29 ноября 2023
Знакомство с PT Sandbox
Статья 4. Работа с источниками. Часть 1
Рады приветствовать вас на уже 4 статье цикла, посвященного знакомству с продуктом PT Sandbox. В прошлой части мы с вами познакомились с основными элементами веб-интерфейса системы, а также коснулись темы источников файлов.
В этом материале мы более подробно обсудим типы источников и способах их добавления.
Типы источников
В PT Sandbox поддерживаются различные типы источников, из которых на проверку могут поступать файлы:
В этом материале мы более подробно обсудим типы источников и способах их добавления.
Типы источников
В PT Sandbox поддерживаются различные типы источников, из которых на проверку могут поступать файлы:
- Служба CheckmeВыделение для PT Sandbox отдельного почтового ящика, на который можно будет отправить файл для проверки и получить письмо с результатами анализа
- Проверка файлов, поступающих с ICAP-сервераПроверка файлов, отправляемых на проверку с различных средств защиты (IDS/IPS, прокси, межсетевые экраны, WAF и пр.) по протоколу ICAP
- Почтовый трафикПроверка вложений, прикладываемых к электронным письмам. Поддерживаются различные способы заведения почтовых источников
- Установка специального агента, отправляющего письма на проверкуВ случае если почтовый сервис организации Microsoft Exchange
- Зеркалирование почтового трафикаОтправка скрытой копии (bcc) всех писем, которые поступают и отправляются с почтового сервера организации (поддерживаются практически все почтовые службы)
- Фильтрация почтового трафика с помощью PT Sandbox, сервера Postfix или EximПочтовый сервер организации передает письма на проверку в PT Sandbox и в зависимости от режима проверки почтового трафика PT Sandbox сразу пересылает письма обратно на сервер (пассивный режим) или задерживает письма до получения результатов проверки и блокирует угрозы (блокирующий режим)
- Проверка файлов в общей папкеПодключение PT Sandbox к общей сетевой папке по протоколу SMB для проверки хранящихся в ней файлов
- Проверка файлов в папке-шлюзеАнализ файлов, помещаемых сотрудниками организации в специальную общую папку. После проведения проверки файлы в соответствии с результатом проверки перемещаются либо в папку с безопасными файлами (если угроз не обнаружено), либо в папку карантина (если в результате анализа файл помечен как опасный)
- Проверка файлов, поступающих из PT NADPT NAD извлекает из сетевого трафика передаваемые файлы и отправляет их на проверку в PT Sandbox
- Проверка файлов передаваемых по APIPT Sandbox может получать файлы для проверки от сторонних приложений через публичный API
Таким образом, можно утверждать, что PT Sandbox покрывает большинство известных направлений для доставки ВПО. Далее мы поговорим про каждый тип источников подробнее, а также проверим их на практике.
Типы источников
По статистике, именно электронная почта является самым распространенным путем передачи вредоносного ПО в организации. Согласно исследованиям Positive Technologies, электронная почта используется для доставки ВПО в 42% случаев (статья Актуальные киберугрозы: итоги 2022 года (ptsecurity.com)).
Типы источников
По статистике, именно электронная почта является самым распространенным путем передачи вредоносного ПО в организации. Согласно исследованиям Positive Technologies, электронная почта используется для доставки ВПО в 42% случаев (статья Актуальные киберугрозы: итоги 2022 года (ptsecurity.com)).
Помимо этого, электронная почта является основным целевым ресурсом для осуществления различных атак, основанных на методах социальной инженерии.
В частности, фишинга. Так, например, специалисты Positive Technologies зафиксировали фишинговую рассылку на российские организации, отправленную якобы от Госуслуг, целью которой был сбор доменных учетных записей.
В теле письма содержалась ведущая на поддельную страницу ссылка, которая формировалась интересным образом: злоумышленники использовали всего лишь несколько доменов. Однако чтобы ссылка была похожа на домен компании, вставляли в третий уровень домен атакуемой компании.
Структура ссылки выглядела следующим образом: mail.[домен_компании].[фишинговый_домен].ru.
