Вывод на тему целевая атака. Таргетированная атака. Ущерб от атак – большая загадка даже для жертв

Сим-карта

Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению могут быть подвергнуты не только привычные информационные системы компании, но и автоматизированные средства управления технологическими процессами (АСУ ТП) . Антивирусные продукты не в силах предотвратить целевую атаку, так как вредоносные программы в таких случаях разрабатываются специально под конкретную инфраструктуру - в том числе с учетом используемого защитного ПО.

В последнее время наблюдается смещение акцента с написания вредоносных программ на проведение целенаправленных атак. Объектом нападения становится конкретная организация, и подготовка занимает много времени. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.

Классификация таргетированных атак

Целевые атаки могут быть направлены на государственные и коммерческие структуры. При взломе применяются стандартные механизмы (спам, фишинг, заражение сайтов) и наборы эксплойтов. В основном злоумышленники преследуют следующие цели:

  • Похищение средств с банковских счетов и из электронных кошельков, воровство конфиденциальных данных.
  • Нечестная конкуренция: манипулирование процессами, подделка документов, ослабление конкурентов, вымогательство и шантаж.
  • Похищение образцов интеллектуальной собственности.
  • Нарушение нормальной деятельности объектов военной, промышленной и гражданской инфраструктуры, систем жизнеобеспечения.
  • Использование возможностей телекоммуникационных систем для осуществления информационных воздействий и манипулирования общественным мнением.

Этапы таргетированных атак

На подготовительном этапе изучается атакуемый объект, собирается информация, проводятся разведывательные мероприятия, определяются слабые места. Для мониторинга используются рассылки, официальные сайты и аккаунты в социальных сетях, профильные форумы. С помощью программ-анализаторов производится изучение сетевой инфраструктуры и программного обеспечения. Для получения данных могут применяться автоматизированные методы или индивидуальные формы воздействия, такие как телефонные звонки.

После завершения подготовки вырабатывается стратегия, подбираются инструменты атаки. Вредоносные программы пишутся под конкретную атаку и жертву; это необходимо для преодоления штатных средств защиты.

Объект воздействия таргетированных атак

Таргетированные атаки могут преследовать экономические, политические или другие цели.

Известны случаи, когда злоумышленники внедрялись в системы управления отдельными технологическими процессами и деятельностью предприятий. Для получения нужной информации преступники могут настроить прямой доступ, взламывать принадлежащие сотрудникам гаджеты.

Избежать попыток проникновения практически невозможно. Если злоумышленникам нужен доступ к определенным ресурсам, они будут регулярно проводить комбинированные атаки. Всегда существует вероятность, что одна из многочисленных проведенных атак обеспечит нужный результат.

По наблюдениям специалистов ведущих антивирусных лабораторий, наибольшему риску подвержены правительственные ведомства, финансовый сектор, энергетическая и космическая отрасли, телекоммуникационные и ИТ-компании, предприятия военно-промышленного комплекса, образовательные и научные учреждения, видные общественные и политические деятели.

Список систем, на которые чаще всего направлены таргетированные атаки:

  • Отделы научно-исследовательских и опытно-конструкторских работ (НИОКР). Такие поздразделения должны иметь высокий уровень защиты, но чаще всего это не так.
  • Управляющие офисы компаний. Большинство предприятий уязвимо к действиям инсайдеров, находящихся в сговоре со злоумышленниками и имеющих физический доступ к компьютерам.
  • ЦОД. В данных системах работают сервера, на которых запущено множество приложений. Для них нужно обеспечить безопасное функционирование, что и является основной проблемой.
  • При росте компании расширяется сеть поставщиков, у которых низок уровень защиты компьютерных систем. Таргетированная атака может быть проведена через них.
  • Атаки на производство. Не все производства оснащены современным оборудованием, на многих из них используются старые специализированные системы, объединенные в сети. Их безопасность сложно контролировать, чем стараются пользоваться киберпреступники.
  • Компьютерные сети офисов. Для повышения эффективности работы сотрудников все устройства объединяются в общую сеть, и это предоставляет широкое поле для деятельности хакеров.
  • Маркетинговые планы. Целью подобных атак является получение списка клиентов и планов продаж, нанесение удара по репутации компании.
  • Смартфоны и планшеты. Это - безусловная «головная боль» отделов информационной безопасности любой компании. Обойтись без гаджетов невозможно, при этом в памяти устройств может храниться много ценной и конфиденциальной информации, паролей доступа, которые становятся целью преступников.
  • Атаки на базы данных проводятся с целью получения важной информации, для достижения такого результата могут быть использованы реквизиты учетной записи администратора.

