Értékelt a Crysys Lab

2014. december 4.

Az új APT támadás detekciós eszközök sem fognak meg minden támadást

 Az APT (Advanced Persistent Threat) kifejezést olyan támadói csoportokra használjuk, akik erőforrásokban gazdagok, sokszor valamilyen állam által támogatott támadók, s akik fejlett és célzott kibertámadások kivitelezésére képesek, melyeknek gyakori eszköze valamilyen új, korábban még nem használt kártékony kód (malware). Az elmúlt években megnövekedett a nyilvánosságra került APT támadások száma. Ilyen volt például a Stuxnet (2010), a Duqu (2011), a Flame (2012), a MiniDuke (2013), a Red October (2013), és az Uroburos/Turla (2014) kampány. Ezeket a támadásokat a hagyományos anti-vírus eszközök általában nem detektálják, ezért megjelentek a piacon olyan új eszközök, melyeket kifejezetten APT támadások detekciójára fejlesztettek. Ilyen például a Cisco SourceFire, Checkpoint, Damballa, Fidelis XPS, FireEye, Fortinet, LastLine, Palo Alto WildFire, Trend Micro Deep Discovery, és a Websense.

 A BME Villamosmérnöki és Informatikai Karán működő CrySyS Lab (www.crysys.hu) munkatársai arra voltak kíváncsiak, vajon mennyire hatékonyak ezek az új eszközök. Ezért az MRG Effitas cég munkatársaival közösen fejlesztettek 4 speciális tesztprogramot, melyek hasonló viselkedést mutatnak mint az APT támadásokban használt fejlett kártevők, és 5 APT támadás detekciós eszközt teszteltek ezekkel a programokkal 2014 harmadik negyedévében. Elvileg mind az 5 eszköznek detektálnia kellett volna mind a 4 tesztprogramot, de az eredmény ennél sokkal rosszabb lett:

- az egyik tesztprogram mind az 5 eszközön átjutott,

- egy másik tesztprogram 3 eszközön jutott át,

- csak a két legegyszerűbb tesztprogramot detektálták az eszközök, és több esetben ekkor sem jeleztek komolyabb problémát ("low severity" jelzéseket adtak).

 A tesztről és eredményeiről a CrySyS Lab és az MRG Effitas közös blog bejegyzést publikált (blog.crysys.hu) és kiadtak egy részletesebb riportot is, mely a blogról elérhető. Az eredmények publikálásának célja az, hogy felhívják a figyelmet arra, hogy ezek az új APT támadás detekciós eszközök sem fognak meg minden támadást. A szerzők kiemelik annak fontosságát, hogy a gyártók minél több független tesztben résztvegyenek, és segítsék a felhasználóikat abban, hogy termékeik valódi képességeit megismerjék. A CrySyS Lab azt is tervezi, hogy a mind az 5 eszközön átjutó tesztprogramot is nyilvánosságra hozza, ezzel arra ösztönözve a gyártókat, hogy javítsák termékeik képességeit, és ezáltal nehezítsék a támadók dolgát.