Bu yazı Network World sitesinde linkten görüntülenebilir

İnceleme: FireEye çok katmanlı kötü niyetli yazılımı geri püskürtüyor…

Uzmanlaşmış 10G cihaz çok katmanlı kötü niyetli saldırılara karşı başarılı bir savunma veriyor

David Newman, Network World
05 Mayıs, 2014

Network World – Bazı kötü niyetli yazılımları fark ettiğinizde iş işten geçmiştir bile. Gelişmiş saldırılar, görünürde iyi huylu olan parçalar halinde gelirler. Ama o parçalar bir kez bir araya geldiğinde de, hedef çoktan ele geçirilmiştir bile.

FireEye, NX cihazlarıyla kötü niyetli yazılım tespitinde yeni bir yaklaşım izlemektedir. Aşağıdaki Clear Choice testinden de görüleceği üzere, FireEye cihazı gelişmiş kötü niyetli yazılımın ilerlemesine- elbette ki sadece cihazın içerisinde çalışan sanal makineler üzerinde ilerlemesine izin vermektedir. 

Yaptığımız testlerde, FireEye cihazı kusursuz bir performans kaydetmiştir. Cihaza attığımız ve aralarında yakın tarihli birtakım zero-day exploit’lerinin de bulunduğu çok katmanlı tüm kötü niyetli yazılım örneklerini tespit etmiştir. Ürün gamının en üstünde yer alan üstün kaliteli NX 10000, saldırı trafiği var olsun ya da olmasın, her iki durumda da,  inline modda 4 Gbps’in üzerinde, “tap” modunda ise 9Gbps’ten daha iyi seviyede çalışmıştır.

 NX serisi uzmanlaşmış bir boşluğu doldurmaktadır, aslına bakarsanız mevcut güvenlik çarkının yerini almaktansa daha ziyade onu tamamlamaktadır. Kendi başına bir IDS olmamakla beraber şirketin bir IDS modülü üzerinde çalıştığını da vurgulamakta yarar var. NX 10000, IDS modülü sonrasında bile “hepsi-bir-arada” bir güvenlik cihazı olmayacaktır. Aslına bakarsanız, bir şeyi gerçekten de çok iyi başarmaktadır:  Kurumun içine sızan en gelişmiş kötü niyetli yazılım formlarını durdurmaktadır.

Bir saldırının anatomisi

Yazılımcı çocukların gönderdiği otomatik saldırılar halen başa bela olsalar da,  çok daha ciddi bir tehdit, sofistike çok katmanlı kötü niyetli yazılımlardan kaynaklanmaktadır. APT (Advanced Persistent Threat) olarak anılan bu gelişmiş ısrarcı tehditlerin bazıları devlet destekli olmakla beraber; diğer durumlarda işin içerisinde örgütlü suç unsuru da yer almaktadır.

Kaynağı her ne olursa olsun, en azından üç aşama söz konusudur. İlk olarak, exploit (suistimal) aşaması, sistem açığını kullanmak suretiyle daha sonraki aşamalarda kullanılacak bir kod parçasını yerleştirmektedir.   Sistem açığı, alışıla geldik şekliyle, bir Flash object ya da Web sayfasındaki Javascript gibi görünürde iyi huylu bir dosyanın içine gizlenir.

Yeni saldırılar, özellikle de zero-day ataklarına çok sıklıkla bu aşamadayken rastlanır. 

İkinci olarak, virüs bulaşmış müşterideki exploit bu noktadan sonra asıl kötü niyetli yazılımı-ille de tek parça halinde olmasına gerek kalmaksızın- indirmektedir. Ddropper çok fazla sayıda kaynaktan çıkan ve her biri kendi doğasını gizleyen çok fazla parça halinde  gelebilir.

Üçüncü olarak, compromised sistem kötü niyetli yazılımı devreye sokan komut-ve-kontrol şebekesini arar (callback). Bu noktaya gelindiğinde, saldırganlar hedef sistemin kontrolünü ele almış, sistem verilerine ulaşmış ve dahili şebekenin geri kalanına uzanan bir pathway’e sahip olmuşlardır bile.

Kötü niyetli yazılımla savaşan geleneksel yaklaşımların çok-katmanlı kötü niyetli yazılım tehditleriyle boğuşurken bir takım kısıtları bulunmaktadır. İmza-bazlı bir sistem kötü niyetli binary bir dosyanın varlığını elbette tespit edebilir ancak bu binary dosyanın önce hedef üzerinde yeniden oluşturulması gerekmektedir-zaten bu noktada da hedef çoktan ele geçirilmiş olmaktadır. Daha yenice olan  sandbox sistemleri ise trafiği hedef makinelere ulaşmadan durdurabiliyorlarsa da çok katmanlı bir saldırıyı oluşturan bileşen parçaların tamamını bir araya getirmekte ve analiz etmekte yetersiz kalabilmektedir. Doğrusunu söylemek gerekirse, devam edip etmeme kararını almadan önce bazı exploit dizilerinde kilit aşama hypervisor, OS, tarayıcı, ve plug-ins’lerin fingerprint versiyonlarının alınmasıdır.

