הקטנת מתקפות עם Exploit Guard

המאמר הקודם של Exploit Guard התמקד באופן כללי ביכולות השונות של Windows 10 Defense Stack וקצת על היכולות של Exploit Guard, קישור למאמר מענה להתקפות סייבר עם Exploit Guard (הקדמה), במאמר הנוכחי נרחיב על היכולות של Exploit Guard.

בין כל הבעיות שישנם כיום בתחום הסייבר ובמתקפות השונות הבעיה העיקרית היא מול מתקפות שונות שמוערבים בהם משתמשי קצה, הבעיה הראשונה מול משתמשי קצה נובעת בעיקר מול קישורים לא אמינים שנשלחים בדואר כדוגמת פישינג למינהם והבעיה השניה היא קבצים שמגיעים במייל, התקני אחסון שונים וכן הלאה ומכילים קצבים עם מאקרו.

במקרים רבים רוב מערכות הדואר אשר צריכות לסנן מתקפות פישיניג למינהם אינן מסוגלות לבצע חסימה של 100% ומשתמשי קצה מקבלים דואר עם קישורים לא אמינים, במצבים בהם ישנם מתקפות שונות שמכילות קבצים עם מאקרו או קישורים לא אמינים משתמשי הקצה לוחצים, ניגשים ומשתפים פעולה עם אותו מייל. (אחוז קטן של משתמשי קצה אינו לוחץ על כל דבר ויודע לזהות מייל שאינו אמין).

מתקפות יכולות להיות שונות אך לכולם עדיין יהיה מכנה משותף של סט פעולות אשר מריץ סקריפטים שונים, גישה לתיקיות שונות, הצפנה של קבצים, גישה והתקשרות אל שרתי התוקף או לחלופין תוכן זדוני אשר מכיל רק את החלק הראשוני של המתקפה של ביצוע injecting לתוך תהליך מסוים ורק לאחר זמן מסוים להפעיל את הפעולות השונות והנוספות במסגרת המתקפה. חשוב להדגיש כי ישנם מספר סוגי תקיפות שיכולות להיעשות ע”י התוקף ובאופן שבו הם מבוצעות.
הבעיה העיקרית שמופיעה ביומיום היא שלמרות כל מערכות הדואר אשר מבצעות סינון כולל Sandbox ועוד מערכות נוספות שאמורות להגן על קבצים שמכילים תוכן זדוני, עדיין אחרי הכל משתמשים עלולים לקבל תוכן זדוני בשתי רמות:

קבצים מבוססים Macro ומכילים תוכן זדוני

קישורים ולינקים לאתרים לא אמינים

דוגמא לפתיחת קובץ אשר מכיל מאקרו שמאחורי הקלעים מריץ סט פעולות

image

image

image

היכולות של Exploit Guard

היכולות השונות שיש בגרסת 1709 של Windows 10 יודעות להתמודד עם המתקפות הקיימות כדוגמת פתיחת קבצים המכילים מתקפה או קישורים לא אמינים וע”י כך להקטין את הסיכונים שפתיחת קישורים שונים או עבודה עם קבצים לא מוכרים המכילים Macro.

היכולות של Windows Defender Exploit Guard השונות מסתמכות על פלטפורמות שונות כדוגמת Microsoft Intelligent Security Graph, על קבוצת המחקר של Microsoft שמעדכנת כל הזמן לגבי מתקפות חדשות, על מנגנון מקומי שיודע לזהות התנהגות חשודה או פעולות יוצאות דופן ולכן כל אלה מאפשרות לזהות ולמנוע פעולה לא רצויה של משתמש.

