Как бесфайловые нагрузки помогают в ИБ

Ведущий инженер отдела информационной безопасности системного интегратора «Абак-2000» Сергей Антонов рассказал о плюсах таких тестирований и о том, какие системы защиты помогут предотвратить кибератаки.

Использование бесфайловых полезных нагрузок (payload) для тестов на проникновение позволяет исследователям кибербезопасности не только эффективно моделировать угрозы и оценивать уровень защиты информационных систем, но и уровень подготовленности команды защиты заказчика к противодействию реальным угрозам. Бесфайловые полезные нагрузки обладают высокой дискретностью, что позволяет им скрывать свои действия от традиционных систем защиты.

Как создать shell-код

Создание shell-кода может быть выполнено несколькими способами, в том числе с использованием программирования или специализированных инструментов, таких как Metasploit или Cobalt Strike.

• Программирование. Для создания собственных shell-кодов, следует знать API тестируемой системы, понимать что такое ран-тайм в приложениях и как от него избавиться, знать как минимум язык С/С++, основы работы с отладчиком и язык ассемблера для наиболее распространенных архитектур, таких как x86 и x64.
• Использование Metasploit или CobaltStrike. С помощью Metasploit можно легко создавать и настраивать полезные нагрузки в пару консольных команд, т.к. этот инструмент имеет в себе набор полезных нагрузок для наиболее распространенных задач и набор средств обхода динамического и статического анализа файлов антивирусными средствами. CobaltStrike также имеет набор предустановленных полезных нагрузок и отличную визуализацию с модулем генерации отчетов обо всем процессе тестирования, но в начальной своей конфигурации не имеет средств для обхода антивирусного ПО. Оба эти инструмента могут сильно облегчить работу специалисту по тестированию безопасности, имеют возможность расширения функционала с помощью внешних модулей и поддержку скриптовых языков для автоматизации, но все же для 100%-ного обхода антивирусного ПО придется переписать имеющиеся шаблоны генерации полезных нагрузок и сами выходные файлы.

Плюсы использования бесфайловых полезных нагрузок

Использование бесфайловых полезных нагрузок при тестах на проникновение имеет ряд преимуществ:

1. Скрытность. Бесфайловые полезные нагрузки трудно обнаружить антивирусами и другими системами защиты, что делает их идеальными для эмуляции реальных атак.

2. Адаптивность. Их можно модифицировать в зависимости от целей тестирования, что позволяет управлять поведением полезной нагрузки и адаптировать ее к конкретной среде.

3. Эффективная проверка синих-команд. Они помогают эмулировать более сложные цепочки в пути компрометации инфраструктуры, там самым лучше подготовить команду защиты к реальным угрозам.

Как заметить и предотвратить атаку с использованием shell-кодов?

• Защита от бесфайловых полезных нагрузок требует применения многоуровневого подхода:
• Системы мониторинга и управления безопасностью (SIEM): SIEM-системы объединяют информации о событиях безопасности из различных источников, включая журналы серверов, сетевые устройства и системы безопасности. Они способны анализировать эти данные на предмет подозрительной активности, выявляя паттерны, которые могут сигнализировать о наличии бесфайловых полезных нагрузок. Применение таких систем позволяет быстро реагировать на инциденты и проводить расследования инцидентов безопасности.
• Системы обнаружения аномалий (NAD): NAD-системы могут анализировать проходящий в сети трафик, выявлять аномалии, используя методы машинного обучения, путем зеркалирования трафика с портов маршрутизатора на систему класса NAD. Они способны распознавать отклонение от нормального поведения, что помогает обнаруживать потенциальную угрозу, связанную с использованием бесфайловых полезных нагрузок.
• Песочницы (sandboxes): Использование песочниц позволяет безопасно изолировать и анализировать подозрительное ПО. Даже если бесфайловая полезная нагрузка попадает в систему, песочница позволит исследовать ее поведение в защищенном окружении, минимизируя риск нанесения вреда основной системе. Это дает возможность оценить, как вредоносное ПО взаимодействует с системами, что позволяет лучше понять и создать защитные меры.
• Обнаружение и реагирование на угрозы для конечных точек (EDR): Использование EDR-средств позволяет осуществлять постоянный мониторинг активности на конечных устройствах и быстро реагировать на инциденты. EDR-системы позволяют отслеживать выполнения процессов, параметры сетевой активности и поведение файлов. Это помогает выявлять аномальные действия, такие как запуск shell-кода или установку нежелательного программного обеспечения. EDR также предоставляет более полную видимость угроз и позволяет автоматизировать реагирование на инциденты.
• Обучение и осведомленность сотрудников: Обучение сотрудников основам кибербезопасности является ключевым элементом защиты. Регулярные тренинги, семинары и разборы результатов тестов на проникновение помогает повысить уровень осведомленности о потенциальных атаках, и укрепляет общую защитную культуру в организации.