FireEye’ın farkı

FireEye’in temel farkı sanallaştırmadır. FireEye cihazlarının her biri kendi sanal makineleri üzerinde Windows OS’ler, tarayıcılar ve eklentilerin çok sayıda versiyonunu çalıştırmaktadır. Kötü niyetli yazılım aslında hedef bir (sanal) makineyi ele geçirmekte ve işte FireEye yazılımı tam da hemen bunun sonrasında başarılı bir saldırıyı kayıt altına almaktadır. Şebeke yöneticileri bu türden saldırıları bloke etmek amacıyla FireEye cihazını konfigüre ederek, saldırıların kurum içerisine yayılmalarını önleyebilir. 

FireEye’in iki adet 10G Ethernet arayüzüne sahip en hızlı cihazı olan  NX 10000’ü teste tabi tuttuk.  Şirketin özellikle Web-tabanlı saldırılara odaklanmış olan bu cihazının yanı sıra e-posta, mobil ve adli forensik analize yönelik diğer ürün çeşitleri de bulunmaktadır ancak biz bu ürünleri teste tabi tutmadık.

NX 10000 “tap” veya “inline” modda çalışmakta olup, inline mod opsiyonel olarak saldırıları bloke etme imkanını sunmaktadır. Cihazın content library’si yeni exploit’leri içerecek şekilde günlük olarak güncellenmekte olup, bu durum test aşamasında yakın tarihli zero-day vulnerability’lerle de doğrulanmıştır.

FireEye’in teknolojisi bir saldırı sezme sisteminin (intrusion detection system-IDS) yerine geçmekten ziyade onu tamamlayan bir teknolojidir. Bir IDS veya IPS’den farklı olarak, binlerce saldırı imzasından oluşan bir library bulunmamaktadır. Bunun yerine kendi sanal makineleri üzerindeki gerçek ihlalleri aramaktadır. Şirket, IDS modülünün halihazırda beta test aşamasında olduğunu ve ikinci çeyrek sonuna doğru genel kullanım için piyasaya sürülmesinin kararlaştırıldığını belirtmektedir. 

Cihaz çok katmanlı kötü niyetli yazılımı tespit ettiğinde bir uyarı devreye girmektedir. Geleneksel bir IDS/IPS’de kötü niyetli yazılım uyarısı “trojan.exe dosyası tespit edilmiştir” gibi bir ifade taşımaktadır ancak NX 10000 uyarısı bunun aksine, aşağıda da görülebileceği üzere komut-ve-kontrol şebekelerine erişimde kullanılan callback URL’leri de dahil olmak üzere kötü niyetli yazılımın her bir bileşenini göstermektedir.
 

FireEye'in NX 10000 serisi çok katmanlı kötü niyetli yazılıma dair detaylı raporlama imkanı sunmakta, komut-ve-kontrol şebekelerine erişimde kullanılan callback URL’leri de dahil olmak üzere saldırının her bir öğesini göstermektedir.

Cihazın sanal makineleri, çok sayıda tarayıcı bileşimi ve Adobe Flash ve Microsoft Silverlight versiyonlarının yanı sıra Windows 7 ve Windows XP’nin farklı pek çok hizmet paketini temsil etmektedir.  FireEye kendi misafir sistem ara katmanını sanal makinelerin sanki gerçek ortamda çalışıyor gibi sanmalarına olanak vermektedir. Bu unsur, VMware misafir sistem arakatmanlarını tespit etmesi halinde makinelerdeki işletimi atlayan exploit dizilerine engel teşkil etmek bakımından oldukça  yararlıdır.

Teste tabi tuttuğumuz versiyon Mac OS X sanal makinelerini henüz desteklememekle beraber FireEye üçüncü çeyrekte Mac desteğinin de hazır olacağını belirtmektedir.

Diğer tüm güvenlik cihazları gibi  NX 10000 de sadece görebildiği ve şebeke tasarımı ilişiği olan saldırıları tespit etmektedir. Cihazın şebeke görüş alanında konumlandırılması işe yaramaktadır. Hem şube ofislerinden hem de  işini evden takip eden çalışanlardan gelen internet trafiğini  birleştiren bir  toplama ve dağıtma tasarımı da aynı şekilde işe yaramaktadır. Daha az merkezi tasarıma sahip kurumlar her bir saha için daha küçük cihazlar düşünebilirler.

Kapsam testleri
NX 10000’ü çok-katmanlı kötü niyetli yazılım kapsamı ve performans açısından teste tabi tuttuk. Hem “tap” hem de “inline” moda kapsam ve performans testleri gerçekleştirdik ve trafiğin mevcut olduğu ve olmadığı durumların her ikisinde de performans testleri çalıştırdık.

Kapsam testleri bağlamında, Ocak ve Nisan 2014 tarihleri arasında halen kullanımda olan 60 adet çok katmanlı kötü niyetli yazılım örneğini tekrarladık. malware-traffic-analysis.net’in izniyle kullanılan bu örnekler çok-katmanlı kötü niyetli yazılımın pek çok boyutunu temsil etmekte ve farklı pek çok exploit dizinini; zero-day exploitlerini; “dropper executable” dosyalarını ve komut-ve-kontrol şebekelerine giden callback’leri içermektedir.FireEye’e testlerde hangi örnekleri kullanacağımızı bildirmedik.

