[Информационная безопасность, Сетевые технологии] Исследование вредоносного трафика
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Статья подготовлена экспертом OTUS - Александром Колесниковым для будущих студентов курса «Network engineer. Basic».
Приглашаем всех желающих на открытый вебинар по теме «Ethernet. От рождения до наших дней». Участники вместе с экспертом рассмотрят распространенный протокол второго уровня Ethernet, разберут плюсы и минусы технологии. Это даст понимание, почему локальная сеть на Ethernet работает именно определенным образом, и объяснит, откуда берут свое начало ограничения в его работе.
Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.Анализ сетевого взаимодействияВ рамках этой статьи вредоносным будем считать трафик, который генерируется вредоносным программным обеспечением в локальной сети. Что придает «вредоносность» такому сетевому взаимодействию? Любые передаваемые зловредом по сети данные обеспечивают «корректную» работу ВПО и могут влиять на одну из характеристик информации, которая хранится и обрабатывается в системе, а именно — целостность, доступность, конфиденциальность.Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:
- отчет о инфицировании системы;
- собранные в системе учетные данные;
- принимаемые команды от управляющего сервера;
- загружаемые модули обновления вредоноса;
- сетевой трафик, который используется для атак DDoS
Для обнаружения вредоносного сетевого взаимодействия нужно:
- Иметь возможность записывать фрагменты сетевого взаимодействия;
- Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.
Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump. Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения. ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине. Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:
Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:
По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:
Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:
``` ip.addr==172.16.1.101 && tcp.port==65483 &&
ip.addr==149.28.140.9 && tcp.port==80```
В итоге видим такую картину:
Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:
Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:tls
Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится. Анализ сетевого взаимодействия: сегодня и в будущемЛюбые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае? Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования. Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия. Классификация осуществляется на базе следующих данных:
- передаваемых с сообщением ClientHello TLS взаимодействия
- длины передаваемых данных
- временных таймаутов между отправкой данных
ЗаключениеСовременные вирусописатели чаще всего закладывают в разрабатываемое ими ВПО различный функционал передачи данных по сети. Среди этой информации можно обнаружить массу конфиденциальных сведений: от данных учетной записи пользователя до паролей к банковским аккаунтам. Подобная утечка в сети может привести к необратимым последствиям для компаний, а также обычных домашних пользователей. Сетевой администратор должен уметь выявлять подобные коннекты в сети: для этого необходимо быть в курсе «актуальной» малвары и содержимого трафиков, которые она чаще всего генерит.
Узнать подробнее о курсе «Network engineer. Basic».
Участвовать в открытом вебинаре по теме «Ethernet. От рождения до наших дней».
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Игры и игровые приставки] CD Projekt Red сообщила, что хакеры украли ее данные и требуют за них выкуп
- [Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Настройка WPA2 Enterprise c RADIUS
- [Информационная безопасность, Здоровье] Хакеры взломали очистные сооружения города в США и попытались отравить воду для 15 тысяч жителей
- [Разработка под iOS, Swift] Создание пользовательских функций запросов с key paths (перевод)
- [Программирование, Java] Шпаргалка по Spring Boot WebClient (перевод)
- [Data Engineering] Что такое фильтр Блума? (перевод)
- [Математика] Новые квантовые алгоритмы, совершившие прорыв в нелинейных уравнениях (перевод)
- [Информационная безопасность, Производство и разработка электроники] BlackBerry: расцвет и закат эпохи QWERTY-смартфонов
- [Информационная безопасность] Security Week 06: кража данных через синхронизацию Google Chrome
- [Информационная безопасность, Разработка под Android, Монетизация мобильных приложений, Контекстная реклама] Приложение Barcode Scanner в Google Play заразило 10 млн пользователей одним обновлением
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_setevye_tehnologii (Сетевые технологии), #_network_engineering, #_ethernet, #_malvar (малварь), #_blog_kompanii_otus (
Блог компании OTUS
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_setevye_tehnologii (
Сетевые технологии
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:00
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Статья подготовлена экспертом OTUS - Александром Колесниковым для будущих студентов курса «Network engineer. Basic».
Приглашаем всех желающих на открытый вебинар по теме «Ethernet. От рождения до наших дней». Участники вместе с экспертом рассмотрят распространенный протокол второго уровня Ethernet, разберут плюсы и минусы технологии. Это даст понимание, почему локальная сеть на Ethernet работает именно определенным образом, и объяснит, откуда берут свое начало ограничения в его работе.  Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.Анализ сетевого взаимодействияВ рамках этой статьи вредоносным будем считать трафик, который генерируется вредоносным программным обеспечением в локальной сети. Что придает «вредоносность» такому сетевому взаимодействию? Любые передаваемые зловредом по сети данные обеспечивают «корректную» работу ВПО и могут влиять на одну из характеристик информации, которая хранится и обрабатывается в системе, а именно — целостность, доступность, конфиденциальность.Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:
 Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:  По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:  Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр: ``` ip.addr==172.16.1.101 && tcp.port==65483 &&
ip.addr==149.28.140.9 && tcp.port==80```  Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:  Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:tls  Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится. Анализ сетевого взаимодействия: сегодня и в будущемЛюбые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае? Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования. Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия. Классификация осуществляется на базе следующих данных:
Узнать подробнее о курсе «Network engineer. Basic».
Участвовать в открытом вебинаре по теме «Ethernet. От рождения до наших дней». =========== Источник: habr.com =========== Похожие новости:
Блог компании OTUS ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_setevye_tehnologii ( Сетевые технологии ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 18:00
Часовой пояс: UTC + 5