Кібератаки відбуваються швидко, не залишаючи жертві часу на реакцію. Питання в тому, коли, а не якщо, – супротивник знайде спосіб проникнути у ваші системи. З цієї причини потрібно бути готовим. Технологія обману дозволяє виграти час у ході незавершеної атаки. Цей час дозволяє вам не тільки реагувати, але й вивчити рухи нападаючого, визначити найкращий план протидії і, нарешті, знищити його до того, як буде завдано шкоди. І, можливо, найголовніше-закрити двері, щоб вони не змогли увійти знову.
У цьому блозі показано, як за допомогою спеціальних видів неправдивих цілей Fidelis Deception® може відволікти і уповільнити рух зловмисника навіть до того, як його буде виявлено. Приманки Fidelis використовують різні техніки, щоб заплутати кіберпротивників і привести їх до хибних висновків, в той час як насправді вони хочуть виявити в мережі жертви активи, які можна монетизувати. Ви побачите приклади TCP та ServiceTarpits, спеціальних веб-серверів та нескінченних файлових систем.
Стратегія обману: Tarpits
Tarpit – це сервер, який цілеспрямовано затримує вхідні з’єднання. Ідея tarpit полягає у використанні певних налаштувань мережевого протоколу, щоб зловити та затримати рух атакуючого.
Коли кіберпротивник взаємодіє або спілкується з tarpit, він підтримує з’єднання, але сервер робить його роботу більш складною та неприємною, уповільнюючи з’єднання.
Fidelis Deceptionвключає кілька типівtarpits, таких як:
SSH Tarpit
Згідно SSH RFC (Request for Comments), обидві сторони повинні обмінюватися ідентифікаційними рядками після встановлення TCP-з’єднання. Ідентифікаційна рядок використовується для визначення версії SSHміж клієнтом та сервером.
Ідентифікаційна рядок має наступний формат:
“SSH-protoversion-softwareversion comments CR LF”
Наприклад:
Запит на коментарі (RFC) протоколу Secure Shell (SSH) дозволяє серверу SSH надсилати додаткові дані перед відправкою ідентифікаційного рядка. У RFC не згадується, скільки даних сервер може надіслати перед ідентифікаційним рядком. Ця функція дозволяє серверу надсилати нескінченну кількість даних перед надсиланням ідентифікаційного рядка.
Fidelis Deception використовує цю функцію, щоб затримати атакуючого у точці підключення. Зловмисники, які використовують автоматизований метод сканування мережі, чекатимуть невизначений час, поки сервер-обманка SSH надсилає безперервний потік випадкових даних без надсилання ідентифікаційного рядка. Потім система повідомляє захисників про спробу підключення, а також надає важливі дані клієнта та сервера для більш глибокого вивчення.
Малюнок 1: SSH Tarpit Alert в обмані Fidelis
HTTP Tarpit
Протокол передачі гіпертексту (HTTP) дозволяє використовувати заголовки користувача будь-якої довжини. Наш HTTP-сервер обманює будь-який HTTP-запит HTTP-відповіддю “200 OK”. Потім він відправляє випадкові заголовки користувача кожні 10 секунд, поки клієнт не закриє з’єднання.
При використанні Chrome або Firefox браузер буде тримати з’єднання відкритим у середньому 8-10 хвилин.
Наслідуючи TCP-поток, наш сервер відповідає випадковими даними, як ви можете бачити в розділі ‘Header-info’. Сервер відловлює клієнта, що очікує спроби з’єднання, яка так і не завершується, і одночасно попереджає операторів безпеки про спробу атаки, що готується.
Малюнок 2: Відповідь сервера-приманки HTTP Tarpit
Малюнок 3: Оповіщення HTTP Tarpit в обмані Fidelis Deception
TCP Tarpit
Transmission Control Protocol (TCP) – це протокол, заснований на потоковій передачі даних, який має безліч механізмів управління потоком повідомлень між клієнтом і сервером. Поле розмір вікна в заголовку TCP дозволяє серверу вказати, скільки даних він може буферизувати від клієнта.
Після встановлення з’єднання з сервером TCP tarpit за допомогою тристороннього потиску рук клієнт отримує відповіді з нульовим розміром вікна на кожен наступний запит. Нульовий розмір вікна означає, що буфер сервера переповнений, тому він може обробляти більше даних від клієнта. У відповідь на відповідь з нульовим розміром вікна клієнт періодично надсилатиме TCP-повідомлення “keep alive”, щоб перевірити, чи не збільшився розмір вікна”.
Сервер-обманка TCP продовжує відповідати пакетами з нульовим вікном протягом активного сеансу.
Клієнт триматиме з’єднання відкритим та активним залежно від конфігурації клієнта.
Згідно з нашими дослідженнями, браузер Chrome тримає з’єднання відкритими протягом двох хвилин, Nmap –чотирьох хвилин, а більшість інших клієнтів – від 12 до 24 хвилин.
Однією з переваг TCP tarpit є той факт, що він реалізований лише на рівні TCP, усуваючи необхідність у конфігурації прикладного рівня за сервера.
Малюнок 4: Налаштування поля TCPT arpit “Значення нульового розміру вікна”
Малюнок 5: Сканування Nmap сервера Decoy Tarpit
Малюнок 6: TCP-сесія з хибним тарпітом під час атаки
Стратегія обману: Нескінченна файлова система
На додаток до наведених вище тактик затримки, які засновані на уповільненні з’єднання клієнт/сервер, помилкові цілі можуть займати час і енергію атакуючого, динамічно маніпулюючи кібертериторією, що сприймається. При використанні протоколу Server Message Block (SMB), протоколу передачі файлів (FTP) або SSH деякі каталоги на приманках Fidelis Deception здаються такими, що мають нескінченну кількість вкладених каталогів. Зловмисник, який використовує автоматизований інструмент, нескінченно переглядає ці фальшиві каталоги, спричиняючи значну затримку на боці зловмисника.
Цей тип приманки надзвичайно актуальний у разі ransomware, коли зловмисник ітерує файлову систему для шифрування жертви. Нескінченна принада файлової системи надає захисникам цінний час для реагування та зупинення атаки ransomware на початок процесу шифрування.
Після налаштування помилкового SMB-сервера він веде до нескінченної кількості папок. Тому виконання звичайної команди обходу каталогу, наприклад:
“dir /S<remote_decoy_server>”, leads to an endless loop.
Малюнок 7: Сервер-обманка робить нескінченний цикл під час спроби обходу
Малюнок 8: Fidelis Deception попереджає про підозрілий доступ до приманки
Резюме
Додавання до мережі комбінованих спеціальних приманок, згаданих вище, додасть значний рівень безпеки, який дозволить вам швидше виявляти і реагувати на атаки після злому. Для кожного реального сервера у вашій мережі Fidelis Deception може розгорнути багато приманок з ідентичними протоколами. Це підвищує ймовірність того, що кіберпротивник взаємодіятиме з помилковими об’єктами, а не з вашими виробничими активами. Як тільки противник проникне у вашу систему і сповільниться, ви отримаєте час, необхідний для реагування, захисту активів і закриття дверей для майбутніх атак.
Готові змінити гру з кіберпротивниками?
Одного разу зловмисник обійде ваш захист. Fidelis Deception поверне вам контроль над ситуацією, допомагаючи повернути перевагу над кіберпротивниками. Завантажити нашу корисну інфографіку, щоб дізнатися, як технологія обману працює на кожному етапі атаки. Потім зв’яжіться зFidelis Cybersecurity, щоб побачити демонстрацію цього потужного інструменту проактивного захисту у дії.
Джерело: https://bit.ly/3ASsi7Y