Источники таргетированных атак

Для достижения своих целей преступники используют все доступные средства. Можно выделить несколько основных векторов таргетированных атак:

  • Несанкционированный доступ к офисной технике и другому оборудованию, в которое можно проникнуть или внедрить вредоносный код.
  • Хотя центры обработки данных в основном обеспечивают приемлемый уровень безопасности, их уязвимые места связаны с функционированием серверного оборудования и установленного на нем программного обеспечения.
  • Разветвленные локальные сети благодаря развитию технологий позволяют злоумышленникам в случае подключения к одному из устройств (это может быть компьютер, факс, принтер или МФУ) спокойно перемещаться внутри корпоративной сети.
  • Использование смартфонов и прочей персональной электроники в рабочих целях и внутри корпоративной сети может стать слабым звеном в защите и отправной точкой в развитии атаки.

Анализ риска таргетированных атак

Маловероятно, что целевая атака будет применена против рядовых пользователей ПК, если они не являются сотрудниками компаний. Целью атаки может стать любая информация, представляющая ценность. Чаще всего такие нападения совершаются для получения промышленных секретов, персональных и платежных данных. Многие крупные бизнесмены и руководители предприятий предполагают, что однажды подобная атака может быть проведена и против их организации.

Сегодня известно о более чем ста хакерских группировках, проводящих целевые атаки. От их действий страдают государственные и коммерческие структуры в 85 странах. Такое широкое распространение объясняется оптимизацией средств взлома, что приводит к упрощению и удешевлению вредоносных операций.

Производители средств информационной безопасности постоянно совершенствуют средства для противодействия таргетированным атакам. Разрабатываются специализированные продукты, направленные не на поиск неизвестных образцов вредоносного кода, а на выявление подозрительной активности. Это объясняется тем, что при атаках не всегда используются вредоносные программы: злоумышленники могут применять вполне легальные средства. Отдельные модули анализируют загружаемые из интернета файлы, сетевую активность и поведение пользователей на рабочих станциях. Наиболее эффективными являются комплексные решения, отдельные компоненты которых предоставляют злоумышленникам ложные наборы данных и целей.

Полностью обезопасить себя от таргетированных атак невозможно. Так, если преступник планирует получить доступ к данным компании, то он может вести атаки в течение многих месяцев или даже лет, иногда развивая параллельно несколько вредоносных операций. Не имея ограничений по времени, он тщательно проверяет возможность обнаружения вредоносных программ со стороны антивируса, при необходимости модифицирует их. На подготовительный этап атаки приходятся основные затраты времени, а вот само нападение занимает считаные минуты. В таких условиях вероятность его успешности очень велика.

Обнаружение таргетированной атаки - очень сложная и комплексная задача. Факт проникновения в систему может оставаться незамеченным долгое время. В связи с этим очень сложно оценить общее число атак, проводимых по всему миру.

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания или государственная организация. Это отличает данную угрозу от массовых хакерских атак – когда одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвой. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов - от разведки и внедрения до уничтожения следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение месяцев или даже лет – на протяжении всего этого времени они имеют доступ ко всей корпоративной информации.

Сложности классификации

Таргетированные или целевые атаки – атаки, направленные в отношении конкретных коммерческих организаций или государственных ведомств. Как правило, такие атаки не носят массовый характер и готовятся достаточно длительный период. Злоумышленники изучают информационные системы атакуемого объекта, узнают, какое программное обеспечение используется в тех или иных целях. Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы и/или люди. Вредоносное ПО специально разрабатывается для атаки, чтобы штатные антивирусы и средства защиты, используемые объектом и достаточно хорошо изученные злоумышленниками, не смогли обнаружить угрозу. Чаще всего это уязвимости нулевого дня и особые алгоритмы связи с исполнителями/заказчиками атаки.

Юрий Черкас , руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности компании «Инфосистемы Джет» cчитает, что практически постоянная полемика вокруг определения термина «таргетированная атака» затрудняет классификацию этого термина. Он отмечает, что целевая атака использует те же механизмы взлома, что и любая другая (спам , фишинг , заражение часто посещаемых сайтов и т.д.). «На мой взгляд, одним из основных признаков таргетированной атаки является ее явная направленность на конкретную организацию. Например, вирус, написанный для конкретного ПО собственной разработки конкретной организации. Но так бывает далеко не всегда. Хакер может использовать имеющиеся у него наборы эксплойтов и другие инструменты для атаки на компанию-жертву. В этом случае определить, относится ли атака к таргетированной, достаточно сложно, так как для проведения атаки использовались уязвимости распространенных ОС и прикладного ПО», говорит Юрий Черкас .

Сложности при квалификации целевых атак - один из факторов, который не позволяет рассчитать даже их приблизительное количество.

КДУ (Комплексные Долговременные Угрозы)

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так :

  • Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.
  • Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.
  • Эти атаки не носят массовый характер и готовятся достаточно длительный период.
  • Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.
  • Для реализации атаки могут использоваться уязвимости нулевого дня.
  • Как правило, целевые атаки используются для кражи информации, которую легко монетизировать, либо для нарушения доступности к критически важной информации.
  • При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.
  • После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.

