2022/02/07 09:11:50

Теневая сеть ловушек с применением решения DeceptionGrid 7.2 от TrapX Security


Содержание

Все новое — это хорошо забытое старое. На протяжении всей истории известно немало случаев, когда правителя заменяли его двойником. Цель всегда одна – защитить реальный актив. Именно с этим вам поможет Distributed Deception Platform (DDP) – отдельный класс защиты корпоративных систем, который оберегает реальные активы компаний.

Представляем вам подробный обзор решения TrapX DeceptionGRID от компании TrapX Security, совместно подготовленный Ольгой Чуприковой, pre-sale-инженером Fortis, и Александрой Соколовой, редактором Cloud Networks.

Как появились ловушки для хакеров?

Первое подобное решение появилось в 90-х и называлось HoneyPot. Оно представляло собой отдельно выделенный физический сервер-ловушку, имитирующий реальный сетевой актив. Он должен был привлекать внимание атакующих, выглядя «заманчиво» для взлома и тем самым отводя внимание хакеров от критически важных для бизнеса систем.

В то время HoneyPot ещё не был DDP-системой, это была одна приманка, один компонент распределённой системы ложных целей. У решения было много минусов, очень плохая масштабируемость, для каждой следующей ловушки необходимо было физически выделять ресурсы, что приводило к высокой стоимости и трудозатратам. Корпоративные сети начали расти так быстро, что HoneyPot’ы стали практически неприменимы, и их привлекательность сошла на «нет».Миграция с SAP SuccessFactors и SAP HCM на российские HR-решения: как выстроить стратегию перехода 2.3 т

С развитием способов негативного воздействия на ИТ-активы и современных технологий безопасности стали появляться коммерческие Deception-решения Enterprise-уровня. В них учли опыт самодельных HoneyPot, но сделали их гибкими, масштабируемыми, легкими в настройке и создании ловушек «однокликовыми» системами обнаружений взломов.

В основном в корпоративной сети есть два «узких» места–пользователи и сервисы. И злоумышленники могут получить доступ к конфиденциальным данным компании с помощью:

  • угроз нулевого дня;
  • направленных APT-атак;
  • классических фишинг-атак;
  • уязвимости IoT-устройств;
  • атаки на корпоративные облака;
  • партнеров, заказчиков, неблагонадежных сотрудников.

Не всегда периметральные средства защиты справляются со своей задачей. Закрепившись в системе, злоумышленники получают необходимую фору, чтобы причинить наибольший ущерб. Это та самая проблема, которую решает DeceptionGrid. Продукт работает, когда взлом уже произошёл, нужно выявить угрозу и отреагировать в кратчайшие сроки. Истории известны случаи, когда злоумышленники контролировали всю инфраструктуру организации и регулярно похищали важные сведения в течение 8 лет.

Согласно отчёту от IBM Security, в среднем на выявление взлома у компаний уходит 287 дней, и видна тенденция роста, ведь в прошлом году показатель был 275 дней.

Рисунок 1.Среднее время выявления векторов атак по типам согласно отчету IBM Security.

DeceptionGrid & MITRE

Мы продемонстрируем, как с помощью TrapX DeceptionGrid можно выявлять все известные инструменты, приемы и тактики атак, описанные в базе знаний MITRE ATT&CK, а также оценить по ним степень защищенности вашей сети.

Рисунок 2.Результаты покрытия сегментов корпоративной сети необходимыми ловушками (в соответствии с матрицей MITRE ATT&CK).

В июне 2021 MITRE выпустила новую схему D3FEND для обмена стратегиями и методами для сотрудников ИБ. И с версии 7.2 решение от TrapX Security полностью соответствует разделу Deceive:

Рисунок 3. Соответствие матрице MITRE D3FEND.
Рисунок 4.Выявление техник и тактик MITRE&ATTACK в системе DeceptionGrid.

Как правило, при закреплении на взломанном хосте атакующий стремится скрытно совершать горизонтальные перемещения по корпоративной сети для дальнейшей компрометации системы. Выбор целей для передвижения по сети делается на основе ранее полученных данных, ориентируясь на наиболее привлекательные активы для взлома.

В первую очередь, злоумышленник обращает внимание на:

  • сохраненные логины и пароли в системе (в диспетчере учетных данных и в LSASS-процессе);
  • сохраненные подключения к удаленным терминалам (SSH, FTP и коннекторы подключений к БД);
  • историю посещений, закладки и сохраненные пароли в браузерах;
  • уязвимости в операционной системе и используемом софте;
  • сетевое окружение.

