CC BY
57
М. М. Жуков, кандидат технических наук, доцент Ю. М. Баркалов
А. Ю. Телков, кандидат физико-математических наук, доцент
МЕТОДОЛОГИЧЕСКИЙ ПОДХОД К ИМИТАЦИОННОМУ МОДЕЛИРОВАНИЮ ПРИ ИССЛЕДОВАНИИ ПРАКТИЧЕСКОЙ ЭФФЕКТИВНОСТИ СИСТЕМ ЗАЩИТЫ ОТ СЕТЕВЫХ КИБЕРАТАК
METHODOLOGICAL APPROACH TO SIMULATION MODELING IN STUDYING THE PRACTICAL EFFICIENCY OF PROTECTION SYSTEMS AGAINST NETWORK CYBER ATTACKS
Предложен подход к имитационному моделированию при исследовании практической эффективности систем защиты от сетевых кибератак. Определены функционально значимые подсистемы для моделирования, определена структура сетевого ки-берполигона. Обоснованы пути реализации имитационных моделей. Рассмотрена частная реализация предложенного подхода для оценки эффективности сетевых и хостовых систем обнаружения вторжений при противодействии сетевым кибератакам на некоторые прикладные протоколы удаленного доступа.
An approach to simulation modeling in the study of the practical effectiveness of protection systems against network cyberattacks is proposed. Functionally significant subsystems for modeling are determined, the structure of the network cyber polygon is determined. The ways of implementation of simulation models are substantiated. A particular implementation of the proposed approach for evaluating the effectiveness of network and host intrusion detection systems in countering network cyber attacks on some applied remote access protocols is considered.
Введение. В настоящее время, в связи с повсеместной цифровизацией и использованием сети Интернет в качестве транспортной инфраструктуры, особую актуальность приобретают вопросы защиты систем, использующих открытые сетевые ресурсы для хранения и обработки данных.
Отчет ключевого участника телекоммуникационного обмена компании Cisco Systems об основных киберугрозах последних лет в сфере защиты информации и безопасности данных позволяет сделать вывод об увеличении количества инцидентов, связанных с использованием глобальной сети Интернет для совершения удаленных сетевых кибератак [1]. В частности, по данным выборочного опроса вендора 51% компаний уже столкнулись с атаками, связанными с эксплуатацией шифровальщиков, 26% заплатили злоумышленникам выкуп, при этом средняя сумма выкупа в 2020 году составила 178 тыс. долларов, а для малого бизнеса — 5900 долларов. В среднем каждые 14 секунд фиксируется новая атака программ-вымогателей, средняя длительность проникновения в информационную систему составляет 4 часа, пакет инструментов для организации атаки в теневом сегменте сети Интернет стоит около 50 долларов.
Реализация большинства сценариев сетевого кибернападения предусматривает наличие определенной инфраструктуры. Данная инфраструктура направлена, как-правило, на компрометацию информационных систем для получения над ними контроля с целью включения в ботнет [2], получения несанкционированного доступа к информации, ее шифрования или хищения с целью последующего вымогательства или продажи [3], приведения информационного ресурса в неработоспособное состояние [4].
24
Указанная инфраструктура предусматривает существование определенных категорий:
- авторов вредоносного программного обеспечения. По данным некоторых исследований [5] часть группировок сосредоточены исключительно на разработке;
- злоумышленников, непосредственно применяющих вредоносное программное обеспечение (ПО) с подконтрольных им информационных систем. Вредоносное ПО может быть применено с ранее скомпрометированных информационных систем — реальных компьютеров, ботнетов, виртуальных машин на публичных хостингах и т. д.;
- каналов доставки вредоносного программного обеспечения в целевые информационные системы. Примерами таких каналов являются: электронная почта, сделанные злоумышленникам копии легитимных web-порталов с созвучными оригинальным доменными именами, уязвимости операционных систем, ошибки конфигурирования сетевого оборудования и др.;
- так называемых C&C серверов (англ. — Communication And Control Servers — серверы управления и контроля), позволяющих осуществлять управление вредоносным программным обеспечением после его закрепления в информационной системе-жертве.
В интересах решения проблемы кибербезопасности информационных систем важным является решение задачи практической оценки эффективности средств кибер-защиты. Решение этой задачи может быть получено путем воспроизведения условий информационного взаимодействия, обеспечивающих достаточную с точки зрения рассматриваемых процессов и явлений схожесть с реальными условиями работы систем защиты и средств нападения и анализа сценариев развития событий.
Целью настоящей работы является обоснование выбора подсистем киберполи-гона для имитационного моделирования процессов защиты от сетевых кибератак, расследования сетевых киберинцидентов и практической оценки эффективности систем, призванных обеспечивать такую защиту.
1. Существующие подходы к моделированию сетевых злоупотреблений и их обнаружению. Исторически вопросы, связанные с сетевыми нарушениями или злоупотреблениями, изначально рассматривались в ключе обнаружения сетевых атак. В русскоязычных источниках достаточно полная классификация соответствующих методов и алгоритмов приведена в работе [6]. В работах, на основе которых написан данный обзор, акцент сделан на разработку и оптимизацию алгоритмов обнаружения, при этом вопросам происхождения аномального трафика уделяется минимальное внимание, вопросы фиксации следов при прохождении трафика через сетевое оборудование не рассматриваются. В работе [7] анализируется применение подходов, позволяющих получить подробную оценку рисков кибербезопасности и, как следствие, обеспечить более обоснованный выбор средств для реализации стратегии многоуровневой эшелонированной защиты, в работе [8] рассматривается имитационная модель, которая позволяет решать широкий спектр задач, в частности, задач управления временем обработки сообщений об инцидентах безопасности, оптимизации ресурсного обеспечения информационной безопасности, ее прогнозирования. В [7, 8] отмечается сложность моделирования самих кибератак, а не их векторов ввиду неполноты исходных данных о количестве, структуре и составу реальных распределенных систем. В работе [9], для упрощения, моделирование сетевой инфраструктуры сложных объектов выполняется с использованием теории графов. В [10] с целью упрощения описана методика моделирования защищенной локальной вычислительной сети организации в среде имитационного моделирования Gsco Packet Tracer. В зарубежной литературе, например в [11], упоминается использование моделей дерева атак, вектора атаки, поверхности атаки, ромбовидной модели, модели угроз OWASP и Kill Chain, а также приводятся общие шаги и алгоритмы моделирования кибератак по трем последним из упомянутых моделей и перечень вопросов, ответы на которые могут быть получены в ходе разбора соответствующих киберинцидентов.
