Fälle für die Anwendung von Tools zur Analyse von Netzwerkanomalien: Angriffe über Browser-Plug-Ins

Angriffe auf Browser sind ein ziemlich beliebter Vektor für Angreifer, die durch verschiedene Schwachstellen in Surfprogrammen im Internet oder durch schwach geschützte Plug-Ins versuchen, in Unternehmens- und Abteilungsnetzwerke einzudringen. Dies beginnt normalerweise auf völlig legalen und sogar auf der Whitelist stehenden Websites, auf denen Sicherheitslücken von Cyberkriminellen bestehen. Add-Ons, Erweiterungen und Plugins überwachen, sobald sie auch für gute Zwecke installiert wurden, die Benutzeraktivität, führen den Verlauf der besuchten Websites mit Entwicklern zusammen und führen lästige Anzeigen auf den Seiten ein, die manchmal bösartig sind. Nutzer verstehen oft nicht einmal, dass das Anzeigenbanner, das sie auf der Seite der Website sehen, durch das von ihnen installierte Plugin hinzugefügt wurde.Es ist ursprünglich nicht auf der Seite eingebettet. Und manchmal dienen solche Plug-Ins und Erweiterungen sogar als Eingangstür für Angreifer zu den Computern der Benutzer, von wo aus ein siegreicher Marsch durch das interne Netzwerk des Unternehmens beginnt. Über diese Erweiterungen können Angreifer schädlichen Code installieren, Daten verfolgen oder stehlen. Gleichzeitig können wir nicht immer alle Benutzer dazu zwingen, ihre Browser ordnungsgemäß zu konfigurieren und ihre Konfiguration zu überwachen. Was tun in einer solchen Situation, in der nur ein Benutzer das schwächste Glied werden und das „Tor zur Hölle“ öffnen kann? In diesem Fall können Lösungen zur Überwachung des Netzwerkverkehrs hilfreich sein.womit die siegreiche Prozession im internen Netzwerk des Unternehmens beginnt. Über diese Erweiterungen können Angreifer schädlichen Code installieren, Daten verfolgen oder stehlen. Gleichzeitig können wir nicht immer alle Benutzer dazu zwingen, ihre Browser ordnungsgemäß zu konfigurieren und ihre Konfiguration zu überwachen. Was tun in einer solchen Situation, in der nur ein Benutzer das schwächste Glied werden und das „Tor zur Hölle“ öffnen kann? In diesem Fall können Lösungen zur Überwachung des Netzwerkverkehrs hilfreich sein.womit die siegreiche Prozession im internen Netzwerk des Unternehmens beginnt. Über diese Erweiterungen können Angreifer schädlichen Code installieren, Daten verfolgen oder stehlen. Gleichzeitig können wir nicht immer alle Benutzer dazu zwingen, ihre Browser ordnungsgemäß zu konfigurieren und ihre Konfiguration zu überwachen. Was tun in einer solchen Situation, in der nur ein Benutzer das schwächste Glied werden und das „Tor zur Hölle“ öffnen kann? In diesem Fall können Lösungen zur Überwachung des Netzwerkverkehrs hilfreich sein.Wann kann nur ein Benutzer das schwächste Glied werden und das „Tor zur Hölle“ öffnen? In diesem Fall können Lösungen zur Überwachung des Netzwerkverkehrs hilfreich sein.Wann kann nur ein Benutzer das schwächste Glied werden und das „Tor zur Hölle“ öffnen? In diesem Fall können Lösungen zur Überwachung des Netzwerkverkehrs hilfreich sein.




Eine der Forschungseinheiten von Cisco, Cisco Cognitive Intelligence, die nach dem Kauf des tschechischen Unternehmens Cognitive Security vor vielen Jahren erschien, ergab, dass viele böswillige Browser-Plug-Ins einzigartige Eigenschaften aufweisen, die im Rahmen der Analyse des Netzwerkverkehrs erkannt und überwacht werden können. Der einzige Unterschied zu den drei zuvor untersuchten Fällen ( Lecksuche , Schadcode und DNSpionage-Kampagnen)) - Um die Aktivität von Plugins zu erkennen, die Anzeigen einführen, für die Cyberkriminelle Geld verdienen oder die Ihre Daten zusammenführen, müssen Sie selbst viel recherchieren (wir haben ungefähr ein Jahr damit verbracht, mehrere tausend Plugins zu analysieren, um Verhaltensmuster zu identifizieren und sie zu beschreiben) oder zu vertrauen der Hersteller der NTA-Klassenlösung, die eine solche Möglichkeit enthält.