Фазы целевой атаки

Цели атак

По данным A.T. Kearney:

  • Офис правления компании . Часто аппаратура ненадлежащим образом защищена от физического повреждения (например, со стороны персонала по уборке или техническому обслуживанию помещений).
  • НИОКР . Обычно это отдел, требующий самого высокого уровня защиты, но зачастую он защищен не лучше, чем другие отделы.
  • Центры обработки данных представляют собой надежную среду для размещения частного облака. Проблемой является обеспечение безопасного функционирования многочисленных серверов, а также приложений, работающих на этих серверах.
  • Сеть поставщиков . Из-за расширяющегося применения сетевых решений при работе с поставщиками возникают риски, связанные с тем, что относительно небольшие компании-поставщики, как правило, хуже защищены.
  • Облачные вычисления .В основе своей использование внешнего облака безопасно. Проблемы связаны с тем, что уровень защиты данных зависит от законодательства и что возможен доступ со стороны спецслужб.
  • Производство . Множество старых специализированных систем все чаще объединяется в сети, и их работу трудно отслеживать и контролировать. Атаки злоумышленников в этом случае могут привести к производственным потерям или даже к краху компании.
  • Базы данных обеспечивают безопасное хранение важной информации. Главная слабость – то, что в качестве «инструментов» для проникновения в базы данных взломщики могут использовать администраторов.
  • Конечная продукция , активируемая с помощью информационных технологий. Растущий уровень использования сетевых решений для обеспечения функционирования конечной продукции облегчает проведение кибератак . Дистанционно контролируя устройства пользователей с целью провоцирования поломок, хакеры имеют возможность незаконно получать через эти устройства конфиденциальную информацию. В связи с этим компании может грозить потеря репутации и получение исков от пользователей, ставших жертвами мошенничества
  • Офисные сети . Растущий уровень сетевого взаимодействия, предусматривающего объединение почти всех систем, предоставляет хакеру богатые возможности, если он сумеет проникнуть в сеть
  • Продажи . Утечка маркетинговых планов, информации о ценах и клиентах подрывает репутацию компании и лишает ее конкурентных преимуществ.
  • Мобильные устройства . Покупая смартфоны , доступные на коммерческом рынке, пользователи часто вводят в их память конфиденциальные данные, которые, как правило, без труда могут быть похищены хакерами. Самые испытанные и надежные концепции обеспечения безопасности могут оказаться бесполезными, если сотрудники компании используют собственные мобильные устройства для решения рабочих задач.
  • Интернет-магазины . Для незаконного доступа под видом реально существующих покупателей и совершения мошеннических действий хакеры используют реквизиты кредитных карт и личные данные клиентов.
  • Телефонные звонки . Эксплуатируя готовность людей помогать друг другу, злоумышленники могут использовать телефонные звонки как способ легкого получения нужной информации.

Таргетированные атаки в финансовой сфере

В обзоре о несанкционированных переводах денежных средств в 2014 году, опубликованном ЦБ РФ накануне, отмечается, что 23 кредитные организации сообщили об инцидентах, имеющих признаки целевых атак. Эксперты подсчитали, что инциденты были направлены на списание средств на сумму 213,4 млн рублей.

Все инциденты связаны с вешним воздействием на ИТ-инфраструктуру в том числе и с внедрением вредоносного кода, благодаря которому высокотехнологичные преступники намеревались выводить средства.

Попытки взлома имеют типовые особенности: атака была целевой и учитывала особенности процессов отправки и обработки сообщений в определенной платежной системе; вредоносный код в ряде случаев стандартными средствами антивирусной защиты не выявлялся, несмотря на актуальные антивирусные базы; зафиксированы также факты проникновения хакеров в локальные сети банков, чтобы, в том числе, с помощью попыток внедрения вредоносного кода через электронные сообщения.

Представители банков констатируют: если раньше мошенники предпочитали грабить клиентов, то теперь переключились на более крупную добычу, а именно – на сами финансово-кредитные учреждения.

«Это более сложная процедура, но с точки зрения выгоды хакерам удобнее взламывать банки, где деньги лежат в одном месте. Основной тенденцией становятся так называемые таргетированные атаки. Они готовятся месяцами и в отношении конкретных банков и финансовых организаций. Это реальная угроза, от которой очень сложно защитится даже продвинутым в плане информационной безопасности банкам. Злоумышленники достаточно хорошо изучили банковское ПО, АБС, средства защиты и так далее», - отмечает Юрий Лысенко , начальник управления информационной безопасности банка Хоум Кредит .
С ним соглашается и Станислав Павлунин , вице-президент по безопасности Тинькофф Банка : «Целевые атаки идут бок р бок с социальной инженерией. DDoS-атаки никуда не исчезли, однако работать с ними гораздо проще, чем с вирусами, которые злоумышленники пишут для целенаправленных действий. Стандартные антивирусы не обнаруживают зловредных объектов, которые написаны для объекта атаки. Системы, которые позволяют фиксировать такие целевые атаки на конкретную финансовую организацию и выявлять риски на лету – это другой класс безопасности», - погалает Станислав Павлунин.

В то же время Юрий Лысенко прогнозирует увеличение числа целевых атак на конкретные банки и финансовые организации, системы дистанционного банковского обслуживания и т.д.