Так как же заманить преступника в ловушки DeceptionGrid?

1. Злоумышленник должен узнать об этих активах.

Необходимо обогатить эндпоинты какой-то важной информацией (хлебными крошками), которая выглядит достаточно интересно, чтобы злоумышленник принял ее во внимание и воспользовался в рамках горизонтального передвижения по сети.

2. Ловушки должны обладать высокой степенью достоверности.

DeceptionGrid составляет схему вашей сети и создает идентичную ей искусственную теневую сеть с ловушками за непродолжительное время. Продукт полностью безагентский, не создает дополнительной нагрузки на инфраструктуру, обладает огромными возможностями автоматизации, что позволяет развертывать его даже в крупных корпоративных и технологических сетях.

3. Злоумышленник должен задержаться в сети.

При взаимодействии с ловушками их работа должна быть максимально достоверна с точки зрения правдоподобности (достоверный сетевой отпечаток, предсказуемые ответы и работа служб). Собрав достаточно информации, команда безопасности сможет тщательнее проанализировать поведение злоумышленника.

Архитектура решения DeceptionGrid от TrapX Security

Рисунок 5. Архитектура системы.

Система состоит из 3-основных и ряда опциональных компонентов:

1. Консоль управления (TSOC)сервер менеджмента с веб-интерфейсом управления системой.

2. Виртуальное устройство (Appliance) – сервер, создающий теневую сеть TrapX DeceptionGrid со среднеинтерактивными ловушками. Ловушки, в свою очередь, могут эмулировать следующие устройства с релевантными службами для них:

Среднеинтерактивная ловушка представляет собой теневой сетевой ресурс с необходимыми сервисами, которые идентифицируют её как привлекательный актив для злоумышленника. Созданные ловушки объединяются в теневую сеть и генерируют реалистичный сетевой траффик между ними, чтобы выглядеть максимально правдоподобной копией вашей сети.

Независимо от того, сколько времени потребуется атакующему для идентификации ловушки, мы уже будем знать о его присутствии в корпоративной сети, так как любая попытка взаимодействия с сервисами ловушки — это однозначный сигнал тревоги в системе. Как охранная сигнализация, система DeceptionGrid помогает свести false-positive инциденты ИБ к 0. С другой стороны, многим SOC-центрам интересно наблюдать за атакующими, чтобы понимать наиболее интересующие его системы в компании, его техники и инструменты, формируя при этом свои базы индикаторов компрометаций и фиды. Для этого мы можем перенаправить сервисы среднеинтерактивной ловушки на FullOS.

3. Ловушка FullOS – высокоинтерактивная ловушка, представляющая собой готового к работе агента для установки на реальные (виртуальные) машины на ОС Windows. Доступна и Linux FullOS-ловушка, она уже присутствует в системе из коробки – вам не нужно выделять под неё реальные ресурсы.

Такие ловушки позволяют создать фейковый корпоративный ресурс. Наполнив его искаженными данными, якобы относящиеся к вашей компании, вы сможете максимально дезориентировать атакующего – ведь система полностью реальна. Можно перенаправить сколько угодно среднеинтерактивных ловушек на одну ловушку FullOS. Главное, чтобы были подняты необходимые сервисы. Использование высокоинтерактивных ловушек позволяет нам проводить более тщательный поведенческий анализ, записывая каждый шаг злоумышленника. А взаимодействие с пустышкой даёт дополнительное время для локализации угрозы.

Также опционально доступен NIS (Network Intelligence Sensor) – датчик анализатора сети, предназначенный для выявления ботнетов, троянов и шифровальщиков в сети путем отслеживания подключений к известным серверам C&C управления. Для этого используется копия сетевого трафика.

Дополнительно в системе представлены маркеры-приманки – специальные токены или «хлебные крошки», которые устанавливаются на реальных активах организации как внутри, так и за пределами сети организации (серверы, рабочие станции, терминалы и т.д.). Они приводят, приманивают атакующего к среднеинтерактивным и FullOS-ловушкам, развернутым в теневой корпоративной сети.

Токены значительно увеличивают вероятность обращения к ловушкам и сокращают время, необходимое для выявления атак уже внутри корпоративного периметра. Мы можем спроектировать и распределить (автоматически и в ручном режиме) их таким образом, чтобы несколько токенов на разных хостах создавали иллюзию того, что ловушки являются реальными и значимыми активами организации.

Токены могут представлять из себя:

  • общие сетевые папки,
  • ODBC\RDP\Oracle\SSH\PuTTY\WinRM\WinSCP сохраненные подключения на хосте
  • закладки\история\сохраненные учетные [данные] в браузерах и диспетчере учетных данных Windows,
  • записи в файл HostName для Windows и в историю для Linux и Mac.

Во время установки токенов DeceptionGrid проверяет степень защищенности конечного устройства и формирует интерактивный дашборд с общей статистикой:

Для максимального удобства можно смотреть сведения о профиле без опасности для каждого хоста:

Важно, что токены устанавливаются безагентно и скрытно на все основные ОС (Windows/Linux/Mac). После установки они не видны для обычного пользователя и случайно ими воспользоваться не представляется возможным. Распространение токенов по хостам можно реализовать в автоматическом режиме через DeceptionGrid или с помощью GPO и других систем распространения ПО.

По сравнению с другими конкурентными решениями DeceptionGrid от Trapx Security не использует концепцию массивного и активного агентского присутствия на реальных хостах. Минусы любого агентского решения в том, что агент нуждается в обслуживании и обновлении. Регулярные обновления Windows часто нарушают работу таких специфичных программ. Агенту нужно поддерживать связь с системой, а это дополнительный вектор атаки в вашей сети. Массивное присутствие токенов на рабочей станции однозначно вызовет подозрения у злоумышленника.

Ключевой момент архитектуры DeceptionGrid заключается в том, что никакая вероятность компрометации самой системы ложных целей не может стать дополнительным вектором атаки или частью атаки на цепочку поставки. Система не требует для работы прав локального админа и никаких иных привилегий. В результате атакующие, которые сталкиваются с токенами и затем пытаются подключиться к ловушкам, идентифицируются системой DeceptionGrid как сигнал тревоги. Вектор атаки выявляется в режиме реального времени в корпоративной сети, в том числе раскрывая инсайт со стороны неблагонадежного сотрудника.

Как происходит атака, и как система реагирует?

Для DDP-систем важно затруднить и снизить скорость передвижения злоумышленника внутри корпоративной сети, а также своевременно уведомить об этом, чтобы у вас было максимум времени на анализ происходящего и своевременного принятия мер по локализации атаки. Полученные данные от платформы помогут в рамках дальнейшего расследования инцидента ИБ.

Рассмотрим дальше на примере.

Действия атакующего

Преодолев периметральные средства защиты, злоумышленник «осматривается» в системе и видит общий сетевой диск – одну из наших хлебных крошек, созданную нами специально для привлечения его внимания. На таком диске могут располагаться потенциально полезные данные и конфиденциальная информация, например базы данных или даже сохраненные данные для авторизаций в других системах. При этом реальный сотрудник не видит этого диска у себя в системе.

Пояснения

На этом этапе мы еще слепы. Общий сетевой диск представляет собой среднеинтерактивную ловушку на базе Windows Server 2018. Мы заранее наполнили его фейковыми данными, которые выглядят довольно реалистично. И добавили туда пару бонусов в виде других токенов к ловушкам и файлов-приманок.

Файл-приманка или Deceptive File – это ещё одна интересная опция TrapX. Это Excel или документ Word, основанный на любом вашем шаблоне, в который помещается специальный объект. Если такой объект будет открыт позже для изучения – мы получим оповещение в системе, при этом DeceptionGrid попробует определить его IP-адрес, имя хоста, порт и MAC-адрес.

Таким способом можно выявлять неблагонадежных сотрудников. Как только начнется взаимодействие с ловушкой, в системе появится оповещение об угрозе, и мы сможем наблюдать за происходящим в онлайн-режиме.

Действия атакующего

Атакующий сканирует хост, на котором располагается подключенная сетевая папка на наличие известной уязвимости, Eternal Blue, и начинает изучение содержимого сетевого диска для загрузки туда вредоносного файла.

Отображение оповещений в системе TrapX DeceptionGrid

В системе сразу же отображается соответствующе оповещения.