So sieht diese Funktion in der Cisco Stealthwatch-Lösung aus. Wir sehen, dass von zwei Adressen des internen Netzwerks mit den Adressen 10.201.3.45 und 10.201.3.108 Aktivitäten im Zusammenhang mit Klickbetrug, der Einführung von Anzeigen in Seiten (Anzeigeninjektion) und böswilliger Werbung aufgezeichnet werden.



Natürlich wollen wir diese Aktivität untersuchen:



Wir sehen, dass der Knoten im Unternehmensnetzwerk mit der Domain auf dem legalen Amazon interagiert (daher funktioniert das Blockieren nach IP-Adresse nicht; wenn Sie nicht Roskomnadzor sind, natürlich). Die Anwendung verschiedener Algorithmen für maschinelles Lernen auf den Datenverkehr zeigt jedoch, dass diese Aktivität böswillig ist.




Ein noch tieferer Tauchgang ermöglicht es uns, noch mehr Details über die Bedrohung zu verstehen.



Zum Beispiel ist Fall # CADP01 mit dem Schadcode AdPeak verknüpft, der zusätzliche Werbung in die besuchten Webseiten einfügt und für deren Anzeige die Angreifer Geld verdienen.



Fall # CDPY01 ist mit einer potenziell unerwünschten Anwendung verbunden, die Anzeigen in eine Browsersitzung einfügt und zu einer nachfolgenden Infektion des Computers führen kann.



Da die Erkennung böswilliger Browseraktivitäten möglicherweise ein Zeichen für eine bereits eingetretene Infektion ist, müssen wir eine Untersuchung durchführen, die zeigt, mit wem der gefährdete Knoten in unserem Netzwerk interagiert, welche Art von Knoten er ist, welche Rolle er spielt, welcher Benutzer für ihn arbeitet usw.



Beispielsweise gehört der erwähnte Knoten 10.201.3.45 zur Entwicklungsgruppe (Entwicklung oder Softwareentwicklung). Wir sehen auch alle Datenströme, die diesem Knoten zugeordnet sind, und die wichtigsten Sicherheitsereignisse.



Interessanterweise interagiert der Knoten, an dem wir interessiert sind, am häufigsten mit lokalen DNS-Servern, was zu Überlegungen über einen möglichen Angriff auf DNS oder über DNS führt ( denken Sie an DNSpionage oder Sea Turtle, wie im letzten Beitrag beschrieben).

Was sehen wir in der Liste der Sicherheitsereignisse? Flow verweigert. Was ist das? Die Antwort auf diese Frage hängt sehr stark vom Kontext ab, da sich die Verbindungen der internen Knoten mit den internen Knoten stark von der Verbindung der internen Knoten mit den externen Knoten unterscheiden und sehr unterschiedliche Bedeutungen haben können. Wenn der interne Knoten beispielsweise über denselben Port viele verbotene Verbindungen (Flüsse) zur internen Ressource hat, ist dies wahrscheinlich die falsche Konfiguration für eine Anwendung. Viele verbotene Flüsse mit verschiedenen Ports oder internen Knoten sprechen höchstwahrscheinlich von Aufklärung, einer der ersten Phasen eines Angriffs. Blockierte Flüsse von innen zu externen Internetseiten können den Betrieb von Schadcode, RATs (Remote Access Utilities), Informationslecks und vielen anderen „interessanten“ Ereignissen charakterisieren, die Ihre Sicherheitsrichtlinie als verboten definiert.Und da sie von Ihrem Netzwerkverkehrsanalysesystem erkannt werden, stimmt etwas mit Ihnen nicht.

Dieser Fall ist insofern interessant, als er die Sicht auf die Fähigkeiten von Systemen der NTA-Klasse, die in ihrer Arbeit auf der Analyse von Netflow (oder anderen Flow-Protokollen) beruhen, geringfügig ändert. Es ist ersichtlich, dass solche Systeme nicht nur auf Netzwerkebene arbeiten können, sondern es uns auch ermöglichen, viel höher zu steigen und Angriffe auf Anwendungsebene zu erkennen, die für die Firewall oder sogar die Mittel zum Schutz von Endgeräten nicht immer sichtbar sind.