Skip to main content

Техническое ПМИ - проверка всех технологий, что они работают

Как проверить обнаружение KATA с помощью различных технологий (IOA, IDS, Sandbox)

Форум KB
Этой статьей можно поделиться с заказчиком напрямую по этой ссылке:
https://forum.kaspersky.com/topic/how-to-%D1%81heck-kata-detects-by-different-technologiesioa-ids-sandbox-katakedre-42147/ (

https://forum.kaspersky.com/topic/how-to-%D1%81heck-kata-detects-by-different-technologiesioa-ids-sandbox-katakedre-42147/

)

Проблема

Иногда бывает необходимо проверить обнаружение KATA, например, обнаружение IDS, IOA, Sandbox.

Ящики KL
НЕ используйте KL Box в качестве файлового хранилища для ваших образцов во время тестов! URL-адреса для загрузки будут добавлены в список разрешенных, что приведет к тому, что обнаружение не будет работать должным образом.


Пошаговое руководство

IDS-обнаружения (SPAN)

Для проверки обнаружения IDS (SPAN) клиент может использовать утилиту tcpreplay на сервере, настроенном на прием трафика SPAN.

КАТА 4.0/4.1
Пакет tcpreplay для таких версий можно найти здесь https://rhel.pkgs.org/7/epel-x86_64/tcpreplay-4.4.4-1.el7.x86_64.rpm.html (

https://rhel.pkgs.org/7/epel-x86_64/tcpreplay-4.4.4-1.el7.x86_64.rpm.html

)


KATA 5./6. и tcpreplay
tcpreplay_4.3.2-1build1_amd64.deb — единственный пакет, совместимый с AstraLinux. По умолчанию он не установлен, поэтому вам следует установить его вручную:
1. Загрузите этот пакет: tcpreplay_4.3.2-1build1_amd64.deb https://ubuntu.pkgs.org/20.04/ubuntu-universe-amd64/tcpreplay_4.3.2-1build1_amd64.deb.html (

https://ubuntu.pkgs.org/20.04/ubuntu-universe-amd64/tcpreplay_4.3.2-1build1_amd64.deb.html

)
2. Поместите загруженный файл tcpreplay_4.3.2-1build1_amd64.deb к вашему узлу KATA. Используйте scp, замените <путь> и админ @<kata-ip> с фактическими значениями

<ac:structured-macro ac:name="unmigrated-wiki-markup" ac:schema-version="1" ac:macro-id="dfdfb465-35e0-4a94-84b5-68ec62fdffa6"><ac:plain-text-body><![CDATA[

[user@host]$ scp <your-path>/tcpreplay_4.3.2-1build1_amd64.deb admin@<kata-ip>:/tmp

]]></ac:plain-text-body></ac:structured-macro>

3. Запустите установку на вашем узле KATA:

<ac:structured-macro ac:name="unmigrated-wiki-markup" ac:schema-version="1" ac:macro-id="8e11f197-b96b-4f89-9c04-2015f9f4f6bd"><ac:plain-text-body><![CDATA[

[admin@katahost]$ sudo dpkg -i /tmp/tcpreplay_4.3.2-1build1_amd64.deb

]]></ac:plain-text-body></ac:structured-macro>

Успех! Теперь вы можете использовать tcpreplay на вашем KATA 5.+ или любой другой системе UBUNTU!|
Перед использованием tcpreplay вы должны включить захват tx для span:

КАТА 3.7.*

  1. В режиме технической поддержки от имени пользователя root выполните: 

    systemctl stop apt-preprocessor.service
    systemctl stop suricata.service
    rmmod pf_ring

  2. Отредактируйте файл /etc/modprobe.d/pf_ring.conf:
    1. измените строку: options pf_ring enable_tx_capture=0 min_num_slots=16384       # tx capture is disabled на: options pf_ring enable_tx_capture=1 min_num_slots=16384       # tx capture is enabled
    2. сохраните файл.
  3. Запустите pfring и сопутствующие услуги обратно:

    modprobe pf_ring
    systemctl start suricata.service
    systemctl start apt-preprocessor.service

