Kasus untuk menerapkan alat analisis anomali jaringan: serangan melalui plug-in browser

Serangan pada browser adalah vektor yang cukup populer untuk penyerang yang, melalui berbagai kerentanan dalam program berselancar di Internet atau melalui plug-in yang dilindungi secara lemah untuk mereka, mencoba melakukan penetrasi ke dalam jaringan perusahaan dan departemen. Ini biasanya dimulai pada situs yang sepenuhnya legal dan bahkan masuk daftar putih yang memiliki kerentanan yang digunakan oleh penjahat cyber. Add-on, ekstensi, plugins, setelah dipasang bahkan untuk tujuan yang baik, mulai memantau aktivitas pengguna, "menggabungkan" sejarah situs yang dikunjungi ke pengembang, memperkenalkan iklan yang mengganggu ke halaman, kadang-kadang berbahaya. Pengguna sering tidak mengerti bahwa spanduk iklan yang mereka lihat di halaman situs ditambahkan oleh plugin yang mereka pasang,Ini awalnya tidak disematkan pada halaman. Dan kadang-kadang plug-in dan ekstensi semacam itu bahkan berfungsi sebagai pintu masuk bagi penyerang ke komputer pengguna, dari mana pawai kemenangan melalui jaringan internal perusahaan dimulai. Melalui ekstensi ini penyerang dapat menginstal kode berbahaya, melacak data atau mencurinya. Pada saat yang sama, kami tidak selalu dapat memaksa semua pengguna untuk mengkonfigurasi browser mereka dengan benar dan memantau konfigurasi mereka. Apa yang harus dilakukan dalam situasi seperti itu ketika hanya satu pengguna yang bisa menjadi tautan terlemah dan membuka "gerbang ke neraka"? Solusi pemantauan lalu lintas jaringan dapat membantu dalam kasus ini.dengan mana prosesi kemenangan dimulai pada jaringan internal perusahaan. Melalui ekstensi ini penyerang dapat menginstal kode berbahaya, melacak data atau mencurinya. Pada saat yang sama, kami tidak selalu dapat memaksa semua pengguna untuk mengkonfigurasi browser mereka dengan benar dan memantau konfigurasi mereka. Apa yang harus dilakukan dalam situasi seperti itu ketika hanya satu pengguna yang bisa menjadi tautan terlemah dan membuka "gerbang ke neraka"? Solusi pemantauan lalu lintas jaringan dapat membantu dalam kasus ini.dengan mana prosesi kemenangan dimulai pada jaringan internal perusahaan. Melalui ekstensi ini penyerang dapat menginstal kode berbahaya, melacak data atau mencurinya. Pada saat yang sama, kami tidak selalu dapat memaksa semua pengguna untuk mengkonfigurasi browser mereka dengan benar dan memantau konfigurasi mereka. Apa yang harus dilakukan dalam situasi seperti itu ketika hanya satu pengguna yang bisa menjadi tautan terlemah dan membuka "gerbang ke neraka"? Solusi pemantauan lalu lintas jaringan dapat membantu dalam kasus ini.ketika hanya satu pengguna yang bisa menjadi tautan terlemah dan membuka "gerbang ke neraka"? Solusi pemantauan lalu lintas jaringan dapat membantu dalam kasus ini.ketika hanya satu pengguna yang bisa menjadi tautan terlemah dan membuka "gerbang ke neraka"? Solusi pemantauan lalu lintas jaringan dapat membantu dalam kasus ini.




Salah satu unit penelitian Cisco, Cisco Cognitive Intelligence, yang muncul setelah perusahaan Ceko Cognitive Security dibeli bertahun-tahun yang lalu, mengungkapkan bahwa banyak plug-in browser jahat memiliki karakteristik unik yang dapat dideteksi dan dipantau sebagai bagian dari analisis lalu lintas jaringan. Satu-satunya perbedaan yang ada dibandingkan dengan tiga kasus sebelumnya yang diperiksa sebelumnya ( deteksi kebocoran , kode berbahaya dan kampanye DNSpionage) - untuk mendeteksi aktivitas plugin yang memperkenalkan iklan yang membuat penjahat cyber mendapatkan uang atau yang menggabungkan data Anda, Anda perlu melakukan banyak penelitian sendiri (kami menghabiskan sekitar satu tahun menganalisis beberapa ribu plugin untuk mengidentifikasi pola perilaku dan menggambarkannya), atau mempercayai produsen solusi kelas NTA, yang berisi peluang seperti itu.

