Δευτέρα, 18 Δεκέμβριος 2017, 7:09 πμ

Ανίχνευση & εξουδετέρωση των RATs στα εταιρικά δίκτυα

Η ανίχνευση των Remote Access Trojans (στο εξής RATs) αποτελεί μια ιδιαίτερη πρόκληση, αφού μιμούνται νόμιμα εμπορικά εργαλεία απομακρυσμένης διαχείρισης, ανοίγουν νόμιμα θύρες δικτύων και πραγματοποιούν λεπτές “χειρουργικές επεμβάσεις” που σε τίποτα δε θυμίσουν τεχνικές που κατά κόρον χρησιμοποιούν τα κακόβουλα λογισμικά.

Η ανίχνευση των Remote Access Trojans (στο εξής RATs) αποτελεί μια ιδιαίτερη πρόκληση, αφού μιμούνται νόμιμα εμπορικά εργαλεία απομακρυσμένης διαχείρισης, ανοίγουν νόμιμα πόρτες δικτύων και πραγματοποιούν λεπτές “χειρουργικές επεμβάσεις” που σε τίποτα δε θυμίζουν τεχνικές που κατά κόρον χρησιμοποιούν τα κακόβουλα λογισμικά.

Όλα τα παραπάνω χαρακτηριστικά αποτέλεσαν ένα σημαντικό βοήθημα για τους επιτιθέμενους που χρησιμοποίησαν το Carbanak (malware RAT) και κατάφεραν να μολύνουν τράπεζες ανά τον κόσμο, να αφαιρέσουν κεφάλαια και να προκαλέσουν ζημιά ύψους άνω του 1 δισεκατομμυρίου δολαρίων, σύμφωνα με όσα αναφέρονται στην έκθεση της Kaspersky Lab “Carbanak APT: The Great Bank Robbery”.

Για να μπορέσει κάποιος να αντιμετωπίσει επιτυχώς αυτού του είδους το κακόβουλο λογισμικό θα πρέπει πρώτον να κατανοήσει τον τρόπο που λειτουργεί και τις δυνατότητές του και δεύτερον να μάθει πως να το μπλοκάρει και να το “παραπλανά” πριν την ολοκληρωτική αφαίρεση.

Πως μολύνεται ένα σύστημα;

Τα RATs συνήθως καταφέρνουν να εισχωρήσουν στο εταιρικό δίκτυο μέσω επιθέσεων phishing, με τη χρήση συνδέσμων ή συνημμένων αρχείων π.χ. PDF. Σε ένα αρχείο PDF μπορεί να έχουν ενσωματωθεί κώδικας, μακροεντολές ή και Javascript, ώστε μόλις κάποιος το ανοίξει, τότε στο σύστημα είναι εφικτό να μεταφορτωθούν και να εγκατασταθούν επιπλέον στοιχεία – που όλα μαζί θα αποτελέσουν το “πακέτο” του κακόβουλου λογισμικού. Είναι, βέβαια, εξίσου πιθανό το κακόβουλο λογισμικό να φτάσει στον υπολογιστή μέσω κάποιου μολυσμένου ισοτόπου που επισκέπτεται ένας χρήστης.

Τα γνωστότερα RATs

Ευρέως διαδεδομένα RATs θεωρούνται τα: Sakula, KjW0rm, Havex, Agent.BTZ/ComRat, Dark Comet, AlienSpy, Heseber BOT, η “οικογένεια” Animal Farm και το Carbanak.

  • Το Sakula, που θεωρείται υπεύθυνο για την πρόσφατη διαρροή δεδομένων της αμερικανικής υπηρεσίας Office of Personnel Managment, υποκλέπτει κωδικούς διαχειριστών δικτύων με τη χρήση του λογισμικού Mimikatz.
  • Το KjW0rm, που συνετέλεσε στην διαρροή δεδομένων από ένα γαλλικό τηλεοπτικό σταθμό, είναι γραμμένο σε VBS, γεγονός που δε βοηθά στην ανίχνευσή του.
  • Το Havex στοχεύει σε βιομηχανικά συστήματα ελέγχου (industrial control systems – ICS), ενώ χρησιμοποιώντας παραλλαγές του και εκμεταλλευόμενο τις επικοινωνίες HTTP και HTTPS, μπορεί να υποκλέπτει τη δραστηριότητά τους.
  • Το Agent.BTZ/ComRat είναι ακόμα ένα ICS RAT, που οι ειδικοί θεωρούν ότι προέρχεται από ρωσικές κυβερνητικές πηγές.
  • Το Dark Comet με τη σειρά του χρησιμοποιεί crypters για να μην ανιχνεύεται από λογισμικά antivirus.
  • Αξίζει να σημειωθεί ότι τα προϊόντα της Apple δεν είναι άτρωτα στην περίπτωση των RATs, αφού το AlienSpy επιτίθεται στο Apple OS X. Στη συγκεκριμένη περίπτωση, και επειδή το Apple OS X χρησιμοποιεί μόνο τα “παραδοσιακά” λογισμικά προστασίας, το AlienSpy καταφέρνει να μη γίνεται αντιληπτό από τα “κοινά” antivirus και έτσι εισέρχεται ελεύθερα στα συστήματα – στόχους.
  • Το Heseber BOT χρησιμοποιεί VNC για να αποφύγει τους “κυνηγούς” του.
  • Το Animal Farm βασίστηκε σε RATs, συμπεριλαμβανομένων των Dino, Bunny, Casper και Babar. Τα εν λόγω RATs φαίνεται ότι σχετίζονται με κυβερνητικές πηγές και χρησιμοποιήθηκαν για να υποκλέψουν δεδομένα από κυβερνητικούς και στρατιωτικούς οργανισμούς.
  • Το Carbanak, τέλος, έδωσε στους επιτιθέμενους τη δυνατότητα να παρακολουθούν ζωντανά με εικόνα τις δραστηριότητες εντός πιστωτικών ιδρυμάτων, ώστε να γνωρίζουν με ποιο τρόπο γίνονται οι συναλλαγές και πως θα μπορούσαν καλύτερα να “αντλήσουν” χρήματα από αυτά.

Πως να μπλοκάρετε και να παραπλανήσετε τα RATs;

Για να μπλοκάρετε τα RATs θα πρέπει, πρώτα απ’ όλα, να εφαρμόσετε τα patches σε λειτουργικά συστήματα και λογισμικό (Browsers, PDF readers, Flash, Java, MS Office κ.λπ.) που κυκλοφορούν οι εταιρείες διάθεσής τους, ώστε να μειώσετε τον κίνδυνο “μόλυνσης” μέσω κάποιας υπάρχουσας ευπάθειας. Χρησιμοποιείστε, έπειτα, το whitelisting ώστε να εμποδίσετε τυχόν δραστηριότητα από ύποπτα αρχεία τύπου .exe και .dll. Με τον τρόπο αυτό οι χρήστες δε θα μπορούν ανεξέλεγκτα να εκτελούν προγράμματα άγνωστης προέλευσης με – επίσης – άγνωστες συνέπειες.

Αφήστε τα RATs να “κουραστούν ψάχνοντας”, χρησιμοποιώντας στο δίκτυο σας IDS και IPS συσκευές που ανιχνεύουν γνωστές network-based υπογραφές της δραστηριότητας πολλών RATs. Σε αυτές συμπεριλαμβάνονται υπογραφές για πρωτόκολλα C2, RAT user agents και μη κρυπτογραφημένη επικοινωνία μέσω της θύρας 443. Χρησιμοποιώντας IPS συσκευές μπορείτε να πετύχετε το μπλοκάρισμα του traffic του RAT να εξέλθει του δικτύου της επιχείρησης. Εκμεταλλευτείτε δείκτες ανίχνευσης δραστηριότητας (Indicators of Compromise – IOC) για να προσδιορίσετε τη θέση των RATs και προχωρήστε σε σάρωση των endpoints, ώστε να διαπιστώσετε που ακριβώς υπάρχει το πρόβλημα. Ειδικότερα, ελέγξτε IOCs του δικτύου και τυχόν traffic από τις συσκευές και τα μηχανήματα της εταιρείας προς γνωστά C2 domains, διευθύνσεις IPs και URLs.

Οι ειδικοί, μάλιστα, επισημαίνουν ότι η “τμηματοποίηση” του δικτύου σε γενικές γραμμές βοηθάει. Έτσι τα RATs θα βαλθούν να αναζητούν πληροφορίες που ενδεχομένως είναι διαθέσιμες μέσω της πρόσβασης σε άλλα δίκτυα – εντός της περιμέτρου. Συνεπώς, η δράση τους θα επιβραδυνθεί, κάτι που θα σας επιτρέψει, με τη χρήση τεχνικών ανίχνευσης συμπεριφοράς ή υπογραφών, να τα εντοπίσετε. Μπλοκάρετε θύρες που δεν χρησιμοποιούνται και εφαρμόστε φίλτρα και web proxies για να ανιχνεύσετε RATs που στέλνουν δεδομένα εκτός οργανισμού.

Τέλος, παραπλανήστε τα RATs χρησιμοποιώντας honeypots που θα τα κρατήσουν απασχολημένα – μέχρι εσείς να τα εντοπίσετε. Με τον τρόπο αυτό δε θα έχουν πρόσβαση στα δεδομένα σας ή δε θα καταλάβουν ότι τα “κοροϊδεύετε”, μέχρι ενδεχομένως να είναι πολύ αργά.

Λόγω της πολυπλοκότητας των πιο πρόσφατων RATs, τα εργαλεία ανίχνευσης υπογραφών είναι πολύ πιθανό να μην είναι αποτελεσματικά. Είναι προτιμότερο να ενεργοποιήσετε μεθόδους ανίχνευσης της συμπεριφοράς. Και για να “επουλώσετε” τυχόν “πληγές”, θα πρέπει να εφαρμόσετε τεχνικές αποκατάστασης – μια λύση είναι οι τεχνολογίες backup που χρησιμοποιούν snapshot.

Επαγρυπνείτε!

Τα RATs είναι ένα πανίσχυρο “όπλο” επιθέσεων στα χέρια των κυβερνοεγκληματιών. Τα εργαλεία και οι τεχνικές ανίχνευσης εισβολών που βασίζονται στην παρατήρηση της συμπεριφοράς των RATs αυξάνονται τόσο σε αριθμό όσο και αποτελεσματικότητα. Παράλληλα εξελίσσονται κι άλλες τεχνολογίες ασφάλειας. Ο συνδυασμός τους μπορεί να οδηγήσει στον έγκαιρο εντοπισμό της παραμικρής κίνησης των RATs, άρα δε θα πρέπει να αφήνετε τα συστήματά σας “αφύλαχτα” ούτε για μια στιγμή! Η παραμικρή “χαλάρωση” της επιτήρησης μπορεί να οδηγήσει σε ανεξέλεγκτες καταστάσεις.

Η ανίχνευση των Remote Access Trojans (στο εξής RATs) αποτελεί μια ιδιαίτερη πρόκληση, αφού μιμούνται νόμιμα εμπορικά εργαλεία απομακρυσμένης διαχείρισης, ανοίγουν νόμιμα πόρτες δικτύων και πραγματοποιούν λεπτές “χειρουργικές επεμβάσεις” που σε τίποτα δε θυμίζουν τεχνικές που κατά κόρον χρησιμοποιούν τα κακόβουλα λογισμικά. Όλα τα παραπάνω χαρακτηριστικά αποτέλεσαν ένα σημαντικό βοήθημα…
Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !
95

Δείτε επίσης:

WordPress: Άμεση ενημέρωση ασφαλείας στην έκδοση 4.7.3

Έαν είστε διαχειριστής ή κάτοχος WordPress ιστοσελίδας τότε πρέπει να προβείτε στην άμεση ενημέρωση της, …