Методики целевой атаки

Публично доступная информация о средствах проведения таргетированных атак и расследовании инцидентов (которые имеют признаки целевых атак) позволяют говорить о разнообразии методов. Например, могут использоваться полностью автоматизированные методы, так и телефонные звонки.

Злоумышленники в ходе атаки исследуют различные возможности, чтобы получить доступ к необходимой информации. Может осуществляться прямой физический доступ или атаковаться сотрудники компании, их устройства и учетные записи в интернет-сервисах.

«Существенной проблемой становится безопасность смежных информационных систем – компаний-поставщиков (особенно разработчиков ПО, осуществляющих поддержку своего продукта) и клиентов. Доверенные отношения с ними могут быть использованы для обхода граничных средств защиты. Это значительно расширяет и без того сложный периметр защиты», - говорит Алексей Качалин , заместитель генерального директора компании «Перспективный мониторинг» .

Уйти от попыток таргетированных атак жертве вряд ли удастся. Например, злоумышленник хочет получить доступ к внутренним ресурсам интересующей его компании. Для этой цели злоумышленник может инициировать множество целевых атак, на протяжении нескольких месяцев или лет. Все элементы атаки (сетевые атаки, вредоносное ПО) могут быть предварительно проверены на «заметность» для распространенных методов обнаружения. В случае неэффективности такие элементы модифицируются. Аналогично обновлению антивирусных баз могут обновляться и средства вторжения, в том числе и те, что уже функционируют в захваченной системе.

Дополнительная сложность – продолжительность и интенсивность таргетированной атаки. Подготовка может занимать месяцы, а активная фаза – минуты. «Существует вероятность, что рано или поздно атака удастся. В конце концов проблема 0-day уязвимостей актуальна всегда. Если у вас есть информация, которая стоит 100 млн, то будьте готовы к тому, что найдется кто-то готовый потратить 50 млн на то чтобы ее украсть. Поэтому единственное что можно сделать – это быть готовым к компрометации и иметь инструменты для быстрого обнаружения атаки, ее пресечения и минимизации ущерба», - считает Александр Гостев , главный антивирусный эксперт «Лаборатории Касперского» .

Установление организаторов

Большинство из таргетированных атак обнаруживается постфактум. Самой большой проблемой остается атрибуция – установление организаторов и исполнителей таких атак.

Установление виновника – это чрезвычайно сложная задача, уверены эксперты. В этом процессе необходимо собрать максимальное число факторов, которые бы указывали на причастность хакерской группы определенной национальности или организации к совершению преступления. Для этого необходимо взаимодействие между компаниями, работающими в сфере информационной безопасности , жертвами, правоохранительными органами разных стран и т.д. Но и в этом случае устанавливаются только единицы виновников, чаще всего из-за грубых ошибок атакующих.

«Для определения источника атаки необходимо учитывать множество факторов. Прежде всего, это анализ кода – в нем могут содержаться слова, косвенно указывающие на языковую или национальную принадлежность авторов. Например, русские слова, написанные латиницей, или ошибки, которые обычно свойственны именно русским авторам и т.д. Однако киберпреступники могут намеренно оставлять такие ложные следы, запутывая тем самым следствие», - говорил Александр Гостев .

Более 100 группировок целенаправленно атакуют коммерческие и госорганизации

Эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского » сообщили летом 2016 года, что в мире активно более 100 групп, организующих кампании кибершпионажа и атаки класса АРТ, и под их прицел попадают коммерческие и государственные организации в 85 странах мира.

По мнению представителей компании, столь динамичное развитие этой угрозы говорит о том, что целевые атаки перестали быть уделом избранных: злоумышленники оптимизируют свои техники и инструменты, и это удешевляет и упрощает организацию вредоносной кампании, что, в свою очередь, способствует появлению новых игроков.

Основная цель атаки класса АРТ - кража конфиденциальной информации, которую впоследствии можно использовать для получения геополитического преимущества или продажи заинтересованным лицам. По наблюдениям «Лаборатории Касперского», наибольшему риску стать жертвой целевой атаки подвергаются правительственные и дипломатические организации, финансовые компании, предприятия, работающие в энергетической и космической отраслях, учреждения в сфере здравоохранения и образования, телекоммуникационные и ИТ-компании, поставщики для вооруженных сил, а также общественные и политические активисты.

«Мы изучаем сложные целевые атаки более шести лет и с уверенностью можем сказать, что в последнее время они все чаще применяются не только для шпионажа, но и для кражи денег. Целевые атаки затрагивают самые разные организации, их жертвой могут стать отнюдь не только государственные учреждения. Не меньший интерес для злоумышленников представляют крупные компании, обладающие ценной интеллектуальной собственностью или имеющие доступ к большим финансовым активам, - рассказал Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». - В такой ситуации раннее выявление целевой атаки критически важно для любой организации, желающей сохранить свои конфиденциальные данные. Однако с помощью традиционных защитных решений сделать это очень сложно, поскольку злоумышленники часто используют нетривиальные методы и тщательно скрывают свою активность. Так что компаниям могут помочь либо аналитические сервисы, либо специальные решения для выявления целевых атак».

