RedEye

Usługa threat huntingu z RedEye

RedEye jest naszym autorskim oprogramowaniem w formule SaaS (ang. Software-as-a-Service) wykorzystywanym do realizacji usługi proaktywnego wykrywania zagrożeń (threat hunting) przez nasz zespół SOC pracujący na 7 zmian w trybie 24/7/365. Usługa pozwala na detekcję symptomów ataków, które nie są wykrywane przez inne oprogramowanie (np. endpoint protection/EDR). RedEye nie wymaga instalacji oraz uprawnień, a jedynie podłączenia serwera do wewnętrznej sieci organizacji (LAN).

Wyślij zapytanie

Threat hunting, proaktywna detekcja cyberataków

Jesteśmy pierwszym i jedynym polskim podmiotem świadczącym usługi proaktywnego wyszukiwania zagrożeń. Usługa threat huntingu realizowana jest w trybie 24/7 przez zespół SOC z wykorzystaniem naszego autorskiego rozwiązania NBA (ang. Network Behavior Analysis) o nazwie RedEye. Jest to zarazem pierwsze polskie oprogramowanie do realizacji threat huntingu, przy którego tworzeniu wykorzystaliśmy nasze bogate doświadczenie i zaprojektowaliśmy mechanizmy wykrywania skrajnie trudne do ominięcia przez atakującego. Projektując warianty detekcji myśleliśmy jak zaawansowani atakujący realizujący ataki APT (ang. Advanced Persistent Threat), szukając możliwości wykrycia zarówno obecności systemu IDS jak i metod ominięcia mechanizmów wykrywania intruzów.

The Pyramid of Pain

W wyszukiwaniu zagrożeń na wierzchołku szeroko uznanej tzw. piramidy bólu (ang. The Pyramid of Pain) znajdują się informacje w jaki sposób postępują atakujący (ang. TTPs) i z jakich narzędzi korzystają (ang. Tools). To właśnie te informacje są najbardziej pożądanymi we threat huntingu, czyli proaktywnym wyszukiwaniu zagrożeń. Przede wszystkim tą wiedzę zaimplementowaliśmy w RedEye, dzięki czemu stworzyliśmy unikalne na rynku rozwiązanie do monitorowania potencjalnych zagrożeń, związanych z nietypowymi zachowaniami w sieci, oraz detekcji wyrafinowanych ataków APT.

Firma Microsoft w finalnych wnioskach płynących z analizy ataku Solorigate (2021) zawarła tezę, iż krytycznym aspektem obrony przeciw cyberatakom jest podejście zakładające, że już doszło do naruszenia bezpieczeństwa (ang. assumed breach). Jako jedno z głównych źródeł poszukiwań potencjalnych intruzów podano wewnętrzną sieć organizacji. Na tym właśnie podejściu Zero Trust bazuje nasza usługa proaktywnej informatyki śledczej z wykorzystaniem autorskiego narzędzia RedEye. Przy jego pomocy dedykowany zespół SOC w trybie 24/7 monitoruje infrastrukturę organizacji celem wykrycia intruzów.

Monitorowanie środowiska IT

Oprogramowanie RedEye tak samo jak i threat hunting (proaktywne wyszukiwanie zagrożeń) nie jest samodzielnym produktem, a jedynie narzędziem pracy w rękach specjalisty. Usługa threat huntingu realizowana przy pomocy wewnętrznego narzędzia RedEye wymaga stałego wglądu w jego dane przez zespół SOC w ramach świadczenia usługi SOC-as-a-Service.

  • WidocznośćRedEye pozwala na zwiększenie widoczności sieciowych artefaktów, które nie są analizowane przez inne oprogramowanie dostępne na rynku.
  • Dedykowany zespół – Nasi eksperci przy pomocy RedEye monitorują środowisko i wykrywają zagrożenia w trybie 24x7.
  • Redukcja czasu wykrycia – Proaktywne podejście diametralnie zmniejsza ryzyko, że osoby atakujące pozostaną niewykryte przez dłuższy czas (ataki APT).
  • Łatwość i szybkość wdrożenia – Sposób działania RedEye pozwala na jego bezproblemowe wdrożenie, a także rozbudowę architektury wraz ze wzrostem organizacji.
  • Zgodność z normami – Procesy i procedury gromadzenia danych są zgodne z RODO.

