אלי שלמה

עוד יום של סייבר בענן

הקטנת מתקפות עם Exploit Guard

by · 22/12/2017

המאמר הקודם של Exploit Guard התמקד באופן כללי ביכולות השונות של Windows 10 Defense Stack וקצת על היכולות של Exploit Guard, קישור למאמר מענה להתקפות סייבר עם Exploit Guard (הקדמה), במאמר הנוכחי נרחיב על היכולות של Exploit Guard.

בין כל הבעיות שישנם כיום בתחום הסייבר ובמתקפות השונות הבעיה העיקרית היא מול מתקפות שונות שמוערבים בהם משתמשי קצה, הבעיה הראשונה מול משתמשי קצה נובעת בעיקר מול קישורים לא אמינים שנשלחים בדואר כדוגמת פישינג למינהם והבעיה השניה היא קבצים שמגיעים במייל, התקני אחסון שונים וכן הלאה ומכילים קצבים עם מאקרו.

במקרים רבים רוב מערכות הדואר אשר צריכות לסנן מתקפות פישיניג למינהם אינן מסוגלות לבצע חסימה של 100% ומשתמשי קצה מקבלים דואר עם קישורים לא אמינים, במצבים בהם ישנם מתקפות שונות שמכילות קבצים עם מאקרו או קישורים לא אמינים משתמשי הקצה לוחצים, ניגשים ומשתפים פעולה עם אותו מייל. (אחוז קטן של משתמשי קצה אינו לוחץ על כל דבר ויודע לזהות מייל שאינו אמין).

מתקפות יכולות להיות שונות אך לכולם עדיין יהיה מכנה משותף של סט פעולות אשר מריץ סקריפטים שונים, גישה לתיקיות שונות, הצפנה של קבצים, גישה והתקשרות אל שרתי התוקף או לחלופין תוכן זדוני אשר מכיל רק את החלק הראשוני של המתקפה של ביצוע injecting לתוך תהליך מסוים ורק לאחר זמן מסוים להפעיל את הפעולות השונות והנוספות במסגרת המתקפה. חשוב להדגיש כי ישנם מספר סוגי תקיפות שיכולות להיעשות ע”י התוקף ובאופן שבו הם מבוצעות.
הבעיה העיקרית שמופיעה ביומיום היא שלמרות כל מערכות הדואר אשר מבצעות סינון כולל Sandbox ועוד מערכות נוספות שאמורות להגן על קבצים שמכילים תוכן זדוני, עדיין אחרי הכל משתמשים עלולים לקבל תוכן זדוני בשתי רמות:

  • קבצים מבוססים Macro ומכילים תוכן זדוני
  • קישורים ולינקים לאתרים לא אמינים
  • דוגמא לפתיחת קובץ אשר מכיל מאקרו שמאחורי הקלעים מריץ סט פעולות

image

image

image

יכולות במנגנון Exploit Guard

היכולות השונות שיש בגרסת 1709 של Windows 10 יודעות להתמודד עם המתקפות הקיימות כדוגמת פתיחת קבצים המכילים מתקפה או קישורים לא אמינים וע”י כך להקטין את הסיכונים שפתיחת קישורים שונים או עבודה עם קבצים לא מוכרים המכילים Macro.

היכולות של Windows Defender Exploit Guard השונות מסתמכות על פלטפורמות שונות כדוגמת Microsoft Intelligent Security Graph, על קבוצת המחקר של Microsoft שמעדכנת כל הזמן לגבי מתקפות חדשות, על מנגנון מקומי שיודע לזהות התנהגות חשודה או פעולות יוצאות דופן ולכן כל אלה מאפשרות לזהות ולמנוע פעולה לא רצויה של משתמש.

WDEG מכיל מספר תכונות ואפשרויות עיקריות:

  • Attack Surface Reduction או בשמו הקצר ASR שמכיל סט חוקים ומטרתו למנוע הרצה של קוד זדוני כלשהוא
  • Controlled Folder Access שמטרתו היא למנוע מאפליקציות שאינן מורשות לגשת לתיקיות רגישות ולבצע פעולות שאינן רצויות
  • Network Protection – מונע התקשרות מול גורם חיצוני בזמן המתקפה ואינו מאפשר לקוד הזדוני לגשת לשרתי התוקף
  • Exploit Guard – מניעת מתקפות מבוססות זכרון ברמת תחנה קצה

Attack Surface Reduction

או בשמו הקצר ASR מכיל סט של פעולות שיודעות לחסום ולעצור פעולות חשודות הקיימות ברמת מסמכים המכילים Macro ועדיין לשמור על הפרודוקטיביות של המשתמש כולל מצבים של מתקפות Zero-Day שאינן נראו בעבר כדוגמת CVE-2017-8579.
ASR יודע להתמודד ולחסום פעולות חשודות בכמה רמות ועם סט פעולות שונות:

אפליקציות מבוססות Office

  • חסימה של תוכן זדוני במחשב מקומי
  • חסימה של הרצת תוכן זדוני מול process
  • חסימה של הרצת תוכן זדוני מול child process
  • חסימה של תוכן מבוסס WIN32

סקריפטים

  • חסימה של סקריפטים מבוססים VB, PS,Java
  • חסימה של סקריפטים אשר מבצעים תקשורת מול שרתי התוקף

דואר – חסימה של הרצת תוכן מקובץ אשר ירד מתוך המייל (Outlook או מבוסס browser)

העקרון במנגנון ASR הוא שמאחורי הקלעים רץ מנגנון שיודע לעבוד עם הפלטפורמות השונות (ISG, ML, Security Research) וע”י לדעת מהו הקוד או התוכן שאינו אמין ולזהות את הפעולה החשודה שתביא לחסימה של הרצת המתקפה. למשל, מתקפת DDE אשר רצה לאחרונה מול Office שאינו מעודכן ובין היתר הפעילה child process ומאחורי הקלעים רץ PowerShell שהפעיל סט פעולות כולל התקשרות מול שרתי התוקף.

Network Protection

בכל מתקפה שהיא ישנו שלב שבו נעשית תקשורת חיצונית מתוך המחשב המותקף אל שרתי התוקף, ביצוע התקשורת החיצונית יכול להיעשות בתחילת המתקפה,בשלב מתוזמן, בשניהם או בכל זמן במתקפה (תלוי בסוג גהמתקפה).
Netowrk Protection עובד על בסיס מנגנון של filter driver על גבי הקרנל ומול הפלטפורמה של Intelligent Security Graph אשר מספקת מידע לגבי אתרים וכתובות אמינות כולל Repuation, כל המידע שעובר מול רכיב Network Protection נשמר בתוך Cache מקומי בתחנת הקצה ולכן בכל פעם שישנה ניסיון להתקשרות מבוצע רינדור על הבקשה, הרינדור נעשה על בסיס Cache מקומי ומול שירות ISG

image

Controlled Folder Access

רכיב CFA נועד במטרה להגן על מידע חשוב ורגיש שנמצא בתיקיות שונות בתחנה המקומית, המידע הרגיש אשר נמצא בתיקיות מוגן מפני אפליקציות או תהליכים שאינם אמינים ואינם מורשים לגשת לאותם תיקיות.
כאשר מגדירים תיקיות עם CFA אותם תיקיות ננעלות ונמצאות במצב מוגן

Exploit Protection

EP כולל סט של חוקים שנועד למנוע הרצה וניצול של חולשות במערכת וכן באפליקציות שונות, היכולות שמאפשרות הגנה בEP מכילות בין היתר:

הקטנת חולשות מבוססות זכרון כדוגמת Double free
מניעת גישה אל API או פונקציות קריטיות כדוגמת API hijacking
הגנה על אפליקציות Legacy

למי שהכיר בעבר את הכלי של EMET מדובר על כלי דומה אך עם יכולות משופרות.

לסיכום

היכולות של Windows Defender Exploit Guard מביאות עמם מענה ומאפשרות להקטין את הסיכונים ברמת תחנות קצה ומשתמשי קצה,ניתן להפעיל את כל אותן יכולות באופן מרכזי ולקבל אינפורמציה כאשר אירוע ניסה להתרחש בתחנות קצה.

Tags:

You may also like...

1 Response

  1. הגדרת ASR באמצעות Microsoft Intune | הבלוג של אלי שלמה
    23/12/2017

    […] המאמרים הקודמים התמקדו ביכולות השונות של Windows Defender Exploit Guard והיכולות שניתן לקבל עמם כולל חוקים ותצורת העבודה בכל רכיב.המאמר הנוכחי יתמקד בהפעלה של חוקי ASR באמצעות Microsoft Intune […]

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *