Целевая атака что это
Что такое целевая атака: признаки, объекты и последствия
Определение
Специалисты по информационной безопасности по-разному трактуют термин advanced persistent threat (APT). Среди вариантов: «расширенные постоянные угрозы»; «продвинутые», «развитые», «сложные», «целевые», «целенаправленные» и «таргетированные» угрозы. Эксперты Positive Technologies определяют APT как хорошо организованную, тщательно спланированную кибератаку, направленную на конкретную компанию или целую отрасль. В ходе нее злоумышленник получает несанкционированный доступ к сети, закрепляется в инфраструктуре и надолго остается незамеченным. За такими атаками, как правило, стоят APT-группировки, имеющие значительные финансовые ресурсы и технические возможности.
Чем APT-атаки отличаются от массовых вторжений
Массовые кибератаки направлены на глобальное распространение вредоносных программ, затрагивают в основном частных лиц и не требуют длительной подготовки и серьезных финансовых вложений. При планировании подобных атак злоумышленники не учитывают отраслевую принадлежность и масштабы организаций, не составляют портрет жертвы, а при реализации используют готовые инструменты, более дешевые, нежели для целевых атак.
В свою очередь, целевая атака всегда направлена на конкретную компанию, компьютерную сеть или компьютеры отдельных сотрудников. Такие атаки всегда тщательно продуманы, растянуты во времени и реализуются в несколько этапов. Как показало исследование Verizon, время проникновения злоумышленников в инфраструктуру составляет несколько минут, а на обнаружение атаки уходят недели и даже месяцы.
Объекты целевых атак
Как правило, злоумышленники охотятся за секретными стратегическими разработками, платежной информацией, персональными данными — любой информацией, которую можно выгодно продать, обменять или использовать.
Заказчики и исполнители
Заказчиками атак могут быть конкурирующие компании и спецслужбы. Реализуют атаки обычно APT-группировки — группы профессиональных хакеров, финансируемые заинтересованной стороной. Они создают инструменты для преступления сами или покупают их в даркнете.
Последствия атак
Примеры APT-атак
Олимпийские игры в Пхенчхане. В феврале 2018 года организаторы Олимпийских игр сообщили о кибератаке на серверы во время церемонии открытия игр. Из-за хакерской атаки была нарушена работа цифрового интерактивного телевидения в главном пресс-центре. В атаках на сервер использовалось вредоносное программное обеспечение Olympic Destroyer. Некоторые эксперты полагают, что к операции могла быть причастна APT-группировка Fancy Bear.
Бюро Equifax. В мае-июле 2017 года была произведена атака на крупное бюро кредитных историй Equifax, в результате которой произошла утечка персональных данных 143 млн человек. В ходе атаки злоумышленники получили доступ к файлам, содержавшим имена, номера социального страхования и водительских удостоверений. Кроме того, в руки неизвестных попали номера кредитных карт порядка 209 тыс. американцев, а также документы, содержавшие персональную информацию примерно 180 тыс. клиентов бюро.
Целевые атаки: что такое APT и как защититься?
Злоумышленники уже могут находиться в сети: что такое APT-угрозы и как защититься
В этой статье мы расскажем о концепции и этапах APT-атак (Advanced Persistent Threat), об их обнаружении и защите, а также приведем примеры таких атак.
Что такое АРТ-атака?
APT-атака является разновидностью целевой (целенаправленной, таргетированной) атаки. Целевые атаки отличаются от массовых атак тем, что направлены на конкретную компанию или целую отрасль.
Что характеризует APT-атаку? Она хорошо спланирована, сильно распределена во времени (от нескольких дней до нескольких лет) и включает несколько этапов, сочетая в себе комбинацию методов: социальной инженерии, эксплуатации уязвимостей, применения ВПО и т. д.
Как правило, проводится преступными группами – так называемыми APT-группировками, у которых есть деньги, технологии и знания.
Мотивы APT-группировок:
После атак злоумышленники очень часто оставляют «бэкдоры» для повторного взлома. Эксперты FireEye опубликовали отчет, подтверждающий, что более половины компаний (64%) подвергаются повторной атаке в течение 19 месяцев после первой.
Как определить, что компания подверглась APT-атаке?
Как правило, крупные компании становятся объектами для APT-атак чаще, чем небольшие организации.
Некоторые признаки, указывающие на APT-атаку:
Постоянный аудит журналов сети поможет выявить аномалии в соединениях. Только благодаря осознанию «нормальной» сети можно выявить возможные аномалии. Например, сетевая активность, обнаруженная в нерабочие часы, может быть признаком атаки.
Необходимо проверять протоколы, используемые в соединениях, особенно если это соединения из внутренней сети. Например, злоумышленники могут использовать протокол HTTPS для подключения к внешней стороне, но при проверке содержимого там обнаружатся только данные HTTP. Часто атакующие могут выбирать протокол исходя из списка разрешенных в компании, поэтому важно изучать соединения, даже если на первый взгляд они выглядят нормальными.
Можно проверять почтовые журналы, чтобы увидеть, есть ли странные всплески активности для отдельных пользователей. Аномальная активность должна быть исследована, так как может быть признаком фишинговой атаки.
В ходе продвижения по сети злоумышленники могут найти Active Directory, почтовый или файловый сервер и получить к ним доступ через эксплойт. Либо, если этот способ не применим – попытаться взломать учетные записи администраторов. Проверка неудачных и успешных попыток входа может выявить попытки злоумышленников перемещаться по сети.
Злоумышленники могут использовать для решения своих задач не только специально разработанный хакерский инструментарий, но и легитимные инструменты (например, средства удаленного доступа). Некоторые решения безопасности помечают эти, казалось бы, не вредоносные инструменты как подозрительные. Если нет веских причин для использования подобного инструмента, это может быть признаком горизонтального передвижения злоумышленника.
Необходимо проверять неизвестные большие файлы, найденные в сети, так как они могут содержать ценные данные, подготовленные атакующими к отправке за пределы периметра. Злоумышленники хранят эти файлы в системах своих целей до этапа эксфильтрации, часто скрывая их «обычными» именами и типами файлов. ИТ-администраторы могут проверить это с помощью ПО для управления файлами.
Этапы целевой атаки APT
APT-атаки состоят из нескольких этапов – от разведки до окончательной эксфильтрации данных и последующих атак.
Злоумышленники начинают свою кампанию с разведки. Происходит сбор информации (поиск в открытых источниках, социальная инженерия для получения дополнительных данных, мониторинг данных о новых уязвимостях и т. п.). Ведется подготовка к взлому, подбор или даже разработка подходящих инструментов.
Используя знания и инструменты, собранные на первом этапе, злоумышленник проникает в сеть компании – через эксплуатацию уязвимостей, социальную инженерию, с помощью разных техник обхода защиты. Далее он может использовать внутреннюю разведку, чтобы узнать, где именно оказался, инвентаризировать сеть и продумать пути закрепления в инфраструктуре.
На этом этапе злоумышленник обеспечивает себе связь с командным центром, перемещается по сети в поисках доступов к целевым системам или машинам, а также повышает свои привилегии в сети.
Злоумышленник решает свою главную задачу – получает конкретные данные, нарушает бизнес-процессы и т. д. Наконец, злоумышленник переводит данные (или денежные средства) за пределы компании.
Если злоумышленник оставил бэкдор, то сможет вернуться к компании и атаковать ее еще раз в любое время.
Примеры APT-атак
Приведем несколько примеров атак APT:
Как защитить компанию от APT-атак
В целевых атаках злоумышленники используют комбинацию различных методов и инструментов, поэтому и подход к защите от них должен быть максимально комплексным. Ниже перечислен ряд мер, которые могут помочь с выстраиванием защиты от сложных атак, включая APT.
Сотрудники компании – самая уязвимая ее точка. Именно поэтому фишинг до сих пор является одним из наиболее популярных и эффективных методов атак. Необходимо проводить регулярное обучение и проверять его эффективность, повышать осведомленность персонала в вопросах информационной безопасности. Кроме того, ваши ИБ-специалисты должны иметь достаточную квалификацию и поддерживать актуальность собственных знаний, поскольку злоумышленники очень быстро развивают свои тактики, техники и инструментарий.
Сотрудникам ИБ необходимо четко понимать, как действовать в случае возникновения угрозы. Устранение угроз должно быть максимально оперативным, пока компании не нанесен ущерб. Не во всех организациях есть компетенции по расследованиям – в этом случае можно привлечь сторонних экспертов, которые не только грамотно проведут расследование, но и смогут дать рекомендации по исправлению недостатков защиты.
Скорость развития инструментов и тактик злоумышленников настолько высока, что рассчитывать только на предотвращение бессмысленно – нельзя заблокировать абсолютно все. Эффективнее переориентировать подход к защите от сложных атак с предотвращения на раннее обнаружение. При подобном раскладе компания сможет выявить атаку на самых ранних этапах.
Чем прозрачнее для вас происходящее в вашей сети, тем легче будет найти атаку и минимизировать риски. Защита на периметре будет бессильна, если хакер сумел проникнуть в инфраструктуру, но, если у вас есть понимание того, какая активность есть в вашей внутренней сети, вы найдете и устраните угрозу.
Решение Anti APT
APT – одна из самых сложных атак, от которой «быстро очиститься» не получится. Поэтому важно заниматься профилактикой и ранним выявлением угроз. Против целевых атак вам поможет расширенная защита от наших партнеров Positive Technologies, чьи инновационные решения позволяют выявлять, верифицировать и нейтрализовать бизнес-риски компаний, возникающие в IT-инфраструктурах.
Комплексное решение PT Anti-APT предназначено для выявления и предотвращения целевых атак. Оно быстро обнаруживает присутствие злоумышленника в сети и воссоздает полную картину атаки для детального расследования.
С помощью PT Anti-APT вы сможете увидеть, что происходит внутри вашей сети, и обнаружить взломы на самых ранних стадиях. Решение включает в себя систему глубокого анализа сетевого трафика PT Network Attack Discovery и песочницу PT Sandbox с возможностью гибкой кастомизации виртуальных сред.
Оставьте заявку на бесплатный пилот PT Anti-APT, чтобы обеспечить свой бизнес надежной защитой.
Как выглядят современные целевые атаки
Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.
Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.
Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.
Этап 1. Сбор информации
Хакерам нужно собрать как можно больше сведений о заводе, его руководстве и сотрудниках, сетевой инфраструктуре, а также о поставщиках и заказчиках. Для этого злоумышленники исследуют с помощью сканера уязвимостей сайт завода и все IP-адреса, принадлежащие предприятию. По публичным источникам составляется список сотрудников, изучаются их профили в соцсетях и сайты, которые они постоянно посещают. На основании собранной информации готовится план атаки и выбираются все необходимые утилиты и сервисы.
Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.
Этап 2. Организация точек входа
Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.
Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.
Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.
Этап 3. Соединение с управляющим сервером
После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.
ИСТОЧНИК: TREND MICRO
На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.
Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.
Этап 4. Боковые перемещения
Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.
Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.
Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.
Этап 5. Сопровождение атаки
Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.
Инструменты: веб-панель управления атакой
Этап 6. Хищение информации
Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.
Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.
Результат атаки
Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.
Выводы
Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.
Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.
ИСТОЧНИК: TREND MICRO
В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.
Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.
В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.
Анатомия таргетированной атаки
Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.
С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя IT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются.
Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации, от имевших место инцидентов, убеждений конкретных сотрудников, и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:
Но, несмотря на все это, количество успешных, то есть достигающих своей цели, атак на IT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?
Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.
Понятие целевой атаки
Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки. Целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.
Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100 дней и больше.
Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.
В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей — бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате ее компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.
В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие — отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.
В настоящее время все большее распространение получает термин APT — Advanced Persistent Threat. Давайте разберемся и с его определением. APT — это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против других организаций. Целевая, или таргетированная, атака — это процесс, деятельность. APT — техническое средство, позволяющее реализовать атаку.
Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты — ниже мы вернемся к этому вопросу.
Стадии целевой атаки
В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы.
Рис. 1: Фазы целевой атаки
На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:
На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «точку возврата», позволяющую им вернуться в будущем.
Первая фаза целевой атаки — подготовка.
Выявление цели
Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.
Сбор информации
По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует для защиты информации, о внутреннем регламенте и так далее. Поэтому процесс сбора информации о жертве называется «Разведка». Основная задача разведки — сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.
Способы проведения разведки:
Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрутер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.
Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.
В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации — их выбрасывают на помойку без правильного уничтожения, а среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компаний могут содержать реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.
В результате этой работы организаторы атаки могут получить достаточно полную информацию о жертве, включая:
Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.
На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко входить в доверие, оперируя полученной информацией.
Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться работником информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.
Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:
Создание стенда
Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда с идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.
Разработка набора инструментов
Перед киберпреступниками встает непростой выбор: им важно выбрать между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.
Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:
Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», может меняться динамически вместе с вредоносными модулями.
Вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:
Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.
Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных дополнительных модулей, каждый из которых будет выполнять свою функцию:
Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.
Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем полугода. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.
Основные риски в секторах индустрии
Что же представляет собой таргетированная атака?
Таргетированная атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, управляемый киберпреступником в режиме реального времени. Процесс всегда строится под жертву, являясь некой продуманной операцией, а не просто разовым техническим действием, он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). Такая операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием. Деятельность группы часто похожа на многоходовую войсковую операцию, она следует четко подготовленной стратегии, обычно состоящей из четырех фаз.
Продолжая аналогию, можно сказать, что происходит вооруженная схватка между людьми: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.
И статистика здесь в этом противостоянии неутешительна: по данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.
Используя накопленную за последние годы экспертизу «Лаборатории Касперского» в расследовании целевых атак, в продолжении нашего цикла статей мы опишем детальное развитие атаки, следуя четырем ее вышеописанным фазам с реальными примерами, рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии.
1. Подготовка
Основные задачи начальной фазы атаки, подтверждающие ее определение как целевой:
2. Проникновение
По совокупности применяемых техник фаза «Проникновение» является для киберпреступников одной из самых сложных в исполнении и реализации.
Большинство инженеров информационной безопасности затруднялись с ответом, когда их просили перечислить применяемые средства и методы проникновения в инфраструктуру. Давайте сформулируем ответ вместе. Для этого вначале приведем наименование основных технических средств с описанием их основных функций:
Вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.
Проникнув благодаря уязвимости на целевой корпоративный компьютер, эксплойт запускает средство доставки, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или dropper.
Сборщик информации с зараженного хоста, выполняет фильтрацию информации об учетных записях пользователей, установленном программном обеспечении, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:
Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае если он перехватывается средствами защиты, это не создает для киберпреступников угрозы утечки методов и средств, планируемых к применению.
Благодаря таким качествам может применяться в случаях, когда:
Средства доставки: электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства.
Инструмент загрузки используется в целях быстрого заражения с применением техники фишинга через вложения в письмах либо с фишинговых веб-сайтов. При запуске выкачивает основной модуль Payload либо Dropper в зависимости от целей и планов киберпреступников.
Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на целевую машину с последующим закреплением внутри операционной системы, как правило, это скрытая автозагрузка.
Средствами доставки могут являться электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).
Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи.
Тело модуля содержит многоуровневое шифрование, призванное защитить разработки и технологии киберпреступников и детектирование атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, призванные обеспечить гарантированный запуск модуля в подходящей для него среде и не допустить запуска, если среда не удовлетворяет требованиям. Среди не подходящих для модуля условий можно назвать:
У вас может возникнуть ложное ощущение, что все перечисленные средства применяются в каждой целевой атаке, но это не так. В случае гипотетической атаки на компанию «А» хакеры будут использовать конкретный набор инструментов. Он может состоять из одного Dropper с основным модулем Payload. Весь перечень инструментов, приведенный выше, лишь демонстрирует разнообразие технологий в арсенале киберпреступников.
Перейдем к применяемым техникам обхода стандартных средств защиты, таких как: Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.
Обход стандартных средств защиты
На сегодняшний день стандартные решения информационной безопасности обладают большим количеством функций, обеспечивающих высокий уровень по контролю и фильтрации данных. Этот факт сильно усложняет работу киберпреступников и вынуждает их изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы.
Опишем наиболее известные из них:
Запутывание кода на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа антивирусом.
Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.
Техника по динамическому внедрению собственного кода в чужой процесс. Позволяет использовать все привилегии легитимного процесса в своих целях, не обращая на себя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:
Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Из практики «Лаборатории Касперского» каждая целевая атака строится на повышении прав доступа и реализуется под правами суперпользователя.
Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлоггер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают в системы свои драйверы и службы (они также являются «невидимыми»). Руткит также может быть использован как средство доставки, способный выгрузить все необходимое хакеру после заражения машины.
Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.
Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код «засыпает» на некоторое время, чтобы предотвратить обнаружение.
Важно отметить факт присутствия уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Зачастую эксплуатирующий персонал не отслеживает бюллетени безопасности производителей и не устраняет проблемы своевременно, оставляя хакерам шанс на проникновение.
Эксплуатация уязвимостей
Само определение уязвимости говорит о потенциальном недостатке в программном обеспечении. Такое случается вследствие просчетов проектирования либо допущенных ошибок разработчиками ПО, ведь программы пишут люди. Этот недостаток может быть использован киберпреступником в собственных целях. Уязвимость эксплуатируется через внедрение кода в уже запущенную ОС или программу — таким образом изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять недекларированные функции, зачастую с правами администратора.
Уязвимости программного обеспечения можно разделить на два типа:
Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру:
Переполнение буфера (buffer overflow) — может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии или предварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.
Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.
Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.
Абсолютно все современные компании используют специализированные средства контроля электронной почты. Наличие таких сервисов, как антиспам и антивирус, является обязательным условием для работы корпоративной почты. Многие пользователи привыкли доверять входящей корреспонденции, прошедшей, как они предполагают, профессиональную проверку специализированными средствами контроля безопасности. К сожалению, это не относится к социальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.
Так, секретарь может получить электронное письмо с вложением якобы от своего руководства либо партнера (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный email, видоизменив один символ). При открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментов с вытекающими последствиями развития атаки.
Разновидности использования почты как точки входа:
По данным исследования «Лаборатории Касперского», среди российских компаний ключевыми рисками внутри по-прежнему остаются уязвимости в ПО (их отметили 48% от общего числа опрошенных компаний), а также незнание правил IT-безопасности сотрудниками, приводящее к утечкам данных (отметили 37% респондентов). Исходя из этого мы приравниваем методы социальной инженерии к угрозам не меньшим по важности, чем программные.
Комбинированные техники
Каждые организаторы целевой атаки используют комбинированный подход, включающий различные технические средства для реализации проникновения. Очевидный пример — когда хакер делал рассылку по электронным адресам сотрудников компании, предварительно войдя в контакт с ними в социальной сети под вымышленным именем и собрав данные о них. Это комбинация методов социальной инженерии с фишингом.
Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. При этом часть инструментов по проникновению может сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в «белые списки» систем безопасности. Для наглядности приведем несколько примеров таких программ:
Инвентаризация сети
После выполнения автоматических уклонений от обнаружения и системных тестов на соответствие операционной среде Payload активирует основные функциональные модули, устанавливая закрытое шифрованное соединение с командными центрами и сигнализируя о своем активном статусе. На этой стадии киберпреступники приступают к консольной работе, используя терминал подконтрольной машины. Им очень важно быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться в сети. Первоочередным по важности является поднятие уровня доступа до привилегированного, после чего сразу же начинается изучение топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое ПО, например Netscan.
Приведем примеры проникновения из реальных атак.
Распространение
Опираясь на собранные данные по топологии сети, злоумышленники проводят ручной отбор ключевых рабочих станций и серверов. Выбранные машины киберпреступники берут под свой контроль и используют под новые задачи. На этом шаге хакеры уже имеют административные права, и все их действия по отношению к системам безопасности абсолютно легальны. Используя стандартные средства удаленного доступа, они выбирают наиболее удобные с точки зрения их задач сервера и рабочие станции.
Шаг 1. Закрепление внутри инфраструктуры
Под закреплением понимается комплекс мероприятий, направленных на организацию гарантированного доступа в инфраструктуру жертвы. Дело в том, что первичной точкой проникновения являются, как правило, компьютеры сотрудников с фиксированным рабочим графиком, а это означает, что время доступа в инфраструктуру для злоумышленников будет ограниченным.
Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак, расследованных экспертами «Лаборатории Касперского».
В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn — известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Payload. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.
Закрепление происходило методом копирования Payload в системную папку %system32%com с именем svchost.exe, при этом файлу назначались следующие атрибуты: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.
Шаг 2. Распространение
Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются сервера с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки «Persistent». На таком уровне для заражения достаточно подключиться к выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.
