حالات لتطبيق أدوات تحليل الشذوذ في الشبكة: الهجمات من خلال المكونات الإضافية للمتصفح

تعتبر الهجمات على المتصفحات ناقلًا شائعًا إلى حد ما للمهاجمين الذين يحاولون اختراق شبكات الشركات والإدارات من خلال نقاط الضعف المختلفة في برامج تصفح الإنترنت على الإنترنت أو من خلال المكونات الإضافية الضعيفة الحماية. يبدأ هذا عادةً في المواقع القانونية تمامًا وحتى في القائمة البيضاء التي تحتوي على ثغرات يستخدمها مجرمو الإنترنت. تبدأ الإضافات ، والإضافات ، والمكونات الإضافية ، بمجرد تثبيتها حتى لأغراض جيدة ، في مراقبة نشاط المستخدم ، و "دمج" سجل المواقع التي تمت زيارتها للمطورين ، وإدخال إعلانات مزعجة في الصفحات ، وأحيانًا ضارة. غالبًا ما لا يفهم المستخدمون أن بانر الإعلان الذي يرونه على صفحة الموقع تمت إضافته بواسطة المكون الإضافي الذي قاموا بتثبيته ،لم يتم تضمينه في الأصل على الصفحة. وأحيانًا تعمل هذه المكونات الإضافية والإضافات كباب مدخل للمهاجمين على أجهزة كمبيوتر المستخدمين ، والتي تبدأ منها مسيرة منتصرة من خلال الشبكة الداخلية للمؤسسة. من خلال هذه الإضافات ، يمكن للمهاجمين تثبيت شفرة ضارة أو تتبع البيانات أو سرقتها. في الوقت نفسه ، لا يمكننا دائمًا إجبار جميع المستخدمين على تكوين متصفحاتهم بشكل صحيح ومراقبة تكوينهم. ماذا تفعل في مثل هذه الحالة عندما يمكن لمستخدم واحد فقط أن يصبح الرابط الأضعف ويفتح "بوابة الجحيم"؟ يمكن أن تساعد حلول مراقبة حركة مرور الشبكة في هذه الحالة.التي يبدأ بها الموكب المنتصر على الشبكة الداخلية للمشروع. من خلال هذه الإضافات ، يمكن للمهاجمين تثبيت شفرة ضارة أو تتبع البيانات أو سرقتها. في الوقت نفسه ، لا يمكننا دائمًا إجبار جميع المستخدمين على تكوين متصفحاتهم بشكل صحيح ومراقبة تكوينهم. ماذا تفعل في مثل هذه الحالة عندما يمكن لمستخدم واحد فقط أن يصبح الرابط الأضعف ويفتح "بوابة الجحيم"؟ يمكن أن تساعد حلول مراقبة حركة مرور الشبكة في هذه الحالة.التي يبدأ بها الموكب المنتصر على الشبكة الداخلية للمشروع. من خلال هذه الإضافات ، يمكن للمهاجمين تثبيت شفرة ضارة أو تتبع البيانات أو سرقتها. في الوقت نفسه ، لا يمكننا دائمًا إجبار جميع المستخدمين على تكوين متصفحاتهم بشكل صحيح ومراقبة تكوينهم. ماذا تفعل في مثل هذه الحالة عندما يمكن لمستخدم واحد فقط أن يصبح الرابط الأضعف ويفتح "بوابة الجحيم"؟ يمكن أن تساعد حلول مراقبة حركة مرور الشبكة في هذه الحالة.عندما يمكن لمستخدم واحد فقط أن يصبح الحلقة الأضعف ويفتح "بوابة الجحيم"؟ يمكن أن تساعد حلول مراقبة حركة مرور الشبكة في هذه الحالة.عندما يمكن لمستخدم واحد فقط أن يصبح الحلقة الأضعف ويفتح "بوابة الجحيم"؟ يمكن أن تساعد حلول مراقبة حركة مرور الشبكة في هذه الحالة.




كشفت إحدى وحدات أبحاث Cisco ، Cisco Cognitive Intelligence ، التي ظهرت بعد شراء شركة Cognitive Security التشيكية منذ سنوات عديدة ، أن العديد من المكونات الإضافية للمتصفح الضار لها خصائص فريدة يمكن اكتشافها ومراقبتها كجزء من تحليل حركة مرور الشبكة. الفرق الوحيد هو الحاضر مقارنة مع الحالات الثلاث السابقة بحثت في وقت سابق ( للكشف عن التسرب ، الشيفرات الخبيثة و حملات DNSpionage) - من أجل اكتشاف نشاط المكونات الإضافية التي تقدم إعلانات يربح فيها مجرمو الإنترنت أموالًا أو يدمجون بياناتك ، تحتاج إلى إجراء الكثير من البحث بنفسك (قضينا حوالي عام في تحليل عدة آلاف من المكونات الإضافية لتحديد أنماط السلوك ووصفها) ، أو الثقة الشركة المصنعة للحل فئة NTA ، والتي تحتوي على مثل هذه الفرصة.

إليك ما تبدو عليه هذه الميزة في حل Cisco Stealthwatch. نرى أنه من عنوانين للشبكة الداخلية بالعنوانين 10.201.3.45 و 10.201.3.108 ، يتم تسجيل النشاط المرتبط بنقر الاحتيال ، وإدخال الإعلانات في الصفحات (إدخال الإعلانات) ، والإعلانات الضارة.



من الواضح أننا نريد التحقيق في هذا النشاط:



نرى أن العقدة في شبكة الشركة تتفاعل مع النطاق الموجود على الأمازون القانوني (وبالتالي ، لن تعمل على الحظر حسب عنوان IP ؛ إذا لم تكن Roskomnadzor ، بالطبع). ومع ذلك ، يُظهر تطبيق خوارزميات تعلُم الآلة المختلفة على حركة المرور أن هذا النشاط ضار.




يسمح لنا الغوص العميق بمعرفة المزيد من التفاصيل حول التهديد.



على سبيل المثال ، ترتبط الحالة # CADP01 بالرمز الضار AdPeak ، الذي يضخ إعلانات إضافية في صفحات الويب التي تمت زيارتها ، ويكسب المهاجمون المال مقابل عرضها.



ترتبط الحالة # CDPY01 بتطبيق يحتمل أن يكون غير مرغوب فيه والذي يضخ الإعلانات في جلسة متصفح ويمكن أن يؤدي إلى إصابة لاحقة للكمبيوتر.



نظرًا لأن الكشف عن نشاط المتصفح الضار قد يكون علامة على حدوث إصابة بالفعل ، نحتاج إلى إجراء تحقيق يوضح من تتفاعل العقدة المخترقة على شبكتنا ، ونوع العقدة ، وما هو دورها ، وما الذي يعمل عليه المستخدم ، وما إلى ذلك.



على سبيل المثال ، تنتمي العقدة المذكورة 10.201.3.45 إلى مجموعة التطوير (تطوير أو تطوير برمجيات). نرى أيضًا جميع تدفقات البيانات المرتبطة بهذه العقدة وأحداث الأمان الرئيسية.



ومن المثير للاهتمام أن العقدة التي نهتم بها غالبًا ما تتفاعل مع خوادم DNS المحلية ، والتي تقترح أفكارًا بشأن هجوم محتمل على DNS أو من خلال DNS ( تذكر DNSpionage أو Sea Turtle الموصوفة في منشور سابق).

ماذا نرى في قائمة الأحداث الأمنية؟ رفض التدفق. ما هذا؟ يعتمد الجواب على هذا السؤال إلى حد كبير على السياق ، لأن اتصالات العقد الداخلية مع العقد الداخلية تختلف تمامًا عن اتصال العقد الداخلية بالعقد الخارجية ، ويمكن أن تعني أشياء مختلفة جدًا. على سبيل المثال ، إذا كانت العقدة الداخلية تحتوي على العديد من الاتصالات (التدفقات) الممنوعة للمورد الداخلي من خلال نفس المنفذ ، فمن المحتمل أن يكون هذا هو التكوين الخاطئ لأي تطبيق. الكثير من التدفقات الممنوعة بمنافذ أو عقد داخلية مختلفة ، على الأرجح تتحدث عن الاستطلاع ، وهي واحدة من المراحل الأولى في أي هجوم. يمكن للتدفقات المحظورة من الداخل إلى مواقع الإنترنت الخارجية أن تميز تشغيل التعليمات البرمجية الضارة وأدوات الوصول عن بعد (RATs) وتسرب المعلومات والعديد من الأحداث "المثيرة للاهتمام" الأخرى التي تحددها سياسة الأمان على أنها محظورة.وبما أنه تم اكتشافها بواسطة نظام تحليل حركة مرور الشبكة ، فهذا يعني أن هناك خطأ ما فيك.

هذه الحالة مثيرة للاهتمام من حيث أنها تغير بشكل طفيف وجهة النظر حول قدرات أنظمة فئة NTA ، والتي تعتمد على تحليل Netflow (أو بروتوكولات التدفق الأخرى) في عملها. يمكن ملاحظة أن هذه الأنظمة لا يمكنها العمل على مستوى الشبكة فحسب ، بل تسمح لنا أيضًا بالارتفاع إلى أعلى بكثير واكتشاف الهجمات على مستوى التطبيق ، والتي لا تكون مرئية دائمًا لجدار الحماية أو حتى وسائل حماية الأجهزة الطرفية.