مک‌آفی و حملات هدفمند باج‌افزاری

حملات هدفمند باج‌افزاری که هر روز بر شمار و میزان پیچیدگی آنها افزوده می‌شود به یکی از اصلی‌ترین دغدغه‌های سازمان‌ها و کسب‌و‌کارهای بزرگ تبدیل شده‌اند. حملاتی که مقابله با آنها در نتیجه از سرگیری دورکاری گسترده کارکنان در کشور در نتیجه شیوع کرونا بیش از پیش چالش‌برانگیز شده است.

McAfee Endpoint Security – به اختصار McAfee ENS – از جدیدترین و پیشرفته‌ترین محصولات امنیت نقاط پایانی است که با فناوری‌های یادگیری ماشین (Machine-learning) و ضدبهره‌جو (Anti-exploit) قادر به شناسایی پیچیده‌ترین تهدیدات سایبری از جمله بدافزارهای روز-صفر (Zero-day) و کدهای موسوم به بدون فایل (Fileless) است.

در این مطلب برخی قابلیت‌های این محصول به‌طور اجمالی مورد بررسی قرار گرفته است.

Endpoint Security Threat Prevention

ماژول Endpoint Security Threat Prevention شامل قابلیت‌های متعدد نظیر پویش مبتنی بر امضا و مقابله با بهره‌جوها از طریق تحلیل رفتار و پیشینه (Reputation) پروسه‌ها است. به‌منظور بهره‌گیری کامل از قابلیت‌های مذکور، پیکربندی تنظیمات پویش بلادرنگ و پویش در زمان درخواست بر اساس به‌روش‌ها (Best Practice)، به‌روز بودن بانک داده بدافزارها (DAT)، هسته اجرایی (Engine)، بانک ضدبهره‌جو (Exploit Prevention Content) و ارتباط با سامانه Global Threat Intelligence توصیه می‌شود.

در بسیاری از حملات هدفمند باج‌افزاری از تکنیک‌های موسوم به بدون فایل بهره گرفته می‌شود. در این حملات مهاجمان از پروسه‌های معتبر سیستم عامل PowerShell برای دریافت و اجرای کدهای باج‌افزار سوءاستفاده می‌کنند. بررسی‌های شرکت امنیتی مک‌آفی نشان می‌دهد که مجموع بدافزارهای PowerShell در سه‌ماهه اول 2020 در مقایسه با چهار دوره قبل 1902 درصد افزایش یافتند.

قواعد بخش بی‌نظیر Exploit Prevention قادر به ثبت رفتارهای PowerShell و مسدودسازی هر گونه سوءاستفاده از آنها هستند.

Endpoint Security Firewall

پودمان RDP یا Remote Desktop Protocol قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم می‌کند.

تبهکاران سایبری از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force می‌کنند.

هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نام‌های کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.

در صورت فراهم شدن اتصال، مهاجمان نرم‌افزاری را بر روی سرور اجرا کرده و از آن برای دست‌درازی به تنظیمات و سرویس‌های نرم‌افزارهای ضدبدافزار، پشتیبان‌گیری و پایگاه داده نصب شده بر روی آن استفاده می‌کنند. در ادامه نیز فایل مخرب باج‌افزار را دریافت کرده و بر روی سرور به اجرا در می‌آورند.

مؤثرترین راهکار در مقابل این تهدیدات غیرفعال کردن این پودمان است. اما در صورت ضرورت استفاده از RDP، علاوه بر تغییر درگاه پیش‌فرض آن بهره‌گیری از دیواره آتش لازم و ضروری است. نرم‌افزار ENS دارای یک دیواره آتش حالتمند (Stateful) مجهز به تنظیمات متعدد است که به سادگی می‌توان از آن برای حفاظت در برابر حملات مبتنی بر RDP بهره برد. بدین‌ترتیب، امکان اتصال به دستگاه از طریق پودمان RDP تنها به نشانی‌های IP خاص محدود شده و ارتباطات خروجی RDP از روی دستگاه فقط به نشانی‌های IP مورد تایید سازمان – به‌منظور جلوگیری از حرکت جانبی مهاجمان در سطح شبکه – مجاز خواهد شد.