  • Обнаружение сканирования на наличие уязвимости:

  • Перебор директорий и загрузка неизвестного файла:

Пояснения

На скриншоте один из основных интерфейсов в системе. Администратор системы в реальном времени наблюдает, как злоумышленник взаимодействует с ловушкой, в нашем примере злоумышленник не ограничился просмотром содержимого диска, он также провел сканирование на наличие известной уязвимости Eternal Blue. Важно отметить, что система не просто определяет обращение к ловушке (в нашем примере обращение к 445 порту), но и видит разницу между обычным сканированием, попытками эксплуатации и простым поиском ряда уязвимостей.

Отображение оповещений в системе TrapX DeceptionGrid

На найденной шаре злоумышленник подменил один из файлов на зараженный трояном.

Как только система обнаруживает, что в её ловушку добавили какой-либо файл, в автоматическом режиме данные сверяются с Virus Total для статического анализа.

Параллельно с этим DeceptionGrid отправляет данные в песочницу и проводит динамический анализ.

Пояснения

По умолчанию настроена интеграция с Trellix (McAfee), в облаке вендора. При наличии своей локальной песочницы можно провести интеграцию с ней. Из коробки система умеет интегрироваться с песочницами:

Отображение оповещений в системе TrapX DeceptionGrid

После проверки в изолированной среде система генерирует подробный отчёт с вердиктом, описывающий поведение бинарного пейлоада, в том числе какие действия он пытается выполнить, под какие процессы маскируется, какие операции выполнялись с реестром, использование DLLs и многое другое.

Пояснения

Все происходящие события в системе поделены на 5 основных типов в порядке приоритезации:

Необходимо обращать внимание на события Interactionи Infection. В первом случае атакующий производит любое активное взаимодействие с ловушкой, во втором – злонамеренная активность (использование эксплойтов и вирусов). Уже на данном этапе мы можем остановить атаку, с помощью интеграции с 3dparty решениями, в нашем примере это NGFW от компании Check Point.

DeceptionGrid автоматически создает правила мониторинга подозрительной активности (SAM), которые не требуют установки через политики и незамедлительно вступают в силу (в том числе и для активных подключений). Начинается автоматическое отслеживание или блокировка аналогичного трафика. При желании этот процесс можно сделать ручным. Такие интеграции позволяют не только быстро обнаруживать вектора атаки, но и создают платформу для полностью автоматизированного обнаружения, расследования и реагирования на угрозы.

И это только один из способов автоматического реагирования на инциденты безопасности, помимо доступны такие интеграции как:

  • NAC – при наступлении событий Interaction и Infection автоматически изолировать доступ скомпрометированного хоста к сети и получать в EventAnalyzer детальную информацию о хосте
  • SIEM – простая интеграция через Syslog или ODBC, собирает все произошедшие события, а также следит за фейковыми учетными данными AD, которые используются в токенах.
  • EDR – чтобы отсылать все произошедшие события для автоматической изоляции атакованного хоста и для ручной блокировки в Event Analyzer.

Действия атакующего

На компьютере жертвы так же привлекло внимание сохраненное RDP-подключение, воспользовавшись которым злоумышленник продвигается далее. В рамках сетевой разведки атакующий проводит Stealth-сканирование узла, на который ведет RDP-подключение. Результаты сканирования показывают, что это Windows Server, на котором подняты интересные сервисы.

Отображение оповещений в системе TrapX DeceptionGrid

Система сразу же оповещает об этом:

Действия атакующего

Воспользовавшись данными для подключения по RDP, атакующий подключается к ловушке, которая проводит прозрачное перенаправление к FullOS, полнофункциональной ОС.

Отображение оповещений в системе TrapX DeceptionGrid

Главное различие между среднеинтерактивными и FULLOS – наличие реальной ОС, что повышает достоверность. Это значит, что еще больше действий злоумышленника будут документированы в журнале Event Analyzer. Мы видим абсолютно каждый клик в системе.

Пояснения

Мы наполнили терминал фейковыми данными и токенами к другим ловушкам. Например, оставили открытыми окна в браузере с web-страницами, привлекательными для злоумышленника. У многих ловушек есть свой встроенный веб-интерфейс, который неотличим от реального. Можно даже настроить рабочие конфигурации для коммутаторов.

Если такая простая эмуляция не подходит, то можно перенаправить на другой адрес в сети, либо загрузить свою кастомную web-страницу с SSL-сертификатом.

Действия атакующего

Атакующий находит на сервере сохраненную SSH-сессию в Putty к удаленному серверу, проведя анализ хоста, успешно подключается к ловушке Linux Server на CentOS со стандартным логином и паролем root/rootи устанавливает Msfconsole. Далее он возвращается к удаленному подключенному столу.

Отображение оповещений в системе TrapX DeceptionGrid

Наблюдение за атакующим происходит в режиме реального времени:

После атаки мы возвращаем ловушку Linux FullOS возвращается в исходное состояние.

Пояснения

Мы подготовили среднеинтерактивную ловушку на базе Linux Server с CentOS c сервисом SSH, спроксированным на Linux FullOS-ловушку с High Interaction SSH. Linux FullOS-ловушку можно кастомизировать любыми методами как обычный Linux дистрибутив для получения наиболее реалистичного корпоративного образа для атакующего.

Если вам не подходят указанные типы эмуляций ловушек, для создания полной иллюзии предусмотрена возможность конструирования собственных BYOT-ловушек. После указания IP-адрес или имя хоста существующего ресурса, Bring Your Own Trap просканирует его и создаст тот тип эмуляции, который соответствует отпечатку ОС и поддерживаемым службам. Система DeceptionGrid от TrapX Security предоставляет большое поле для фантазий и реализаций c помощью API / CLI / Shell / SDK.

Действия атакующего

Атакующий, вернувшись в RDP-сессию, понимает, что его ничего больше не интересует. Он запускает на этом сервере вирус-шифровальщик для последующего вымогательства денег.

Отображение оповещений в системе TrapX DeceptionGrid

И DeceptionGrid сможет определить такую атаку:

Пояснения

Для детектирования программ-вымогателей и вирусов-шифровальщиков мы используем функцию DeceptionGrid Crypto Trap ловушки FullOS. Crypto Trap – это специальная сетевая папка, которую ловушка FullOS автоматически и постоянно заполняет документами и мультимедийными файлами, чтобы замедлить и обмануть атаки программ-вымогателей и шифровальщиков. С помощью Crypto Trap можно обнаруживать программы-вымогателей в любом месте файловой системы и записывать более детальное событие о поведении шифровальшика. Как только это происходит, с помощью интеграции с VMWare vCenter Server мы останавливаем на данном этапе атаку, возвращая в первоначальное состояние ловушку FullOS.

Подведем итоги

Пример выше демонстрирует только малую часть функционала, DeceptionGrid от TrapX Security постоянно развивается. В каждой версии присутствуют значительные обновления. Например, в версию 7.2 добавили защиту контейнеров в сетях Kubernetes.

TrapX теперь предоставляет DeceptionGrid Appliances в качестве подов для развертывания в среде Kubernetes, позволяя при необходимости быстро разворачивать несколько Appliances, увеличивая защищенность контейнеризационных сред сервисов организации и помогая детектировать горизонтальные перемещения злоумышленников между подами.

Компания TrapX Security является родоначальником коммерческих систем кибербезопасности, использующих технологию ложных целей. DeceptionGrid способны выявлять, анализировать и нейтрализовывать атаки нулевого дня и APT-атаки в реальном времени. Передовые технологии эмуляции обеспечивают полную прозрачность информационной среды и предоставляют данные, позволяющие своевременно реагировать на атаки. Данные, полученные от DeceptionGrid, помогают системам расширенного реагирования на угрозы обеспечивать безопасность и контролируемость IT-инфраструктуры.

DeceptionGrid проводит автоматизированный и высокоточный анализ вредоносной активности, которая остается невидимой для других систем защиты. Системы ложных целей меняют экономику кибербезопасности, поскольку вынуждает атакующих нести существенно более высокие затраты для достижения своих целей.

Пользователями решений компании TrapX Security являются предприятия из списка Forbes Global 2000 и государственные органы многих стран, включая РФ. Решения TrapX благодаря неинвазивности, неограниченной масштабируемости, надежности и простоте обслуживания применяется в производственных и финансовых компаниях, тяжелой промышленности, энергетике, здравоохранении и многих других сферах по всему миру.

В качестве завершения хотим отметить факт того, что способы негативного воздействия на информационные активы компаний развиваются быстрее, чем способы защиты от них. На наш взгляд, Deception-решения в скором времени станут такой же неотъемлемой частью комплексных систем информационной безопасности, какими в свое время стали IPS, NGFW, SIEM, Песочницы и EDR. И лучше всего на вопрос «почему?» отвечает слайд из презентации Gartner:

А для того, чтобы посмотреть работу системы на практике – закажите демонстрацию на сайте Cloud Networks.