Несмотря на несомненные положительные стороны, в качестве ключевых недостатков известных подходов к моделированию сетевых кибератак и связанных с ними процессов следует указать их низкую ориентированность на получение в результате такого моделирования следовой картины киберинцидентов и на возможность наблюдения развития кибератак в реальном масштабе времени. Вместе с тем решение данного вопроса критически важно для последующего использования, например, при подготовке специалистов в области защиты информационных систем различного назначения и технической экспертизы компьютерной информации.
2. Обоснование выбора подсистем киберполигона для имитационного моделирования. В работе [12] сделан вывод о том, что современная преступная интернет-деятельность оставляет за собой материальные следы, идеальные следы в виде показаний потерпевших, свидетелей и подозреваемых (обвиняемых), виртуальные следы в виде кэш-файлов, IP-адресов, журналов историй, log-файлов и т. п. Отмечается, что одним из важнейших элементов следовой картины рассматриваемой категории преступлений является информация, оставленная преступниками в сети Интернет, в том числе в результате их контакта с жертвой (переписка, фотографии, всевозможные записи и т. п.). Элементами следовой картины, оставляемой интернет-преступлениями, являются традиционные следы (материальные и идеальные), а также новые, малоизученные криминалистикой виды следов — виртуальные и информационные, фиксации и изъятию которых должно быть уделено особое внимание, обусловленное их свойствами. Особая сложность обнаружения следов интернет-преступлений обусловлена особенностями сети Интернет. Подчеркивается, что следы преступных действий могут быть распределены по множеству объектов (компьютерная система жертвы, преступника, провайдера, промежуточные сетевые узлы и т. п.).
В то же время известно, что в сетях информация может быть собрана с помощью предварительно настроенных сетевых протоколов snmp, syslog, IPFIX (Cisco NetFlow) и захватчиков трафика — WireShark, tcpdump и подобных [13]. Существуют комбинированные решения, позволяющие использовать сразу несколько протоколов, инструменты анализа и захвата сетевого трафика. С учетом разнородного характера информации, на основе анализа которой могут быть сделаны выводы о наличии вредоносного кода или вредоносной активности, в сетях средних и крупных масштабов применяют системы управления событиями информационной безопасности, так называемые SIEM. Положительные примеры мировой практики применения подобных систем позволяют говорить о внушительном списке проверенных решений: IBM QRadar Security Intelligence, Splunk Enterprise Security, McAfee Enterprise Security Manager, AlienVault Unified Security Platform, Micro Focus ArcSight Enterprise Security Manager, RSA NetWit-ness Platform, FireEye Helix Security Platform, Rapid7 insightIDR, Fortinet FortiSIEM, MaxPatrol SIEM, RuSIEM, SIEM KUMA, единая модульная платформа лаборатории Касперского [14] и др. По состоянию на середину 202l г. на сайте ФСТЭК России в Государственном реестре сертифицированных средств защиты информации имелось порядка 10 продуктов, в составе названий которых фигурировала аббревиатура SIEM.
С учетом приведенных фактов, данных о механизмах следообразования в сети Интернет, а также информации о категориях объектов, вовлекаемых в процесс реализации сетевых кибератак, предлагается следующая структура сетевого киберполигона:
1. Сегмент информационных систем-жертв. В данном сегменте в соответствии со сценарием кибератаки размещаются информационные системы, имеющие уязвимости, ошибки конфигурирования, неточности настройки и т. п.
2. Сегмент атакующих. В данном сегменте в соответствии со сценарием кибе-ратаки размещаются атакующие хосты со специальным программным обеспечением, скриптами автоматизации атак и т. д.
3. Ядро маршрутизации и коммутации. Назначение данного сегмента заключается в предоставлении сервисов коммутации и маршрутизации между отдельными сете-
выми сегментами киберполигона. В данный сегмент также входит граничный маршрутизатор, отделяющий сетевые сегменты киберполигона от рабочей сети или сети датацентра, в которой он развернут, а также при необходимости обеспечивающий подключение к сети Интернет, и сервисы VPN «сеть-сеть» и «сеть-пользователь» для работы на полигоне с рабочих станций удаленных учебных классов или отдельных удаленных пользователей.
4. Сегмент постоянных сервисов. В данном сегменте размещаются постоянные сервисы, к которым следует отнести компоненты отображения и обработки SIEM, вспомогательные системы мониторинга объектов киберполигона и другие необходимые системы.
Практическое использование полигона предполагает наличие сценариев реализации кибератак, основанное на комбинировании возможных векторов кибератак применительно к рассматриваемой структуре и составу информационных ресурсов и конкретную реализацию этих атак с одновременным решением задачи защиты, наблюдения и реагирования имеющимися силами и средствами.
С учетом возможностей аппаратных ресурсов современных ЭВМ и преимуществ систем виртуализации [15] предлагается схема для реализации сетевого киберполигона, показанная на рис. 1.
В принятых обозначениях сегмент информационных систем-жертв представлен серверами SRV11, SRV12, коммутатором S11 и межсетевым экраном FW11; сегмент атакующих — серверами SRV21, SRV22, коммутатором S22 и маршрутизатором R21; ядро маршрутизации и коммутации представлено «моделью сети Интернет» — маршрутизатором R31 и коммутаторами S31, S32, S33 для подключения к другим сетевым сегментам полигона, а также межсетевым экраном FW51 для подключения к сети организации или датацентра.
