Casos para aplicar ferramentas de análise de anomalias de rede: ataques através de plug-ins de navegador

Os ataques aos navegadores são um vetor bastante popular para os atacantes que, através de várias vulnerabilidades em programas de navegação na Internet ou através de plug-ins pouco protegidos, tentam penetrar nas redes corporativas e departamentais. Isso geralmente começa em sites completamente legais e até na lista de permissões que apresentam vulnerabilidades usadas por criminosos cibernéticos. Complementos, extensões, plug-ins, uma vez instalados mesmo para bons propósitos, começam a monitorar a atividade do usuário, "mesclam" o histórico dos sites visitados aos desenvolvedores, introduzem anúncios irritantes nas páginas, às vezes maliciosos. Os usuários nem sempre entendem que o banner do anúncio que veem na página do site foi adicionado pelo plug-in que instalaram,Não foi originalmente incorporado na página. E, às vezes, esses plug-ins e extensões servem como porta de entrada para invasores nos computadores dos usuários, a partir dos quais começa uma marcha vitoriosa pela rede interna da empresa. É através dessas extensões que os invasores podem instalar códigos maliciosos, rastrear dados ou roubá-los. Ao mesmo tempo, nem sempre somos capazes de forçar todos os usuários a configurar corretamente seus navegadores e monitorar sua configuração. O que fazer em tal situação quando apenas um usuário pode se tornar o elo mais fraco e abrir o "portão para o inferno"? As soluções de monitoramento de tráfego de rede podem ajudar nesse caso.com o qual a procissão vitoriosa começa na rede interna da empresa. É através dessas extensões que os invasores podem instalar códigos maliciosos, rastrear dados ou roubá-los. Ao mesmo tempo, nem sempre somos capazes de forçar todos os usuários a configurar corretamente seus navegadores e monitorar sua configuração. O que fazer em tal situação quando apenas um usuário pode se tornar o elo mais fraco e abrir o "portão para o inferno"? As soluções de monitoramento de tráfego de rede podem ajudar nesse caso.com o qual a procissão vitoriosa começa na rede interna da empresa. É através dessas extensões que os invasores podem instalar códigos maliciosos, rastrear dados ou roubá-los. Ao mesmo tempo, nem sempre somos capazes de forçar todos os usuários a configurar corretamente seus navegadores e monitorar sua configuração. O que fazer em tal situação quando apenas um usuário pode se tornar o elo mais fraco e abrir o "portão para o inferno"? As soluções de monitoramento de tráfego de rede podem ajudar nesse caso.quando apenas um usuário pode se tornar o elo mais fraco e abrir o "portão para o inferno"? As soluções de monitoramento de tráfego de rede podem ajudar nesse caso.quando apenas um usuário pode se tornar o elo mais fraco e abrir o "portão para o inferno"? As soluções de monitoramento de tráfego de rede podem ajudar nesse caso.




Uma das unidades de pesquisa da Cisco, a Cisco Cognitive Intelligence, que surgiu depois que a empresa tcheca Cognitive Security foi comprada há muitos anos, revelou que muitos plug-ins maliciosos de navegadores têm características únicas que podem ser detectadas e monitoradas como parte da análise do tráfego de rede. A única diferença presente em comparação com os três casos anteriores examinados anteriormente ( detecção de vazamentos , código malicioso e campanhas de DNSpionage) - para detectar a atividade de plug-ins que introduzem anúncios para os quais os cibercriminosos ganham dinheiro ou que mesclam seus dados, é necessário fazer muita pesquisa (passamos cerca de um ano analisando vários milhares de plug-ins para identificar padrões de comportamento e descrevê-los) ou confiar o fabricante da solução da classe NTA, que contém essa oportunidade.

Veja como é esse recurso na solução Cisco Stealthwatch. Vimos que, em dois endereços da rede interna com os endereços 10.201.3.45 e 10.201.3.108, são registradas atividades associadas à fraude de cliques, à introdução de anúncios em páginas (injeção de anúncios) e publicidade maliciosa.



Obviamente, queremos investigar esta atividade:



Vemos que o nó na rede corporativa interage com o domínio localizado na Amazônia legal (portanto, não funcionará para bloquear por endereço IP; se você não é Roskomnadzor, é claro). No entanto, a aplicação de vários algoritmos de aprendizado de máquina ao tráfego mostra que essa atividade é maliciosa.




Um mergulho ainda mais profundo nos permite entender ainda mais detalhes sobre a ameaça.



Por exemplo, o caso # CADP01 está associado ao código malicioso AdPeak, que injeta publicidade adicional nas páginas da Web visitadas e, para exibi-las, os atacantes ganham dinheiro.



O caso # CDPY01 está associado a um aplicativo potencialmente indesejado que injeta anúncios em uma sessão do navegador e pode levar à infecção subseqüente do computador.



Como a detecção de atividade mal-intencionada do navegador pode ser um sinal de uma infecção que já ocorreu, precisamos realizar uma investigação que mostre com quem o nó comprometido está interagindo em nossa rede, que tipo de nó é, qual é seu papel, qual usuário trabalha para ele etc.



Por exemplo, o nó 10.201.3.45 mencionado pertence ao grupo Desenvolvimento (desenvolvimento ou desenvolvimento de software). Também vemos todos os fluxos de dados associados a este nó e os principais eventos de segurança.



Curiosamente, o nó no qual estamos interessados ​​interage com mais frequência com os servidores DNS locais, o que leva a pensamentos sobre um possível ataque ao DNS ou através do DNS ( lembre-se de DNSpionage ou Sea Turtle descrito na última postagem).

O que vemos na lista de eventos de segurança? Fluxo negado. O que é isso? A resposta a essa pergunta depende muito do contexto, pois as conexões dos nós internos com os internos são muito diferentes da conexão dos nós internos com os externos e podem significar coisas muito diferentes. Por exemplo, se o nó interno tiver muitas conexões (fluxos) proibidos para o recurso interno pela mesma porta, provavelmente esta será a configuração incorreta para qualquer aplicativo. Muitos fluxos proibidos com diferentes portas ou nós internos, provavelmente falam de reconhecimento, um dos primeiros estágios de qualquer ataque. Os fluxos bloqueados de sites internos para externos da Internet podem caracterizar a operação de código malicioso, RATs, vazamento de informações e muitos outros eventos "interessantes" que sua política de segurança define como proibidos.E como eles são detectados pelo seu sistema de análise de tráfego de rede, significa que algo está errado com você.

Esse caso é interessante, pois altera ligeiramente a visão sobre os recursos dos sistemas da classe NTA, que dependem da análise do Netflow (ou outros protocolos de fluxo) em seu trabalho. Pode-se observar que esses sistemas podem não apenas operar no nível da rede, mas também nos permitem subir muito mais e detectar ataques no nível do aplicativo, que nem sempre são visíveis ao firewall ou mesmo aos meios de proteção dos dispositivos terminais.