RedEye to coś więcej niżeli klasyczny IDS / NIDS / honeypot / NBAD (ang. Network Behavior Anomaly Detection) – nasze narzędzie wykracza poza ramy i możliwości podobnego oprogramowania z powodu unikalnej detekcji cyberataków. Nasza detekcja bazuje na głębokiej analizie nietypowych sieciowych artefaktów i anomalii (zarówno IPv4 jak i IPv6), a także na aktywnych mechanizmach honeypot wysyłających pakiety celem wykrycia atakującego. Dzięki czemu wykrywanie nie bazuje jedynie na analizie ruchu sieciowego, czy też nasłuchiwaniu w formie usługi i oczekiwaniu na połączenia, a jak realizuje to typowe oprogramowanie honeypot. Ponadto RedEye pozwala na wykrycie wczesnych faz przygotowania ataku i złośliwych urządzeń jak implantysprzętowe backdoory pozostawione w sieci wewnętrznej celem umożliwienia nieautoryzowanego dostępu do sieci LAN organizacji (np. urządzenia Hak5). Dodatkowo RedEye w aktywny sposób odpowiada na wybrane pakiety celem prób unieszkodliwienia lub opóźnienia ataku, a także zamiarem wykluczenia możliwość błędów typu false-positive w mechanizmach detekcji ataków MiTM. RedEye rozumie ruch pomiędzy stacjami Windows działającymi w jednym środowisku (Domena Windows).

Nasze narzędzia nie bazuje na innych IDS oraz wykracza poza możliwości popularnego oprogramowania takiego jak Snort, Suricata czy Bro (Zeek) i innych podobnych mechanizmów. Architektura klasycznego oprogramowania do wykrywania intruzów posiada liczne ograniczenia uniemożliwiające analizę zaawansowanych ataków. Dlatego typowe systemy IDS generują bardzo liczne fałszywe alarmy, a co w znacznym stopniu obniża ich realne możliwości wykrycia prawdziwego hakerskiego ataku.

Detekcja cyberataków

Typowe produkty do wykrywania sieciowych ataków nasłuchują komunikacji, a do detekcji wykorzystują setki wcześniej zdefiniowanych reguł. Podstawową wadą takiego rozwiązania jest brak zrozumienia dla większości zgłaszanych ostrzeżeń. Liczne alerty pojawiają się niezależnie od tego czy atak ma miejsce czy też nie. W ten sposób pomimo posiadania systemów bezpieczeństwa atak często pozostaje niezauważony, gdyż nie jest dostrzegany w gąszczu setek ostrzeżeń, które pojawiają się stale w produkcyjnym środowisku.

W detekcji aktywnego ataku nie chodzi o to aby wykryć każdy krok atakującego, ale aby wykryć kluczowe etapy ataku, bez których realizacja udanego ataku jest niemożliwa. Istotne jest również aby ostrzeżenia wyświetlały się jedynie w przypadku gdy rzeczywiście atak ma miejsce, a ilość błędnych alertów powinna być jak najbliższa zeru. W przeciwnym przypadku nawet jeśli system wykryje atak to informacja ta może być zbagatelizowana.

Wyszukiwanie zagrożeń

Oprogramowanie RedEye stworzone przez firmę REDTEAM.PL posiada szereg unikalnych reguł detekcji, które zostały przygotowane na bazie wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. Doświadczenie to poparte jest realnymi osiągnięciami takimi jak praca na wiodących technicznych stanowiskach w międzynarodowych przedsiębiorstwach, licznymi certyfikatami z zakresu technicznego cyberbezpieczeństwa i referencjami od znanych podmiotów oraz publikacjami naukowymi, a także uznanymi publicznie dostępnymi badaniami nad cyberbezpieczeństwem. Firma REDTEAM.PL na co dzień zajmuje się świadczeniem usług takich jak testy penetracyjne oraz symulacje realnych scenariuszy ataków (red teaming). Posiadanie praktycznej wiedzy z zarówno realizacji ataków (ang. TTPs – Tactics, Techniques, and Procedures), jak i informatyki śledczej oraz reagowania na incydenty, w tym analizy powłamaniowej (ang. DFIR – Digital Forensics and Incident Response) pozwala na stworzenie najlepszych rozwiązań do proaktywnej detekcji ataków (threat hunting).