Методы защиты и предотвращения атак

Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:

  • Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.
  • Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации , что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.
  • В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.
  • После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.

Практически все вендоры имеют в своей линейке продукт, который позиционируется как средство защиты от таргетированных атак. К их числу можно отнести FireEye , CheckPoint , McAfee и т.д. Эффективность защиты от таргетированных атак не может всецело определяться только применяемыми техническими средствами.

«Если говорить о технических средствах, то их эффективность будет рассматриваться сквозь призму поставленных компанией целей и задач, что лучше оценивать в рамках проведения пилотных проектов в конкретной среде. Подобно любым решениям продукты по защите от таргетированных атак имеют как свои сильные стороны, так и слабые», - считает Алина Сагидуллина , консультант по информационной безопасности компании «ЛАНИТ-Интеграция» .
Возможность оперативно реагировать на таргетированные атаки имеют центры мониторинга информационной безопасности. Такие центры могут комплексно анализировать состояние атакуемой системы через системы защиты информации; с помощью экспертов, сконцентрированных на анализе информационной безопасности в наблюдаемой системе; при мониторинге фактов компрометации и утечки информации; совокупном анализе крупных информационных систем. «Это позволяет увидеть схожие признаки аномалий в различных сегментах информационной системы», - рассказывает Алексей Качалин .

Технологии защиты от таргетированных атак были и раньше, но сейчас они выходят на новый уровень. В первую очередь речь идет о различных инструментах для выявления аномалий – как на локальных компьютерах, так и на уровне сетевой активности. Задачей таких систем является поиск всего необычного, что происходит, а не поиск вредоносного года. Это объясняется тем, что во многих случаях атакующие могут вообще не использовать вредоносные программы.

«К этим системам добавляется активно развивающийся класс SIEM – «Security information and event management», позволяющий агрегировать вместе поступающие системные события от разных систем защиты (антивирусов , файрволов , эмуляторов, роутеров и т.д.) и видеть в реальном времени все происходящие изменения», - говорит Александр Гостев.

Почему недостаточно традиционных систем защиты

Из-за специфики целенаправленных атак и подготовки к ним, таких как:

  • детальное изучение используемых средств защиты с целью их обхода;
  • написание уникального ПО и закрепление его в инфраструктуре цели;
  • использование в атаках доверенных, но скомпрометированных объектов, не создающих негативный фон;
  • применение мультивекторного подхода к проникновению;
  • скрытность и пр.

Из-за присущих традиционным средствам защиты технологических ограничений:

  • обнаружение направлено только на распространённые (несложные) угрозы, уже известные уязвимости и методы;
  • нет встроенного сопоставления и корреляции детектов в единую цепочку событий;
  • нет технологий выявления отклонений в нормальных активностях и анализа работы легитимного ПО.

Необходим комплексный подход

Deception-ловушки

Новые средства появились и продолжают появляться. Однако их эффективность напрямую зависит от качества их настройки. По словам Юрия Черкаса , основными технологическими направлениями средств защиты являются:

  • песочницы, которые имитируют рабочие станции организации. В песочницах файлы, получаемые из интернета, запускаются и анализируются. Если запускаемый файл влечет за собой деструктивное воздействие, то такой файл определяется как зараженный;
  • анализ аномальной сетевой активности (например, на базе NetFlow), который осуществляется путем сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, который всегда коммуницирует с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинает пробовать обращаться напрямую к базам данным;
  • поведенческий анализ рабочих станций, также основанный на сравнении активности рабочих станций с эталонной моделью. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие.
«Нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки 1-го (false positives) и 2-го рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения», - отмечает Юрий Черкас.

Deception - сеть замаскированных сетевых ловушек и приманок, которые разбросаны по всей ИТ-инфраструктуре

Что обеспечит Deception

  • Обнаружение в режиме реального времени целенаправленных атак и атак нулевого дня
  • Защиту реальных ИТ-активов за счет переключения активности атакующих на «ловушки»
  • Защиту ценных данных от «шифровальщиков»
  • Сбор форензики о действиях злоумышленников
  • Отсутствие ложных срабатываний
  • Не использует агентов и не оказывает влияния на работу пользователей и ИТ-сервисов

Результаты

  • Профиль злоумышленника
  • Детализированные методы и инструменты, используемые во время атаки
  • Углубленный анализ (какие цели преследуют хакеры, какую информацию они ищут)
  • История и хронология взлома
  • Источники происхождения злоумышленников на основе их IP-адресов и данных DNS

Ущерб от атак – большая загадка даже для жертв

Подсчитать реальный ущерб от таргетированных атак не представляется реальным: по данным ESET‬ , 66% инцидентов системы безопасности остаются незамеченными многие месяцы. Именно под это и «заточено» сложное вредоносное ПО ‬ для целевых атак: кража данных происходит незаметно, в «фоновом» режиме.

Большое количество атак остается незамеченными. При обнаружении многие компании стараются скрыть факт инцидента и не предавать его огласке. В «Лаборатории Касперского» считают, что каждую неделю в мире становится известно как минимум об одной громкой целевой атаке. В реальности таких громких атак в неделю может происходить более ста.

Эксперты Positive Technologies зафиксировали снижение доли атак с применением майнеров криптовалюты - до 3% в случае организаций и до 2% в кампаниях, нацеленных на частных лиц. Этот факт может быть связан с постепенным переходом злоумышленников на ВПО , которое способно выполнять сразу несколько функций. Например, троян Clipsa умеет скрытно «майнить» криптовалюту , воровать пароли, подменять адреса криптокошельков, а также запускать брутфорс-атаки против сайтов на базе WordPress .

«По прежнему популярны методы социальной инженерии: в третьем квартале доля атак на юрлица с их применением выросла почти вдвое - до 69% (с 37% в предыдущем квартале). В 81% случаев заражение инфраструктуры компаний вредоносным ПО начинается с фишингового письма»,


отметила Яна Авезова, аналитик Positive Technologies


Растет доля заражений вредоносным ПО. Три четверти атак на юридические лица и 62% атак на частных лиц сопровождались заражениями различного рода зловредами . Если заражение инфраструктуры компании начинается, как правило, с фишингового письма, то частные лица чаще становятся жертвами в результате посещения скомпрометированных веб-ресурсов (в 35% атак против частных лиц).

Также эксперты Positive Technologies обнаружили, что в конце лета после нескольких месяцев затишья возобновил активность один из крупнейших ботнетов в мире под названием Emotet. Операторы ботнета работают по схеме malware as a service (MaaS) и предоставляют киберпреступникам доступ к компьютерам , зараженным Emotet, для их дальнейшего инфицирования другими вредоносами, например Trickbot или Ryuk.

По оценкам исследователей, информация о большинстве кибератак на организации не предается огласке из-за репутационных рисков.

Positive Technologies: Анализ особенностей APT-атак в промышленности и ТЭК

Positive Technologies: Техники APT-группировок при атаках на кредитно-финансовые организации

В тройке самых приоритетных задач ИТ-менеджеров по сравнению с предыдущим годом произошли кардинальные изменения. 41% опрошенных назвало защиту данных от таргетированных атак главным приоритетом. Год назад этот пункт не входил в список приоритетов ИТ-менеджеров. Прежде всего защиту от целевых атак назвали своим приоритетом представители среднего бизнеса (43%) и крупных предприятий (38%). Малый бизнес вопрос таргетированных атак интересует в меньшей степени (32%).

ВЕНИАМИН ЛЕВЦОВ , вице-президент, глава корпоративного дивизиона «Лаборатории Касперского»
НИКОЛАЙ ДЕМИДОВ , технический консультант по информационной безопасности «Лаборатории Касперского»

Анатомия таргетированной атаки
Часть 1

С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя новые решения, одновременно усложняя ИТ-инфраструктуру. Теперь, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации – от имевших место инцидентов, убеждений конкретных сотрудников – и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине.

В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где специалисты по ИБ могут:

  • проверять файлы с помощью систем безопасности конечных точек;
  • фильтровать почтовый и веб-трафик с помощью шлюзовых решений;
  • отслеживать целостность и неизменность файлов и системных настроек;
  • контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
  • сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
  • внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
  • инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
  • заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
  • приводить систему в соответствие с требованиями стандартов и проводить сертификации;
  • учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но, несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИТ-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, какправило, уникальные по своему составу и структуре?

Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Понятие целевой атаки

Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки.

Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Во-первых, это именно процесс – деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100дней и больше.

Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели – по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей – бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате его компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT – Advanced Persistent Threat. Давайте разберемся и с его определением.

APT – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки.

Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против уже других организаций.

Целевая, или таргетированная, атака – это процесс, деятельность. APT – техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено, в том числе, и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах ивредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты– ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы (см. рис. 1).

На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

  • Подготовка – основная задача первой фазы – найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую, выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
  • Проникновение – активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки иопределения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
  • Распространение – фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
  • Достижение цели – ключевая фаза целевой атаки, взависимости отвыбранной стратегии вней могут применяться:
    • хищение закрытой информации;
    • умышленное изменение закрытой информации;
    • манипуляции с бизнес-процессами компании.

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «Точку возврата», позволяющую им вернуться в будущем.

Первая фаза целевой атаки – Подготовка

Выявление цели

Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует, в том числе защиты информации, внутренний регламент и т.д. Поэтому процесс сбора информации о жертве называется «разведка». Основная задача разведки, сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например, социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

Инсайд. Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрут всостоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средствах защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.

Открытые источники. В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые выбрасывают на помойку без правильного уничтожения, среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компании, которые содержат реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В результате этой работы организаторы атаки могут иметь достаточно полную информацию о жертве, включая:

  • имена сотрудников, email, телефон;
  • график работы подразделений компании;
  • внутреннюю информацию о процессах в компании;
  • информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации. На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко завоевать доверие, оперируя полученной информацией.

