Harc indul a kártékony dokumentumok ellen

A vállalatokat, intézményeket, kormányzati szerveket sújtó célzott támadások gyakran megbízhatónak látszó dokumentumok révén következnek be. Az immár hazánkban is elérhető Malware Tracker technológiáknak köszönhetően ezek a kockázatok csökkenthetők.

A célzott támadások folyamatos veszélyt jelentenek a szervezetek számára függetlenül attól, hogy épp mely szektorokban végzik a tevékenységüket. A legtöbb kockázat azonban a nagyvállalatok, a kormányzati, a pénzügyi és az egészségügyi intézmények hálózatai kapcsán merül fel. Mint azt már sok biztonsági incidens igazolta, a fejlett, APT (Advanced Persistent Threat) típusú fenyegetettségek ellen nagyon nehéz a védekezés. Mind a megelőzés, mind a detektálás terén komoly kihívásokkal kell szembe nézni, már csak azért is, mert e támadások nem kizárólag a technológiai védelem gyengeségeit használják ki, hanem az emberi tényezőkre is jelentős mértékben építkeznek. Elég, ha csak azokra az esetekre gondolunk, amikor az elkövetők teljesen megbízhatónak látszó dokumentumok, fájlok (például Excel formátumú bérjegyzékek) megnyitására próbálják rávenni a felhasználókat, gyakorta nem is sikertelenül. Márpedig egyetlen fertőzött állomány megtekintése is beláthatatlan következményekkel járhat. Amennyiben ugyanis ezáltal a támadóknak sikerül kihasználniuk egy szoftveres sérülékenységet, akkor onnantól kezdve hátsó kaput tudnak kiépíteni, feltérképezhetik a hálózatot, adatokat szivárogtathatnak vagy egyéb nemkívánatos műveleteket hajthatnak végre. Ráadásul a tapasztalat azt mutatja, hogy ez ilyen típusú támadások sokszor hónapokig vagy akár évekig feltűnésmentesen zajlanak. Ezért a kockázatok csökkentése érdekében olyan eszközök bevetésére van szükség, amelyek specializált megoldásokkal lépnek fel e támadásokkal szemben, és még azelőtt lehetővé teszik a detektálást, mielőtt túl késő lenne.
 
Magyarországra is megérkezett a Malware Tracker
 
A Malware Tracker a biztonsági piacon elsősorban azon technológiáival szerzett hírnevet magának, amelyek kifejezetten dokumentumok ellenőrzésére szolgálnak. Ezek az APT-fenyegetettségek méregfogát olyan módon húzzák ki, hogy a gyakran használt dokumentumtípusokat sokkal mélyrehatóbban veszik górcső alá, mint a hagyományos védelmi eljárások. Ezáltal olyan rejtett támadásokat is felismernek, amelyek más különben szó nélkül hatolnának át a biztonsági vonalakon. A vállalat szerint azért is nagy jelentősége van a mélyreható elemzéseknek, mert a VirusTotal statisztikái szerint a dokumentumokba rejtett kártékony kódoknak csak a 12-20 százalékát képesek leleplezni az általános célú biztonsági szoftverek.
 
Dokumentumok nagyító alatt
 
A Malware Tracker a dokumentumok ellenőrzéséhez a Cryptam Malware Document Detection Suite nevű szoftverét fejlesztette ki. Az alkalmazás segítségével olyan gyakori fájlformátumok válhatnak védelmi szempontból kezelhetővé, mint amilyen például a Word, a PowerPoint, az Excel, az RTF, a CHM, a HLP és nem utolsó sorban a PDF. A Cryptam - ahogy arra a neve is utal - különböző kriptoanalízisekre épülő módszerek felhasználásával képes kimutatni a dokumentumokba rejtett, titkosított malware-eket. E feladatának teljesítése során megbirkózik az Open XML formátumú állományokkal is, így a docx, a pptx és az xlsx fájlok sem jelentenek számára problémát. Képes kimutatni a futtatható kódokat, a makrókat, de még a beágyazott, ártalmas Flash tartalmakat is. Amikor pedig ráakad egy gyanús kódra, akkor azt nem kizárólag statikus elemzéseknek veti alá, hanem sandbox környezetben egyéb analíziseket is végez. Eközben azért a régóta alkalmazott, szignatúra-adatbázisokra épülő technikákat sem hanyagolja.  
A Cryptam fejlesztői az alkalmazásukat több olyan módszer detektálására is felkészítették, amelyeket a kiberbűnözők a kódjaik álcázására használnak. Így például a gyakorta alkalmazott XOR, ROR, ROL alapú kódrejtés (titkosítás) sem okoz gondot a víruskeresés során. A Cryptam a Windows és a Mac kompatibilis károkozók felderítésére is alkalmas, azaz heterogén környezetekben is bevethető.
 
Középpontban a PDF
 
A Malware Tracker a PDF-dokumentumok ellenőrzése érdekében egy további védelmi eszközt is kínál. Ez persze nem csoda, hiszen a PDF-formátum igencsak közkedvelt a kiberbűnözők körében, vagyis nagyon gyakori támadási felületet jelent. Az Adobe Acrobat és Reader alkalmazásokban rendszeresen derül fény különféle sérülékenységekre. Ugyan a gyártó igyekszik ezeket a lehető leghamarabb megszüntetni, de az igyekezet sokszor nem elég, hiszen az exploit kitekben gyorsan tűnnek fel a biztonsági rések kihasználására alkalmas kódok. A PDFExaminer célja, hogy az ártalmas PDF-állományokat nagy pontossággal kiszűrje.
 
A PDFExaminer a PDF-fájlok legmélyebb zugaiba is betekint, alaposan feltérképezi azok struktúráját, és észleli az exploit kódokat, a JavaScripteket, valamint az egyéb beágyazott objektumokat, amiket alaposan kiértékel. A folyamatosan frissülő eszköz minden olyan sérülékenység elleni küzdelemre alkalmas, amelyek rendelkeznek CVE-azonosítóval. Azokban az esetekben is használható, amikor a PDF-tartalom beágyazottan jelenik meg, például XDP-adatok vizsgálatakor. A szoftver lényeges jellemzője, hogy a kódolt vagy obfuszkált adatfolyamokon is képes elvégezni az elemzéseket.  
A PDFExaminer egy parancssoros felületet is kapott, aminek köszönhetően PHP segítségével indítható el az ellenőrzés egy-egy fájlon vagy akár egész könyvtárakon. Az új interfésszel megteremthető az együttműködés különféle e-mail, valamint hálózatbiztonsági átjárókkal, és olyan fenyegetettségek is gyorsan felismerhetővé válhatnak, amelyek a hagyományos antivírus alkalmazások védelmi vonalai alatt gyakorta átcsúsznak. Itt érdemes megjegyezni, hogy az átjárókon a QuickSand.io használatára is van mód, amely egy parancssoros vagy integrált keretrendszert biztosít a dokumentumelemzéshez. Ez akár a sandbox alapú vizsgálatok előfeldolgozójaként is hadra fogható.
 
A PDFExaminer ingyenesen kipróbálható online szolgáltatás formájában.
 
A Malware Tracker védelmi technológiáinak, alkalmazásainak hazai forgalomazója a Digital Forensics Kft.