Jednym z przykładowych wykrywanych ataków jest badWPAD, którego implementacja na szeroką skalę atakowała od 10 lat miliony komputerów na całym świecie, w tym również z Polski. Atak ten został wykryty przez firmę REDTEAM.PL w maju 2019 roku, za co otrzymaliśmy podziękowania od europejskich narodowych zespołów reagowania na incydenty, wliczając w to CERT Polska, CERT Estonii oraz CERT Łotwy. Badanie to zostało także wyróżnione w SANS Daily Network Security Podcast (Stormcast). Pomimo ataku trwającego wiele lat nie udało się go wcześniej wykryć przy pomocy dziesiątek tysięcy popularnych reguł do analizy bezpieczeństwa ruchu sieciowego. W wykrywaniu adwersarzy nie liczy się ilość, a jakość metod detekcji, która wynika bezpośrednio z doświadczenia i szerokich technicznych kompetencji zespołu tworzącego RedEye.

RedEye Case Study – infekcja iDRAC

RedEye wykrył skanowanie części podsieci wykonane z modułu iDRAC. Szczegółowa analiza pozwoliła ustalić, iż moduł ten został zaatakowany przy pomocy podatności CVE-2018-1207. Warto zwrócić uwagę, iż atakujący w ten sposób posiadali dostęp do kontrolera domeny Windows (AD) znajdującego się na serwerze Dell, a detekcja przy pomocy oprogramowania HIDS (ang. Host-based intrusion detection system) typu SIEM czy EDR nie byłaby możliwa z uwagi, iż infekcja miała miejsce w nadrzędnym systemie nadzorcy, do którego użytkownik nie ma dostępu i nie może na nim instalować własnego oprogramowania. Co więcej, w tym przypadku RedEye był w stanie wykryć skanowanie pomimo tego, iż nasze urządzenie nie zostało przeskanowane.

Analiza pakietów

Narzędzie RedEye wykonuje szczegółową inspekcję pakietów na wielu warstwach modeli ISO/OSI oraz TCP/IP. Dzięki takiemu podejściu jesteśmy w stanie wykrywać najbardziej zaawansowane cyberataki. RedEye wykrywa rekonesans sieci niestandardowymi sposobami i atakujący nie musi nawet przeskanować modułów honeypot aby jego działania zostały wykryte.

RedEye

Działający pasywnie w podsieci RedEye autorskim sposobem wykrywa systemy operacyjne (bez wykorzystania bibliotek jak p0f), a także różnego rodzaju urządzenia IoT i nie tylko.

RedEye Case Study – anti-anti-sandbox

Codziennie firmy antywirusowe w zautomatyzowany sposób na masową skalę uruchamiają każde podejrzane oprogramowanie w środowiskach sandbox, których celem jest wykrycie złośliwego działania. Jeśli przykładowo ransomware zaczyna szyfrować dane na dysku to tworzona jest sygnatura, która ostatecznie umieszczana jest w bazie reguł oprogramowania antywirusowego. Złośliwe oprogramowanie aby zabezpieczyć się przeciwko takim automatycznym środowiskom detekcji posiada zaimplementowane mechanizmy anti-sandbox. Celem tych mechanizmów jest wykrycie, czy złośliwe oprogramowanie nie zostało uruchomione w środowisku sandbox. Jeśli środowisko sandbox zostanie wykryte, to oprogramowanie nie zostanie aktywowane i nie wykona żadnego złośliwego działania.

