Пользователи затронутых программных продуктов с трудом обнаруживают вторжения, при которых хакеры взламывают инфраструктуру разработчиков программного обеспечения и напускают трояны в их обновления, о чем свидетельствуют многочисленные инциденты за последние несколько лет, сообщили исследователи Splunk.
Они согласны с тем, что не существует однозначного или универсального решения проблемы, но защитники сетей могут использовать комбинацию методов для обнаружения незначительных изменений в поведении критически важного программного обеспечения и систем, на которых оно развернуто.
Исследователи Splunk, компании, занимающейся аналитикой безопасности, недавно проанализировали несколько таких методов, которые основаны на создании уникальных отпечатков пальцев для определения того, какие программные приложения используют HTTPS-соединения.
Суть в том, что вредоносные программы, независимо от того, как они доставляются, часто поставляются вместе со своими собственными библиотеками TLS или конфигурациями TLS, и установление связи с HTTPS у них будет определяться в журналах трафика по сравнению с клиентскими хэшами TLS предварительно утвержденных приложений.
Идея использования клиентских отпечатков SSL/TLS для выявления вредоносного трафика в сетях не нова. Исследователи из Salesforce разработали стандарт под названием JA3, который строит хэш MD5 из нескольких атрибутов конфигурации TLS клиента, которые отправляются в так называемом «приветствии клиента» - начальном сообщении рукопожатия TLS.
Атрибуты, такие как версия SSL, принятые шифры, список расширений, эллиптические кривые и форматы эллиптических кривых, объединяются, и на основе результата вычисляется хэш MD5. Хотя разные клиентские приложения могут иметь похожие конфигурации TLS, считается, что комбинации нескольких атрибутов достаточно уникальны, чтобы их можно было использовать для идентификации программ.
Аналогичный подход можно использовать для создания отпечатков пальцев для TLS-серверов на основе атрибутов в сообщениях с обращенем к серверу. Это называется JA3S, но может быть менее надежным, поскольку серверы поддерживают несколько версий и конфигураций TLS и адаптируют свой ответ в зависимости от того, что поддерживает и запрашивает клиент. Таким образом, один и тот же сервер будет отвечать разным клиентам с другим набором атрибутов конфигурации TLS.
С момента создания поддержка JA3S была добавлена во многие инструменты сетевого мониторинга и безопасности, как с открытым исходным кодом, так и коммерческим. Команда Splunk исследовала эффективность нескольких методологий использования JA3 в контексте платформы анализа данных Splunk с несколькими типами запросов.
"В нашем тестировании с использованием реальных корпоративных данных, а также данных, созданных в наших тестовых средах, результаты показали, что весьма вероятно, что аномальная активность может быть обнаружена с помощью аномальных хэшей JA3S, - заявили исследователи в недавно выпущенной статье. - Однако это может варьироваться в зависимости от многих факторов. По всей вероятности, потребуется список разрешений, чтобы ограничить количество воспринимаемых ложных срабатываний".
Наилучшие результаты будут при обнаружении вредоносного трафика с критически важных серверов, на которых запущено ограниченное количество приложений, которым разрешено инициировать исходящие соединения.
Например, это имело место в случае атаки на цепочку поставок SolarWinds, когда хакеры доставили троянизированный двоичный файл как часть обновлений для платформы мониторинга и управления инфраструктурой Orion. Поскольку его целью является мониторинг инфраструктуры, Orion от SolarWinds часто должен иметь неограниченный доступ к сети и обычно работает на выделенном компьютере.
Два типа запросов, которые исследовала команда Splunk, предназначены для обнаружения "впервые обнаруженных" и "самых редких" случаев появления отпечатков JA3 внутри сетевого трафика от конкретной хост-системы.
Результаты обоих этих запросов могут указывать на потенциально неавторизованные приложения, такие как бэкдоры и трояны, устанавливающие HTTPS-соединения. "Обнаружение аномальной активности с помощью первого обнаруженного запроса оказалось полезным, когда аналитик был знаком с сетевой активностью и использовал разрешенный список [хэшей JA3S и/или имен серверов для фильтрации известных объектов]", - заявили исследователи.
Временное окно для запрашиваемых данных трафика также важно, потому что, если оно слишком велико или узко, вредоносная активность может быть пропущена. Исследователи обнаружили, что временное окно в семь дней дает наилучшие результаты с этим типом запросов; вредоносные запросы попали в топ-20 результатов запросов.
Использование подходящего временного интервала и списка разрешений еще более важно для запросов самого редкого типа, которые предназначены для выделения наименее часто встречающегося хэша JA3 по имени server_name в наборе данных. Результаты для этого типа запроса были несовместимы в разных временных окнах, с множеством ложных срабатываний, что привело исследователей к выводу, что результаты таких запросов следует использовать только в сочетании с результатами других запросов для выявления подозрительных соединений.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться