Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.
Если вас заинтересовала данная тема, то добро пожаловать под кат…
Check Point CheckMe – Мгновенная проверка безопасности
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.
Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.
Как работает CheckMe?
- Пройдите по ссылке.
- Запустите сканирование в вашем браузере.
- Ваш браузер обменяется данными с сервисом CheckMe для анализа безопасности вашей сети (без какого-либо реального риска для вашей сети)
Пример страницы с результатами проверки сети:
Нажав на кнопку «GET FULL REPORT» в нижней части, вы получите подробный отчет с результатами и руководством по исправлению на вашу электронную почту (будет отправлено от «CheckMe@checkpoint.com» с темой «CheckMe Report»)
Какие угрозы проверяются?
CheckMe имитирует различные сценарии, которые могли бы стать отправной точкой для следующих векторов атак:
- ПО для вымогательства – это вредоносное программное обеспечение, которое шифрует файлы пользователей и требует выкуп за их расшифровку.
- Кража личных данных/ Фишинговые атаки – похищение личной информации используя поддельные веб-сайты, которые выглядят как настоящие.
- Атаки нулевого дня — использует элемент неожиданности и использует дыру в программном обеспечении, которая неизвестна разработчику.
- Боты — выполняют злонамеренные атаки, которые позволяют злоумышленникам получить полный контроль над зараженным компьютером.
- Атака на браузер — внедрение вредоносного скрипта на веб-сайты, чтобы украсть cookies жертв с целью выдать себя за жертву.
- Анонимный веб серфинг — позволяет пользователям скрывать свою сетевую активность. Он может открывать бреши в сети организации.
- Утечка данных — передача секретной или конфиденциальной информации за пределы сети организации путем кражи или случайного воздействия.
Описание тестов
1) Угроза — ПО для вымогательства
Этот тест загружает тестовый файл вирус (EICAR-Test-File) через вашу сеть.
Файл txt
Файл txt через https соединение
Файл bz2
Файл zip
2) Угроза — Кража личных данных/ Фишинговые атаки
Этот тест генерирует подключения к фишинговым и вредоносным сайтам через вашу сеть.
Успешная попытка подключения свидетельствует, что вы могли бы стать жертвой фишинговой атаки и ваша личная информация может быть украдена.
CheckMe имитирует этот тест путем загрузки файла favicon.ico из следующих сайтов:
Сайт 1
Сайт 2
3) Угроза — Атаки нулевого дня
Этот тест, загружает файлы в различных форматах, которые часто используются в атаках нулевого дня.
CheckMe имитирует этот тест, загружая следующие файлы:
Файл 1
Файл 2
Файл 3
4) Угроза — Атака на браузер
Этот тест проверяет, защиту вашей сети от Cross-Site Scripting (XSS), инъекций SQL и инъекций команд.
CheckMe имитирует этот тест путем подключения к следующим тестовым сайтам:
Сайт 1
Сайт 2
Сайт 3
5) Угроза — Инфицирование ботом
Этот тест имитирует активность бота через известный протокол Command and Control.
CheckMe имитирует этот тест, разместив строку:
creditcard=1234&expyear=2017&ccv=123&pin=1234
на
www.cpcheckme.com/check/testsAssets/post.html
6) Угроза — Использование анонимайзеров
Этот тест проверяет возможность подключения к сайтам анонимайзерам через вашу сеть.
CheckMe имитирует подключения, пытаясь получить доступ к www.hidemyass.com
7) Угроза — Утечка конфиденциальных данных
Этот тест генерирует структурированный трафик, номера тестовых кредитных карт (через HTTP и HTTPS) на общедоступных сайтах через вашу сеть.
Все тесты безопасны и не представляют никакого риска для устройств пользователя и сети!
Администратор может увидеть предупреждения в системе безопасности, которые уведомляют о моделировании испытаний.
Тест от Fortinet
Также будет интересна проверка, которую предоставляет Fortinet. Тест не такой комплексный и в общем смысле проверяет различные способы доставки тестового вируса (eicar). Проверяется возможность скачивания файла eicar в открытом виде, в виде архивов различной степени вложенности (архив в архиве — до 10 степеней вложенности). Сами архивы нескольких видов: zip, rar, tar, cab, 7zip. Также есть запароленный архив. По результатам вы сможете увидеть с каким типом угроз ваши системы не справляются.
Запустить тест Fortinet
Eicar в архиве через HTTPS
Почти большинство антивирусных тестов используют файл Eicar. Поэтому можно не обращаться к сторонним сервисам (многие не доверяют тестам вендоров) и воспользоваться непосредственно сайтом eicar.org.
Здесь мы также можем скачать тестовый файлик и возможны следующие варианты:
Как видим, тут есть eicar файлик в открытом виде, в виде архива. Отличительная особенность — возможность скачать файл через https протокол. Т.е. если на вашем межсетевом экране (будь то Cisco, CheckPoint, Fortinet и любой другой) не настроена https инспекция, то файл будет скачан без особых проблем. Он наверняка будет заблокирован операционной системой (по крайней мере в Winodws 10), однако это уже серьезный “звоночек”, т.к. большинство современных ресурсов давно перешли на https, а это значит, что без https инспекции ваши средства защиты просто ничего не видят и будут пропускать вирусы как воду через решето.
Online песочницы (sandbox)
Не буду подробно рассматривать вопрос “Что такое песочница?”, тем более, что чуть позже мы посвятим этому небольшой цикл статей. Основная задача песочниц — запустить файл и посмотреть, что после этого будет. По результатам выдается вердикт о вредоносности этого файла. Песочницы помогают бороться с зловредами, которые обычные антивирусы никак не определяют. Есть несколько online сервисов, где вы можете проверить файлы в песочнице:
Данные сервисы весьма полезны для проверки вашего потокового антивируса. К примеру можно скачать в Tor-сетях какой-нибудь вирусный файл, прогнать его через свой антивирус (лучше на макете, а не в рабочей среде) и проверить в онлайн песочнице. Затем сравнить результаты и убедиться, что антивирусной защиты уже недостаточно.