Endpoint Security Web Control

مهاجمان در حملات حرفه‌ای از تکنیک حفره آبیاری (Watering Hole) و ایمیل‌های فیشینگ هدفمند (Spear Phishing) حاوی لینک به سایت‌های مخرب برای رخنه اولیه به شبکه سازمان بهره می‌گیرند. اگر چه معمولا در زمان حضور کاربر در سازمان ارتباطات اینترنتی او از طریق محصولات موسوم به Web Proxy محافظت شده است اما در خارج از سازمان (برای مثال به دلیل دور کار شدن) که دیگر خبری از تجهیزات پیشرفته مذکور نیست کاربر به این تهدیدات آسیب‌پذیرتر می‌شود. Endpoint Security Web Control با رصد نتایج جستجوی ظاهر شده در موتورهای جستجوگر و سایت‌های فراخوانی شده بر روی دستگاه، کاربر را از گزند تهدیدات مبتنی بر وب ایمن نگاه می‌دارد.

دسترسی به سایت‌ها بر اساس میزان بی خطر، پیشینه – بر اساس اطلاعات سامانه Global Threat Intelligence –، محتوا، نشانی URL یا نام دامنه آنها مطابق با سیاست‌های سازمان قابل مدیریت است. تنظیمات پیکربندی شما را قادر به تنظیم پیکربندی می‌کند.

Endpoint Security Adaptive Threat Protection

بخش Adaptive Threat Protection دارای قابلیت‌هایی نظیر یادگیری ماشین، اطلاعات تهدید (Threat Intelligence)، پویش اسکریپت و تحلیل رفتار برنامه‌هاست که امکان مقابله مؤثر با تکنیک‌های پیچیده مورد استفاده در حملات هدفمند را فراهم می‌کند.

پویشگر Real Protect آن با رصد فعالیت‌های مشکوک بر روی سیستم‌ها و استفاده از تکنیک‌های رفتارشناسی الگوهای مخرب را شناسایی می‌کند. همچنین Real Protect می‌تواند با پویش اسکریپت‌های اجرا شده در بستر شبکه مخرب بودن آنها را تشخیص داده و نسبت به متوقف کردن آنها اقدام کند. پویشگر اسکریپت Real Protect با یکپارچگی با AMSI در Windows سیستم‌ها را از گزند اسکریپت‌های موسوم به Non-browser-based که در آنها از پروسه‌های معتبری همچون PowerShell،و JavaScript و VBScript بهره گرفته می‌شود حفظ می‌کند.

Endpoint Security Enhanced Remediation

اگر تا بحال با پیام موسوم به “اطلاعیه باج‌گیری” (Ransom Note) مواجه شده باشید به‌خوبی می‌دانید که این پیام تداعی‌کننده وارد آمدن زیان مالی، اتلاف شدن روزها و شاید هفته‌ها، از دست دادن داده‌های باارزش سازمان و یا حتی افشای آنهاست.

Enhanced Remediation از قابلیت‌های پیشرفته McAfee ENS است که برای ایمن نگاه داشتن اطلاعات از گزند باج‌گیران سایبری طراحی شده است. این قابلیت با رصد هر پروسه با پیشینه نامشخص و تهیه پشتیبان از تغییرات اعمال شده توسط آن به محض محرز شدن مخرب بودن آن تغییرات اعمال شده بر روی سیستم و اسناد را به حال قبل باز می‌گردند.

Endpoint Security Story Graph

Story Graph در McAfee ENS فعالیت تهدید را از بدو ورود به سیستم تا زمان متوقف شدن توسط ATP به تصویر می کشد. تصویر زیر نمونه‌ای را نشان می‌دهد که در آن یک سند Word که از طریق فیشینگ هدفمند به دست قربانی رسیده، اجرا شده و در آن ماکرویی حاوی PowerShell برای برقراری ارتباط با سرور فرماندهی (C2) فراخوانی شده است. در ادامه پس از ترفیع سطح دسترسی مهاجم، حرکت جانبی (Lateral Movement) در سطح شبکه آغاز می‌شود.

Story Graph سیر زمانی، وابستگی‌ها و ارتباطات رویداد را بصری می‌کند. با این قابلیت، راهبران و تحلیلگران امنیت می‌توانند به سرعت از رفتار مخرب متوقف شده توسط ATP آگاه شوند و از گسترش فعالیت‌های مهاجم در بستر شبکه جلوگیری کنند. اطلاعات جامع ارائه شده نظیر پروسه والد و نشانی IP مورد استفاده در جریان دریافت کد مخرب می‌تواند در تحقیقات تکمیلی بسیار کارگشا باشد. باید توجه داشت چنانچه در این مثال ماژول Threat Prevention همان طور که در بالا اشاره شد به نحوی تنظیم شده بود که سوءاستفاده از PowerShell را مسدود کند این حمله بسیار زودتر متوقف می‌شد.

Endpoint Security Self Protection

 در صورت موفقیت در رخنه به سیستم بسیار محتمل است که مهاجم اقدام به ویرایش، حذف یا غیرفعال کردن محصولات امنیتی کند. Self Protection تنظیمات متعددی را در اختیار راهبران قرار می‌دهد که ضمن محدودسازی حذف محصول، تلاش برای دست‌درازی به فایل‌ها و سرویس‌ها را مسدود و گزارش می‌کند.

تحلیل گران امنیتی باید همواره سیستم‌هایی که Self Protection آنها غیرفعال است را مورد توجه ویژه قرار دهند. McAfee ePO دارای گزارشی با عنوان Endpoint Security: Self Protection Compliance Status است که می‌توان آن را به‌طور مستمر در داشبورد رصد کرد یا در مجموعه گزارش‌های روزانه لحاظ کرد.

لازم به ذکر است که Mac OS و Linux هر دو توسط McAfee ENS قابل پشتیبانی هستند.

درباره مک‌آفی

شرکت McAfee در سال 1987 توسط بنیانگذار آن، John McAfee، تأسیس شد. بعدها، وی سهام خود را به‌طور کامل فروخت و از شرکت کناره‌گیری کرد ولی نام McAfee همچنان با این شرکت باقی ماند. البته برای مدت کوتاهی از اواخر دهه 1990 میلادی تا سال 2004، نام شرکت به Network Associates تغییر یافت ولی دوباره با تصمیم مدیران شرکت، نام McAfee انتخاب شد.

در سال 1998 این شرکت اقدام به خرید شرکت Dr. Solomon’s که شرکت مهندسی شبکه گستر نمایندگی انحصاری آن را در ایران داشت، نمود.

در سال 2010، شرکت Intel با پرداخت 7/7 میلیارد دلار، McAfee را به‌طور کامل خرید و در اختیار گرفت. در پی آن شرکت McAfee با حفظ ساختار، به‌عنوان یک شرکت تابعه متعلق به Intel تحت مجموعه بزرگ Intel Security به فعالیت خود ادامه داد.

در اواخر سال 2016 شرکت سرمایه‌گذاری TPG Capital اقدام به خرید 51 درصد از سهام Intel Security از Intel نمود و این شرکت از اوایل سال 2017 فعالیت رسمی خود را با منابع و سرمایه‌ای بیشتر اما به‌صورت مستقل از دو شرکت صاحب سهام خود – Intel و TPG Capital ‌– با همان نام قدیمی McAfee و با شعار جدید “قدرت در با همدیگر بودن است” (.Together is power) آغاز کرد.

McAfee با بیش از 7 هزار متخصص و اختراع بیش از 1550 فناوری ثبت شده یکی از بزرگترین و اصلی‌ترین تأمین‌کنندگان امنیت نقاط پایانی در جهان است.

فناوری‌های رفتارشناسی و یادگیری ماشین آن که بدون هر گونه محدودیت در تمام نقاط جهان از جمله ایران در دسترس هستند محصولات این شرکت را قادر به مقابله با پیچیده ترین تهدیدات امروزی کرده‌اند.

در حال حاضر 622 میلیون نقطه پایانی در سرتاسر جهان تحت پوشش محصولات McAfee قرار دارند. 87 درصد از بزرگترین بانک‌های جهان تحت پوشش راهکارهای مک‌آفی قرار دارند. 80 درصد از یکصد شرکت برتر (موسوم به Fortune 100) از محصولات شرکت McAfee برای حفاظت از سیستم‌های خود استفاده می‌کنند.