חיפוש חתימת רשת Defender for Endpoint
באבטחה המונח הכללי של חתימה היא תבנית אופיינית המשויכת לפעולה ואף לתקיפה זדונית בעמדות קצה, רשתות ומערכות. חתימה יכולה להיות סדרה של בתים בקובץ בתעבורת רשת, רצפי הוראות זדונים ידועים המשמשים אפליקציות. זיהוי מבוסס חתימות הוא אחת הטכניקות הנפוצות ביותר המשמשות לזיהוי איומים. איומים אלה מוכרים בד”כ בחתימה של קוד זדוני בקבצים, אך קיימים באזורים נוספים.
למשל, באנטי-וירוס וחתימת קובץ. חתימה היא ערך נומרי ייחודי שהוא פונקציה של הווירוס בהתאם לסוג מנוע הסריקה. החתימה יכולה להיות חתימה סטטית שהיא למעשה ערך HASH של פיסת קוד ייחודית של אותו וירוס או חתימה מבוססת התנהגות, כלומר, אם אפליקציה מנסה לבצע פעולות כלשהן המוגדרות על ידי האנטי-וירוס כחשודות, היא תעצור את פעולתה ותתריע בהתאם. זיהוי מבוסס חתימות הוא מתודולוגיה המשמשת חברות אבטחת סייבר לזיהוי תוכנות זדוניות שכבר התגלו בטבע, קיבלו סיווג ונמצאים בבסיס הנתונים.
אם כך מהי חתימה בתעבורת רשת? למשל, מערכות למניעת חדירות (IPS) משווות את התעבורה נגד חתימות של איומים ידועים וחסימת תעבורה כאשר איום זוהה. חדירות לרשת הן התקפות על או שימוש לרעה אחר משאבי רשת. למערכות IPS מספר שיטות לאיתור ומניעת תעבורת רשת חשודה:
- זיהוי חתימה – משמש לאיתור התקפות על ידי חיפוש תבניות ספציפיות או על ידי הכרת דפוס הפעולה של הקובץ הזדוני בדומה לאנטי וירוס.
- זיהוי חריגים – משמש לזיהוי התקפות לא ידועות. שיטה זו אינה מתבססת על הכרת דפוס פעולה ידוע מראש אלא מחפשת תבניות שונות במטרה לחשוף פעולות שלא זוהו בעבר.
- מערכת למניעת חדירות ברשת ממוקמת בנקודה אסטרטגית, עוקבת אחר כל תעבורת הרשת ותפקידה לאתר שינויים והתקפות בתעבורת הרשת ולחסום במידת הצורך.
זיהוי תעבורה עם MDE
Defender for Endpoint המוכר כ MDE אוסף, מנטר, מנתח ומספק מידע על תעבורת הרשת אשר יוצאת מתוך עמדת קצה לרשת פנימית או חיצונית. MDE אינו בא להחליף כלים כמו IPS או Deep Packet Security אבל יכול לתת את המידע הנדרש כאשר מתבצעת פעולת רשת שאינה לגיטימית.
הטבלה DeviceNetworkEvents כוללת שדה בשם NetworkSignatureInspeced שנועד להציג מידע אודות פעולות בתעבורת רשת. שדות נלווים אוספים מידע נוסף מעבר למה שאירוע רשת סטנדרטי מאחסן. במקרה של סוג הפעולה החדש עםהערך של NetworkSignatureInspected, יש את SignatureName, SignatureMatchedContent וכן SamplePacketContent.
בממשק החיפוש, בין אם זה ברמת ציר זמן או באמצעות Advanced Hunting היכולות החיפוש והסריקות מאפשרות לזהות ולחשוף פרטי תעבורת רשת של תחנות קצה, כתובות, זיהוי חתימה ועוד.
SignatureName
מתייחס לשם תבנית התנועה שזוהתה. חתימות נוכחיות מזהות תעבורה כגון SSH, HTTP, DNS וכן FTP. למשל, ניתן לראות את החתימות הייחודיות שזוהו בסביבה על ידי הפעלת שאילתת החיפוש הבאה:
// Show the traffic pattern from the last 15 daysDeviceNetworkEvents| where ActionType == “NetworkSignatureInspected”| where Timestamp > ago(15d)| extend SigName = parse_json(AdditionalFields).SignatureName,SigMatchedContent = parse_json(AdditionalFields).SignatureMatchedContent,SigSampleContent = parse_json(AdditionalFields).SignatureSampleContent//| distinct tostring(SigName)| project Timestamp, DeviceName, ActionType,SigName, RemoteIP, RemotePort
SignatureMatchedContent
שדה אשר מציג פיילואד בתעבורה והגורם שהפעיל את זיהוי החתימה. בהתאם לחתימה, שדה זה עשוי להכיל נתוני טקסט רגיל, נתונים מקודדים או ערכי hex. דוגמאות לערכים אפשריים שיכולים להופיע בשדה SignatureMatchedContent מפורטות להלן.
| שם חתימה | התאמת חתימה |
| HTTP_Client | GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab?117b4e4cedd HTTP/1.1 |
| DNS_Request |
r%E9%01%00%00%00%01%0%00%06eu-v20%06events%04data%09microsoft%03com r%E9%01%00%00%00%00%00%06eu-v20%06events%04data%09microsoft%03com |
| SMB_Client | %00%00%E8%FESMB |
SamplePacketContent
מזהה נוסף במאפשר למצוא תוכן נוסף של פיילואד ותנועה. בהתאם לחתימה, הדבר עשוי לשקף את הערך SignatureMatchedContent או הסטות אחרות באותו חיבור רשת.
אם כך, מהם התרחישים בהם ניתן לאתר פכולה שאינה חוקית? להלן מספר תרחישים שבהם ניתן להשתמש במידע והערך הנלווה של NetworkSignatureInspected
- איתור אירועי רשת שהתרחשו ביציאות לא סטנדרטיות
- להתריע כאשר ישנו שימוש שגוי בפרוטוקול SSH
- לחפש קובצי הפעלה שהורדו באמצעות HTTP
- למצוא תעבורת רשת מול שרתי DNS
- למצוא תעבורת רשת מול שרתי DNS ולעשות קורלציה מול שרתי DNS המשמשים לתקיפה