Online антивирус
Здесь можно было бы привести десятки ссылок, т.к. почти каждый уважающий себя антивирус имеет online сканер. Однако почти все эти ссылки можно заменить одной — VirusTotal
Ресурс позволяет сканировать файлы и ссылки на предмет зараженности. При этом анализ производится с помощью множества антивирусов и можно видеть вердикт по каждому из них.
Очень интересен функционал проверки url. С помощью него вы сможете проверить эффективность вашего Proxy или средства защиты Web-трафика. Найдите вирусный сайт, проверьте его в virustotal, а затем посмотрите откроется ли он через ваш proxy.
Online Firewall и Port Scanners
Эти инструменты могут также пригодится при тесте своей сети:
Online Anti-spam и Email Security Scanners
EmailSecurityCheck
Данный ресурс позволит проверить защищенность вашего почтового сервера. Для этого будет отправлено несколько писем с тестовыми вирусными файлами, которые упакованы различными способами. Если любое из этих писем вы все же получили, то это повод задуматься над безопасностью вашего email-сервера.
Что дальше?
Воспользовавшись приведенными сервисами можно сделать некоторые выводы относительно эффективности существующих средств защиты. Обратите внимание не только на эффективность защиты, но и на процесс обнаружения инцидентов. Вы должны быть максимально информированы о всех ИБ событиях. Достигается это либо с помощью встроенных средств (email alert, dashboard-ы устройств и т.д.) либо сторонних (SIEM или Log-managment системы).
Следующим логичным шагом будет проведение аудита сетевой безопасности. Это можно сделать как с помощью CheckPoint, так и с помощью Fortinet, причем бесплатно. Более подробно об этом можно почитать здесь и здесь. Мы уже частично описали архитектуру решений Check Point и в следующих постах опишем, как с его помощью сделать бесплатный аудит безопасности сети.
P.S. Если вы используете Check Point, но тест все равно не прошли, то здесь можно посмотреть, как усилить свою защиту, так сказать «закрутить гайки».
Комментарии (18)
unibasil
15.03.2017 13:27+3Check Me показывает мою полную уязвимость всему. Оказывается, что возможность скачать PDF из Интернета — это ZERO DAY VULNERABILITY. Буду знать.
cooper051
15.03.2017 13:29+1Это не обычная pdf, а специально подготовленная.
unibasil
15.03.2017 13:59И чем она отличается от специально неподготовленной? Уязвимость-то в чём?
cooper051
15.03.2017 14:19+1Думаю, что речь идет об использовании ROP. Т.е. когда после эксплуатации уязвимости adobe, зловред собирается непосредственно на компьютере жертвы из уже имеющихся функций и процессов. Такие файлы потоковые антивирусы не детектируют, т.к. в вирусного кода просто нет.
Но это только мои догадки. Я к сожалению не обладаю более точной информацией.
jok40
15.03.2017 14:42Полагаю, что уязвимость заключается в отсутствии на компе антивируса, который отловил бы этот специально подготовленный, типа «инфицированный», файл.
cooper051
15.03.2017 15:02По идее антивирус тоже должен облажаться, иначе это уже не 0-day.
jok40
15.03.2017 15:17Я скачал pdf-ник по ссылке из Вашей статьи и заслал его на virustotal. Вот результат. Так что на зиродэй это и правда не тянет.
cooper051
15.03.2017 15:25Да, но если посмотреть чуть ниже, то увидим, что многие антивирусы его по прежнему не детектируют. Скорее всего еще пару недель назад это был 0-day, а сейчас сигнатура потихоньку расходится по всем антивирусным базам.
unibasil
15.03.2017 15:04Хорошо, но как система Check Me определила отсутствие у меня такого антивируса? Извне, из Интернета? Без загрузки этого специально подготовленного файла ко мне на компьютер? Я не думаю, что он без моего ведома уже лежит где-то у меня в системе и сам по себе тихонько собирается в адский зловред только из-за того, что я нажал кнопку Check Security Now.
jok40
15.03.2017 15:41Проверил только что комп с установленным каспером:
вот результатjok40
15.03.2017 15:59Вот лог каспера:cooper051
15.03.2017 15:54CheckMe использует функции JavaScript, которые выполняются в контексте страницы и выполняет следующие действия:
1.Скачивает «вредоносный» файл (в распакованном виде и архивированном виде) из cpcheckme.com через HTTP, HTTPS
2.Сообщает “чувствительные” данные в cpcheckme.com
3.Загрузка изображений с доменов с плохой репутациейMBZimin
15.03.2017 16:28+2http://tssolution.ru/check-point-checkme/
Детальное описание работы скрипта и рекомендации по настройке, чтобы все атаки блокировались.
miwa
15.03.2017 19:47+1Я правильно понимаю, что по мнению cpcheckme свежайший debian testing является полностью уязвимой системой? По той причине что на нем нету антивируса?
cooper051
15.03.2017 21:44Ну ативирусный тест в данном случае будет нечестным, т.к. там наверняка сидит вирус для винды. В остальном пожалуй все актуально.
Tishka17
16.03.2017 08:26В полном отчете мне написал, что не смог скачать с Андроида через мобильную сеть инфицированных файл по https. С учетом отсутствия у меня на телефоне каких-либо? антивирусов и успешности остальных попыток качать малварь, очень странно рисовать тут зеленую галочку.
AndreyUA
Напрягает ввод обязательный номера телефона при регистрации. Я думаю, что эта строка многих отпугнет.