FireEye Labs udostępnia prewencyjne analizy i wyniki ciągłego monitorowania zagrożeń za pośrednictwem usługi Oculus, pierwszej w branży globalnej platformy, która zapewnia nieprzerwaną kontrolę nowych ataków w czasie rzeczywistym.

Najważniejsze działania i analizy zaprezentowane ostatnio przez FireEye Labs

W oparciu o informacje na temat globalnego środowiska zagrożeń i na bazie swoich zaawansowanych możliwości dochodzeniowych zespół FireEye Labs realizuje różnorodne działania:

• Podczas dorocznej konferencji Black Hat w Stanach Zjednoczonych analitycy FireEye Labs zaprezentowali dogłębną analizę techniczną typowych taktyk stosowanych w zaawansowanym szkodliwym oprogramowaniu, które pozwalają uniknąć wykrycia przez systemy typu sandbox oparte na analizie podejrzanych plików. Rozwiązanie FireEye Threat Prevention Platform, które wyposażono w wyspecjalizowany mechanizm FireEye Multi-Vector Virtual Execution™ (MVX), zaprojektowano z myślą o odporności na takie techniki ukrywania rzeczywistego zachowania malware.
• Zespół wykrył skoordynowaną akcję Chińczyków, której celem była kradzież amerykańskiej technologii dronów. Ta operacja hakerska — znana pod nazwą „Operation Beebus” — została przeprowadzona przez grupę Comment Crew i należy do ostatnich przejawów chińskich ambicji w zakresie programu prac nad dronami.
• Dział FireEye Labs opublikował raport zawierający opis unikatowych cech międzynarodowych i lokalnych cyberkampanii prowadzonych przez instytucje państwowe na całym świecie. Raport ukazał się pod tytułem „World War C: Understanding Nation-State Motives Behind Today’s Advanced Cyber Attacks” (Wojna światowa C — motywy kierujące państwami przeprowadzającymi zaawansowane cyberataki we współczesnym świecie). Dokument zawiera również omówienie przyszłych zmian w świecie cyberzagrożeń, w tym pojawienia się nowych uczestników walki międzypaństwowej.
• Specjaliści z FireEye Labs przedstawili zarys nowych ataków przeprowadzonych z użyciem Poison Ivy, złośliwego narzędzia umożliwiającego dostęp zdalny (ang. Remote Access Tool — RAT), które wykorzystano do kradzieży danych RSA SecurID
  w 2011 r. Narzędzia RAT nie wymagają większych umiejętności technicznych i są szczególnie niebezpieczne, ponieważ zapewniają nieograniczony dostęp do zaatakowanych maszyn. Często stanowią również kluczowy element skoordynowanych ataków typu zero-day, które bazują na nieznanych wcześniej błędach w oprogramowaniu i sprytnych socjotechnikach. W oparciu o narzędzia zabezpieczające open source firma FireEye wprowadziła również na rynek Calamine — bezpłatny zestaw narzędzi, który pomoże firmom wykrywać i monitorować infekcje Poison Ivy.
• Zespół FireEye Labs wykrył kampanię hakerską wykorzystującą nowy eksploit CVE-2013-383, o którym na początku września poinformowała firma Microsoft. Kampania ta, nazwana „Operation Deputy Dog”, rozpoczęła się już 19 sierpnia 2013 r. i wydaje się być skierowana na firmy i instytucje w Japonii. Analizy oparte na klastrze FireEye Dynamic Threat Intelligence dowodzą, że w swoich działaniach cyberprzestępcy wykorzystali infrastrukturę kontroli i zarządzania C&C (command & control) podobną do infrastruktury użytej w ataku na Bit9.
• Analitycy udostępnili nowe, szczegółowe informacje na temat działalności hakerów odpowiedzialnych za włamanie do sieci komputerowej gazety New York Times w grudniu 2012 r. Firma Mandiant, która jest partnerem technologicznym FireEye, zidentyfikowała atakujących jako członków operacji szpiegowskiej realizowanej w Chinach na olbrzymią skalę. W atakach wykrytych na początku sierpnia przestępcy wykorzystali prawdopodobnie nowe i udoskonalone wersje swojego szkodliwego oprogramowania.
• Dział FireEye Labs ujawnił klasę zagrożeń mobilnych w popularnej bibliotece reklam dostępnej w wielu aplikacjach stworzonych z myślą o systemie Android™, które pobrano ponad 200 mln razy. Biblioteka ta gromadzi poufne dane użytkownika, a ponadto potrafi wykonywać niebezpieczne operacje, takie jak pobieranie nowych komponentów na żądanie oraz ich uruchamianie. Zawiera również wiele luk, które cyberprzestępcy wykorzystują do kierowania agresywnych zachowań biblioteki przeciwko użytkownikom. Od czasu jej wykrycia ze sklepów z aplikacjami Google usunięto wiele aplikacji, inne zaktualizowały natomiast bibliotekę reklam na najnowszą wersję, w której wyeliminowano wiele problemów z bezpieczeństwem.

autor: Cezary Tchorek-Helm

W roku 2012 każdego dnia powstawało i rozprzestrzeniało się średnio 70 000 – 100 000 nowych rodzajów złośliwego oprogramowania – to ponad 10 razy więcej niż w 2011 i ponad 100 razy więcej niż w 2006 roku. Raport 2013 Security Report firmy Check Point wykazał, że 63% firm było zainfekowane botami, a ponad połowa z nich przynajmniej raz dziennie była infekowana nowym złośliwym oprogramowaniem. Konwencjonalne podejście do zabezpieczania się przed wirusami nie ma szans sprostać takiemu przyrostowi.

Najciemniej pod latarnią

Ciche wirusy, czyli najczęściej wykorzystywany rodzaj ataku, są trudne do wykrycia i zaprojektowane tak, by działać w sposób niewykrywalny dla działów IT. Kod większości tego typu wirusów jest wpleciony w zawartość plików, z których wszyscy korzystają na co dzień w pracy – emaile i załączniki, włączając w to dokumenty Word, PDF, arkusze Excel itp. Narzędzia hakerów potrafią odpowiednio ukryć wykonywalne skrypty w celu zamaskowania uruchamiania złośliwych operacji, które mogą polegać na dokonywaniu zmian w rejestrze systemu, bądź ściągnięciu pliku, który niepotrzebnie uruchomiony infekuje całą sieć w jakiej się znajduje.

• Mimo, iż wielowarstwowa ochrona wykorzystująca systemy IPS/IDS potrafi skutecznie zablokować część złośliwych operacji, to jednak takie podejście nie powstrzyma w zupełności wszystkich infekcji, które docierają i rozprzestrzeniają się w sieci. Nowe wirusy lub nowe ich warianty nie posiadają sygnatur, które mogłyby rozpoznać konwencjonalne techniki ochrony. Antywirusy, antyspyware i podobne rozwiązania mogą być użyteczne w przypadku „czyszczenia” środowiska po ataku, jednak często okazują się nieefektywne pod kątem ochrony przed nowymi rodzajami złośliwego oprogramowania.

Czasami dla zobrazowania problemów bezpieczeństwa, posługujemy się porównaniem do  kontroli granicznej, przy której wykorzystuje się cały szereg technik obserwacji ludzi przyjeżdżających do danego kraju w celu namierzenia osób, które mogą stanowić potencjalne zagrożenie. Nowe techniki bezpieczeństwa pozwalają także badać w czasie rzeczywistym wiadomości email, pliki oraz dane wchodzące do sieci za pośrednictwem załączników czy pobrań ze stron web. Złośliwe pliki mogą wtedy zostać odizolowane już na poziomie bramy, czyli na samym krańcu sieci, lub w chmurze – w zależności od decyzji biznsowej firmy. W takim przypadku nie dochodzi do infekcji wewnątrz sieci. Rozwiązania takie dostarczają dodatkowej warstwy ochrony przeciwko atakom.

Skanowanie w poszukiwaniu wirusów

Proces izolowania i badania plików jest wykonywany z użyciem techniki zwanej „emulacją zagrożeń” (sandboxing). Podobnie jak rentgen przy kontroli granicznej, technika ta pozwala na zajrzenie do wewnątrz podejrzanego pliku, który znalazł się w systemie – może to być załącznik email lub plik ściągnięty ze strony internetowej. Zawartość pliku jest badana w odizolowanej strefie zwanej „sandbox”. Ta niezależna, zwirtualizowana wersja środowiska komputerowego działa jak poligon doświadczalny dla najróżniejszych aplikacji, które mogą stanowić zagrożenie, bądź dokonać szkód w prawdziwym systemie.

• We wspomnianym środowisku sandbox, plik zostaje uruchomiony i monitorowany w czasie rzeczywistym pod kątem nietypowych działań, takich jak próby wykonywania zmian w rejestrze lub nawiązywania połączeń sieciowych. Jeżeli działanie pliku okaże się podejrzane lub szkodliwe, zostaje on poddany kwarantannie, co powstrzymuje wszelkie możliwości infekcji jeszcze przed momentem, kiedy plik przedostanie się do sieci i wyrządzi szkody. Następnie mogą zostać podjęte kolejne kroki w celu zidentyfikowania i sklasyfikowania nowego zagrożenia w celu ułatwienia detekcji przy kolejnej próbie ataku.

Tworzenie środowiska sandbox

Mechanizm emulacji zagrożeń działa na poziomie hypervisor, który równolegle obsługuje kilka środowisk w celu przeprowadzenia symulacji: Windows XP, 7 i 8, Office 2003, 2007 i 2010, środowiska Adobe 9 oraz zwritualizowane instancje najczęściej wykorzystywanych aplikacji Office, takich jak Word, Excel, Power Point i innych. Jako że większość nowoczesnego złośliwego oprogramowania wykorzystuje techniki inżynierii społecznościowej w celu nakłonienia użytkownika do kliknięcia z pozoru niewinnie wyglądającego załącznika lub ściągnięcia pliku, badanie plików na wirtualnych platformach działających w oparciu o te popularne systemy i aplikacje daje największe szanse na powstrzymanie infekcji.

• Wybór plików uznawanych za podejrzane i wymagających kontroli – przykładowo droga, którą dostały się na środowisko sandbox – jest dokonywany online na bramie bezpieczeństwa lub w chmurze, za pośrednictwem agenta zainstalowanego na firmowym serwerze. Pliki mogą być wybierane również z szyfrowanego ruchu wchodzącego do firmowej sieci za pomocą tuneli SSL i TLS, gdyż w przeciwnym przypadku pomijany byłby mechanizm bezpieczeństwa wymagany w wielu branżach.

• Wybór plików do analizy oparty jest o heurystykę i inne metody analityczne. Na przykład jeżeli instancje tego samego pliku znalazły się już wcześniej na gatewaye’u lub zostały wychwycone przez agenta email, system przyjmie założenie, że ten plik może być elementem ataku phishingowego wymierzonego w wielu pracowników. Takie podejście optymalizuje i przyspiesza analizę poprzez wyselekcjonowanie tylko podejrzanych plików przeznaczonych do dokładniejszego badania. Gdy pliki zostaną już wybrane, zostają przesłane do środowiska sandbox uzbrojonego w mechanizm emulacyjny, który działa na firewallu bądź w chmurze.

Wykrywanie zagrożeń

Pliki przesłane do środowiska testowego są kopiowane do różnych wirtualnych instancji systemów operacyjnych i aplikacyjnych. Następnie mechanizm bada je w pięciu następujących krokach:

1. Jeżeli plik przerwie działanie wirtualnej instancji programu, lub dokona próby rozpakowania i podmiany innych dokumentów, to zostanie oznaczony jako szkodliwy. Również odwołania do plików .dll lub .exe są uznawane za nietypowe i potencjalnie złośliwe.
2. Wirtualny rejestr jest sprawdzany pod kątem wszelkich zmian wywołanych przez plik – jest to charakterystyczne zachowanie złośliwego oprogramowania, który nie powinien być skutkiem otworzenia zwykłego dokumentu.
3. Monitorowaniu podlegają również systemy plików i procesy – tak jak w punkcie powyżej, dokument bez złośliwej zawartości nie powinien wprowadzać tam żadnych zmian.
4. Mechanizm emulacyjny bada, czy nawiązywane są nowe połączenia za pośrednictwem sieci web – np. w celu komunikacji z centrum sterowania lub do pobrania złośliwego kodu.
5. Na koniec system tworzy raport ze wszystkich działań, które wystąpiły na skutek uruchomienia pliku. Raport zawiera zrzuty ekranu środowiska testowego. Powstaje również znacznik „fingerprint” danego pliku, który umożliwia szybką identyfikację pliku przy następnym teście.

Złośliwe pliki wykryte przez mechanizm podlegają kwarantannie, wobec czego nie mają prawa dotrzeć do użytkownika i zainfekować zaufaną sieć. Nawet złośliwy kod, który został zaprojektowany tak, by wykrywać próby uruchomienia go na wirtualnym środowisku, nie jest w stanie pominąć zabezpieczeń sandbox. Taki kod może próbować ukryć swoje działania lub nie podejmować szkodliwych akcji podczas pracy na wirtualnym środowisku w celu uniemożliwienia wykrycia. Taki  „kamuflaż” jest bowiem sam w sobie sygnałem wskazującym na to, że plik jest złośliwy i takie działania są wykrywane przez mechanizm emulujący a następnie zanotowane w końcowym raporcie jako podejrzane.

Cały proces dla większości plików odbywa się w sposób niewidoczny dla użytkownika. Oznacza to, że nawet w rzadkich przypadkach, gdy plik został skierowany do inspekcji a mimo to okazał się „czysty”, odbiorca tego pliku nie zaobserwuje żadnego przestoju w funkcjonowaniu usługi. Informacje na temat działań pliku są dostępne dla działu IT w formie szczegółowego raportu zagrożeń.

Rozpowszechnianie informacji na temat zagrożeń na skalę globalną

A gdyby tak, zaraz po wykryciu i zablokowaniu pliku w trakcie emulacji, firmy miały możliwość podzielenia się informacją na temat zagrożenia z innymi firmami, żeby mogły także uniknąć takiej infekcji? W końcu została utworzona sygnatura nowego wirusa, więc można ją wykorzystać, aby uniknąć szerzenia się zagrożenia.

To właśnie główne założenie usługi ThreatCloud firmy Check Point, która umożliwia rozpowszechnianie wiedzy zebranej na temat wroga. Podobnie jak międzynarodowe organizacje zdrowia współpracują przy zwalczaniu pojawiających się chorób, wymyślając szczepionki i opracowując inne formy leczenia, tak podejście ThreatCloud polegające na wspólnej bazie wiedzy zmniejsza czas pomiędzy wykryciem zagrożenia a możliwością ochrony przed nim. Gdy nowe zagrożenie zostanie oznaczone, szczegóły dotyczące wirusa (takie jak adres IP, URL lub DNS) są automatycznie wysyłane do ThreatCloud i rozpowszechniane wśród subskrybentów usługi. Przykładowo jeżeli jakiś wirus będzie wykorzystany do wymierzonego ataku na bank w Hong Kongu i zostanie wykryty podczas emulacji, to sygnatura tego wirusa zostanie rozesłana do bram bezpieczeństwa na całym świecie w ciągu kilku minut. Dzięki swego rodzaju „szczepionkom” dla firm przeciwko atakom, emulacja zagrożeń zmniejsza ryzyko epidemii włamań i zwiększa ogólny poziom bezpieczeństwa.

autor: Materiały prasowe