Casos para aplicar herramientas de análisis de anomalías de red: ataques a través de complementos del navegador

Los ataques a los navegadores son un vector bastante popular para los atacantes que, a través de diversas vulnerabilidades en los programas de navegación en Internet o mediante complementos débilmente protegidos para ellos, intentan penetrar dentro de las redes corporativas y departamentales. Esto generalmente comienza en sitios completamente legales e incluso en la lista blanca que tienen vulnerabilidades utilizadas por los ciberdelincuentes. Los complementos, extensiones, complementos, una vez instalados, incluso con buenos propósitos, comienzan a monitorear la actividad del usuario, "fusionan" el historial de los sitios visitados con los desarrolladores, introducen anuncios molestos en las páginas, a veces maliciosos. Los usuarios a menudo ni siquiera entienden que el complemento publicitario que instalaron agregó el banner publicitario que ven en la página del sitio,Originalmente no está incrustado en la página. Y a veces, tales complementos y extensiones incluso sirven como puerta de entrada para los atacantes a las computadoras de los usuarios, desde donde comienza una marcha victoriosa a través de la red interna de la empresa. Es a través de estas extensiones que los atacantes pueden instalar código malicioso, rastrear datos o robarlos. Al mismo tiempo, no siempre podemos obligar a todos los usuarios a configurar correctamente sus navegadores y controlar su configuración. ¿Qué hacer en tal situación cuando solo un usuario puede convertirse en el eslabón más débil y abrir la "puerta al infierno"? Las soluciones de monitoreo de tráfico de red pueden ayudar en este caso.con lo cual comienza la procesión victoriosa en la red interna de la empresa. Es a través de estas extensiones que los atacantes pueden instalar código malicioso, rastrear datos o robarlos. Al mismo tiempo, no siempre podemos obligar a todos los usuarios a configurar correctamente sus navegadores y controlar su configuración. ¿Qué hacer en tal situación cuando solo un usuario puede convertirse en el eslabón más débil y abrir la "puerta al infierno"? Las soluciones de monitoreo de tráfico de red pueden ayudar en este caso.con lo cual comienza la procesión victoriosa en la red interna de la empresa. Es a través de estas extensiones que los atacantes pueden instalar código malicioso, rastrear datos o robarlos. Al mismo tiempo, no siempre podemos obligar a todos los usuarios a configurar correctamente sus navegadores y controlar su configuración. ¿Qué hacer en tal situación cuando solo un usuario puede convertirse en el eslabón más débil y abrir la "puerta al infierno"? Las soluciones de monitoreo de tráfico de red pueden ayudar en este caso.cuando solo un usuario puede convertirse en el eslabón más débil y abrir la "puerta al infierno"? Las soluciones de monitoreo de tráfico de red pueden ayudar en este caso.cuando solo un usuario puede convertirse en el eslabón más débil y abrir la "puerta al infierno"? Las soluciones de monitoreo de tráfico de red pueden ayudar en este caso.




Una de las unidades de investigación de Cisco, Cisco Cognitive Intelligence, que apareció después de que la compañía checa Cognitive Security fue comprada hace muchos años, reveló que muchos complementos de navegadores maliciosos tienen características únicas que pueden detectarse y monitorearse como parte del análisis del tráfico de red. La única diferencia que está presente en comparación con los tres casos anteriores examinados anteriormente ( detección de fugas , código malicioso y campañas de DNSpionage) - para detectar la actividad de los complementos que introducen anuncios para los que los ciberdelincuentes ganan dinero o que combinan sus datos, debe investigar mucho usted mismo (pasamos aproximadamente un año analizando varios miles de complementos para identificar patrones de comportamiento y describirlos), o confiar el fabricante de la solución de clase NTA, que contiene esa oportunidad.

Así es como se ve esta característica en la solución Cisco Stealthwatch. Vemos que desde dos direcciones de la red interna con las direcciones 10.201.3.45 y 10.201.3.108, se registra la actividad asociada con el fraude de clics, la introducción de anuncios en las páginas (inyección de anuncios) y la publicidad maliciosa.



Obviamente, queremos investigar esta actividad:



Vemos que el nodo en la red corporativa interactúa con el dominio ubicado en la Amazonía legal (por lo tanto, no funcionará bloquear por dirección IP; si no es Roskomnadzor, por supuesto). Sin embargo, la aplicación de varios algoritmos de aprendizaje automático al tráfico muestra que esta actividad es maliciosa.




Una inmersión aún más profunda nos permite comprender aún más detalles sobre la amenaza.



Por ejemplo, el caso # CADP01 está asociado con el código malicioso AdPeak, que inyecta publicidad adicional en las páginas web visitadas y por mostrarles que los atacantes ganan dinero.



El caso # CDPY01 está asociado con una aplicación potencialmente no deseada que inyecta anuncios en una sesión del navegador y puede provocar una infección posterior de la computadora.



Dado que la detección de actividad maliciosa del navegador puede ser un signo de una infección que ya ha sucedido, debemos realizar una investigación que muestre con quién está interactuando el nodo comprometido en nuestra red, qué tipo de nodo es, cuál es su función, qué usuario trabaja para él, etc.



Por ejemplo, el nodo mencionado 10.201.3.45 pertenece al grupo Desarrollo (desarrollo o desarrollo de software). También vemos todos los flujos de datos asociados con este nodo y los principales eventos de seguridad.



Es interesante que, con mayor frecuencia, el nodo en el que estamos interesados ​​interactúa con los servidores DNS locales, lo que lleva a pensar en un posible ataque a DNS oa través de DNS ( recuerde el DNSpionage o Sea Turtle descrito en la última publicación).

¿Qué vemos en la lista de eventos de seguridad? Flujo denegado. ¿Lo que es? La respuesta a esta pregunta depende mucho del contexto, ya que las conexiones de los nodos internos a los internos son muy diferentes de la conexión de los nodos internos a los externos, y pueden significar cosas muy diferentes. Por ejemplo, si el nodo interno tiene muchas conexiones (flujos) prohibidas al recurso interno a través del mismo puerto, entonces esta es probablemente la configuración incorrecta para cualquier aplicación. Una gran cantidad de flujos prohibidos con diferentes puertos o nodos internos, muy probablemente habla de reconocimiento, una de las primeras etapas en cualquier ataque. Los flujos bloqueados de sitios de Internet internos a externos pueden caracterizar el funcionamiento de códigos maliciosos, utilidades de acceso remoto (RAT), fuga de información y muchos otros eventos "interesantes" que su política de seguridad define como prohibidos.Y dado que son detectados por su sistema de análisis de tráfico de red, significa que algo está mal con usted.

Este caso es interesante porque cambia ligeramente la visión sobre las capacidades de los sistemas de la clase NTA, que dependen del análisis de Netflow (u otros protocolos de flujo) en su trabajo. Se puede ver que tales sistemas no solo pueden funcionar a nivel de red, sino que también nos permiten elevarnos mucho más y detectar ataques a nivel de aplicación, que están lejos de ser siempre visibles para el firewall o incluso los medios de protección de los dispositivos terminales.