الأبد ، ولكن لا ... لا يقل عدد الإصابات الناجحة بالبرامج الضارة ، وكل ذلك لأن المهاجمين يغيرون تقنياتهم وتكتيكاتهم باستمرار ، ويعدلون البرامج الضارة ، يستخدمون برامج ضارة مضمنة ، ويستخدمون أدوات مساعدة قانونية للإدارة (نفس PowerShell) ... وهذا إذا كنت لا تفكر في المواقف التي لا يوجد فيها أي برنامج مضاد للفيروسات في العقد الفردية (لا يرغب متخصصو تكنولوجيا المعلومات في تثبيته لأنه يتباطأ) ، أو بالنسبة لهذا النظام الأساسي ببساطة غير موجود. وربما يكون هناك موقف اضطررت للتعامل معه بشكل متكرر في شركات مختلفة.يلتقط المدير الأعلى البرامج الضارة على جهاز الكمبيوتر المحمول أو الكمبيوتر اللوحي في المنزل ويسحبها إلى الشركة حتى يتمكن متخصصو تكنولوجيا المعلومات المحليون من اكتشافها. يتصل الجهاز بشبكة Wi-Fi المحلية وهذه هي الطريقة التي يبدأ بها الوباء الداخلي ؛ حتى في شبكة معزولة عن الإنترنت. على أي حال ، فإن مكافحة الفيروسات بعيدة كل البعد عن الخلاص من الشفرة الخبيثة الحديثة ، ونحن بحاجة إلى طرق أخرى للكشف عن الأشرار على شبكتنا.

ما الذي يميز الشفرة الخبيثة الحديثة؟ هل هناك أي علامات يمكن أن تخبرنا عن وجود خطأ ما في شبكتنا وأننا ما زلنا نواجه نوعًا من العدوى؟ إذا كنت لا تأخذ في الاعتبار الفيروسات الكلاسيكية التي ليس لها وظيفة التوزيع المستقل عبر الشبكة (وكنت قد رأيت منذ فترة طويلة الفيروسات الكلاسيكية) ، فعندئذٍ من بين العلامات التي يمكن أن تميز وجود كود ضار على الشبكة ، أود أن أذكر ما يلي:

• فحص العقد الداخلية بحثًا عن نقاط الضعف في أنظمة التشغيل أو التطبيقات
• مسح العقد الداخلية بحثًا عن منافذ مفتوحة يمكنك من خلالها الاتصال بالنظام
• التفاعل مع خوادم الأوامر المعروفة
• حركة مرور غير نمطية من المضيف (بروتوكولات لم تتم تلبيتها سابقًا ، تتجاوز الكمية النموذجية لحركة المرور ، وبروتوكولات الخادم في محطات العمل ، وما إلى ذلك).

هذه هي علامات الشبكة ، والتي تكاد تكون مستقلة عن أي كود ضار يتم استخدامه. لذا ، يمكنك محاولة التعرف عليها ، وتعد أدوات مراقبة الحالات الشاذة والتهديدات القائمة على Netflow (أو بروتوكولات التدفق الأخرى) هي أفضل المرشحين لذلك. دعونا نرى كيف يمكن القيام بذلك باستخدام حل Cisco Stealthwatch كمثال.

ما الفرق بين الفحص التقليدي ، على سبيل المثال ، الماسح الضوئي الأمني ​​، والفحص الذي تقوم به كود خبيث؟ في الحالة الأولى ، في معظم الحالات ، يتم التكرار من خلال المنافذ المفتوحة على أحد أجهزة الكمبيوتر ، ثم على جهاز آخر ، على الثالث وما إلى ذلك. مثل هذه المحاولات لتحديد بسهولة تامة. من السهل تحديد متى يتحقق الماسح الضوئي ببساطة من منفذ واحد مفتوح فقط في نطاق العنوان. بالنسبة إلى التعليمات البرمجية الخبيثة ، يختلف مبدأ التشغيل - فهو يقوم بفحص العقد ، والعثور على الأجزاء الضعيفة ، والتعامل معها ، والمسح مرة أخرى ، والعثور على تلك الضعيفة مرة أخرى ، وما إلى ذلك.



إنه تطور يمكننا التعرف عليه بمساعدة خوارزميات خاصة مضمنة في NTA.