Социальная инженерия.

Используя социальную инженерию можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться от имени работника информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.

Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

  • описание этапов атаки: проникновение, развитие, достижение целей;
  • методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности;
  • этапы развития атаки с учетом возможных внештатных ситуаций;
  • закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами;
  • извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда c идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно определиться между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различный инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C). Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», могут меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения решают задачу «открытия двери» атакуемого удаленного хоста:

  • Эксплойт (Exploit) – вредоносный код, использующий уязвимости в программном обеспечении.
  • Валидатор – вредоносный код применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине.
  • Загрузчик (Downloader) модуля доставки Dropper. Загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
  • Модуль доставки Dropper – вредоносная программа (какправило, троян), задачей которой является доставка основного вируса Payload назараженную машинужертвы, предназначена для:
    • закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины;
    • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечения и запуска зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload. Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper, может состоять из нескольких функциональных допмодулей, каждый из которых будет выполнять свою функцию:

  • клавиатурный шпион;
  • запись экрана;
  • удаленный доступ;
  • модуль распространения внутри инфраструктуры;
  • взаимодействие с C&C и обновление;
  • шифрование;
  • очистка следов активности, самоуничтожение;
  • чтение локальной почты;
  • поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который не гарантированно может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но иконтролировали ситуацию на протяжении более чем половины года.

Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий заинформационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

По данным опроса «Лаборатории Касперского», потери в результате крупного инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий. (Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в 2015 году. В исследовании приняли участие более 5500 ИТ-специалистов из 26 стран мира, включая Россию.)

О том, как развивается атака, о методах обхода стандартных средств защиты и эксплуатации угроз нулевого дня, социальной инженерии, распространении и сокрытии следов при хищении ключевой информации и о многом другом – вследующих статьях цикла «Анатомия таргетированной атаки».


Вконтакте

Уже давно вредоносные программы перестали быть инструментом для совершения мелких пакостей, которые преследуют задачу организовать бот-сеть для рассылки спама или, в крайнем случае, украсть у пользователя пароль от интернет-банка для проведения несанкционированной операции. Для компаний обычные вирусы могут рассматриваться как «мелкое вредительство», не порождающее серьезных рисков. В свою очередь и для злоумышленников данный способ поживиться не представляет особый интерес, т.к. существует множество доступных средств защиты (антивирусные средства, приложения с повышенными мерами контроля за выполнением финансовых операций и пр.), которые не позволяют преступнику извлечь большую выгоду от атаки.

Цель оправдывает средства
Никколо Макиавелли

В эпоху тотальной информатизации и технического прогресса, когда миллиарды долларов хранятся в системах электронной коммерции, было бы наивно предполагать, что нет преступников с высокими компетенциями, которые не захотели бы данные средства похитить. На сегодняшний день наблюдается четко оформленный и увеличивающийся тренд использования целевых атак на инфраструктуры средних и крупных компаний.

Целевые (таргетированные) атаки (APT, Advanced Persistent Threats) – это атаки (вредоносное ПО), направленные на конкретные объекты или отрасли. Они учитывают специфику компании, к которой применяются или к сфере деятельности компании в целом.

Все атаки такого рода содержат в себе ряд признаков:

    Отраслевая направленность (вирус/атака применяется в определенной отрасли, для другой она будет неактуальна);

    «Нетривиальный» программный код. Как было сказано ранее написанием заказных вирусов занимаются высококвалифицированные специалисты. При написании они учитывают большинство нюансов, на которые могут сработать стандартные средства защиты. По этой причине, например, сигнатурные антивирусные средства в большой долей вероятности не смогут детектировать такой программный код как вредоносный. По этой причине злоумышленник может долго оставаться в системах незамеченным и собирать необходимую статистику для успешного завершения атаки.

Обычно злоумышленники используют для реализации таргетированных угроз эксплойты «нулевого дня».

0day (англ. Zero day) - термин, обозначающий не устранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

Самая главная задача эксплойта - незамеченно попасть внутрь корпоративного периметра, закрепиться, по возможности устранив антивирусное средство, и подтянуть всю оснастку злоумышленника для комфортной и «продуктивной» работы.

Как показывает статистика за 2013-2014 годы, злоумышленники в этом направлении добились огромных побед. Сначала Zeus, а потом Carberp, как в России, так и во всем мире стали настоящим бичем. Объем хищений только с использованием этих двух семейств вирусов за год составил несколько миллиардов долларов. Средняя удачно реализованная атака на компанию кредитно-финансового сектора в России составила 30 миллионов рублей .

Такая подозрительная активность последних лет связанна с историей об утечке в сеть исходников очень «качественного» вредоносного софта.