В частности, фишинга. Так, например, специалисты Positive Technologies зафиксировали фишинговую рассылку на российские организации, отправленную якобы от Госуслуг, целью которой был сбор доменных учетных записей.
В теле письма содержалась ведущая на поддельную страницу ссылка, которая формировалась интересным образом: злоумышленники использовали всего лишь несколько доменов. Однако чтобы ссылка была похожа на домен компании, вставляли в третий уровень домен атакуемой компании.
Структура ссылки выглядела следующим образом: mail.[домен_компании].[фишинговый_домен].ru.
Исходя из этого, становится очевидной важность защиты почтовых сервисов организации, Как уже было сказано ранее: в PT Sandbox есть различные варианты организации проверки электронных писем.
Для подключения источника любого типа к PT Sandbox необходимо выполнить настройку как на самом источнике, так и добавить его в веб-интерфейсе продукта.
Подключение к почтовому серверу при помощи агента
Данный вариант, как уже ранее было упомянуто, поддерживается при использовании в организации почтового сервера Microsoft Exchange. В частности поддерживаются версии Microsoft Exchange 2010, 2013, 2016 и более поздние.
Такой вариант поддерживает работу PT Sandbox в блокирующем режиме, что означает то, что если в письме будут обнаружены опасные файлы, то эти файлы будут автоматически заблокированы и не будут доставлены получателю письма. Кроме того, PT Sandbox умеет извлекать и проверять ссылки, содержащиеся в письмах, что помогает защититься от фишинга.
Добавление источника такого типа производится в два этапа:
1. Установка агента
Для установки агента необходимо загрузить дистрибутив агента, которой можно получить через техническую поддержку PT, на почтовый сервер организации и распаковать этот дистрибутив.
После того как дистрибутив распакован: необходимо открыть оболочку Powershell c правами администратора, перейти в папку, содержащую распакованный дистрибутив агента, и выполнить команду: .\install.ps1
Для подключения источника любого типа к PT Sandbox необходимо выполнить настройку как на самом источнике, так и добавить его в веб-интерфейсе продукта.
Подключение к почтовому серверу при помощи агента
Данный вариант, как уже ранее было упомянуто, поддерживается при использовании в организации почтового сервера Microsoft Exchange. В частности поддерживаются версии Microsoft Exchange 2010, 2013, 2016 и более поздние.
Такой вариант поддерживает работу PT Sandbox в блокирующем режиме, что означает то, что если в письме будут обнаружены опасные файлы, то эти файлы будут автоматически заблокированы и не будут доставлены получателю письма. Кроме того, PT Sandbox умеет извлекать и проверять ссылки, содержащиеся в письмах, что помогает защититься от фишинга.
Добавление источника такого типа производится в два этапа:
- Установка агента на почтовый сервер PT Sandbox на сервере Microsoft Exchange с ролью Mailbox;
- Добавление источника проверки в интерфейсе PT Sandbox с параметрами установленного агента
1. Установка агента
Для установки агента необходимо загрузить дистрибутив агента, которой можно получить через техническую поддержку PT, на почтовый сервер организации и распаковать этот дистрибутив.
После того как дистрибутив распакован: необходимо открыть оболочку Powershell c правами администратора, перейти в папку, содержащую распакованный дистрибутив агента, и выполнить команду: .\install.ps1
Дополнительно можно также переопределить адрес сервера и порт, добавив ключ -BalancerEndpoint, например: .\install.ps1 -BalancerEndpoint "10.10.41.176:7936".
После окончания установки агента можно переходить к добавлению и настройке источника в интерфейсе PT Sandbox.
2. Добавление источника
В интерфейсе PT Sandbox перейдем во вкладку «Источники», после чего нажмем кнопку «Добавить источник» - система выдаст форму для заполнения параметров источника. Выбрав тип источника «Почтовый сервер с установленным агентом» увидим, что необходимо указать только адрес почтового сервера, на который установлен агент, и порт (по умолчанию используется 7536).
После окончания установки агента можно переходить к добавлению и настройке источника в интерфейсе PT Sandbox.
2. Добавление источника
В интерфейсе PT Sandbox перейдем во вкладку «Источники», после чего нажмем кнопку «Добавить источник» - система выдаст форму для заполнения параметров источника. Выбрав тип источника «Почтовый сервер с установленным агентом» увидим, что необходимо указать только адрес почтового сервера, на который установлен агент, и порт (по умолчанию используется 7536).
После ввода адреса и порта добавляем источник.
Теперь необходимо настроить параметры проверки для него:
Из общего меню с источниками для почтового сервера с установленным агентом жмем кнопку «Параметры проверки» и попадаем в очередное контекстное меню, в котором можно довольно тонко настроить проверку файлов из источника. Здесь можно выбрать режим проверки (Блокирующий или пассивный) а также в зависимости от выбранного режима установить дополнительные параметры.
Теперь необходимо настроить параметры проверки для него:
Из общего меню с источниками для почтового сервера с установленным агентом жмем кнопку «Параметры проверки» и попадаем в очередное контекстное меню, в котором можно довольно тонко настроить проверку файлов из источника. Здесь можно выбрать режим проверки (Блокирующий или пассивный) а также в зависимости от выбранного режима установить дополнительные параметры.
Так, для режима блокировки можно задать время ожидания результатов проверки:
- Время, по истечению которого при отсутствии вердикта файл будет пропущен;
- Исключения: адреса почтовых ящиков, для которых поступающие на них письма не будут блокироваться;
- Функция обезвреживания писем: удаление опасного содержимого из письма и отправка получателю безопасной версии;
- Включение карантина: при активации опасные файлы будут определенное время храниться в карантине, а не удаляться сразу. Такие файлы можно будет дослать получателю
Кроме того, можно настроить оповещения о блокировке. Если активировать эту опцию, то при блокировке письма с опасным содержимым отправителю и(или) получателю будут направлены уведомления о блокировке:
Кроме того, для любого из режимов проверки можно выбрать:
- какие файлы будут относиться к потенциально опасным
- максимальную глубину распаковки архивов
- нужно ли сохранять в хранилище файлы, в которых не было обнаружено угроз
- а также включить опцию поведенческого анализа
В меню настройки поведенческого анализа можно выбрать, какие типы файлов будут отправляться на анализ в среду изоляции. В каком образе ВМ они будут проверяться, длительность проведения анализа, опция расшифровки и анализа генерируемого в процессе проверки трафика, а также возможность отключения записи видео поведения файла.
Кроме того, можно досрочно завершать проведение анализа при обнаружении опасных или потенциально опасных файлов.
Кроме того, можно досрочно завершать проведение анализа при обнаружении опасных или потенциально опасных файлов.
Также есть возможность добавить еще один образ для проверки. Это позволяет проверять файлы в нескольких образах (такой вариант не рекомендуется, поскольку уменьшается количество одновременно проверяемых файлов и падает производительность системы). Или выбирать для разных типов файлов конкретный образ для проверки.
Так, например, файлы с расширением .exe правильно будет проверять в Windows-системе. В то время как файлы с расширением .sh - только в Unix-системах.
Так, например, файлы с расширением .exe правильно будет проверять в Windows-системе. В то время как файлы с расширением .sh - только в Unix-системах.
После внесения необходимых изменений жмем кнопку «Сохранить». Система выдаст уведомление, что настройки сохранены и применятся через несколько минут.
Настройка зеркалирования почтового трафика
Вы можете настроить отправку скрытых копий (bcc) всех писем, которые поступают и отправляются с почтового сервера организации, на проверку в PT Sandbox в пассивном режиме.
В отличие от зеркалирования с помощью почтового агента, отправка скрытых копий может быть настроена практически с любого почтового сервера. Также зеркалирование с помощью bcc может пригодиться, если вы против интеграции сторонних расширений в сервер Microsoft Exchange.
Разберем добавление источника bcc на примере почтового сервера Postfix. Как и в случае с подключением почты через агента, необходимо произвести настройку как на почтовом сервере, так и в веб-интерфейсе PT Sandbox. Однако для bcc мы сначала произведем настройку в интерфейсе песочницы.
Как и в прошлом рассмотренном случае, в веб-интерфейсе PT Sandbox идем во вкладку «Источники», где жмем кнопку «Добавить источник» и в выпадающем меню выбираем тип «Почтовый сервер в режиме зеркалирования».
Для такого типа из параметров необходимо указать только порт, на который в PT Sandbox будет поступать копия писем (по умолчанию 25).
Настройка зеркалирования почтового трафика
Вы можете настроить отправку скрытых копий (bcc) всех писем, которые поступают и отправляются с почтового сервера организации, на проверку в PT Sandbox в пассивном режиме.
В отличие от зеркалирования с помощью почтового агента, отправка скрытых копий может быть настроена практически с любого почтового сервера. Также зеркалирование с помощью bcc может пригодиться, если вы против интеграции сторонних расширений в сервер Microsoft Exchange.
Разберем добавление источника bcc на примере почтового сервера Postfix. Как и в случае с подключением почты через агента, необходимо произвести настройку как на почтовом сервере, так и в веб-интерфейсе PT Sandbox. Однако для bcc мы сначала произведем настройку в интерфейсе песочницы.
- Добавление источника bcc в PT Sandbox
Как и в прошлом рассмотренном случае, в веб-интерфейсе PT Sandbox идем во вкладку «Источники», где жмем кнопку «Добавить источник» и в выпадающем меню выбираем тип «Почтовый сервер в режиме зеркалирования».
Для такого типа из параметров необходимо указать только порт, на который в PT Sandbox будет поступать копия писем (по умолчанию 25).
После указания порта жмем «Добавить источник».
Теперь можно переходить к настройке на стороне почтового сервера:
always_bcc = bcc@sandbox.local
transport_maps = hash:/etc/postfix/transport
Пример файла конфигурации main.cf:
Теперь можно переходить к настройке на стороне почтового сервера:
- Настройка зеркалирования трафика с Postfix
always_bcc = bcc@sandbox.local
transport_maps = hash:/etc/postfix/transport
Пример файла конфигурации main.cf:
После этого сохраняем файл и закрываем его.
Далее необходимо создать файл /etc/postfix/transport. После его создания открываем полученный файл и добавляем в него следующую строку:
bcc@sandbox.local smtp:[<IP-адрес bcc-сервера PT Sandbox>]:<Номер TCP-порта для SMTP, если отличается от 25>
Пример файла конфигурации transport:
Далее необходимо создать файл /etc/postfix/transport. После его создания открываем полученный файл и добавляем в него следующую строку:
bcc@sandbox.local smtp:[<IP-адрес bcc-сервера PT Sandbox>]:<Номер TCP-порта для SMTP, если отличается от 25>
Пример файла конфигурации transport:
Сохраняем файл и выходим из него.
Затем, для того чтобы изменения вступили в силу, обновляем файл соответствий:
sudo postmap /etc/postfix/transport
и перезагружаем сам Postfix:
sudo systemctl restart postfix.
Зеркалирование настроено. После чего можно внести необходимые настройки проверки, которые похожи на те, что есть в источнике с установленным агентом, однако для bcc-сервера нет возможности использования блокирующего режима (оно и понятно - система ведь работает с копией почтового трафика, а не с ним самим).
Затем, для того чтобы изменения вступили в силу, обновляем файл соответствий:
sudo postmap /etc/postfix/transport
и перезагружаем сам Postfix:
sudo systemctl restart postfix.
Зеркалирование настроено. После чего можно внести необходимые настройки проверки, которые похожи на те, что есть в источнике с установленным агентом, однако для bcc-сервера нет возможности использования блокирующего режима (оно и понятно - система ведь работает с копией почтового трафика, а не с ним самим).
Настройка фильтрации почтового трафика
Вы также можете настроить фильтрацию почтового трафика с сервера Postfix или Exim: почтовый сервер организации передает письма на проверку в PT Sandbox и в зависимости от режима проверки почтового трафика PT Sandbox сразу пересылает письма обратно на сервер (пассивный режим) или задерживает письма до получения результатов проверки и блокирует угрозы (блокирующий режим).