Рис. 1. Схема сетевого киберполигона для исследования практической эффективности систем противодействия сетевым кибератакам
В дополнение к уже заявленным функциям составляющих подсистем отметим, что межсетевой экран FW51 в данной схеме предполагает настройку сетевой политики безопасности, запрещающей взаимодействие любого внутреннего узла из состава ки-берполигона с любым узлом, не входящим в список учебных автоматизированных рабочих мест (АРМ) организации — локальных или удаленных, а реальные физические подключения к сети организации или датацентра есть только у серверов виртуализации, обозначенных на схеме VES1, VES2, и внешнего интерфейса межсетевого экрана FW51, на котором предполагается настройка механизма трансляции сетевых адресов NAT, причем «внешней» сетью считается сеть организации, а «внутренней» — сетевое соединение между соответствующим интерфейсом маршрутизатора R31 и внутренним интерфейсом межсетевого экрана FW51. При наличии в сети организации сервера авторизации при доступе в сеть Интернет в межсетевой экран FW51 может быть встроено подключаемое клиентское VPN-соединение для обеспечение такого доступа всем узлам из состава киберполигона, например, на период обновления вирусных баз, списков запрещенных узлов, сигнатур сетевых атак и и т. п. Кроме того, с учетом модульности предлагаемого решения ядро коммутации и маршрутизации может быть дополнено внешним сетевым оборудованием, на котором могут быть смоделированы иные виды атак, напрямую не относящиеся к сетевым кибератакам, совершаемым удаленно через сеть Интернет — например, «угон» маршрута протокола динамической маршрутизации BGP, отравление записи DNS сервера и т. д. [5]. Возможность такой интеграции обеспечивается использованием мостовых соединений канального уровня между физическими интерфейсами или под-интерфейсами, прежде всего, виртуальных или физических коммутаторов S31, S32, S33, физическими интерфейсами или под-интерфейсами серверов виртуализации и физическими интерфейсами или под-интерфейсами исследуемого внешнего сетевого оборудования.
3. Пример реализации киберполигона для имитационного моделирования. Рассмотрим конкретный пример реализации киберполигона и на нем — конкретный сценарий развития сетевой кибератаки, ее наблюдения и реагирование на нее. В данном примере киберполигон реализован на удаленной технологической площадке с одним физическим сервером с операционной системой Debian Linux 10.10 с установленным средством виртуализации ProxMox VE 6.4-13, размещенным непосредственно за NAT маршрутизатором с одним общественным IPv4 адресом на его внешнем интерфейсе. При реализации подобного решения для целей поточного удаленного обучения целесообразно предложить подключение удаленных учебных классов к сетевым сегментам полигона через внешний VPN концентратор, по отношению к которому граничный VPN маршрутизатор киберполигона также будет являться клиентом. Это позволит исключить атаки внешних злоумышленников на серверный транспортный VPN порт технологической площадки с киберполигоном, убрав необходимость иметь и использовать такой порт. Основная адресная информация, относящаяся к объектам киберполигона, сведена в таблицы 1—4, а логика именования узлов сохранена по отношению к общему случаю, рассмотренному в разделе 2.
Таблица 1
Сегмент информационных систем-жертв. Подсеть 10.36.15.0/24
№ п/п Хост Интерфейс IPv4 адрес Сетевой префикс Шлюз по умолчанию, DNS сервер Примечание
i. SRV11 Eth0 10.36.15.3 /24 10.36.15.1, 10.36.15.1 Windows 2012 Server Сетевые сервисы: RDP, zabbix-client
№ п/п Хост Интерфейс IPv4 адрес Сетевой префикс Шлюз по умолчанию, DNS сервер Примечание
2. SRV12 Eth0 10.36.15.5 /24 10.36.15.1, 10.36.15.1 CentOS7 Server Сетевые сервисы: PostgreSQL, MySQL, http, https, zabbix-client, ssh, сервер 1С:Предприятие 8
3. FW11 WAN (vtnet0) 1.1.1.254 /24 1.1.1.1 pfSense 2.5.2 Сетевые сервисы: https, zabbix-client, ssh, NAT, IDS/IPS Suricata
LAN (vtnet1) 10.36.15.1 /24 -
4. S11 - - - - Неуправляемый коммутатор
Таблица 2
Сегмент атакующих. Подсеть 10.48.11.0/24
№ п/п Устройство Интерфейс IPv4 адрес Сетевой префикс Шлюз по умолчанию, DNS сервер Примечание
1. SRV21 Eth0 10.48.11.254 /24 10.48.11.1, 10.48.11.1 Kali Linux Сетевые сервисы: RDP, zabbix-client, ssh Pentest-tools
2. SRV22 Eth0 10.48.11.253 /24 10.48.11.1, 10.48.11.1 BackBox Linux Сетевые сервисы: RDP, zabbix-client, ssh Pentest-tools
3. R21 WAN (vtnet0) 2.2.2.254 /24 2.2.2.1 pfSense 2.5.2 Сетевые сервисы: https, zabbix-client, ssh, NAT
LAN (vtnet1) 10.48.11.1 /24 -
4. S21 - - - - Неуправляемый коммутатор
Таблица 3 Сегмент маршрутизации и коммутации
№ п/п Устройство Интерфейс IPv4 адрес Сетевой префикс Шлюз по умолчанию, DNS сервер Примечание
1. R31 VCS 1.1.1.1 /24 - К жертвам
ATS 2.2.2.1 /24 - К атакующим
SRS 3.3.3.1 /24 - К постоянным сервисам
WAN X.X.X.17 /24 X.X.X.230, 8.8.8.8 К интернету через реальный NAT маршрутизатор
tun0 10.177.13.1 /24 - Для удаленных защищенных подключений «сеть-сеть»
tun1 10.177.9.1 /24 - Для удаленных защищенных подключений «сеть-пользователь»
2. S31 - - - - Неуправляемый коммутатор
3. S32 - - - - Неуправляемый коммутатор
4. S33 - - - - Неуправляемый коммутатор
5. S34 - - - - Неуправляемый коммутатор
В рассматриваемой реализации функции граничного маршрутизатора FW51 возложены на R31, в результате чего у R31 возникли новые интерфейсы — WAN, tun0, tunl, а сетевой маршрутизатор FW51 отсутствует. Маршрутизатор R31 собран на основе операционной системы CentOS8, служб iptables и OpenVPN, причем зарегистрировано два серверных процесса VPN: один для обслуживания подключений «сеть-сеть», конфигурация которого оптимизирована под оборудование Mikrotik, а второй для обслуживания подключений «сеть-пользователь» — со стартовым TLS ключом и усиленными параметрами безопасности соединений. Параметры VPN сконфигурированы для работы на основе индивидуальных цифровых сертификатов с возможностью выпуска, отзыва, блокировки на произвольные временные периоды. Для мониторинга сетевых потоков на R31 установлен пакет ipcad 3.7.3-23.3x86-64, эмулирующий работу механизма Cisco NetFlow и программное обеспечение Manage Engine NetFlow Analyzer в варианте «free edition», которое представляет собой коллектор NetFlow трафика и обеспечивает функции отображения витрин данных.