Шаг 3. Обновление
Случается, когда определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля (например, такой функцией может являться запись звука с внешнего микрофона). Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть при необходимости активирована.
Шаг 4. Поиск ключевой информации и методов достижения целей
Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью является шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.
Приведем пример из Carbanak:
Ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело в том, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.
Достижение целей
Шаг 1. Выполнение вредоносных действий
В завершающей фазе мы подходим к ключевой точке целевой атаки. На этом этапе киберпреступники уже могут выполнить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз.
Пример 1. Хищение ключевой информации
Чаще всего компании сталкиваются с хищением информации. В коммерции это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж, реже получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.
Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающим реальное название. Обычно это выглядит как активная шифрованная сессия, где веб-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).
Пример 2. Изменение данных
Целевая атака Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.
А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств на подконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.
При этом если смотреть со стороны самих компаний, то статистика «Лаборатории Касперского» говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) и потеря важных деловых контактов или бизнес-возможностей (34%).
Пример 3. Манипуляции с бизнес-процессами и шантаж
Наглядный пример произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. В результате были похищены тысячи файлов и документов, финансовые данные, а также к киберпреступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышли из строя, а на экранах рабочих станций отображалась фраза «Мы завладели вашими секретами». Все данные на жестких дисках рабочих компьютеров были стерты, киберпреступники грозились опубликовать информацию, если компания не подчинится их требованиям.
Уничтожение данных — другой, нечасто встречающийся пример развития целевой атаки. В августе 2012 года порядка 30 тысяч персональных компьютеров, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя. Киберпреступники преследовали две цели: первая — хищение закрытой информации, вторая — полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив филиалы от сети Интернет.
Шаг 2. Сокрытие следов
На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.
Шаг 3. Точка возврата
На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.
В завершение еще раз подчеркнем три основных отличия целевой атаки:
APT (Advanced persistent threat) — комбинации утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня и других компонентов, специально разработанных для реализации атаки.
Целенаправленная, или таргетированная, атака — это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).
Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:
Возникает вопрос о возможных способах противодействия такой операции. Ниже мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.
Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.
Стратегия противодействия целевым атакам
Комплексная стратегия включает четыре важных элемента системы защиты, которые описаны далее. Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.
А. Предотвращение. Целью является недопущение начала и развития атаки.
Б. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.
В. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.
Г. Прогнозирование. Цель — реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.
Предотвращение таргетированной атаки
Главная цель — не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер — хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.
Технические средства
Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, «классика» может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (black & whitelisting) приложений.
Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, — воспроизводится вероятная конфигурация межсетевого экрана, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая health-check хотя бы раз в год, остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.
Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:
Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.
Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнит организацию целевой вредоносной рассылки.
Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории machine learning, или самостоятельного обучения. Одной из таких технологий в составе продуктов «Лаборатории Касперского» является технология Automatic Exploit Prevention (AEP) по защите от эксплуатации уязвимостей в приложениях. Технология основывается на глубоком анализе процесса работы ПО, относящегося к группе риска (повышенного внимания хакеров), а также окружения операционной системы в целом. Технология анализа поведения выявит попытку эксплуатации уязвимости, так как она проанализирует непосредственный процесс работы.
Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.
Обучение в целях повышения грамотности в области ИБ
Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используются целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.
Для того чтобы приносить реальную пользу в отражении атак, такое обучение «кибергигиене» должно охватывать важнейшие области знаний, представление о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:
Итак, эффективное сочетание классических превентивных решений защиты с обученным основам кибербезопасности персоналом усложняет задачу атакующему. Но что делать, если атаке удалось «зацепиться» в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.
Детектирование
Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:
Обеспечение экспертизы
Первым условием является профессиональное обучение расследованию целевых атак — специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.
Курс затрагивает следующие аспекты:
По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.
Автоматизация обработки событий безопасности
Развитие информационной безопасности подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных IT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий — менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and event management) — по управлению событиями информационной безопасности, которая призвана решать следующие задачи:
За последние 15 лет SIEM получила широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.
Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.
Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например, о действующих командных центрах ботнетов или фишинговых сайтах.
Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:
Threat Intelligence — данные об актуальных угрозах ИБ
Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить три источника оперативных данных об угрозах:
Потоки данных (Threat Data Feeds)
За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Например, «Лаборатория Касперского» детектирует и описывает свыше 315 тысяч уникальных угроз в день, большая часть которых попадает в поток данных.
Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation — простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид, под конкретное решение, благодаря использованию парсера (программы для считывания и обработки текстовых данных).
Фактически поток данных (data feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.
Поток данных является неотъемлемой частью любого SOC (Security operational center, ситуационный центр управления безопасностью).
Что может содержать в себе поток данных:
Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.
Приведем наглядный пример, на базе обнаруженного командного центра ботнет-сети, ниже вы видите строки, содержащиеся в полученном JSON-пакете:
После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен «botnetccurl.com» из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.
Отчеты об APT
Помимо потоков данных на рынке существует возможность получать детализированные отчеты.
Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SoC и командой аналитиков.
APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:
Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы.
Например, подобные публичные отчеты можно найти на www.securelist.ru.
Анализ активности ботнет-сетей
В последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения malware (PC), драйвером бурного роста выступили решения класса «Интернет вещей» (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.
Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?
Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).
Так же через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.
Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:
Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.
Мониторинг ботнет-сетей
Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:
Каким образом осуществляется мониторинг активности ботнет-сетей?
Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами.
Результаты анализа попадают в отчет, который содержит следующую информацию:
Услуга по анализу активности ботнет-сетей, является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.
Внедрение специализированных систем обнаружения таргетированных атак
Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (веб, e-mail, основной gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.
Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:
Основные технологии обнаружения следов таргетированной атаки.
Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки:
Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница, это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.
Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).
Приведем пример нескольких Sandbox Evasion техник, когда объект не проявит свою активность:
Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды,
Поэтому важной особенностью современной песочницы, является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion техник:
Анализ аномалий – технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.
Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.
Пример работы анализатора аномалий:
Внедрение специализированных систем обнаружения таргетированной атаки, позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.
Сервис по выявлению таргетированной атаки.
В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.
Более детально о перечне работ в рамках такого сервиса:
Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.
Реагирование
Третьим элементом стратегии является Реагирование. Основная цель заключается в реакции на инцидент информационной безопасности следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.
Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.
Этапы реагирования включают:
В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующей пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.
Для наглядности, рассмотрим пример. Допустим атакующий нашел уязвимость в IT-инфраструктуре компании и атакующий получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.
Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделать его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это он может также вычистить следы атаки.
После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить вектора проникновения и распространения. На этом этапе важно понимать, что, если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение, и еще долго продолжать свою деятельность.
Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.
Прогнозирование
Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные вектора угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя следующий набор услуг:
Тест на проникновение (Penetration test)
В ходе теста моделируется вторая фаза таргетированной атаки «Проникновение», в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.
Оценка уровня защищенности (Security assessment)
На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные вектора угроз.
Своевременная оценка уязвимостей (Vulnerability assessment)
Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch management), обеспечивающий своевременное обновление программных продуктов.
Чтобы получить точную оценку угроз для выполнения каждого из этих тестов рекомендуется привлекать высоко квалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.
Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report)
Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.
Длительность предоставления сервиса равна одному кварталу, что позволяет определить:
Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.
В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.
Что должна уметь система выявления таргетированной атаки
Выше мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ.
Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:
Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.
Так что же должна уметь современная система выявления следов таргетированной атаки?
Рассмотрим за счет каких технологий удается достичь результата в обнаружении таргетированной атаки на примере их реализации в решении «Лаборатории Касперского».
На протяжении более чем 20 лет «Лаборатория Касперского» занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Статью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.
Важно отметить
Часть основополагающих технологий детектирования, вошедших в состав решения, были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.
[Средняя стоимость восстановления после инцидента, связанного с таргетированной атакой, составляет примерно 1 415 000$ для крупного бизнеса*
*Отчет Финансовые аспекты информационной безопасности в российских компаниях, b2b International для «Лаборатории Касперского», 2016]
Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.
Какова цель решения?
Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (dashboard).
Как решение устроено?
Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующем уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.
Какая информация в решении считается обязательной для анализа?
В целях обеспечения комплексного мониторинга, решение анализирует следующую информацию:
Далее мы подробней расскажем про архитектуру решения, и опишем функциональное назначение каждого уровня в отдельности.
Как строится взаимодействие в многоуровневой структуре?
Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни «делятся» анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который в свою очередь осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.
Рассмотрим применяемые технологии на каждом из уровней решения.
Уровень 1 – Сбор информации
Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, сервера электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.
Сбор данных на уровне сети
Для сбора сетевых данных применяются следующие технологии:
Технология сигнатурного детектирования, применяемая на первом уровне основана на технологии SNORT и отвечает за проверку сетевого траффика. Приведем несколько примеров обнаружения данной технологией:
Сбор данных с рабочих станций
Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:
Уровень 2 – Статический анализ
Второй уровень приведенной выше общей схемы решения — отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.
Рассмотрим некоторые реализованные на этом уровне технологии:
Помимо файлов из траффика производится проверка вложений электронной почты перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа.
KSN – облачный сервис, предоставляющий оперативный доступ к базам знаний «Лаборатории Касперского», в которых содержится информация по следующим категориям:
Категории веб-адресов, содержащиеся в репутационной базе данных KSN:
Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.
Каждый вердикт, формируемый KSN, сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа (TAA).
Что делать, когда применение облачных технологий запрещено регламентом безопасности?
Предусмотрена возможность применения KSN сервиса в закрытом контуре предприятия с соответствующим регламентом безопасности. В таком случае локально разворачивается аналог облачного сервиса, именуемый Kaspersky Private Security Network (KPSN). В этом варианте решение не будет отправлять запросы за периметр сети, а будет работать с локальными репутационными базами автономно.]
Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.
Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.
Уровень 3 – Динамический анализ
Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно не важно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. Тоже самое касается URL адресов, после прохождения репутационной базы, они будут переданы на уровень динамического анализа.
Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.
Техники, препятствующие динамическому анализу, и методы борьбы с ними
Технология динамического анализа присутствует на рынке достаточно давно и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:
В связи с этим песочница «Лаборатории Касперского» обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых
Также, песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.
Необходимо отметить две дополнительные задачи, решаемые песочницей:
Дело в том, что в реализации второй фазы таргетированной атаки («проникновение») киберпреступники могут скомпрометировать доверенный сторонний веб-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.
Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.
Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.
Уровень 4 – Статистический анализ
На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный — Красный, средний — Желтый, незначительный — Серый).
Targeted Attack Analyzer – анализатор таргетированных атак Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.
Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:
Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.
Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой «Лаборатории Касперского» (распространённость, время жизни объектов, репутация, категоризация доменов и файлов, и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.
Пример накопительного ретроспективного анализа:
Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.
Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.
Приведем пример перечня данных, на базе которых выстраивается хронологическая связь.
Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу, либо статического анализа.
Поддерживается сбор следующих типов объектов:
Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.
Регулярные обновления технологий детектирования
В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.
Задачу динамических обновлений решает специализированный сервис «Лаборатории Касперского», обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.
В случаях использования решения в закрытом контуре, предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.
Результаты, о которых стоит сказать
За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.
В сентябре 2015 года система по защите от таргетированных атак «Лаборатории Касперского», развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации. С детальным анализом атаки вы можете ознакомиться здесь.
Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры «Лаборатории Касперского» были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0, заключалось в том, что вредоносный код содержался только в оперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.
С детальным анализом атаки вы можете ознакомиться по этому адресу.
Вы также можете ознакомиться с картой, демонстрирующей эволюцию таргетированных атак на примере ранее обнаруженных. Данная динамическая карта, специально создана «Лабораторией Касперского» для информирования о действующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое.
Экспертная поддержка
Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.
Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:
Задачи, решаемые экспертным сервисом:
Threat Deception как дополнительный источник данных о целевых атаках
Технология является продолжением развития специализированных решений, именуемых «Honeypot» — предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, сервера), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.
Однако зачастую решения класса «Honeypot» не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.
«Threat Deception» подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса «Honeypot». «Threat Deception» предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа проводимого экспертом ИБ. Для этого в процессе имплементации решения, защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.
Внутри ловушки повторяют основной набор бизнес приложений и содержат специальные файлы приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP адрес, время, наименование ловушки).
Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.
Мы надеемся, что эта статья помогла детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!