«Исходники известного банковского трояна Carberp утекли в открытый доступ. Исходные коды Carberp в RAR-архиве размером 1,88 ГБ сейчас легко находятся Google’ом. В распакованном виде проект содержит около 5 ГБ файлов с подробным листингом. Очевидно, теперь можно ожидать новой волны креатива со стороны начинающих, так и продолжающих вирусописателей. Кто-то даже пошутил: “Утечка Zeus была как бесплатный автомат. Утечка Carberp - это уже бесплатный рокет-ланчер”… », эксперт по ИБ, автор журнала «Хакер», Денис Мирков

«Так что же теперь делать?!» - Вопрос, непроизвольно подкатывающий к горлу любого безопасника. Здесь вспоминается цитата, сказанная Эмануэлем Ласкером в 1899 году, «Единственный путь стать умнее - играть с более сильным противником». Технологии и разработчики не стоят на месте, если есть спрос – будет и достойное предложение. Основная проблема детектировать угрозы «нулевого дня» - это невозможность при анализе кода найти знакомые сигнатуры. Но это же не значит, что за поведением любого файла нельзя проследить, протестировать методом «черного ящика» и сделать соответствующие выводы!

Поведенческий анализ в «песочнице» на сегодняшний день является самым эффективным способом анализа и детектирования угроз «нулевого дня» и таргетированных атак. Различные производители предлагают свои решения, утверждая, что их продукт самый производительный и точный. Однако это не так, самая главная проблема такого рода решений – ложные сработки (фальш-позитив), которые могут свести на нет всю работу службы безопасности. Выбираемое решение должны быть чувствительным только к серьезным угрозам. Реализовать такую концепцию - это уже профессионализм и опыт, который нужно было переложить в сложные алгоритмы и реализовать в конечном продукте.

Для тех кто не знает что такое "таргетированная" атака прошу подкаст:)

Таргетированная атака - это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Исходя из этого определения заостряю ваше внимание на следующих моментах:
1) Во-первых, это именно процесс - деятельность во времени, некая операция, а не просто разовое техническое действие.
2) Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников.

Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

  1. Подготовка . Основная задача первой фазы - найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
  2. Проникновение - активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня, для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и после определения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
  3. Распространение - фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
  4. Достижение цели - ключевая фаза целевой атаки.
Для того, чтобы исследовать некоторые компьютерные атаки был разработан виртуальный стенд по исследованию воздействия компьютерных атак на элементы информационно-телекоммуникационной сети.

Данный стенд (полигон) состоящий из:

1. модели открытого сегмента информационно-телекоммуникационной сети;

2. модели закрытого сегмента информационно-телекоммуникационной сети.

Смоделированная сеть состоит из множества компонентов.

В открытом сегменте хосты (PC1–PC7) соединены в единую сеть при помощи маршрутизаторов Cisco 3745 (с3745). В отдельных подразделениях хосты объединены в сеть для передачи данных при помощи коммутатора (SW1). В данной схеме коммутатор (switch) только передает данные от одного порта к другому на основе содержащейся в пакете информации, которая поступила через маршрутизатор.

В закрытом сегменте сети используются криптомаршрутизаторы, чтобы шифровать пакеты данных, которые будут выходить из закрытого сегмента сети в открытый. Если у злоумышленника получится перехватить пакеты передаваемых данных этой сети, то он не сможет извлечь из этих данных полезную информацию.

В качестве атакуемого объекта был выбран Windows XP являющуюся частью сегмента информационно–телекоммуникационной сети. Данная система подключена к облаку «Реальная сеть Выход» с ip–адресом: 192.168.8.101

Ну чтож, можно приступить к исследованию локальной сети с целью определения элементов компьютерной сети для последующей эксплотации. Воспользуемся Netdiscovery.

Чтобы узнать возможные уязвимости атакуемой сети просканируем данную сеть с помощью утилиты для исследования сети и проверки безопасности - Nmap («NetworkMapper»).

В ходе сканирования мы выяснили, что у системы есть открытые порты, которые представляют потенциальные уязвимости.
Например, 445/TCPMICROSOFT-DS - используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Этот порт мы и задействуем, чтобы получить доступ к системе.

Теперь проводим сетевую атак при помощи Metasploit. Этот инструмент позволяет имитировать сетевую атаку и выявлять уязвимости системы, проверить эффективность работы IDS/IPS, или разрабатывать новые эксплоиты, с созданием подробного отчета.


Эксплоит сработает, но необходимо указать, что будет происходить после того, как сработает эксплоит. Для этого откроем шелл-код, будем использовать его как полезную нагрузку эксплойта, обеспечивающую нам доступ к командной оболочке в компьютерной системе.

В LHOST указываем IP-адрес системы, с которой будет производится атака.



Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Как проверить домен на занятость — самый простой способ Проверить доменное имя на занятость
Интернет
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...
Необходимые программы для компьютера
Кабинет Beeline
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...
Файловые менеджеры - программы для работы с файлами
Интернет
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...
Софья Багдасарова. Омерзительное искусство. Юмор и хоррор шедевров живописи (2018).
Тарифы Beeline
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...
Авиакомпания Pegas Fly Туроператор pegas тунис горячая линия контакты офиса
Тарифы Beeline
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...
Программы для Windows Скачать архив 7 zip
Кабинет Beeline
Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению...