Кибер-атаки происходят быстро, не оставляя жертве времени на реакцию. Вопрос в том, когда, а не если, – противник найдет способ проникнуть в ваши системы. По этой причине необходимо быть готовым. Технология обмана позволяет выиграть время в ходе незавершенной атаки. Это время позволяет вам не только реагировать, но и изучить движения нападающего, определить наилучший план противодействия и, наконец, уничтожить его до того, как будет нанесен ущерб. И, возможно, самое главное – закрыть дверь, чтобы они не смогли войти обратно.
В этом блоге показано, как с помощью специальных видов ложных целей Fidelis Deception® может отвлечь и замедлить движение злоумышленника даже до того, как он будет обнаружен. Приманки Fidelis используют различные техники, чтобы запутать киберпротивников и привести их к ложным выводам, в то время как на самом деле они хотят лишь обнаружить в сети жертвы активы, которые можно монетизировать. Вы увидите примеры TCP и Service Tarpits, специальных веб-серверов и бесконечных файловых систем.
Стратегия обмана: Tarpits
Tarpit – это сервер, который целенаправленно задерживает входящие соединения. Идея tarpit заключается в использовании определенных настроек сетевого протокола, чтобы поймать и задержать движение атакующего.
Когда киберпротивник взаимодействует или общается с tarpit, он поддерживает соединение, но сервер делает его работу более сложной, неприятной и трудоемкой, замедляя соединение.
Fidelis Deception включает в себя несколько типов tarpits, таких как:
SSH Tarpit
Согласно SSH RFC (Request for Comments), обе стороны должны обмениваться идентификационными строками после установления TCP-соединения. Идентификационная строка используется для определения версии SSH между клиентом и сервером.
Идентификационная строка имеет следующий формат:
“SSH-protoversion-softwareversion comments CR LF”
Например:
Запрос на комментарии (RFC) протокола Secure Shell (SSH) позволяет серверу SSH отправлять дополнительные данные перед отправкой идентификационной строки. В RFC не упоминается, сколько данных сервер может отправить перед идентификационной строкой. Эта функция позволяет серверу отправлять бесконечное количество данных перед отправкой идентификационной строки.
Fidelis Deception использует эту функцию, чтобы задержать атакующего в точке подключения. Злоумышленники, использующие автоматизированный метод сканирования сети, будут ждать неопределенное время, пока сервер-обманка SSH посылает непрерывный поток случайных данных без отправки идентификационной строки. Затем система оповещает защитников о попытке подключения, а также предоставляет важные данные клиента и сервера для более глубокого изучения.
Рисунок 1: SSH Tarpit Alert в обмане Fidelis
HTTP Tarpit
Протокол передачи гипертекста (HTTP) позволяет использовать пользовательские заголовки любой длины. Наш HTTP-сервер обманывает любой HTTP-запрос HTTP-ответом «200 OK». Затем он отправляет случайные пользовательские заголовки каждые 10 секунд, пока клиент не закроет соединение.
При использовании Chrome или Firefox браузер будет держать соединение открытым в среднем 8-10 минут.
Следуя TCP-потоку, наш сервер отвечает случайными данными, как вы можете видеть в разделе ‘Header-info-‘. Сервер отлавливает клиента, ожидающего попытки соединения, которая так и не завершается, и одновременно предупреждает операторов безопасности о готовящейся попытке атаки.
Рисунок 2: Ответ сервера-приманки HTTP Tarpit
Рисунок 3: Оповещение HTTP Tarpit в обмане Fidelis Deception
TCP Tarpit
Transmission Control Protocol (TCP) – это протокол, основанный на потоковой передаче данных, который имеет множество механизмов для управления потоком сообщений между клиентом и сервером. Поле «размер окна» в заголовке TCP позволяет серверу указать, сколько данных он может буферизировать от клиента.
После установления соединения с сервером TCP tarpit посредством трехстороннего рукопожатия клиент получает ответы с нулевым размером окна на каждый последующий запрос. Нулевой размер окна означает, что буфер сервера переполнен, поэтому он не может обрабатывать больше данные от клиента. В ответ на ответ с нулевым размером окна клиент будет периодически отправлять TCP-сообщения «keep alive», чтобы проверить, не увеличился ли размер окна.
Сервер-обманка TCP продолжает отвечать пакетами с нулевым окном в течение всего активного сеанса.
Клиент будет держать соединение открытым и активным в зависимости от конфигурации клиента.
Согласно исследованиям, браузер Chrome держит соединения открытыми в течение двух минут, Nmap – четырех минут, а большинство других клиентов – от 12 до 24 минут.
Одним из преимуществ TCP tarpit является тот факт, что он реализован на уровне TCP, устраняя необходимость в конфигурации прикладного уровня на стороне сервера.
Рисунок 4: Настройка поля TCP Tarpit «Значение нулевого размера окна»
Рисунок 5: Сканирование Nmap сервера Decoy Tarpit
Рисунок 6: TCP-сессия с ложным тарпитом во время атаки
Стратегия обмана: Бесконечная файловая система
В дополнение к приведенным выше тактикам задержки, которые основаны на замедлении соединения клиент/сервер, ложные цели могут также занимать время и энергию атакующего, динамически манипулируя воспринимаемой кибертерриторией. При использовании протокола Server Message Block (SMB), протокола передачи файлов (FTP) или SSH некоторые каталоги на приманках Fidelis Deception кажутся имеющими бесконечное количество вложенных каталогов. Злоумышленник, использующий автоматизированный инструмент, бесконечно просматривает эти фальшивые каталоги, вызывая значительную задержку на стороне злоумышленника.
Этот тип приманки чрезвычайно актуален в случае ransomware, когда злоумышленник итерирует файловую систему для шифрования файлов жертвы. Бесконечная приманка файловой системы предоставляет защитникам ценное время для реагирования и остановки атаки ransomware до начала процесса шифрования.
После настройки ложного SMB-сервера он ведет к бесконечному количеству папок. Поэтому выполнение обычной команды обхода каталога, например:
“dir /S \\<remote_decoy_server>”, leads to an endless loop.
Рисунок 7: Сервер-обманка производит бесконечный цикл при попытке обхода
Рисунок 8: Fidelis Deception предупреждает о подозрительном доступе к приманке
Резюме
Добавление в вашу сеть комбинированных специальных приманок, упомянутых выше, добавит значительный уровень безопасности, который позволит вам быстрее обнаруживать и реагировать на атаки после взлома. Для каждого реального сервера в вашей сети Fidelis Deception может развернуть множество приманок с идентичными протоколами. Это повышает вероятность того, что киберпротивник будет взаимодействовать с ложными объектами, а не с вашими производственными активами. Как только противник проникнет в вашу систему и замедлится, вы получите время, необходимое для реагирования, защиты ваших активов и закрытия двери для будущих атак.
Готовы изменить игру с киберпротивниками?
Однажды злоумышленник обойдет вашу защиту. Fidelis Deception вернет вам контроль над ситуацией, помогая вернуть преимущество над киберпротивниками. Скачайте нашу полезную инфографику, чтобы узнать, как технология обмана работает на каждом этапе атаки. Затем свяжитесь с Fidelis Cybersecurity, чтобы увидеть демонстрацию этого мощного инструмента проактивной защиты в действии.
Источник: https://bit.ly/3ASsi7Y