В рамках данной статьи для фильтрации почтового трафика будет использоваться Postfix. Как и в случае с bcc, на первом этапе будет добавлен источник в PT Sandbox, а на втором осуществлена настройка почтового сервера.
Снова идем во вкладку «Источники», жмем кнопку «Добавить источник» и в выпадающем меню выбираем тип «Почтовый сервер в режиме фильтрации». Для такого типа необходимо указать порт, на который в PT Sandbox будет поступать копия писем (по умолчанию 25). Кроме того, нужно также указать адрес и порт почтового сервера, на который будут отправляться проверенные письма для досылки получателю.
Если в вашей организации используются несколько почтовых серверов, в поле «Приоритет» введите число, соответствующее приоритету сервера с указанным адресом. Можно указать число от 1 до 65535. Чем меньше число, тем выше приоритет сервера. Письма будут отправляться на активные серверы с наибольшим приоритетом.
Если для серверов указан одинаковый приоритет, почтовый трафик балансируется между ними поровну. А если соединение с сервером устанавливается по протоколу SSL, необходимо поставить галочку на пункте «Подключаться по SSL». В случае, когда к серверу требуется аутентификация, необходимо также включить использование аутентификации и в раскрывающемся списке «Тип аутентификации» выбрать ее тип, а также указать учетные данные для подключения:
Вы также можете настроить фильтрацию почтового трафика с сервера Postfix или Exim: почтовый сервер организации передает письма на проверку в PT Sandbox и в зависимости от режима проверки почтового трафика PT Sandbox сразу пересылает письма обратно на сервер (пассивный режим) или задерживает письма до получения результатов проверки и блокирует угрозы (блокирующий режим).
В рамках данной статьи для фильтрации почтового трафика будет использоваться Postfix. Как и в случае с bcc, на первом этапе будет добавлен источник в PT Sandbox, а на втором осуществлена настройка почтового сервера.
- Добавление источника в PT Sandbox
Снова идем во вкладку «Источники», жмем кнопку «Добавить источник» и в выпадающем меню выбираем тип «Почтовый сервер в режиме фильтрации». Для такого типа необходимо указать порт, на который в PT Sandbox будет поступать копия писем (по умолчанию 25). Кроме того, нужно также указать адрес и порт почтового сервера, на который будут отправляться проверенные письма для досылки получателю.
Если в вашей организации используются несколько почтовых серверов, в поле «Приоритет» введите число, соответствующее приоритету сервера с указанным адресом. Можно указать число от 1 до 65535. Чем меньше число, тем выше приоритет сервера. Письма будут отправляться на активные серверы с наибольшим приоритетом.
Если для серверов указан одинаковый приоритет, почтовый трафик балансируется между ними поровну. А если соединение с сервером устанавливается по протоколу SSL, необходимо поставить галочку на пункте «Подключаться по SSL». В случае, когда к серверу требуется аутентификация, необходимо также включить использование аутентификации и в раскрывающемся списке «Тип аутентификации» выбрать ее тип, а также указать учетные данные для подключения:
Начиная с версии PT Sandbox 5.2, для источника «Почтовый сервер в режиме фильтрации» вы можете настраивать правила маршрутизации проверенных писем. В зависимости от адреса домена, указанного в электронной почте получателя письма, PT Sandbox может отправлять письма и уведомления о результатах проверки на определенные почтовые серверы. В правиле маршрутизации вы можете выбрать один из способов маршрутизации: по MX-записям, имеющимся в DNS для почтового домена, или на указанные почтовые серверы (согласно их приоритету).
Если в вашей организации используются несколько почтовых серверов, можно нажать кнопку «Добавить сервер» и по аналогии настроить его. После завершения ввода данных жмем кнопку «Добавить источник».
Далее мы будем производить настройку на стороне почтового сервера Postfix.
Для настройки правил маршрутизации сервера Postfix необходимо подключиться к хосту, на котором установлен почтовый сервер, и открыть конфигурационный файл /etc/postfix/main.cf с помощью любого текстового редактора (например nano).