RedEye

Oprogramowanie RedEye implementuje szereg autorskich pomysłów, a jednym z nich jest detekcja mechanizmów anti-sandbox oraz próba oszukania złośliwego oprogramowania, iż zostało uruchomione w środowisku sandbox. Takie podejście pozwala nie tylko wykryć zarażony komputer, ale również zablokować atak ransomware, który może polegać przykładowo na zaszyfrowaniu danych na dysku. Złośliwe oprogramowanie nie zostanie aktywowane w wyniku zadziałania mechanizmu anti-sandbox, którego to celem jest uniknięcie detekcji przez zautomatyzowane środowiska przeznaczone do analizy malware.

RedEye Case Study – ataki na NAC 802.1X

W dzisiejszych czasach zabezpieczenia takie jak kontrola dostępu do sieci (ang. NACNetwork Access Control) nie gwarantują, iż żadne niepowołane urządzenie nie zostanie wpięte do sieci wewnętrznej i nie uzyska nieuprawnionego dostępu do VLAN, który wymaga autoryzacji z zaufanego urządzenia. Powszechnym problemem organizacji jest zbytnie skupianie się na prewencji i blokowaniu przy jednoczesnym zaniechaniu wykrywania ataków. RedEye jest w stanie wykryć różnego rodzaju sieciowe artefakty i anomalia związane z próbami ataków na 802.1X. Detekcja nie skupia się na jednym aspekcie ale wielu, dzięki czemu każde nieprzewidziane działanie może zostać wykryte już na inicjacyjnym etapie prób nieautoryzowanego dostępu do sieci LAN.

RedEye Case Study – backdoor sprzętowy

RedEye pozwolił wykryć backdoora sprzętowego umieszczonego w serwerach marki Super Micro. Zespół SOC został poinformowany o wykryciu anomalii związanej z detekcją oprogramowania IoT w sieci produkcyjnej. Szczegółowa analiza naszego zespołu pozwoliła wykazać, iż w serwerze działa dodatkowe urządzenie, które aktywne jest nawet przy wyłączonym systemie operacyjnym na serwerze. Warto w tym miejscu zwrócić uwagę, iż RedEye nie posiadał gotowej reguły detekcji na niniejszy backdoor, a dopiero późniejsza analiza pozwoli dopasować go do szczerzej znanego incydentu ze sprzętowym backdoorem. Nasza detekcja nie polega na tworzeniu reguł na znane niebezpieczeństwa, a na wykrywaniu anomalii mogących świadczyć o ataku, przykładowo aktywności backdoorów sprzętowych.

Poznaj nasze podejście

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu obrony jak i ataku. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze podejście wynika z szerokiego oraz wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie i opiera się na trzech podstawowych założeniach – prewencja, wykrywanie i reagowanie.

testy penetracyjne (testy bezpieczeństwa)

Prewencja

Zapobieganie przez testowanie istniejących zabezpieczeń oraz wykrywanie słabości, audyty bezpieczeństwa, testy bezpieczeństwa, testy penetracyjne, testy socjotechniczne, red teaming oraz skanowanie podatności.

threat hunting i threat intelligence

Wykrywanie

Proaktywna detekcja zagrożeń, threat intelligence i threat hunting przy pomocy naszego narzędzia RedEye oraz sprawdzonego oprogramowania typu endpoint protection celem skutecznego wykrywania zagrożeń.

informatyka śledcza i analiza powłamaniowa

Reagowanie

Reagowanie na incydenty, analiza złośliwego oprogramowania, analiza powłamaniowa oraz informatyka śledcza, w tym zgodne ze sztuką zabezpieczenie materiału dowodowego. Posiadamy status biegłego sądowego.

Poznaj RTFS

RTFS SOC oraz laboratorium informatyki śledczej znajdują się w siedzibie ForSec SA, na 7 piętrze biurowca klasy A DL Tower w Katowicach na al. Korfantego 138. Dostęp do SOCa chroniony jest czterema strefami dostępu. Istnieje możliwość zrealizowania wizyty referencyjnej w siedzibie RTFS.

SOC
SOC
SOC
SOC

Copyright © 2017-2023 REDTEAM.PL All Rights Reserved