FireEye cihazı, 60 vakanın tamamında, her bir kötü niyetli yazılım örneğinin bireysel öğesini hem “inline” hem de “tap” modunda doğru bir şekilde tespit etti.

FireEye cihazı çok-katmanlı kötü niyetli yazılımlara ilişkin kitaplığını (library) en az 24 saatte bir güncellemektedir. Sistemin hiç-kullanılmamış bir exploit’i tespit edememe olasılığı bulunmakla birlikte testlerimizde bu duruma rastlamadık. Aslına bakarsanız, örneklerimizin en yakın tarihlisi, bizim testimize tabi tutulmadan önceki 24 saatten daha kısa sürede ilk olarak malware’e iletilmiş olup, güncellenmiş FireEye cihazı bunu doğru bir şekilde tespit etmiştir.

FireEye, müşterilerinin genellikle her üç dakikada bir, bir adet kötü niyetli yazılım teşebbüsü ile karşılaştığını belirtmektedir; biz testlerimizi bundan çok daha stresli ortamlarda gerçekleştirdik. Tüm kötü niyetli yazılım örneklerimizi 10G Ethernet kablo hızına yaklaşan hızlarda ardı ardına yeniden tekrarladık.  Bunun tersine, her bir kötü niyetli yazılımın baştan sona çalıştırılması aslen saniyeler hatta dakikalar sürdü. Bundan başka, bir kötü niyetli yazılımın sonlanması ile bir diğerinin başlaması arasında hiçbir boşluk bırakılmadı.

Performans testleri
FireEye cihazı performans testlerinde de belirtilen limitlerini tutturmayı başardı. FireEye  NX 10000’ün “inline” modda yaklaşık 4Gbps hızda, “tap”modunda ise yaklaşık 10Gbps hızda bir trafikle baş edebileceğini iddia etmişti.

Söz konusu iddiaları,  Layer 4-7 trafik oluşturan bir analizci olan Spirent Avalanche kullanarak değerlendirdik. Tıpkı geniş bir kurum şebekesinde olabileceği gibi 40,000 adet müşteriden başlayarak, Avalanche HTTP trafiği ayarladık. Performansı hem “inline” hem de “tap” modda iken test ettik, performansı sistem saldırı altındayken de ayrıca ölçtük.

FireEye, sadece iyi huylu şebeke trafiği altında, “inline” ve “tap” modlarında sırasıyla 4.224G ve 9.259G  hızlarında trafiği iletti. Her iki sonuç da, FireEye’in performans iddialarıyla örtüşmektedir.

Daha sonra bu testleri,  çok-aşamalı/çok katmanlı kötü niyetli yazılım örneklerini ( olabilecek en yüksek hızda yine bir biri ardına göndermek suretiyle) eş zamanlı vererek tekrarladık. NX 10000, trafiği, bu sefer, inline ve tap modlarında sırasıyla 4.207G ve 9.289Gbps hızlarında iletti. Bu rakamlar sadece iyi huylu trafiğin var olduğu testlerde yakalanan rakamlarla hemen hemen aynı olup, ufak tefek farklılıklar çeşitli TCP akışlarındaki bant genişliği uyuşmazlığı (bandwidth contention) ile izah edilebilir.

NETRESULTS

ÜRÜN     NX 10000

ŞİRKET    FireEye
___________________________________________________________________________

ARTILAR    Mükemmel çok-katmanlı kötü niyetli yazılım tespiti, yüksek performans
___________________________________________________________________________
EKSİLER    Sadece Windows (Mac desteği gelmek üzere), HA desteği yok
___________________________________________________________________________
FireEye cihazı “inline” testlerde sunulan 60 adet kötü niyetli yazılım örneğinin tamamında tüm öğeleri yine tespit etti. Bazı kötü niyetli yazılım öğeleri “tap” testinde tespit edilememiş olmakla beraber, biz bunun FireEye cihazına trafiği yansıtan şalter’deki (switch) aşırı yüklü CPU’dan kaynaklandığına inanıyoruz. Switch %100 CPU kullanımı rapor etmiş ve tap-mod testlerinin çok sayıdaki yinelemelerine tepkisiz kalmıştır. Gözden kaçan raporlar her ne kadar  FireEye cihazının “eksi hanesine işlenmeyecek” olsa da, tüm trafiği 10G Ethernet kablo hızında iletebilecek kapasiteye haiz bir tap altyapısı kullanılmasının önemini göstermektedir.

Gelişmiş saldırılar gelişmiş savunmalar gerektirir. NX 10000, çok-katmanlı kötü niyetli yazılımla mücadelede yenilikçi ve etkin bir yaklaşımı temsil etmektedir. FireEye cihazı, geleneksel bir IPS ile  ( ya da yakında piyasaya sürülecek olan kendi IPS modülü ile) birleştirildiğinde, kendi şebekelerinden kötü niyetli yazılımları uzak tutmada büyük çaplı kurumlara  yardımcı olacaktır.