Сегменты информационных систем-жертв и атакующих скрыты за NAT маршрутизаторами, что соответствует реальным типовым настройкам информационных систем малого и среднего масштабов. Для публикации информационных сервисов на межсетевом экране FW11 настроена трансляция сетевых портов, как показано в таблице 5, а для удаленного доступа и реализации атак с узлов атакующих на маршрутизаторе R21 настроена трансляция сетевых портов, как показано в таблице 6. В результате этих настроек обращение к сетевым сервисам сегмента 10.36.15.0/24 становится возможным через IP адрес 1.1.1.254, а удаленное управление узлами в сегменте 10.48.11.0/24 через адрес 2.2.2.254.
Таблица 4
Сегмент постоянных сервисов
№ п/п Устройство Интерфейс IPv4 адрес Сетевой префикс Шлюз по умолчанию, DNS сервер Примечание
1. SRV41 Eth0 3.3.3.7 /24 3.3.3.1, 3.3.3.1 CentOS8 Zabbix 5.5 Server
2. SRV42 Eth0 3.3.3.9 /24 3.3.3.1, 3.3.3.1 CentOS8 ELK Stack 7.16.2 PFELK 22.01
3. S41 - - - - Неуправляемый коммутатор
Таблица 5
Настройка трансляции сетевых портов на FW11
№ п/п Интерфейс Протокол Адрес источника Порт источника Адрес назна-че-ния Порт назначения NAT IP NAT ports Примечание
1. WAN TCP любой любой WAN адрес 20-21 10.36.15.5 20-21 FTP на SRV12
2. WAN TCP любой любой WAN адрес 90019009 10.36.15.5 90019009 FTP passive на SRV12
3. WAN TCP любой любой WAN адрес 4805048051 10.36.15.3 1005010051 Zabbix agent на SRV11
4. WAN TCP любой любой WAN адрес 48389 10.36.15.3 3389 RDP на SRV11
5. WAN TCP любой любой WAN адрес 4815048151 10.36.15.5 1005010051 Zabbix agent на SRV12
6. WAN TCP любой любой WAN адрес 48080 10.36.15.5 80 http на SRV12
Таблица 6
Настройка трансляции сетевых портов на R21
№ п/п Интерфейс Протокол Адрес источника Порт источника Адрес назначения Порт назначения NAT IP NAT ports Примечание
1. WAN TCP любой любой WAN адрес 49389 10.48.11.254 3389 RDP на SRV21
2. WAN TCP любой любой WAN адрес 49022 10.48.11.254 22 ssh на SRV21
3. WAN TCP любой любой WAN адрес 4905049051 10.48.11.254 1005010051 Zabbix agent на SRV21
4. WAN TCP любой любой WAN адрес 45389 10.48.11.253 3389 RDP на SRV22
5. WAN TCP любой любой WAN адрес 45022 10.48.11.253 22 ssh на SRV22
6. WAN TCP любой любой WAN адрес 4505045051 10.48.11.253 1005010051 Zabbix agent на SRV22
Станции атакующих в рассматриваемом варианте реализации киберполигона виртуализованы, к ним настроен удаленный доступ по протоколам RDP и ssh. Это позволяет ограничить перечень программного обеспечения на рабочих станциях учебных классов до графического и консольного тонких клиентов — например, клиента удаленных рабочих столов tsclient и putty для Windows или клиента удаленных рабочих столов rdesktop и клиента putty для Linux.
4. Реализация начальных шагов сетевой кибератаки, наблюдение ее развития и разбор результатов. Руководство по реагированию на инциденты компьютерной безопасности Касперского [16] описывает основные этапы совершения киберпреступ-ления, которые, в общем случае, подразумевают: разведку и сбор данных; выбор способа атаки; доставку; эксплуатацию; закрепление; исполнение команд; достижение цели; сокрытие следов.
С учетом содержания приведенной цепочки, представляющей собой посути переводной эквивалент упоминаемой во втором разделе модели Kill Chain, рассмотрим сценарий киберинцидента и воспроизведем его. В качестве киберинцидента исследуем получение несанкционированного доступа к серверу удаленных рабочих столов Windows по протоколу RDP за счет использования специального программного обеспечения подбора параметров учетной записи Windows, имеющей права на удаленный вход в систему. Данный вид атаки получил особенно широкое распространение в период пандемии [1, 5]. Рассмотрим сценарий совершения успешной кибератаки и образовавшуюся следовую картину, не рассматривая здесь алгоритм и методики сетевого противодействия.
Сформулируем, для определенности, легенду, в рамках которой совершается киберинцидент. Сотрудники бухгалтерии компании А после прибытия на работу в очередной рабочий день и входа на сервер удаленных рабочих столов Windows Server до начала работы с системой 1С:Предприятие обнаружили изменение стартового окна входа в систему, на котором появилась информация о том, что система была взломана и данные были зашифрованы. При попытке открытия офисных документов и баз данных системы 1С:Предприятие, связанных с автоматизацией повседневной деятельности, из истории файлов выдавались сообщения, что документы не найдены. Системный инженер развернул поврежденный функционал на резервном сервере, восстановив файлы и базы данных с холодного сервера резервного копирования с потерей данных за последние двое суток (с учетом расписания архивации). Инженер сообщил, что примерно две недели назад он открыл в сеть Интернет порт удаленных рабочих столов данного сервера напрямую для обеспечения возможности
работы на нем сотрудника, убывшего в зарубежную командировку с планшетом, т.к. тот высказался о неудобстве работы с сервером RDP с предварительной установкой VPN соединения до корпоративной сети.
По ситуации могут быть сформулированы следующие вопросы:
1. Какие сведения имеются о способах реализации несанкционированного доступа?
2. Имеются ли в системе данные о действиях внутренних нарушителей?
3. Имеются ли в системе данные о незаконной модификации или копировании информации на внешние ресурсы?
Смоделируем этап разведки и сбора данных — сканирование внешнего IP адреса корпоративной сети (внешний IP адрес FW11 — 1.1.1.254) с помощью сканера nmap с сервера SRV21, а затем с него же подбор пароля RDP одной из соответствущих программ из инструментария установленной на нем операционной системы (выбор способа атаки; доставка; эксплуатация).
Посмотрим, на каких объектах сформируется следовая картина в результате первого этапа кибератаки. Потенциально, как отмечено в [12], следы могут сформироваться: на атакующем компьютере, на компьютере жертве и на сетевой инфраструктуре. На атакующем компьютере сканирование портов может быть запущено как показано на рис. 2 (выбранные параметры nmap соответствуют «агрессивному» сканированию, не отвечающему на ping узла с IP адресом назначения 1.1.1.254, во всем диапазоне возможных номеров портов 1...65535 с определением версий сетевых служб и сервисов, а также версий операционных систем и имен удаленных хостов.
9 1122) -] nmap -A -Pn p 1-65535 1.1,1.254 Starting Nmap 7.92 ( https://nmap.org ) at 2022-01-08 18=25 HSK Nmap scan report for 1.1.1.254 Host is up (0.00048s latency). Not shown: 65518 filtered tcp ports (no-response) PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD or KnFTPD
22/tcp open ssh OpenSSH 7.9 (protocol 2.0)
9001/tcp closed tor-orport 9002/tcp closed dynamid 9003/tcp closed unknown 9004/tcp closed unknown 9005/tcp closed golem 9007/tcp closed ogs-client 9008/tcp closed ogs-server 9009/tcp closed pichat 10050/tcp open tcpwrapped 48050/tcp open tcpwrapped 48051/tcp closed unknown
48080/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16)
I_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16 I http-methods:
l_ Potentially risky methods: TRACE
Lhttp-title: Site doesn't have a title (text/html; charset=UTF-8). 48150/tcp open tcpwrapped 48151/tcp closed unknown
начало
48389/tcp open ssl/unknown I ssl-cert: Subject: commonName=WINSRV2012VICT
1 Not valid before: 2021-12-14Твб:38:04 I_Not valid after: 2022-06-15T06:38:04
|_ssl-date: 2022-01-08T15¡30:22+00:00; +3s from scanner time. Device type: general purpose
Running (JUST GUESSING): Linux 4.X|3.X|2.6.X (97%)
OS CPE: cpe:/o:linux:linux_kernel:4.в cpe:/o:linux:linux_kernel:3 cpe:/ o:linux:linux_kernel:2.6.32
Aggressive OS guesses: Linux 4.0 (97%), Linux 4.4 (93%), Linux 3.10 - 3 .16 (88%), Linux 3.11 - 4.1 (88%), Linux 2.6.32 (87%), Linux 3.10 - 3.1
2 (87%), Linux 3.10 (87%)
No exact OS matches for host (test conditions non-ideal). Network Distance: 3 hops Service Info: OS: Unix
Host script results:
I_clock-skew: 2s
TRACEROUTE (using port 9005/tcp) HOP RTT ADDRESS
1 0.22 ms pfSenseAtts.ATT.net (10.48.11.1)
2 0.40 ms 2.2.2.1
3 0.56 ms 1.1.1.254
OS and Service detection performed. Please report any incorrect results
at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 299.65 seconds
окончание
Рис. 2. Типовой вариант запуска и вывод команды, использующей сетевой сканер nmap
Если сравнить приведенный результат и строки таблицы 5, содержащей описание трансляций портов NAT маршрутизатора FW11, замечаем, что 100% открытых портов были обнаружены, причем для некоторых служб были определены их версии, несмотря на то, что часть служб была опубликована на нестандартных портах. Кроме этого в заключительной части отчета присутствует маршрут до сканируемого узла, который оказался в трех транзитных прыжках от атакующего компьютера. При перенаправлении вывода подобных команд в файлы эти файлы будут содержать информацию о состоявшихся попытках сканирования атакуемого ресурса на атакующем устройстве.
При данном варианте команды сканирования многократных обращений к серверным службам не происходит, поэтому в журналах событий безопасности соответствующих служб хостов SRV11, SRV12 характерных потоков событий на этом этапе атаки обнаружить не удается.
Однако рассматриваемая сетевая атака происходит через подконтрольный граничный маршрутизатор FW11. В рассматриваемом случае на этом маршрутизаторе, который представляет собой многофункциональный межсетевой экран pfSense [17], установлена IDS/IPS — система обнаружения и предотвращения вторжений Suricata [18] с множественными базами сигнатур атак — см. рис. 3, которая используется для детектирования атак и фиксации соответствующих следов. Для обеспечения наглядности происходящих событий безопасности на межсетевом устройстве настроена отправка событий безопасности по протоколу syslog на узел с установленным стеком программ Elastic [19]. Разбор приходящих в компонент Logstash логов, формирование нереляционной базы данных документов Elasticsearch, а также формирование витрин данных Kibana реализовано с помощью решения PFELK [20]. Фрагмент панели данных Suricata показан на рис. 4.
INSTALLED RULE SET MD5 SIGNATURES
Rule Set Name/Publisher MD5 Signature Hash MD5 Signature Date
Emerging Threats Open Rules 978a5674a7985e6140352ad3256e7575 Saturday, 08-Jan-22 17:28:27 MSK
Snort Subscriber Rules 53Ы 919831432c15bb7fda40b2164433 Saturday, 08-Jan-22 00:15:42 MSK
Snort GPLv2 Community Rules 6fd8bd1527f 1 e2ee1204b528f3e63304 Saturday, 08-Jan-22 00:15:42 MSK
Feodo Tracker Botnet C2 IP Rules 239ac6aa8e28020e3c4b4584dd496643 Saturday, 08-Jan-22 00:15:37 MSK
ABUSE.ch SSL Blacklist Rules febbedbafd9f46e5be7ec7051 fd72478 Saturday, 01-Jan-22 00:15:42 MSK
Рис. 3. Базы сигнатур атак модуля Suricata 6.0.3.3 решения pfSense 2.5.2.
Рис. 4. Фрагмент панели данных Бипса1а решения РБЕЬК 22.01 в период времени, соответствующий сетевой атаке в виде сканирования портов
Рассмотрим содержимое фрагмента панели данных, доступной по адресу http://3.3.3.9:5601 и показанной на рис. 4 (слева направо, сверху вниз). В левой верхней части показаны транзитные потоки пакетов. Среди этих потоков можно найти сетевое взаимодействие 2.2.2.254 -> 1.1.1.254, которое, как будет установлено, соответствует процессу сканирования портов внешним нарушителем. Справа имеется блок фильтрации выводимых данных и матричное представление возникающих событий безопасности. В следующем информационном блоке слева имеется протяженная гистограмма событий, она в нашем случае самая информативная. В окрестности момента времени сканирования (18—15) наблюдаем характерный всплеск потока событий, расшифровка элементов которого может быть найдена в нижней, табличной части информационной панели, а также попадает в область выше нижней таблицы справа с указанием типа события (по имеющимся базам сигнатур) и IP адреса источника события. Под временной гистограммой событий безопасности расположены три круговых диаграммы. Первая дает распределение возникающих событий по интерфейсам, вторая — по уровню серьезности и третья — по удельному весу классов событий в общем объеме.
На втором этапе кибератаки в результате применения специального программного обеспечения по подбору пароля гистограмма событий будет аналогичной показанной на рис. 4 (по этой причине еще раз приводить этот рисунок мы не будем), и обнаружить данную атаку можно будет также по характерному всплеску событий. Однако, поскольку будут происходить повторяющиеся обращения к службе удаленных рабочих столов сервера SRV11 с перебором сочетаний имен пользователей и паролей, в журнале безопасности Windows Server будут появляться характерные события с отказами во входе в систему, как показано на рис. 5. Развернув подробности событий, можно уточнить IP адрес атакующего узла. Наличие подобной картины в журнале событий Windows Server указывает на факты возможного использования специального программного обеспечения подбора паролей учетных записей Windows, а детализация IP адреса с привлечением дополнительной информации позволит заключить, является нарушитель внутренним или внешним. Это позволит ответить на первый и второй вопросы, сформулированные относительно возникшей ситуации.
Безопасность Событий: 9 437 (!) Есть новые события
Ключевые слова Дата к время Источ... Код со.., Категория задачи
Аудит успеха 03.01.2022 23:41 27 Micros,.. 4624 Вход в систему
Аудит успеха 03.01.2022 23:41 27 Micros,.. 4672 Специальный вход
'Аь Аудит успеха 03.01.2022 23:41 27 Micros,.. 4624 Вход Е 1 систему
'Аь Аудит успеха 03.01.2022 23:41 26 Micros,.. 4776 Проверка учетных данных
'Аь Аудит успеха 03.01.2022 23:41 26 Micros,.. 4624 Вход Е 1 систему
Д Аудит отказа 03.01.2022 23:41 26 Micros,.. 4625 Вход Е 1 систему
Д Аудит отказа 03.01.2022 23:41 25 Micros,.. 4625 Вход Е 1 систему
Аудит отказа 03.01.2022 23:41 25 Micros,.. 4625 Вход Е 1 систему
•^=1 Аудит отказа 03.01.2022 23:41 25 Micros,.. 4625 Вход Е 1 систему
Д Аудит отказа 03.01.2022 23:41 25 Micros,.. 4625 Вход Е 1 систему
Д Аудит отказа 03.01.2022 23:41 25 Micros,.. 4625 Вход Е 1 систему
Рис. 5. Фрагмент журнала событий безопасности операционной системы Windows Server
Момент смены событий с аудитом отказа на события с аудитом успеха соответствует моменту проникновения в систему.
Сетевая атака может быть определена также путем анализа исходных журналов службы системы обнаружения вторжений Suricata на маршрутизаторе pffSensde, в нашем случае здесь: /var/log/suricata/suricata_vtnet053236/eve.json.
Фрагмент одного из событий из этого журнала показан на рис. 6. Содержимое данного события говорит о том, что сетевая сессия, зафиксированная под номером 21162720015211153 на интерфейсе vtnet0 распозналась как тревога — «alert», при этом IP адрес источника 2.2.2.254, IP адрес назначения 1.1.1.254, порт источника 64431, порт назначения 48389, а распознанная сигнатура — «ET SCAN MS Terminal Server on Nonstandard Port», которая в базе сигнатур имеет идентификационный номер 2023753. Однако ручной анализ подобных событий в реальных системах крайне затруднен ввиду их большого объема, эта работа возложена на SIEM, а здесь содержание события приведено для иллюстрации результата работы механизма первичной фиксации фактов обнаружения сетевых атак на самом межсетевом экране.
Рис. 6. Фрагмент зафиксированного события безопасности службы Suricata на межсетевом маршрутизаторе FW11
Выгрузки архивов современных БД составляют не менее 2 Гб. Поэтому определить, передавалась ли информации в период совершения киберинцидента можно, проанализировав сетевые потоки NetFlow с сервера SRV11 в направлении сети Интернет по адресу интерфейса NetFlow коллектора ^^//1.1.1.1:8080. Рисунки 7, 8 позволяют сделать вывод, что такие объемы за указанный период не передавались.
Рис. 7. Распределение скорости передачи данных на интерфейсе VCS маршрутизатора R31 в зависимости от времени суток, включая период киберинцидента
35
Type Application -
4256 211.65 MB 15% ВОЗЙМВ 5% 2322 МБ 4% 2323 MB 2% 1224 MB ".'*"■ 9.7 MB ■Y~ 4.19 MB 0% 233lviB 0% 924.2 KB 169.7 KB 25% 12?.Sß MB
Рис. 8. Распределение объемов переданной информации по видам приложений
Заключение. Задача имитационного моделирования процессов защиты от сетевых кибератак, расследования сетевых киберинцидентов и практической оценки эффективности систем, призванных обеспечивать такую защиту, является сложной. Ее решение требует учета множества факторов, версий атакующих и атакуемых информационных систем, особенностей реализации конкретных настроек служб, сетевого оборудования и систем сетевой защиты. Решение этой задачи может быть получено путем воспроизведения условий информационного взаимодействия, обеспечивающих достаточную с точки зрения рассматриваемых процессов и явлений схожесть с реальными условиями работы систем защиты и средств нападения и анализа сценариев развития событий. В работе предложен подход к имитационному моделированию, определены функционально значимые подсистемы, определена структура сетевого киберполигона, обоснованы пути реализации имитационных моделей. На примере частной реализация предложенного подхода выполнено имитационное моделирование кибератаки на один из прикладных протоколов удаленного доступа и обсуждены его результаты.
Результаты исследования могут быть использованы в учебных целях для иллюстрации принципов функционирования межсетевых экранов, SIEM систем, принципов журналирования и конвейерной обработки данных при обнаружении кибератак и для изучения сопутствующих вопросов. Направлениями дальнейшей работы являются, во первых, написание методик моделирования различных кибератак в соответствии с множественными актуальными сценариями их проведения и, во вторых реализация путей интеграции сертифицированных средств защиты в структуру киберполигона.
ЛИТЕРАТУРА
1. Сарычев Д. Защита информации: ключевые тенденции 2020 года. [Электронный ресурс]. — URL: https://www.antimalware.ru/analytics/Threats_Analysis/Data-protection-trends-in-2020.
2. Internet of Things Botnet Detection Approaches: Analysis and Recommendations for Future M. Wazzan [et al.]. // Research. Appl. Sci. 2021, 11, 5713. — URL: https://www.researchgate.net/publication/352566503_Internet_of_Things_Botnet_Detection_App roaches_Analysis_and_Recommendations_for_Future_Research.
3. Berrueta E., Morato D. A Survey on Detection Techniques for Cryptographic Ran-somware // October 2019 IEEE Access PP(99):1-1, DOI: 10.1109/ACCESS.2019.2945839. — URL: https://www.researchgate.net/publication/336339807_A_Survey_on_Detection_ Techniques _for_Cryptographic_Ransomware.
Application
Application
ntp
4. Dayal N., Srivastava S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN // 2017 9th International Conference on Communication Systems and Networks (COMSNETS), IEEE, jan 2017. — P. 274—281. — URL: https://www.researchgate.net/ publication/3 54857618_Matrix_profile_for_DDoS_attacks_detection.
5. HI-TECH CRIME TRENDS 2020/2021. Отчет компании Group-IB об изменении вектора кибератак в 2020/2021гг. // Доступен на официальном сайте компании по запросу. — URL: https://www.group-ib.ru/resources/threat-research/2020-report.html.
6. Branitskiy A. A., Kotenko I. V. Analysis and classification of methods for network attack detection // SPIIRAS Proceedings. — 2016. — № 2 (45). — С. 207—244.
7. Васильев В. И., Кириллова А. Д., Вульфин А. М. Когнитивное моделирование вектора кибератак на основе меташаблонов CAPEC // Вопросы кибербезопасности. — 2021. — № 2. — Т. 42. — С. 2—16.
8. Минаев В. А., Поликарпов В. А. Имитация функционирования центра информационной безопасности в условиях реализации кибератак // Информация и безопасность. — 2021. — № 3. — Т. 24. — С. 349—360.
9. Лаврова Д. С., Зегжда Д. П., Зайцева Е. А. Моделирование сетевой инфраструктуры сложных объектов для решения задачи противодействия кибератакам // Вопросы кибербезопасности. — 2019. — № 2 (30). — С. 13—20.
10. Моделирование защищенной локальной вычислительной сети организации в среде имитационного моделирования Gsco Packet Tracer / К. В. Кертов [и др.] // Современные наукоемкие технологии. — 2017. — № 8. — С. 19—24.
11. Cyber-Attack Modeling Analysis Techniques: An Overview // FiCloud2016: 2016 IEEE 4th International Conference on Future Internet of Things and CloudAt. — Vienna: AustriaVolume: 4th. — URL: https://www.researchgate.net/publication/307174392_Cyber-Attack_Modeling_Analysis_Techniques_An_Overview.
12. Введенская О. Ю. Особенности следообразования при совершении преступлений посредством сети Интернет // Юридическая наука и правоохранительная практика. — 2015. — № 4. — Т. 34. — С. 209—216.
13. Телков А. Ю. Защита http трафика связи оператора с узлом мониторинга событий информационной безопасности на базе открытого решения ELK Stack // Труды XVII Всероссийской научно-практической конференции «Математические методы и информационно-технические средства». — Краснодар : Краснодарский университет МВД России, 2021. — С. 130—133.
14. Обзор мирового и российского рынка SIEM-систем. — URL: https://www.antimalware.ru/analytics/Market_Analysis/overview-global-and-russian-market-siem.
15. Романова А. О. Виртуализация в высокопроизводительных вычислительных системах // Наука и образование : электронное научно-техническое издание. — 2011. — № 3.
— С. 1—29. — URL: https://www.elibrary.ru/download/elibrary_15633744_15203072.pdf.
16. Руководство по реагированию на инциденты информационной безопасности.
— URL: https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2017/08/12170645/ Incident_Response_Guide_rus_2021 .pdf.
17. pfSense. Open Source Security. Secure networks start here. — URL: https://www.pfsense.org/.
18. Suricata. Community Driven. Always Alert. — URL: https://suricata.io.
19. The Elastic Stack. Grab and go integrations. — URL: https://www.elastic.co.
20. pfelk. pfSense/OPNsense + Elastic Stack. — URL: https://github.com/pfelk/pfelk.
REFERENCES
1. Sarychev D. Zashchita informacii: klyuchevye tendencii 2020 goda. [Elektronnyj resurs]. — URL: https://www.antimalware.ru/analytics/Threats_Analysis/Data-protection-trends-in-2020.
2. Internet of Things Botnet Detection Approaches: Analysis and Recommendations for Future M. Wazzan [et al.]. // Research. Appl. Sci. 2021, 11, 5713. — URL: — URL: https://www.researchgate.net/publication/352566503_Internet_of_Things_Botnet_Detection_App roaches_Analysis_and_Recommendations_for_Future_Research.
3. Berrueta E., Morato D. A Survey on Detection Techniques for Cryptographic Ran-somware // October 2019 IEEE Access PP(99):1-1, DOI: 10.1109/ACCESS.2019.2945839.
— URL: https://www.researchgate.net/publication/336339807_A_Survey_on_Detection_Techniques _for_Cryptographic_Ransomware.
4. Dayal N., Srivastava S. Analyzing behavior of DDoS attacks to identify DDoS detection features in SDN // 2017 9th International Conference on Communication Systems and Networks (COMSNETS), IEEE, jan 2017. — P. 274—281. — URL: https://www.researchgate.net/ publication/3 54857618_Matrix_profile_for_DDoS_attacks_detection.
5. HI-TECH CRIME TRENDS 2020/2021. Otchet kompanii Group-IB ob izmenenii vektora kiberatak v 2020/2021gg. // Dostupen na oficial'nom sajte kompanii po zaprosu. — URL: https://www.group-ib.ru/resources/threat-research/2020-report.html.
6. Branitskiy A. A., Kotenko I. V. Analysis and classification of methods for network attack detection // SPIIRAS Proceedings. — 2016. — № 2 (45). — S. 207—244.
7. Vasil'ev V. I., Kirillova A. D., Vul'fin A. M. Kognitivnoe modelirovanie vektora kiberatak na osnove metashablonov CAPEC // Voprosy kiberbezopasnosti. — 2021. — № 2.
— T. 42. — S. 2—16.
8. Minaev V. A., Polikarpov V. A. Imitaciya funkcionirovaniya centra infor-macionnoj bezopasnosti v usloviyah realizacii kiberatak // Informaciya i bezopasnost'. — 2021. — № 3. — T. 24. — S. 349—360.
9. Lavrova D. S., Zegzhda D. P., Zajceva E. A. Modelirovanie setevoj infrastruktury slozhnyh ob"ektov dlya resheniya zadachi protivodejstviya kiberatakam // Voprosy kiberbezopasnosti. — 2019. — № 2 (30). — S. 13—20.
10. Modelirovanie zashchishchennoj lokal'noj vychislitel'noj seti organizacii v srede imitacionnogo modelirovaniya Sisco Packet Tracer / K. V. Kertov [i dr.] // Sovremennye nau-koemkie tekhnologii. — 2017. — № 8. — S. 19—24.
11. Cyber-Attack Modeling Analysis Techniques: An Overview // FiCloud2016: 2016 IEEE 4th International Conference on Future Internet of Things and CloudAt. — Vienna: AustriaVolume: 4th. — URL: https://www.researchgate.net/publication/307174392_Cyber-Attack_Modeling_Analysis_Techniques_An_Overview.
12. Vvedenskaya O. Yu. Osobennosti sledoobrazovaniya pri sovershenii prestuplenij posredstvom seti Internet // Yuridicheskaya nauka i pravoohranitel'naya praktika. — 2015. — № 4. — T. 34. — S. 209—216.
13. Telkov A. Yu. Zashchita http trafika svyazi operatora s uzlom monitoringa so-bytij in-formacionnoj bezopasnosti na baze otkrytogo resheniya ELK Stack // Trudy XVII Vserossijskoj nauchno-prakticheskoj konferencii «Matematicheskie metody i informacionno-tekhnicheskie sredstva». — Krasnodar : Krasnodarskij universitet MVD Rossii, 2021. — S. 130—133.
14. Obzor mirovogo i rossijskogo rynka SIEM-sistem. — URL: https://www.antimalware.ru/analytics/Market_Analysis/overview-global-and-russian-market-siem.
15. Romanova A. O. Virtualizaciya v vysokoproizvoditel'nyh vychislitel'nyh sistemah // Nauka i obrazovanie : elektronnoe nauchno-tekhnicheskoe izdanie. — 2011. — № 3. — S. 1—29. — URL: https://www.elibrary.ru/download/elibrary_15633744_15203072.pdf.
16. Rukovodstvo po reagirovaniyu na incidenty informacionnoj bezopasnosti. — URL: https://media.kasperskycontenthub.com/wp-content/uploads/ sites/5 8/2017/08/12170645/Incident_ Response_Guide_rus_2021 .pdf.
17. pfSense. Open Source Security. Secure networks start here. — URL: https://www.pfsense.org/.
18. Suricata. Community Driven. Always Alert. — URL: https://suricata.io.
19. The Elastic Stack. Grab and go integrations. — URL: https://www.elastic.co.
20. pfelk. pfSense/OPNsense + Elastic Stack. — URL: https://github.com/pfelk/pfelk.
СВЕДЕНИЯ ОБ АВТОРАХ
Жуков Михаил Михайлович. Начальник кафедры компьютерной безопасности и технической экспертизы. Кандидат технических наук, доцент.
Воронежский институт МВД России.
E-mail: mzhukov25@mvd.ru
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-43.
Баркалов Юрий Михайлович. Заместитель начальника кафедры компьютерной безопасности и технической экспертизы.
Воронежский институт МВД России.
E-mail: ekcvor@mail.ru
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-43.
Телков Александр Юрьевич. Доцент кафедры компьютерной безопасности и технической экспертизы. Кандидат физико-математических наук, доцент.
Воронежский институт МВД России
E-mail: telkov@phys.vsu.ru
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-57.
Zhukov Mikhail Mikhailovich. Head of the chair of Computer Security and Technical Expertise. Candidate of Technical Sciences, Associate Proffessor.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: mzhukov25@mvd.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-43.
Barkalov Yuri Mikhailovich. Deputy Head of the chair of Computer Security and Technical Expertise.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: ekcvor@mail.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-43.
Telkov Alexander Yurievich. Associate Professor of the chair of Computer Security and Technical Expertise. Candidate of Sciences (Physics and Mathematics), Associate Proffessor.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: telkov@phys.vsu.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-57.
Ключевые слова: имитационное моделирование сетевых кибератак; виртуализация; Kill Chain; IDS; IPS.
Key words: simulation of network cyberattacks; virtualization; Kill Chain; IDS; IPS.
УДК 004.056
