MalOps by Cybereason – przechwytuj złośliwe procesy, nie alerty
Nierzadko powtarzamy, że firmowy „biznes” nie powinien traktować działów bezpieczeństwa jako filmowej policji – raczej jako działu ochrony w stylu secret service. Niemniej jest jedna cecha wspólna – oba te organy są pasywne bądź reaktywne. Odpowiadają na atak lub tworzą okoliczności utrudniające go, nie podejmują działań dopóki atak faktycznie nie nastąpił.
Odpowiednio przeprowadzony rekonesans pozwala uzyskać dostęp do sieci w kilka minut, a jedno skompromitowane konto wystarczy, aby zły aktor zdobył początkowy przyczółek. Po uzyskaniu dostępu, mogą minąć tygodnie, a nawet miesiące, zanim szkody zostaną wyrządzone. Dzieje się tak ponieważ przeciwnik będzie starał się uzyskać większą kontrolę, poznając strukturę sieci i identyfikując słabości bezpieczeństwa naruszonej sieci. Atakujący celowo porusza się powoli, stosując różne techniki, aby oszukać obrońcę, uniknąć wykrycia, pozostać w sieci i osiągnąć ostateczny cel.
Dlatego incydenty związane z bezpieczeństwem należy postrzegać w kontekście tego, co jeszcze dzieje się w całym środowisku IT. Cybereason podchodzi do incydentów bezpieczeństwa właśnie z perspektywy operacji jako zestawu powiązanych aktywności. Definiuje powyższe jako MalOp: to ramy czasowe i zestaw działań podejmowanych przez hakerów od momentu penetracji sieci do osiągnięcia swoich celów operacyjnych.
Poniżej widok na przykładowy MalOp w konsoli Cybereason:
- Kiedy Cybereason znajdzie jakiekolwiek nietypowe dane, które są istotne dla procesu wykrywania, jest to oznaczane jako dowód – który można porównać przeczucia analityka bezpieczeństwa.
- Gdy tylko aktywność oznaczona jako dowód wykazuje oznaki przekształcania się w podejrzenia (termin Cybereasonu oznacza, że incydent wygląda dziwnie, ale nie jest atakiem na pełną skalę), system łączy podejrzenia ze sobą, aż do uformowania kompletnej historii ataku. Ta historia przedstawia harmonogram ataku, jego główną przyczynę, komputery, których dotyczył atak, oraz dotkniętych nim użytkowników.
Traktowanie każdego podejrzenia jako części większej złośliwej operacji zamiast pojedynczego zdarzenia zmniejsza liczbę zagrożeń, które zespół ds. bezpieczeństwa musi zbadać. Mniejsza liczba zagrożeń do zbadania zmniejsza szanse napotkania fałszywych alarmów.
Poniżej prezentujemy demo, w którym wykrywamy MalOps z użyciem wysoce destrukcyjnych wycieraczek, nazwanych WhisperGate i HermeticWiper – części rosyjskiego cyberataku na Ukrainę WhisperGate podszywa się pod oprogramowanie ransomware i sparaliżowało wiele ukraińskich organizacji. Jest dostarczany przez wieloetapowy łańcuch infekcji z dwoma głównymi komponentami szkodliwego oprogramowania:
- Etap 1: Blokada głównego rekordu rozruchowego (MBR) używana do nadpisywania MBR systemu operacyjnego, co skutecznie uniemożliwia pomyślne załadowanie systemu operacyjnego
- Etap 2: Wymazywanie dysku używane do czyszczenia i niszczenia plików na komputerze docelowym.
Chociaż oprogramowanie nie zostało przypisane konkretnej rosyjskiej grupie APT, ukraińscy urzędnicy publicznie przypisali atak Rosji, jako potencjalnie krok „przygotowania gruntu” pod nadchodzącą operację wojskową.
Technologia Cybereason Anti-Ransomware i Anti-MBR dotycząca korupcji na platformie Cybereason XDR wykrywa i zapobiega Wiperowi WhisperGate, a także wszystkim innym ransomware i szczepom Wiper:
DEMO:
Cybereason vs. WhisperGate and HermeticWiper
W Cybereason ochronę przed ransomware można zapewnić w dwóch krokach:
- Włącz funkcję Anti-Ransomware w Cybereason NGAV: Ustaw tryb ochrony Cybereason Anti-Ransomware na Zapobiegaj z ochroną MBR
- Włącz funkcję Anti-Malware w Cybereason NGAV: Ustaw tryb Cybereason Anti-Malware na Zapobieganie i ustaw tryb wykrywania na Umiarkowany lub wyższy
Warto dodać, że według raportu MITRE – Cyberason charakteryzuje się najwyższą wykrywalnością ataków:
O dopasowaniu do kampanii bądź typowych i nietypowych scenariuszy w Twojej branży chętnie opowiemy podczas spotkania. W końcu bezpieczeństwo nie lubi szumu.