تلميح إضافي لنا هو دور أجهزة الكمبيوتر التي تم تسجيل الفحص من خلالها - في جميع الحالات ، هذه محطات عمل لموظفي المبيعات والتسويق الذين يقومون بمسح شبكات فرعية كاملة ، والتي ترتبط أيضًا منطقيًا بقسم المبيعات.



بعد العثور على نقطة إصابة واحدة مع الانتشار اللاحق للرمز الضار:



يمكننا محاولة العثور على الضحايا المحتملين الآخرين للرمز الضار: بعد



تكوين نظام تحليل الشذوذ بشكل صحيح ، في المرة القادمة لم يعد بإمكاننا إجراء تحقيقات منفصلة تجيب على سؤال ما إذا كان لدينا فحص للشبكة أم لا ؟؟؟ سيكون كافيًا فقط رؤية مؤشر التنبيه المقابل (إعادة) على وحدة التحكم الرئيسية:



والنقر فوقها ، للحصول على قائمة بكل من تم ملاحظته في أنشطة الكمبيوتر "غير القانونية" (بالمناسبة ، يوضح الرسم التوضيحي الأول في هذه المقالة طريقة أخرى لتصور نطاق توزيع التعليمات البرمجية الضارة).



من الجدير بالذكر أن الفحص الذي يبدو بسيطًا قد يكون الإشارة الأولى لمشاكل أكثر خطورة. إذا كانت رسائل البريد الإلكتروني المخادعة هي واحدة من الخطوات الأولى التي يبدأ بها المهاجمون أنشطتهم ، فعندئذ عن طريق إصابة جهاز كمبيوتر واحد ، فإنهم يوسعون رأس جسرهم ويبدأ السبيل الرئيسي للقيام بذلك بمسح. هذه هي الطريقة التي تصرفت بها WannaCry ، لذا تصرفت Shamoon ، لذلك تصرفت مئات البرامج الخبيثة الأخرى ، مما أدى إلى حوادث خطيرة.



بعد تسجيل حقيقة مسح الكود الخبيث ونشره ، نواجه مهمة إجراء تحقيق أكثر تفصيلاً وفهم ما إذا كانت العقدة مصابة بالفعل ، مما كانت مصابة ، ومتى ، وما إلى ذلك؟ لا يستطيع حل فئة NTA وحده القيام بذلك ، حيث لا يمكنك الإجابة على هذه الأسئلة عن بُعد عن بُعد. ولكن في حالة Cisco Stealthwatch ، فإن حل Cisco Threat Response المجاني سيأتي لمساعدتنا ، والتي تحدثت عنها بالفعل حول التكامل . يكفي أن ننقر على العقدة التي تهمنا وفي قائمة السياق المنسدلة سنرى إمكانية إطلاق نسبة النقر إلى الظهور ، والتي بدورها يمكنها جمع معلومات حول العقدة التي تهمنا من أنظمة مختلفة - Cisco AMP for Endpoints و Cisco Umbrella و Cisco Talos ، إلخ.



في ما يلي الشكل الذي قد تبدو عليه الصورة التي يعرضها Cisco Threat Response المجاني بناءً على إمكاناتها لإثراء وتصور الأحداث الأمنية:



يمكن أن تُظهر لنا نسبة النقر إلى الظهور الملفات الضارة المرتبطة بالموقع الذي تهمنا ، والتي يمكننا التحقق منها من خلال وضع الحماية من Cisco Threat Grid أو خدمة VirusTotal. من خلال وجود بيانات على عقدة واحدة ، يمكننا أن نرى من الذي تفاعل معه أو يتفاعل معه في إطار الحادث ، ومن أين بدأ الهجوم ، وما هو الرمز الضار المتضمن فيه ، وكيف اخترقت الشبكة ، وأجاب على العديد من الأسئلة الأخرى التي تهم محللي الأمن.



وبعد ذلك يمكننا بالفعل إجراء تحقق إضافي من القطع الأثرية المستلمة باستخدام خدمات Threat Intelligence الخارجية ، والتي يمكن أن تزودنا بمزيد من مؤشرات التسوية ، والمزيد من المعلومات حول المهاجمين ، والمزيد من المعلومات حول التقنيات والأساليب التي يستخدمونها. وبدأ كل شيء بمسح بسيط للشبكة تم اكتشافه بواسطة الحل لتحليل الحالات الشاذة باستخدام Netflow (أو بروتوكول تدفق آخر).

Source: https://habr.com/ru/post/undefined/