    КАТА 4.0/4.1

  4. Отредактируйте файл /etc/modprobe.d/pf_ring.conf:
    1. измените строку:options pf_ring enable_tx_capture=0 min_num_slots=16384       # tx capture is disabled на: options pf_ring enable_tx_capture=1 min_num_slots=16384       # tx capture is enabled
    2. сохраните файл.
  5. В режиме технической поддержки от пользователя root выполните:

    systemctl stop docker
    rmmod pf_ring
    modprobe pf_ring
    systemctl start docker


    KATA 5.0/5.1/6.0 - см. Как включить захват TX в KATA

  • Обнаружение трафика Eicar:

Загрузите прикрепленный образец EICAR-Test-File_TCP.pcap на сервер с интерфейсом SPAN, затем выполните команду из корневой оболочки:

tcpreplay -i ens34 EICAR-Test-File_TCP.pcap  # ens34 в этом примере – интерфейс SPAN

  •  Обнаружение трафика Nmap:Сценарий такой же, как и для обнаружения Eicar, отличается только файл .pcap - # tcpreplay HackTool.Nmap.HTTP.C&C.pcap.

    После тестирования обнаружений из диапазона мы настоятельно рекомендуем снова отключить захват tx таким же образом, как описано выше для включения.

    Движок AM

    Используйте EICAR - https://www.eicar.com/ (https://www.eicar.com/)
    Электронная почта - отправьте EICAR через SMTP на порт KATA 25. (Конечно, обработка SMTP должна быть включена (https://support.kaspersky.com/KATA/4.0/en-US/198888.htm)). Совет: вы можете использовать локальный почтовый клиент swaks на CN, чтобы пропустить сложные настройки почты.

    swaks --server 127.0.0.1 --port 25 --from antony@test.org --to cleopatra@test.org --attach eicar.com
    swaks --server 127.0.0.1 --port 25 --from antony@test.org --to cleopatra@test.org --body "link_to_EICAR_here"

    Блок кода1 примеры swaks
    Наконец поместите файл EICAR в enboint и загрузите его, используя задачу GetFile (https://support.kaspersky.com/KATA/4.0/en-US/196904.htm), поставьте в очередь на проверку

    Обнаружение YARA

    По умолчанию правила YARA не поставляются с продуктом. В целях тестирования можно использовать тестовое правило из документов YARA: https://yara.readthedocs.io/en/v4.1.0/writingrules.html (https://yara.readthedocs.io/en/v4.1.0/writingrules.html

    rule ExampleRule
    {
    strings:
    $my_text_string = "текст"
    $my_hex_string = { E2 34 A1 C8 23 FB }
    condition:
    $my_text_string or $my_hex_string
    }

    Правило пометит любой анализируемый объект, содержащий $my_text_string или $my_hex_string.

    Обнаружение TAA

    Чтобы проверить обнаружение IoA (обнаружение IoA можно проверить только при наличии у клиента лицензии KEDR):
  • Скопируйте файл .bat из прикрепленного архива Test_IOA.rar (пароль not_infected) в любую папку на хосте с установленным EDR и запустите его.Через некоторое время (KATA требуется несколько минут для передачи и обработки телеметрии из EDR) проверьте оповещения в KATA. Оповещение должно быть типа ioa_test_detect.

    Для тестирования IoA обнаруживает на хосте более одного раза, файл .bat должен быть размещен в разных местах на этом хосте.

  • На хосте с установленным KEA выполните следующую команду в оболочке cmd.exe:

    wmic.exe "sfdgcall uninstallkasperskyblabla"

    Выполнение команды завершится ошибкой, но это не важно. Через некоторое время в веб-интерфейсе KATA должно появиться новое обнаружение IoA.

    Обнаружение цепочки событий TAA (6.1+)

    Чтобы проверить обнаружения TAA в цепочке событий, сначала убедитесь, что эта функция включена в веб-интерфейсе KATA (https://support.kaspersky.com/KATA/6.1/en-US/277403.htm) (а также размер этого клиента позволяет включить эту функцию).
    Затем на одном из подключенных EDR-хостов распакуйте эти архивы и запустите .bat-скрипты:
    short_term_user_creation_complex.7z 
    multiple_login_attempts_with_the_same_account_complex.7z

    Обнаружение IoC

    Можно использовать собственное правило для тестирования - Ioctest.zip (infected123) - запускается для "c:\windows\system32\calc.exe"

    Автоматическая песочница в EDR

    Чтобы проверить автоматическую песочницу:
  • Распакуйте архив с образцом, используйте пароль по умолчанию для образцов: autosbtest.zip
  • Внимание! Не меняйте MD5 образца.
  • Запустите образец на узле, защищенном EDR, и дождитесь автоматического определения SB:

Обнаружение песочницы

Чтобы проверить обнаружение песочницы, можно использовать файл SA_sleep.exe из прикрепленного архива no_am_detection.rar. Пароль находится внутри текстового документа в архиве.

  • Перейдите в веб-интерфейс старшего сотрудника службы безопасности KATA.
  • Выберите Хранилище → Загрузить и загрузите SA_sleep.exe из прикрепленного архива для проверки КАТА.
  • KATA поместит его в песочницу, и чуть позже SB должен вынести вердикт Подозрительная активность.

Если SA_sleep.exe выдает вердикт Не обнаружено, пожалуйста, используйте test_sb.bat из прикрепленного test_sb.zip

Репутация URL

1. Убедитесь, что K(P)SN настроен и работает правильно. MD5, используемый в этом примере, должен возвращать статус Ненадежный:

для KATA 4. + и 5.0:
docker exec -it `docker ps

grep ksn_proxy

awk '{print $1}'` /opt/kaspersky/apt-ksn_proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51
 
для KATA 5.1:
docker exec -it $(docker ps

grep ksn_proxy

awk '{print $1}') /opt/kaspersky/apt-ksn-proxy/sbin/ksn_client --ip 127.0.0.1 --hash 9C642C5B111EE85A6BCCFFC7AF896A51

Блок кода2 Проверка KSN по команде KATA
2. Проверьте:
Для трафика: доступ к http://bug.qainfo.ru/TesT/Aphish_w/index (http://bug.qainfo.ru/TesT/Aphish_w/index)
Для электронной почты: необходимо включить обработку SMTP (https://support.kaspersky.com/KATA/4.0/en-US/198888.htm), отправьте ссылку по электронной почте выше. Для черновика:

swaks - сервер 127,0.0,1 --порт 25 год - от рыбака@test.org --клеопатре@test.org --body "http://bug.qainfo.ru/TesT/Aphish_w/index"

Блок кода3 Примеры swaks

Обнаружение интеграции KSMG+KATA

Для проверки обнаружения интеграции KSMG+KATA поместите следующую ссылку https://disk.yandex.ru/d/qlLKor8i0dO4SA (https://disk.yandex.ru/d/qlLKor8i0dO4SA) в тело письма и отправьте это письмо.
На стороне KATA будет обнаружение, как показано на скриншоте ниже

Файл

Изменено

Файл Test_IOA.rar

10 июля 2020 г. Кузнецов_Пе

Файл No_AM_Detection sample.rar

10 июля 2020 г. Кузнецов_Пе

Файл EICAR-Test-File_TCP.pcap

10 июля 2020 г. Кузнецов_Пе

Файл HackTool.Nmap.HTTP.C и C.pcap

10 июля 2020 г. Кузнецов_Пе

ZIP-архив autosbtest.zip

31 янв.2022 г. Сажин

PNG-файл Скриншот 31.01.2022 на 16.38.45.png

31 янв.2022 г. Сажин

ZIP-архив Ioctest.zip

09 декабря 2022 г. Усанов

ZIP-архив test_sb.zip

24 октября 2024 г. Юрий Кудряшов

Файл tcpreplay_4.3.2-1build1_amd64.deb

25 октября 2024 г. Давид Салдаев

Файл short_term_user_creation_complex.7z

10 декабря 2024 г. Сажин

Файл multiple_login_attempts_with_the_same_account_complex.7z

10 декабря 2024 г. Сажин

PNG-файл image-2025-4-24_16-14-44.png

24 апреля 2025 г. Давид Салдаев


Статьи по теме


Back to top