Komputerowa sepsa

4 lata temu

Każdego dnia przekonujemy się na nowo, że cyberbezpieczeństwo to droga usiana nieustannymi wyzwaniami. Ale po kolei…

Intro

Kilka dni temu, tuż przed długim weekendem, spokój naszego wsparcia technicznego zmącił telefon od informatyka (nadajmy mu kryptonim Pan K.) z pewnego dużego zespołu szkół. Obraz, który naprędce nakreślił nie wyglądał wesoło. Od kilku dni, w zarządzanej przez niego sieci coś – dosłownie – szalało. W systemach pojawiały się i znikały jakieś dziwne procesy, strony były podmieniane, przeglądarki same się uruchamiały i pokazywały zagadkową zawartość. Tak nam to w każdym razie wizualizował Pan K. Szkolna sieć była niby chroniona oprogramowaniem antywirusowym (zagranicznym, Pan K. na wstępie rozmowy zaznaczył, że nie jest naszym klientem, ale obiecał, mimo że wcale tego nie oczekiwaliśmy, że jeśli mu pomożemy, to naszym klientem zostanie w mgnieniu oka) ale ów program jedynie sporadycznie, na pojedynczych komputerach alarmował, że znalazł szkodliwy plik i od niechcenia pytał, co z nim zrobić. No ale generalnie wspomniany program spał. Szybki wywiad i wstępna analiza przekazanych informacji pozwoliła nam z prawdopodobieństwem graniczącym z pewnością stwierdzić, że w rzeczonej sieci zadomowił się bardzo ostatnio popularny i nadzwyczaj uciążliwy Trojan.Emotet. Ktoś zapewne kliknął w dokument załączony do trefnego maila. Pan K. powiedział, że nie chce pokazywać palcem, ale jest niemal pewien kto mógł to być. Summa summarum stwierdziliśmy, że nie możemy zostawić rodaka na lodzie i wzięliśmy się do roboty.

Wchodzimy do gry

Na wstępie zaleciliśmy instalację naszego programu na jednym z zachowujących się dziwnie komputerów. Do wyboru był pakiet Arcabit i mks_vir. Ostatecznie wybraliśmy mks_vir’a, który był przez Pana K. z sentymentem wspominany jeszcze z czasów, kiedy uczęszczał do liceum. Po instalacji połączyliśmy się zdalnie z komputerem wykorzystując dostępne w pakiecie narzędzie do zdalnego wsparcia i od razu uzyskaliśmy potwierdzenie naszej tezy o obecności wariantu trojana z rodziny Emotet. mks_vir wyświetlił czerwone okno z informacją o infekcji. Infekcję usunęliśmy i dodatkowo wygenerowaliśmy audyt systemu, żeby w zaciszu naszego laboratorium przeanalizować aktywność systemu z ostatnich dni. Audyt wykazał, że Emotet zainstalował się w systemie wykorzystując mechanizmy domenowe. Po instalacji intensywnie komunikował się z różnymi serwerami i pobierał kolejne warianty szkodliwego oprogramowania. Raporty aktywności sieciowej pokazały również, że rozsyłał spam. Bez wątpienia podobne cyberzjawiska zachodziły właśnie na pozostałych komputerach w sieci.

Rozgrywka

Ustaliliśmy, że aby skutecznie wyplenić Emotet’a z sieci Pan K. musi ze wszystkich komputerów odinstalować aktualnie pracujący tam program antywirusowy, a następnie zainstalować sprawdzony już na jednej stacji program mks_vir (albo Arcabit). Wygenerowaliśmy testową licencję na 60 dni i przekazaliśmy “pałeczkę” Panu K. Po dwóch godzinach wszystkie stacje pracowały pod kontrolą pakietu mks_vir, co elegancko i klarownie było widoczne w konsoli zarządzającej, którą Pan. K. uruchomił na swoim komputerze. Do konsoli już płynęły wartkim strumieniem raporty o kolejnych wykrytych infekcjach. Jednam my wiedzieliśmy, że Trojan.Emotet to przebiegła bestia. Musieliśmy wyprowadzić ostateczne uderzenie. Coś jak “Execute Order 66” tylko po jasnej stronie mocy 🙂

Garda, cios, nokaut

Poleciliśmy Panu K. aby w konsoli administracyjnej, dla całej sieci włączył opcję “Ochrona RoundKick EDR”. Ten niepozorny checkbox rozpętał w sieci epicką bitwę. W konsoli zaroiło się od raportów o zablokowanych, podejrzanych procesach, nie wykrywanych metodami klasycznym. Same “świeżynki” jak mawiają nasi analitycy. Do chmury skanującej Arcabit popłynęły informacje o nowych wariantach Emotet’a. Ruszyły mechanizmy analizy automatycznej. No i co tu dużo mówić… po 10 minutach sieć Pana K. była czysta. Szkodliwe pliki zostały usunięte, wpisy w rejestrze wyczyszczone, utworzone przez trojan’a zadania w harmonogramach systemowych skasowane. Pan K. nie mógł uwierzyć w szczęście, które go spotkało 🙂

Podsumowując – co się wydarzyło?

Przede wszystkim Pan K. został naszym zadowolonym klientem 🙂 W sieci szalał Trojan.Emotet. Wdarł się za pośrednictwem poczty elektronicznej i maila z zainfekowanym dokumentem Word’a. Z pierwszej zainfekowanej stacji błyskawicznie rozprzestrzenił się po całej sieci. Intensywnie modyfikował swoje procesy i pobierał szkodliwe programy. Antywirus, który dotychczas chronił komputery nie był w stanie nadążyć za postępującymi modyfikacjami. Dopiero zaimplementowany w pakietach Arcabit i mks_vir moduł ochronny RoundKick EDR zablokował wszystkie podejrzane i szkodliwe aktywności podejmowane przez Emotet’a i przywrócił stan sprzed infekcji.


Pora na pytanie, co to właściwie jest ten RoundKick EDR?


Kontinuum cyberzagrożeń

Mnogość, różnorodność, dynamika, zmienność, złożoność to cechy współczesnych cyberzagrożeń. Cechy, dzięki którym zagrożenia od czasu do czasu nieubłaganie wymykają się klasycznym mechanizmom detekcji i ochrony. Żeby skutecznie zapobiegać atakom, a w sytuacjach krytycznych minimalizować ich skutki, wymagana jest ciągła, kompleksowa analiza zdarzeń zachodzących w systemach operacyjnych uwzględniająca jak najszersze spektrum aktywności i szybka interpretacja uzyskanych danych.

Porządek w chaosie

Szeroko pojęte szkodliwe oprogramowanie, mimo swojej ogromnej złożoności, pracuje według pewnych schematów, wynikających między innymi ze struktury systemów operacyjnych i ich wymagań, zasad funkcjonowania użytkowników i komputerów w sieci, obecności mechanizmów ochronnych takich jak oprogramowanie antywirusowe, uprawnienia, UAC itp. Sprawne rozpoznanie tych schematów i izolacja ich od prawidłowych aktywności to klucz do sukcesu nowoczesnych rozwiązań zabezpieczających.

Kompleksowe spojrzenie

Oprogramowanie ochronne składa się z wielu modułów, z których każdy specjalizuje się w zabezpieczaniu konkretnych obszarów systemów i jest nastawiony na określoną kategorię ataków. Skaner poczty, monitor plików, zapora sieciowa, skaner http to już typowy, kanoniczny arsenał ochronny. Każdy moduł kontroluje otrzymane dane i blokuje te, które na podstawie własnych baz danych uznaje za szkodliwe. Krokiem milowym w jakości i skuteczności ochrony było zestawienie informacji generowanych przez wszystkie moduły ochronne i zbudowanie kompletnego obrazu zdarzeń zachodzących w systemie, które, dzięki relacjom między danymi (także w funkcji czasu), pozwoliły na dostrzeżenie ukrytych i niewykorzystanych dotychczas schematów identyfikujących szkodliwe oprogramowanie.

RoundKick EDR

Zarezerwowane dotychczas głównie dla laboratoriów antywirusowych mechanizmy zostały wbudowane w pakiety mks_vir i wspólnie utworzyły nową warstwę ochronną klasy EDR (Endpoint Detection and Response), której zadaniem jest wykorzystanie potencjału drzemiącego we wszystkich modułach ochronnych pakietu w procesie stałej analizy zachodzących w systemie zdarzeń. Mechanizm ten jest skonstruowany tak, aby nie zakłócał pracy użytkowników i nie generował fałszywych alarmów. Sytuacje podejrzane ale nie wyczerpujące jeszcze w dostatecznym stopniu znamion cyberprzestępstwa są delegowane do chmury skanującej Arcabit/mks_vir, w której podlegają procesom analizy automatycznej. Jeśli ta zawiedzie, do pracy siadają analitycy. Efektem może być odrzucenie zdarzenia jako nieszkodliwego, bądż natychmiastowa aktualizacja schematów i blokada szkodliwej aktywności.

Ogromny zakres możliwości

Dotychczasowe doświadczenia pokazują, że RoundKick EDR pozwala na natychmiastową identyfikację, blokadę i eliminację nieznanych zagrożeń. Łatwość aktualizacji bazy schematów i wykorzystanie chmury skanującej to nowe, potężne narzędzie w walce z cyberprzęstepcami. Zakres możliwości i potencjał tej klasy rozwiązań ochronnych możemy śmiało porównać do rozmachu, który towarzyszył firmom antywirusowym w czasach, gdy powstawały zaawansowane mechanizmy detekcji klasycznych wirusów. Wtedy środowiskiem wirusa był plik, teraz środowiskiem szkodliwego oprogramowania są całe systemy operacyjne i sieci.