Сетевые сигнатуры, нацеленные на вредоносное ПО

Вредоносные программы активно используют сетевое подключение. В данной главе вы познакомитесь с эффективными контрмерами, которые позволяют этому противостоять. Контрмеры — это действия, предпринимаемые в ответ на угрозу с целью обнаружения или предотвращения вредоносной активности. Для их выработки необходимо понимать, каким образом злоумышленник использует сеть и как обратить против него те проблемы, с которыми он сталкивается.

Сетевые контрмеры

Для обеспечения защиты сетевое оборудование использует основные сетевые атрибуты, такие как IP-адреса, TCP- и UDP-порты, доменные имена и содержимое трафика. Брандмауэры и маршрутизаторы позволяют ограничить доступ к сети на основе IP-адресов и портов. DNS-серверы можно сконфигурировать для автоматического перебрасывания неблагонадежных доменных имен на локальный узел (он выступит в роли sinkhole-сервера, от англ. sinkhole — «воронка»). Прокси-серверы могут быть настроены для обнаружения и предотвращения доступа к определенным доменам.

Системы обнаружения и предотвращения вторжений (IDS и IPS), а также другие средства безопасности, такие как прокси для HTTP и электронной почты, позволяют вырабатывать контрмеры, основанные на содержимом трафика. Эти технологии делают возможным более глубокое исследование данных, проходящих по сети. Они используют сетевые сигнатуры (в случае с IDS) и алгоритмы (в случае с почтовыми прокси-серверами) для обнаружения спама. Основные сетевые параметры, такие как IP-адрес и доменное имя, поддерживаются в большинстве систем защиты, поэтому аналитики безопасности часто изучают их в первую очередь.

Распространенный термин «система обнаружения вторжений» уже устарел. Сигнатуры позволяют распознавать не только вторжения, но и сканирование, перечисление служб, профилирование, необычное применение протоколов

ипередачу сигналов в исполнении установленных вредоносов. Системы IDS

иIPS имеют много общего, разница же заключается в том, что первые созданы лишь для обнаружения подозрительного трафика, а вторые способны предотвращать его перемещение по сети.

Наблюдение за вредоносными программами в их естественной среде обитания

Начинать анализ вредоносного ПО нужно не с его запуска в лабораторных условиях или исследования его дизассемблированного кода. Первым делом следует изучить те сведения о вредоносе, которые у вас уже есть. Время от времени аналитику безопасности попадаются вредоносные образцы (или подозрительные исполняемые файлы) без какого-либо контекста, но в большинстве случаев они сопровождаются дополнительной информацией. Анализ подозрительной сетевой активности лучше всего начинать со сбора журнальных записей, сигналов тревоги и захваченных пакетов, которые вредонос уже сгенерировал.

Сведения, поступающие из реальных сетей, имеют определенные преимущества перед информацией, собранной в лабораторных условиях.

Данные, захваченные во время выполнения, позволяют наиболее объективно оценить поведение вредоносной программы. Вредонос может быть запрограммирован на обнаружение лабораторной среды.

Сведения об активности вредоноса могут нести в себе уникальную информацию, которая ускорит анализ. По реальному трафику можно изучить клиентскую и серверную части вредоносной программы, тогда как в лабораторных условиях аналитик имеет доступ только к одной из них. Данные, которые вредонос принимает (а также процедуры их разбора), обычно сложнее анализировать, чем данные, которые он производит. Таким образом, срез двунаправленного трафика может помочь отделить информацию от процесса ее разбора.

Кроме прочего, при пассивном изучении данных отсутствует риск того, что зло­ умышленник узнает о деятельности аналитика. Мы объясним этот момент во всех подробностях чуть ниже, в подразделе «OPSEC. Операционная безопасность».

Признаки вредоносной активности

Представьте, что мы получили зараженный исполняемый файл и запустили его в лабораторной среде, отслеживая при этом его сетевую активность. В результате мы обнаружили, что вредонос выполняет DNS-запрос для имени www.badsite.com, а затем делает HTTP-запрос типа GET к порту 80 и IP-адресу, который был возвра-

щен в DNS-записи. Спустя 30 секунд он пытается о чем-то просигнализировать по другому IP-адресу, и на этот раз без DNS-запроса. На этом этапе у нас имеется три признака потенциальной вредоносной активности: доменное имя с соответству­ ющим IP-адресом, отдельный IP-адрес и HTTP-запрос типа GET с URI и содержимым (табл. 14.1).

Таблица 14.1. Пример признаков вредоносной сетевой активности

После этого у нас, вероятно, возникло бы желание подробнее исследовать эти признаки. Поиск в Интернете мог бы показать, как давно была создана эта вредоносная программа, когда ее впервые обнаружили, насколько она распространена, кто мог ее написать и для чего. При этом отсутствие информации тоже информативно и говорит о том, что это могла быть целенаправленная или совсем новая массовая атака.

Но прежде, чем обращаться к любимой поисковой системе, убедитесь в том, что вы осознаете потенциальные риски, связанные с вашим интернет-расследова­ нием.

OPSEC. Операционная безопасность

При поиске информации в Интернете важно понимать концепцию операционной безопасности (operations security, OPSEC). Этот термин используется правительственными и военными организациями для описания процесса, который заключается в том, чтобы не дать противнику завладеть конфиденциальной информацией.

Некоторые ваши действия в ходе расследования могут дать понять злоумышленнику, что вы распознали его вредоносную программу, или даже раскрыть ему ваши персональные данные. Например, если вредонос был послан по электронной почте в вашу корпоративную сеть, но вы решили исследовать его у себя дома, злоумышленник может заметить, что DNS-запрос был сделан с IP-адреса, который не связан с вашей компанией. Существует множество способов обнаружения исследовательской деятельности. Например:

отправка определенному человеку фишингового электронного письма со ссылкой и проверка того, выходит ли IP-адрес, с которого был выполнен переход по этой ссылке, за пределы ожидаемой географической области;

разработка эксплойта для публикации закодированной ссылки в комментариях к блогу (или на каком-то другом сайте, доступном для редактирования), которая, по сути, создает узконаправленный, но публичный след заражения;

встраивание во вредоносный код неиспользуемого доменного имени и отслеживание попыток получить его адрес.

Узнав о том, что их деятельность кто-то расследует, злоумышленники могут поменять тактику или попросту скрыться.

Безопасное расследование вредоносной деятельности в Интернете

Безопаснее всего вообще отказаться от исследования атаки в Интернете, но часто без этого не обойтись. Если вы все же решили выйти онлайн, то следует использовать окольные пути, чтобы не попасться на глаза бдительному злоумышленнику.

Тактика окольных путей

Один из вариантов — использовать какую-нибудь службу или механизм обеспечения анонимности, например Tor, открытый прокси-сервер или веб-анонимайзер. Эти инструменты могут защитить информацию о вашей личности, однако во многих случаях они выдают то, что вы пытаетесь спрятаться, а это вызовет подозрения у злоумышленника.

Вы также можете провести исследование на отдельном компьютере (возможно, виртуальном). Для скрытия его местоположения можно применять следующие приемы.

Использовать мобильное интернет-соединение.

Пропускать соединение через безопасную командную оболочку (secure shell, SSH) или частную виртуальную сеть (virtual private network, VPN) с использованием удаленной инфраструктуры.

Использовать промежуточную удаленную систему, запущенную в облачном сервисе, например Amazon Elastic Compute Cloud (Amazon EC2).

Поисковая система или аналогичный сайт тоже могут стать одним из окольных путей. Они обеспечивают достаточно безопасный поиск, но с двумя оговорками.

Включение в запрос доменного имени, о котором поисковая система не знала заранее, может вызвать индексацию соответствующего адреса.

Переход по результатам поиска, даже если они закэшированы, активизирует ссылки второго и более низких уровней, связанных с сайтом.

В следующем разделе собрано несколько интернет-ресурсов, которые предоставляют сводную информацию о таких сетевых атрибутах, как WHOIS-записи и история DNS-запросов (в том числе и обратных).

Получение информации об IP-адресе и домене

IP-адреса и доменные имена — это два фундаментальных атрибута, составляющих среду Интернета. DNS переводит доменные имена наподобие www.yahoo.com в IPадреса (и обратно). Неудивительно, что вредоносные программы тоже используют DNS: это позволяет им делать свой трафик менее подозрительным и сохранять гибкость и устойчивость при выполнении вредоносных действий.

На рис. 14.1 показано, какого рода информацию можно получить о доменах и IPадресах. При регистрации доменное имя попадает в специальный реестр вместе с серверами имен, соответствующими датами и контактными данными владельца. Аналогичные реестры (regional internet registries, RIR) существуют и для IP-адресов: в них хранятся диапазоны адресов, сведения о том, каким организациям они принадлежат, а также контактная информация. DNS-запись представляет собой связь между доменным именем и IP-адресом. Вместе с этим предоставляются метаданные, включая черные списки (которые могут относиться как к адресам, так и к доменам) и географические данные (которые относятся только к IP-адресам).

К доменным и IP-реестрам можно обращаться вручную, используя утилиты командной строки. Но в Интернете существует множество сайтов, которые помогут вам с выполнением базовых запросов. Этот вариант имеет несколько преимуществ.

Многие сайты автоматически ищут дополнительную информацию.Они обеспечивают определенную степень анонимности.

Они часто предоставляют метаданные, основанные на истории запросов к другим источникам данных, включая черные списки и географическую информацию об IP-адресах.

На рис. 14.2 показан пример двух WHOIS-запросов для доменов, которые использовались в качестве управляющих серверов в ходе целенаправленных атак с применением бэкдоров. И хотя бэкдоры были разными, при регистрации их доменов было указано одно и то же имя.