Cas d'application des outils d'analyse d'anomalies de réseau: attaques via des plug-ins de navigateur

Les attaques sur les navigateurs sont un vecteur assez populaire pour les attaquants qui, à travers diverses vulnérabilités dans les programmes de navigation sur Internet ou via des plug-ins faiblement protégés pour eux, tentent de pénétrer à l'intérieur des réseaux d'entreprise et départementaux. Cela commence généralement sur des sites complètement légaux et même sur liste blanche qui présentent des vulnérabilités utilisées par des cybercriminels. Les modules complémentaires, extensions, plugins, une fois installés même à de bonnes fins, commencent à surveiller l'activité des utilisateurs, «fusionnent» l'historique des sites visités avec les développeurs, introduisent des publicités ennuyeuses dans les pages, parfois malveillantes. Souvent, les utilisateurs ne comprennent même pas que la bannière publicitaire qu'ils voient sur la page du site a été ajoutée par le plug-in qu'ils ont installé,Il n'est pas intégré à l'origine sur la page. Et parfois, ces plug-ins et extensions servent même de porte d'entrée pour les attaquants vers les ordinateurs des utilisateurs, à partir desquels commence une marche victorieuse à travers le réseau interne de l'entreprise. C'est grâce à ces extensions que les attaquants peuvent installer du code malveillant, suivre des données ou les voler. Dans le même temps, nous ne sommes pas toujours en mesure de forcer tous les utilisateurs à configurer correctement leurs navigateurs et à surveiller leur configuration. Que faire dans une telle situation où un seul utilisateur peut devenir le maillon le plus faible et ouvrir la «porte de l'enfer»? Les solutions de surveillance du trafic réseau peuvent vous aider dans ce cas.avec lequel la procession victorieuse commence sur le réseau interne de l'entreprise. C'est grâce à ces extensions que les attaquants peuvent installer du code malveillant, suivre des données ou les voler. Dans le même temps, nous ne sommes pas toujours en mesure de forcer tous les utilisateurs à configurer correctement leurs navigateurs et à surveiller leur configuration. Que faire dans une telle situation où un seul utilisateur peut devenir le maillon le plus faible et ouvrir la «porte de l'enfer»? Les solutions de surveillance du trafic réseau peuvent vous aider dans ce cas.avec lequel la procession victorieuse commence sur le réseau interne de l'entreprise. C'est grâce à ces extensions que les attaquants peuvent installer du code malveillant, suivre des données ou les voler. Dans le même temps, nous ne sommes pas toujours en mesure de forcer tous les utilisateurs à configurer correctement leurs navigateurs et à surveiller leur configuration. Que faire dans une telle situation où un seul utilisateur peut devenir le maillon le plus faible et ouvrir la «porte de l'enfer»? Les solutions de surveillance du trafic réseau peuvent vous aider dans ce cas.quand un seul utilisateur peut devenir le maillon le plus faible et ouvrir la «porte de l'enfer»? Les solutions de surveillance du trafic réseau peuvent vous aider dans ce cas.quand un seul utilisateur peut devenir le maillon le plus faible et ouvrir la «porte de l'enfer»? Les solutions de surveillance du trafic réseau peuvent vous aider dans ce cas.




L'une des unités de recherche de Cisco, Cisco Cognitive Intelligence, apparue après le rachat de la société tchèque Cognitive Security il y a de nombreuses années, a révélé que de nombreux plug-ins de navigateur malveillants ont des caractéristiques uniques qui peuvent être détectées et surveillées dans le cadre de l'analyse du trafic réseau. La seule différence présente par rapport aux trois cas précédents examinés précédemment ( détection de fuite , code malveillant et campagnes DNSpionage) - afin de détecter l'activité des plugins qui introduisent des publicités pour lesquelles les cybercriminels gagnent de l'argent ou qui fusionnent vos données, vous devez faire beaucoup de recherches vous-même (nous avons passé environ un an à analyser plusieurs milliers de plugins pour identifier les modèles de comportement et les décrire), ou faire confiance le fabricant de la solution de classe NTA, qui contient une telle opportunité.

Voici à quoi ressemble cette fonctionnalité dans la solution Cisco Stealthwatch. On constate qu'à partir de deux adresses du réseau interne avec les adresses 10.201.3.45 et 10.201.3.108, une activité associée à la fraude aux clics, l'introduction d'annonces dans les pages (injection d'annonces) et des publicités malveillantes sont enregistrées.



De toute évidence, nous voulons enquêter sur cette activité:



Nous voyons que le nœud du réseau d'entreprise interagit avec le domaine situé sur l'Amazonie légale (par conséquent, il ne fonctionnera pas pour bloquer par adresse IP; si vous n'êtes pas Roskomnadzor, bien sûr). Cependant, l'application de divers algorithmes d'apprentissage automatique au trafic montre que cette activité est malveillante.




Une plongée encore plus profonde nous permet de comprendre encore plus de détails sur la menace.



Par exemple, le cas # CADP01 est associé au code malveillant AdPeak, qui injecte de la publicité supplémentaire dans les pages Web visitées et pour leur affichage, les attaquants gagnent de l'argent.



Le cas # CDPY01 est associé à une application potentiellement indésirable qui injecte des publicités dans une session de navigateur et peut entraîner une infection ultérieure de l'ordinateur.



Étant donné que la détection d'une activité malveillante du navigateur peut être le signe d'une infection qui s'est déjà produite, nous devons mener une enquête qui montrera avec qui le nœud compromis interagit sur notre réseau, quel type de nœud il s'agit, quel est son rôle, quel utilisateur travaille pour lui, etc.



Par exemple, le nœud mentionné 10.201.3.45 appartient au groupe de développement (développement ou développement logiciel). Nous voyons également tous les flux de données associés à ce nœud et les principaux événements de sécurité.



Fait intéressant, le nœud qui nous intéresse interagit le plus souvent avec des serveurs DNS locaux, ce qui conduit à réfléchir à une éventuelle attaque sur DNS ou via DNS ( rappelez-vous DNSpionage ou Sea Turtle décrit dans le dernier article).

Que voit-on dans la liste des événements de sécurité? Débit refusé. Ce que c'est? La réponse à cette question dépend beaucoup du contexte, car les connexions des nœuds internes aux internes sont très différentes de la connexion des nœuds internes aux externes, et peuvent signifier des choses très différentes. Par exemple, si le nœud interne a de nombreuses connexions (flux) interdites à la ressource interne via le même port, il s'agit probablement de la mauvaise configuration pour n'importe quelle application. Beaucoup de flux interdits avec différents ports ou nœuds internes, parle très probablement de reconnaissance, l'une des premières étapes de toute attaque. Les flux bloqués de l'intérieur vers des sites Internet externes peuvent caractériser le fonctionnement de codes malveillants, d'utilitaires d'accès à distance (RAT), de fuites d'informations et de nombreux autres événements «intéressants» que votre politique de sécurité définit comme interdits.Et comme ils sont détectés par votre système d'analyse du trafic réseau, cela signifie que quelque chose ne va pas chez vous.

Ce cas est intéressant en ce qu'il modifie légèrement la vue sur les capacités des systèmes de la classe NTA, qui s'appuient sur l'analyse de Netflow (ou d'autres protocoles de flux) dans leur travail. On peut voir que de tels systèmes peuvent non seulement fonctionner au niveau du réseau, mais aussi nous permettre de monter beaucoup plus haut et de détecter des attaques au niveau des applications, qui sont loin d'être toujours visibles pour le pare-feu ou même les moyens de protection des terminaux.