WDEG מכיל מספר תכונות ואפשרויות עיקריות:

  • Attack Surface Reduction או בשמו הקצר ASR שמכיל סט חוקים ומטרתו למנוע הרצה של קוד זדוני כלשהוא
  • Controlled Folder Access שמטרתו היא למנוע מאפליקציות שאינן מורשות לגשת לתיקיות רגישות ולבצע פעולות שאינן רצויות
  • Network Protection – מונע התקשרות מול גורם חיצוני בזמן המתקפה ואינו מאפשר לקוד הזדוני לגשת לשרתי התוקף
  • Exploit Guard – מניעת מתקפות מבוססות זכרון ברמת תחנה קצה

 Attack Surface Reduction

Attack Surface Reduction או בשמו הקצר ASR מכיל סט של פעולות שיודעות לחסום ולעצור פעולות חשודות הקיימות ברמת מסמכים המכילים Macro ועדיין לשמור על הפרודוקטיביות של המשתמש כולל מצבים של מתקפות Zero-Day שאינן נראו בעבר כדוגמת CVE-2017-8579.
ASR יודע להתמודד ולחסום פעולות חשודות בכמה רמות ועם סט פעולות שונות:

אפליקציות מבוססות Office

חסימה של תוכן זדוני במחשב מקומי
חסימה של הרצת תוכן זדוני מול process
חסימה של הרצת תוכן זדוני מול child process
חסימה של תוכן מבוסס WIN32

סקריפטים

חסימה של סקריפטים מבוססים VB, PS,Java
חסימה של סקריפטים אשר מבצעים תקשורת מול שרתי התוקף

דואר

חסימה של הרצת תוכן מקובץ אשר ירד מתוך המייל (Outlook או מבוסס browser)

כל הענין של ASR הוא שמאחורי הקלעים רץ מנגנון שיודע לעבוד עם הפלטפורמות השונות (ISG, ML, Security Research) וע”י לדעת מהו הקוד או התוכן שאינו אמין ולזהות את הפעולה החשודה שתביא לחסימה של הרצת המתקפה. למשל, מתקפת DDE אשר רצה לאחרונה מול Office שאינו מעודכן ובין היתר הפעילה child process ומאחורי הקלעים רץ PowerShell שהפעיל סט פעולות כולל התקשרות מול שרתי התוקף.

Network Protection

בכל מתקפה שהיא ישנו שלב שבו נעשית תקשורת חיצונית מתוך המחשב המותקף אל שרתי התוקף, ביצוע התקשורת החיצונית יכול להיעשות בתחילת המתקפה,בשלב מתוזמן, בשניהם או בכל זמן במתקפה (תלוי בסוג גהמתקפה).
Netowrk Protection עובד על בסיס מנגנון של filter driver על גבי הקרנל ומול הפלטפורמה של Intelligent Security Graph אשר מספקת מידע לגבי אתרים וכתובות אמינות כולל Repuation, כל המידע שעובר מול רכיב Network Protection נשמר בתוך Cache מקומי בתחנת הקצה ולכן בכל פעם שישנה ניסיון להתקשרות מבוצע רינדור על הבקשה, הרינדור נעשה על בסיס Cache מקומי ומול שירות ISG

image

Controlled Folder Access

רכיב CFA נועד במטרה להגן על מידע חשוב ורגיש שנמצא בתיקיות שונות בתחנה המקומית, המידע הרגיש אשר נמצא בתיקיות מוגן מפני אפליקציות או תהליכים שאינם אמינים ואינם מורשים לגשת לאותם תיקיות.
כאשר מגדירים תיקיות עם CFA אותם תיקיות ננעלות ונמצאות במצב מוגן

Exploit Protection

EP כולל סט של חוקים שנועד למנוע הרצה וניצול של חולשות במערכת וכן באפליקציות שונות, היכולות שמאפשרות הגנה בEP מכילות בין היתר:

הקטנת חולשות מבוססות זכרון כדוגמת Double free
מניעת גישה אל API או פונקציות קריטיות כדוגמת API hijacking
הגנה על אפליקציות Legacy

למי שהכיר בעבר את הכלי של EMET מדובר על כלי דומה אך עם יכולות משופרות.

לסיכום

היכולות של Windows Defender Exploit Guard מביאות עמם מענה ומאפשרות להקטין את הסיכונים ברמת תחנות קצה ומשתמשי קצה,ניתן להפעיל את כל אותן יכולות באופן מרכזי ולקבל אינפורמציה כאשר אירוע ניסה להתרחש בתחנות קצה.

איך מפעילים, מבצעים הגדרות ומנהלים EG במאמר הבא.

מחשבה אחת על “הקטנת מתקפות עם Exploit Guard

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s