После чего добавить в любое место в этом файле следующие строки:
content_filter=scan:[<IP-адрес сервера PT Sandbox x, на котором работает источник "Почтовый сервер в режиме фильтрации">]:<Номер TCP-порта для сервера PT Sandbox, если отличается от 25>
receive_override_options=no_address_mappings
Пример файла конфигурации main.cf:
Если в вашей организации используются несколько почтовых серверов, можно нажать кнопку «Добавить сервер» и по аналогии настроить его. После завершения ввода данных жмем кнопку «Добавить источник».
Далее мы будем производить настройку на стороне почтового сервера Postfix.
- Настройка правил маршрутизации почтового трафика с Postfix
Для настройки правил маршрутизации сервера Postfix необходимо подключиться к хосту, на котором установлен почтовый сервер, и открыть конфигурационный файл /etc/postfix/main.cf с помощью любого текстового редактора (например nano).
После чего добавить в любое место в этом файле следующие строки:
content_filter=scan:[<IP-адрес сервера PT Sandbox x, на котором работает источник "Почтовый сервер в режиме фильтрации">]:<Номер TCP-порта для сервера PT Sandbox, если отличается от 25>
receive_override_options=no_address_mappings
Пример файла конфигурации main.cf:
После добавления строк сохраняем файл и закрываем его.
Далее открываем другой файл, /etc/postfix/master.cf, и добавляем в любое место в этом файле следующие строки:
scan unix - - n - 10 smtp
-o disable_dns_lookups=yes
-o smtp_data_done_timeout=1200
-o disable_mime_output_conversion=yes
-o max_use=8
<IP-адрес интерфейса почтового сервера, через который осуществляется прием проверенных писем>:
<Номер TCP-порта интерфейса почтового сервера, через который осуществляется прием проверенных писем> inet n - n - 10 smtpd
-o mynetworks=<IP-адрес сервера PT Sandbox>
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks, no_header_body_checks,no_milters
Пример файла конфигурации master.cf:
Далее открываем другой файл, /etc/postfix/master.cf, и добавляем в любое место в этом файле следующие строки:
scan unix - - n - 10 smtp
-o disable_dns_lookups=yes
-o smtp_data_done_timeout=1200
-o disable_mime_output_conversion=yes
-o max_use=8
<IP-адрес интерфейса почтового сервера, через который осуществляется прием проверенных писем>:
<Номер TCP-порта интерфейса почтового сервера, через который осуществляется прием проверенных писем> inet n - n - 10 smtpd
-o mynetworks=<IP-адрес сервера PT Sandbox>
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks, no_header_body_checks,no_milters
Пример файла конфигурации master.cf:
Сохраняем файл и закрываем его. После этого, для того, чтобы изменения вступили в силу, перезагружаем сам Postfix: service restart postfix.
Почтовый источник в режиме фильтрации настроен.
Почтовый источник в режиме фильтрации настроен.
- После этого можно внести необходимые настройки проверки в веб-интерфейсе PT Sandbox. Все настройки для такого типа источников абсолютно такие же, как и для почтового источника с установленным агентом, поэтому подробно разбирать их не будем.
Заключение
На этом подошла к концу четвертая статья из цикла про PT Sandbox. В ней мы узнали, какие типы источников поддерживает PT Sandbox, а также научились добавлять и настраивать различные виды почтовых источников.
В следующей статье мы продолжим работать с источниками файлов. Изучим, как правильно настроить интеграцию PT Sandbox с NGFW, организовать проверку файлов в общей папке, как подключить PT NAD для проверки файлов из веб трафика организации, а также немного затронем тему API системы.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution
На этом подошла к концу четвертая статья из цикла про PT Sandbox. В ней мы узнали, какие типы источников поддерживает PT Sandbox, а также научились добавлять и настраивать различные виды почтовых источников.
В следующей статье мы продолжим работать с источниками файлов. Изучим, как правильно настроить интеграцию PT Sandbox с NGFW, организовать проверку файлов в общей папке, как подключить PT NAD для проверки файлов из веб трафика организации, а также немного затронем тему API системы.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution