СТВОРЕННЯ СИСТЕМИ БЕЗПЕРЕРВНОГО РЕАГУВАННЯ НА ІНЦИДЕНТИ ІНФІКУВАННЯ ВІРУСАМИ-ВИМАГАЧАМИ В ACTIVE DIRECTORY
22.09.2022 13:23
[1. Information systems and technologies]
Author: Журавчак Даниїл Юрійович, аспірант, Національний Університет “Львівська політехніка”, м.Львів; Дудикевич Валерій Богданович, доктор технічних наук, професор, Національний Університет “Львівська політехніка”, м.Львів; Опанович Максим Юрійович, аспірант, Національний Університет “Львівська політехніка”, м.Львів; Піскозуб Андріян Збіґнєвич, кандидат технічних наук, доцент, Національний Університет “Львівська політехніка”, м.Львів
Ключові слова: моніторингбезпеки , реагування на інциденти, Active Directory, виявлення та протидія вірусам вимагачам
Keywords: ransomware detection and prevention, security monitoring, Active Directory, incident response
Вступ
Віруси вимагачі - це тип вірусів, що блокує доступ до файлів шифруючи їх. І дані перебувають зашифрованими до того моменту допоки жертва вимагання не заплатить за них викуп операторам вірусу. Дану діальність можна охарактиризувати кримінальною, а операторів вірусів - криміналами. У випадку, коли жертва не платить викуп, кримінали можуть злити дані у публічний простір на продаж, або задарма, щоб заподіяти жертві репутаційних втрат, або фінансових, якщо зашифровані дані були інтелектуальною власністю, тощо.
Це все являє кошмар для сучасного бізнесу, корпорацій та урядів. За оцінкою компанії CrowdStrike втрати на викуп можуть сягати до 6 мільйонів доларів, щоб повернути свою цифрову власність.
Техніки виявлення інфікування даним типом вірусів є першим рубежом безпеки. У багатьох випадках даний тип атаки є прихованим саме до моменту блокування, чи шифрування файлів. Жертви часто виявляють атаку уже в момент отримання вимог до викупу. Виявлення вірусів- вимагачів вимагає виявляти їх на моменті проникнення у мережу, щоб жертви, або спеціалісти з безпеки могли вжити заходів, щоб запобігти незворотній шкоді.
Оператори програм-вимагачів націлюються на компанії будь-якого розміру та навіть на окремих осіб, щоб максимізувати свої прибутки. Спроби, як правило, зосереджуються на компаніях, які мають більш слабкі або застарілі системи безпеки, але багато варіантів програм-вимагачів не дискримінують. Вони націлені на будь-яку систему, яку можуть зламати.
Атаки програм-вимагачів зростають у розмірах і ускладнюються, піддаючи організації в усіх галузях ризику блокування облікових записів, спроб вимагання та втрати даних. Фактично, останні дослідження показують, що кількість атак програм-вимагачів зросла на 80% порівняно з минулим роком.[1]
Значною мірою це пов’язано з тим, що більшість сімей програм-вимагачів зараз доступні у вигляді сервісу, надаючи потужні інструменти, які значно полегшують здійснення атак.
Тривожний розвиток подій полягає в тому, що кіберзлочинці все частіше націлюються на Active Directory, що несе серйозну загрозу, яка може надати контроль над мережею зловмиснику.
Вірус-вимагач не шифрує сам Active Directory. Натомість він використовує Active Directory для доступу та шифрування підключених хостів і систем, приєднаних до домену.
У типовій атаці вірусів-вимагачів Active Directory зловмисники намагаються отримати доступ до мережі, викрадаючи облікові дані користувача, підвищуючи привілеї та переміщаючись вертикально в мережі. Кінцева мета — отримати права адміністратора та заволодіти доменним контролером.
Якщо зловмиснику вдається, він, по суті, володіє мережею та отримує доступ до всіх її серверів і даних. Контролери домену розміщують копію доменних служб Active Directory (AD DS), яка є схемою з усіма об’єктами, які Active Directory зберігає та надає для них служби авторизації та автентифікації.
Незважаючи на цю очевидну та наявну загрозу, багато компаній досі не мають планів безпеки та відновлення Active Directory. І це дуже ускладнює відновлення після атаки програм-вимагачів.
Щоб уникнути такої долі, компаніям слід наполегливо розглянути можливість вжиття активних заходів для посилення захисту Active Directory.
Зрозуміло, що кожен може отримати вигоду від раннього виявлення програм-вимагачів, але малі та середні компанії можуть отримати максимальну віддачу від кібербезпеки. Великі компанії можуть швидко оговтатися після інциденту програм-вимагачів. Однак витік даних може спустошити невелику компанію з меншими ресурсами.
Як ми уже зрозуміли в атаках вірусів-вимагачів дуже важлива швидкісна реакція на інфікування, якщо все робити швидко, то можна зупинити поширення вірусу, і, навіть, вберегти дані. Є різні методи виявлення, протидії та відновлення після атак вірусів-вимагачів. Коли фахівці з кібербезпеки отримують сповіщення, вони можуть негайно зупинити поширення вірусу, перш ніж цінні або конфіденційні файли можуть бути зашифровані. Все, що їм потрібно зробити, це ізолювати комп’ютер від мережі, видалити програмне забезпечення-вимагач, а потім відновити комп’ютер із безпечної резервної копії.
Виявлення програм-вимагачів допомагає уникнути втрати даних. У багатьох атаках жертви ніколи не відновлюють свої оригінальні файли. Без останнього резервного копіювання ваші дані будуть втрачені назавжди. Виявлення атак на сервери за допомогою рішень Endpont Detection and Response(EDR), яке є однією із стратегій захисту від вірусів, може зупинити зловмисне програмне забезпечення, на ранніх етапах атаки, коли дані ще не зашифровані.
Огляд існуючих рішень
Постійні розробки нових варіантів зловмисного програмного забезпечення, збільшення кількості атак у формі просунутої постійної загрози(APT) значно збільшують збитки завдані комерційним компаніям та урядам країн. Зокрема, віруси вимагачі завдають найбільших збитків, порівняно з іншими загрозами. Маючи технічну можливість швидко ширитись мережею, атака віруса-вимагача може призвести до викрадення та знищення даних, блокування роботи в лічені хвилини.
Відповіддю на це було створення нових інструментів для виявлення та реагування на кіберінциденти. Одним з таких рішень стала розробка інструмента EDR. Ці рішення стали дієвим та потужним інструментом. Системи виявлення та реагування кінцевих точок(EDR) забезпечують більш цілісний підхід до безпеки організації, оскільки окрім сигнатурного виявлення, EDR корелюють інформацію та події на кількох хостах організації. Таким чином, окремі події з кінцевих точок збираються, обробляються та корелюються, надаючи глибоке розуміння загроз, яким піддається мережа організації.
В більшості варіацій, EDR забезпечує інтегрований центр для збору, кореляції та аналізу даних кінцевих точок, а також для координації сповіщень і відповідей на безпосередні загрози. Інструменти EDR мають три основні компоненти:
● Агенти збору даних кінцевої точки. Програмні агенти здійснюють моніторинг кінцевих точок і збирають дані про процеси, підключення, обсяг діяльності та передача даних, у центральну базу даних.
● Автоматична відповідь. Попередньо налаштовані правила в рішенні EDR можуть розпізнавати, коли вхідні дані вказують на відомий тип порушення безпеки, і запускають автоматичну відповідь, наприклад, щоб вийти з системи кінцевого користувача або надіслати сповіщення співробітнику чи ізолювати робочу станцію.
● Аналіз. Система виявлення та реагування може включати як аналітику в реальному часі для швидкого виявлення загроз, які не підпадають під правила автоматичної відповіді, так і інструменти форенсики для полювання на загрози або проведення аналізу атак, що відбулися в минулому.
○ Механізм аналітики в реальному часі використовує алгоритми для оцінки та кореляції великих обсягів даних, пошуку закономірностей.
○ Інструменти форенсики дозволяють фахівцям із ІТ-безпеки досліджувати минулі порушення, щоб краще зрозуміти, як працює експлойт і як він проник в систему безпеки. Фахівці з ІТ-безпеки також використовують інструменти форенсики для виявлення загроз у системі, які можуть непомітно ховатися на кінцевій точці.
Кожен розробник намагається розвивати і впроваджувати власні технології та функції, які надають їхнім інструментам певних переваг. До таких можна віднести власні реалізації наступних функцій:
● Побудування графів загроз для візуалізації та агрегації даних
● Пісочниці для перевірки активності підозрілих файлів
● Кореляція закономірностей загроз на основі даних різних мереж
● Аналіз загроз в хмарних середовищах
Також варто додати, що всі рішення будуть мати різну телеметрію та екосистему, тобто поєднання та інтеграції з іншими інструментами.
Проте навіть найкращі EDR рішення не є ідеальними. Згідно з минулорічним дослідженням[2], де були протестовані одні з найбільш просунутих EDR, такі як Carbon Black, CrowdStrike Falcon, ESET PROTECT, Sentinel One та інші, навіть найбільш просунуті рішення, без додаткового налаштування, не можуть виявити певні типи загроз. В даному випадку Cobalt Strike, який в тому числі може бути частиною вірусу-шифрувальника.
Так як навіть ці рішення потребують додаткового налаштуваннями та при цьому є дорогими, ми вирішили зосередитись на дослідженні безкоштовних рішень з відкритим кодом. З поміж усіх варіантів ми обрали Velociraptor.[3]
Velociraptor – це інструмент з відкритим кодом для моніторингу кінцевих точок, форенсики та реагування на загрози. Це є доволі просте рішення для розгортання на Windows, Linux, MacOS чи, навіть у хмарних середовищах. Будова рішення є простим бінарним файлом, як для клієнтової архітектури так і для серверної архітектури. Його функціонал дозволяє:
● Реконструювати діяльність зловмисного програмного забезпечення
● Постійний моніторинг підозрілих дій користувачів, таких як файли, скопійовані на USB-пристрої
● Збір журналі подій з кінцевих робочих станцій
● Будування власних правил виявлення за допомогою мови VQL
● Моніторинг мережевої активності
Потужність і гнучкість Velociraptor походять від мови запитів Velociraptor (VQL). VQL — це структура для створення налаштованих артефактів, які дозволяють збирати, запитувати та контролювати майже будь-які аспекти кінцевої точки, груп кінцевих точок або всієї мережі. Його також можна використовувати для створення правил постійного моніторингу на кінцевій точці, а також для автоматизації завдань на сервері.
Але VQL не такий корисний без хорошого набору плагінів, які роблять можливою роботу DFIR(Digital Forensics and Incident Response). Сила Velociraptor полягає в широкому спектрі плагінів і функцій VQL, які спрямовані на ефективність розслідувань і виявлень DFIR. Інструменти форенсіки дозволяють:
● Пошук за назвами файлів
● Пошук за контентом файлів
● Пошук за метаданим файлової системи
● Пошук за бінарними даними
● Пошук доказів виконання процесів
● Розслідування інциденту за допомогою зліпку пам’яті
Архітектура запропонованого рішення
Рис 1. Компонентна діаграма Velociraptor
Файл інсталяції є бінарним файлом, і єдиним компонентом. Сам файл може виступати клієнтом або сервером. Серверний компонент є розбитий на різні різні рішення: фронтенд, графічний користувацький інтерфейс, зберіання файлів та зберігання данних.
● Клієнт являє собою сервіс, який працює на кінцевій точці. Він одержує запити від серверу у форматі VQL запитів. Після одержання запиту він опрацьовує його і відправляє результат назад у вигляді VQL відповіді.
● Фронтент відповідає за комунікацію з клієнтом. Він зберігає запити до клієнту у чергах. Задача черг зберігати усі команди до клієнту поки він офлайн. Як тільки клієнт виходить на контакт з сервером через фронтенд компонент він відпрацьовує всі команди у чергах а потім повертає результат, який у свою чергу опрацьовує фронтенд компонент.
● Графічний користувацький компонент виступає комунікаційною шиною з користувачем, у його обов’язки входить: створення пошуків за розкладом, перегляд результатів пошуку та огляд користувацької віртуальної файлової системи Virtual File System(VFS).
● Зберігання данних виступає базою даних рішення Velociraptor. Це рішення для зберігання даних у форматі VQL. Дане сховище є швидкісним, з ним безпосередньо працює користувач під час активної фази проведення реагування на інцидент.
● Зберігання файлів це рішення для зберігання данних на довгу перспективу. Данні з бази данних переміщаються у файлову систему VFS кожного конкретного користувача системи для подальшого зберігання данних у форматі “історія”.
Висновки
За останні роки програми-вимагачі перетворилися на одну з найбільших загроз кібербезпеці. З точки зору злочинця, Інтернет є величезним даром не лише для програм-вимагачів, але й для зловмисних програм загалом. Інтернет створив злочинну екосистему, яка підтримує механізми розробки, розгортання та фінансування підтримки шкідливих програм. Популярність електронних валют, таких як біткойн, значно зросла, а існування цих анонімних платіжних механізмів грає на руку кіберзлочинцям і забезпечує більш прямий спосіб монетизації їхньої злочинної діяльності.
Важливість EDR у поточному ІТ-ландшафті стає все більш очевидною з подальшим зростанням атак програм-вимагачів і Advanced Persistent Threats. Виявляти сучасні загрози вже не так просто, як зіставляти сигнатури шкідливих програм. Ці розширені загрози отримують доступ через помилку користувача, неправильну конфігурацію та передові методи проникнення, такі як ланцюгові атаки нульового дня. Для того, щоб виявити та спробувати запобігти атакам, яких раніше не було, будь-якій організації необхідні сучасні інструменти безпеки кінцевих точок.
Метою цієї роботи є усунення цих факторів шляхом регулярного збору даних цифрові криміналістичні доказів за допомогою Velociraptor.
Список літератури
1. O'GORMAN, Gavin; MCDONALD, Geoff. Ransomware: A growing menace. Arizona, AZ, USA: Symantec Corporation, 2012.
2. Karantzas, G.; Patsakis, C. An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Widely Used Attack Vectors. J. Cybersecur. Priv. 2021, 1, 387–421. https://doi.org/10.3390/jcp1030021
3. Meyer, M., Auth, G. & Schinner, A., (2021). A Method for Evaluating and Selecting Software Tools for Remote Forensics. In: , . (Hrsg.), INFORMATIK 2021. Gesellschaft für Informatik, Bonn. (S. 867-878). DOI: 10.18420/informatik2021-074