Inilah yang terlihat seperti fitur ini dalam solusi Cisco Stealthwatch. Kami melihat bahwa dari dua alamat jaringan internal dengan alamat 10.201.3.45 dan 10.201.3.108, aktivitas yang terkait dengan penipuan klik, pengenalan iklan ke dalam halaman (Injeksi iklan), dan iklan berbahaya dicatat.



Jelas, kami ingin menyelidiki kegiatan ini:



Kami melihat bahwa simpul dalam jaringan perusahaan berinteraksi dengan domain yang terletak di Amazon legal (oleh karena itu, tidak akan berfungsi untuk memblokir berdasarkan alamat IP; jika Anda bukan Roskomnadzor, tentu saja). Namun, penerapan berbagai algoritma pembelajaran mesin untuk lalu lintas menunjukkan bahwa aktivitas ini berbahaya.




Menyelam lebih dalam memungkinkan kita untuk memahami lebih detail tentang ancaman itu



Misalnya, kasus # CADP01 dikaitkan dengan kode berbahaya AdPeak, yang menyuntikkan iklan tambahan ke halaman web yang dikunjungi dan untuk tampilan mereka para penyerang mendapatkan uang.



Kasus # CDPY01 dikaitkan dengan aplikasi yang mungkin tidak diinginkan yang menyuntikkan iklan ke dalam sesi peramban dan dapat menyebabkan infeksi komputer selanjutnya.



Karena deteksi aktivitas peramban jahat mungkin merupakan tanda infeksi yang telah terjadi, kami perlu melakukan penyelidikan yang akan menunjukkan kepada siapa node yang dikompromikan berinteraksi dengan jaringan kami, jenis node apa itu, apa perannya, apa yang digunakan pengguna untuk itu, dll.



Misalnya, simpul yang disebutkan 10.201.3.45 milik kelompok Pengembangan (pengembangan atau pengembangan perangkat lunak). Kami juga melihat semua aliran data yang terkait dengan simpul ini dan peristiwa keamanan utama.



Menariknya, simpul yang paling kami minati berinteraksi dengan server DNS lokal, yang mengarah ke pemikiran tentang kemungkinan serangan terhadap DNS atau melalui DNS ( ingat DNSpionage atau Sea Turtle yang dijelaskan dalam posting terakhir).

Apa yang kita lihat dalam daftar peristiwa keamanan? Aliran Ditolak. Apa itu? Jawaban untuk pertanyaan ini sangat tergantung pada konteksnya, karena koneksi node internal ke internal sangat berbeda dari koneksi internal node ke eksternal, dan dapat berarti hal yang sangat berbeda. Misalnya, jika simpul internal memiliki banyak koneksi terlarang (mengalir) ke sumber daya internal melalui port yang sama, maka ini mungkin konfigurasi yang salah untuk aplikasi apa pun. Banyak aliran terlarang dengan port yang berbeda atau node internal, kemungkinan besar berbicara tentang pengintaian, salah satu tahap pertama dalam serangan apa pun. Aliran yang diblokir dari dalam ke situs Internet eksternal dapat mencirikan operasi kode berbahaya, utilitas akses jarak jauh (RAT), kebocoran informasi, dan banyak peristiwa "menarik" lainnya yang didefinisikan oleh kebijakan keamanan Anda sebagai dilarang.Dan karena mereka terdeteksi oleh sistem analisis lalu lintas jaringan Anda, itu berarti ada sesuatu yang salah dengan Anda.

Kasus ini menarik karena sedikit mengubah pandangan tentang kemampuan sistem kelas NTA, yang mengandalkan analisis Netflow (atau protokol aliran lainnya) dalam pekerjaan mereka. Dapat dilihat bahwa sistem seperti itu tidak hanya dapat beroperasi di tingkat jaringan, tetapi juga memungkinkan kita untuk naik jauh lebih tinggi dan mendeteksi serangan di tingkat aplikasi, yang jauh dari selalu terlihat oleh firewall atau bahkan sarana perlindungan perangkat terminal.