Безусловно, каждый волен применять свои модели в работе, занимаясь непосредственно защитой или «атакующей безопасностью». Можно использовать и представленные здесь варианты, в т.ч. адаптировать и совершенствовать их. При этом вы будете понимать, как соотноситесь с коллегами по цеху в части методологии в данном аспекте и где можете улучшить свою деятельность.
Развитие сетевых технологий вызывает рост числа хакерских кибератак. Согласно отчету FireEye and Mandiant, около 97 % компаний подвергались хакерской атаке, связанной со взломом средств сетевой безопасности. Современные брандмауэры способны отражать большинство вторжений, но некоторые злоумышленники находят лазейки благодаря отличной подготовке и тщательно спланированным действиям. Тактики хакеров могут отличаться, но в большинстве случаев они содержат следующие этапы.
Модели кибератак. Систематизируем защиту и нападение
Любая систематизация начинается с анализа текущих достижений в данном направлении: что об этом уже говорят авторитетные источники, что есть в лучших практиках
Александр Кузнецов, руководитель ключевых проектов Solar JSOC компании “Ростелеком-Солар”
«атакующей безопасностью» (offensive security), рано или поздно начинаешь задавать себе ряд вопросов. Как твоя деятельность согласуется с общепринятыми представлениями о реализации кибератак? Ничего ли ты не упустил или, наоборот, затрачиваешь усилия на что-то малозначимое? Вот об этом и поговорим ниже.
Лучшие практики, или Почему здесь нет ISO 27001?
ISO/IEC 27001:2013 «Information technology — Security techniques — Information security management systems — Requirements» ISO/IEC 27002:2013 «Information technology — Security techniques — Code of practice for information security controls». Здесь сразу стоит отметить, что эти стандарты верой и правдой служат нам при построении систем управления информационной безопасностью на предприятиях, но вот можно ли опираться на них в части формирования модели кибератак?
Принимая во внимание, что в основу этих стандартов заложен риск-ориентированный подход (учитывающий взаимосвязь рисков, угроз, уязвимостей и контрмер), а кибератаки рассматриваются только как один из вариантов угроз, это не может быть нашим ориентиром.
В данном случае необходимо отправиться на поиски других лучших практик.
В частности, мы рассмотрим следующие материалы:
– Cyber Kill Chain от Lockheed Martin Corporation;
– MITRE ATT&CK (принимая во внимание, что первые шаги считаем соответствующими Cyber Kill Chain);
– Special Publication 800-115 от National Institute of Standards and Technology (NIST);
– предложениями от EC-Council в рамках их учебных программ, в т.ч. Certified Ethical Hacker (CEH);
– тактики из проекта методического документа “Методика моделирования угроз безопасности информации” от ФСТЭК России.
Избавляя читателя от обзора каждого отдельного документа, предлагаю небольшое сравнение этих материалов между собой:
Безусловно, самым насыщенным выглядит MITRE ATT&CK и его условно авторский перевод для проекта методического документа ФСТЭК России, но при этом все шесть моделей прекрасно коррелируют между собой и дополняют друг друга.
В сухом остатке можно выделить четыре последовательных ключевых этапа в рамках реализации кибератаки:
Более подробная информация о них представлена в таблице:
23 августа, 2016
Для составления отчета «Кибероружие 2016» стартап LightCyber использовал сетевой анализ, чтобы понять, какие утилиты применяли хакеры для «расширения своего присутствия», т.е. что именно они использовали для связи с командным и контрольным серверами, для получения привилегированного доступа и доступа к новым аккаунтам.
Среди наиболее используемых хакерами утилит были обнаружены и некоторые знакомые имена, включая утилиты для администрирования, такие как: VMware vSphere Client, Putty и Secure CRT, а также приложения для осуществления удаленного контроля — LogMeIn и TeamViewer (которые стали особенно популярными после того, как исследователями были обнаружены бэкдоры).
Компания AIM Corporate Solutions, осуществляющая консультирование по вопросам безопасности, а также являющаяся поставщиком услуг в этой сфере, создала нижеприведенную инфографику, демонстрирующую последовательность шагов при кибератаке и выявляющую утилиты, используемые хакерами на каждом шаге.
Последовательность действий при целевой кибератаке
Киберпреступники используют вредоносное ПО для проникновения в сеть, а потом используют стандартные утилиты для управления сетью и для похищения данных.
Последовательность действий при кибератаке:
— Выявление уязвимостей и проникновение в организацию при помощи вредоносного программного обеспечения;
— Использование стандартных приложений для коммуникации с командным и контрольным серверами;
— Составление карты сети, зондирование клиентов и мониторинг деятельности при помощи сетевых и хакерских утилит;
— Получение контроля над компьютером / аккаунтом администратора сети, а также получение привилегированного доступа к соответствующим данным;
— Вход в чужие аккаунты, осуществление действий внутри сети или на зараженных устройствах при помощи утилит удаленного управления компьютером;
— Скачивание данных с зараженных компьютеров;
TOP 5 сетевых и хакерских утилит:
Angry IP Scanner — сканер портов и IP адресов локальной сети;
PingInfoView — утилита, с помощью которой можно пинговать большое количество доменных имен и IP адресов;
Nmap — утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов;
Ping — утилита для проверки целостности и качества соединений в сетях на основе TCP/IP;
Mimikatz – утилита для получения пароля пользователя в открытом виде;
TOP 5 административных утилит:
SecureCRT — один из Telnet-клиентов, позволяющий создавать соединения к серверам под управлением Unix и Windows;
Putty — клиент для Telnet и SSH;
BeyondExec Remote Service – утилита, запускающая процессы удаленно;
VMware vSphere Client – административная утилита для виртуализации сервера VMware vSphere;
MobaXterm — набор утилит, позволяющий управлять сразу несколькими компьютерами, подключенными к одной сети и администрировать их;
TOP 5 программ для удаленного управления компьютером:
TeamViewer — программа, для удаленного управления компьютером, а также смартфоном или планшетом, с помощью которой можно выполнять администрирование и осуществлять передачу файлов простым перетаскиванием.
WinVNC – программное обеспечение для удаленного управления, использующее Virtual Network Computing (VNC);
AnyDesk — приложение для удаленного администрирования рабочего стола;
LogMein — программа, которая позволяет получить удаленный доступ к домашнему или офисному компьютеру с любого веб-устройства, в том числе, с ноутбука или карманного компьютера.
TOP 5 вариантов вредоносного ПО:
Trojan/Gen:Variant. Graftor – вредоносное программное обеспечение для увеличения дохода от рекламы путем повышения PageRank сайта в поисковой выдаче;
Win32/ShopAtHome. A – вредоносное программное обеспечение, которое осуществляет мониторинг деятельности и делает перенаправление на другие сайты;
W32/Urlbot. NAO!tr – вредоносное программное обеспечение, осуществляющее мониторинг деятельности, включая доступ к набираемым на клавиатуре паролям, электронной переписке и просматриваемым сайтам;
BrowserModifier:Win32/Elopesmut – семейство вредоносных ПО, меняющих настройки браузера;
Win. Trojan.7400921-1 – вредоносное программное обеспечение, стремящееся внести изменение в память запущенных процессов для получения контроля над приложениями;
TOP потенциально опасного окружения:
— Браузеры (Internet Explorer, Chrome, Firefox);
— Электронные письма, содержащие веб-ссылки;
— Социальные сети;
В 99% случаев источником угрозы является легитимное программное обеспечение или потенциально опасное окружение;
В 1% случаев источником угрозы является непосредственно компьютерный вирус
Приветствую тебя, дорогой читатель во второй части серии статей «Приручение черного дракона. Этичный хакинг с Kali Linux.»
Полный список статей прилагается ниже, и будет дополняться по мере появления новых.
Приручение черного дракона. Этичный хакинг с Kali Linux:
Часть 1. Вводная часть. Подготовка рабочего стенда.
Часть 2. Фазы атаки.
Часть 3. Footprinting. Разведка и сбор информации.
Часть 4. Сканирование и типы сканирования. Погружение в nmap.
Часть 5. Методы получения доступа к системе.
Часть 6. Пост-эксплуатация. Способы повышения привилегий.
Часть 7. Пост-эксплуатация. Закрепление в системе.
Часть 8. Методы и средства внешней разведки.
Данная статья не будет содержать никаких практических примеров, и ее прочтение не займет у тебя много времени. Однако, без нее двигаться дальше будет так же бессмысленно, как и смотреть фильм в котором пропущен очень важный эпизод, несущий в себе смысл понимания происходящего во всей картине.
Тут мы затронем такую важную тему, как фазы атаки. Разберем стратегию действий атакующего шаг за шагом, для того, чтобы лучше понимать как проводить тестирования на проникновение эффективно и максимально приближенно к действиям злоумышленника.
Типы кибератак.
Условно все кибератаки можно разделить на два типа:
Массовые хакерские атаки — это создание ботнетов, распространение вредоносного ПО, почтовый спам и т. д. Чаще всего подобные атаки организуются любителями-энтузиастами, либо начинающими скрипт-кидди злоумышленниками.
Целевые атаки — любая атака на конкретную инфраструктуру (это те самые атаки, за которыми в статьях на «Хакере» стоят три магические буквы APT).
За подобного рода атаками обычно стоит группа опытных кибепреступников, которые используют и применяют самый полный спектр различных методик, приемов и инструментов для обхода всех стандартных средств защиты и получения доступа к целевым ресурсам.
Вполне логично предположить, что все подобные атаки должны иметь четкий план (сценарий атаки), представляющий из себя описание последовательности основных действий для достижения цели (фазы атаки).
Количество фаз может разниться, в зависимости от сценариев используемых атакующей стороной, но есть 4 основных фазы, которые присутствуют практически во всех видах атак:
1) футпринтинг (footprinting) или разведка – первоначальный сбор всей возможной информации о цели, как из открытых источников в сети Интернет, так и при помощи методов социальной инженерии и специальных инструментов (различных сканеров);
2) получение доступа к ресурсу (имея точные данные о том какие сервисы либо сетевые устройства используются в организации, можно попытаться найти уязвимости в этих системах. Яркий пример — APT атаки на правительственные сети в США в 2020 году, когда хакеры, стоявшие за этими атаками эксплуатировали уязвимости в VPN-серверах Fortinet и уязвимость Netlogon в Windows Server);
3) сохранение доступа (после получения доступа к целевой системе, злоумышленнику необходимо закрепиться в ней, на случай, если уязвимость которой он воспользовался будет закрыта. Для этого он может затроянить систему, чтобы сохранить к ней доступ);
4) сокрытие следов (любая современная система имеет на борту электронный журнал логирования всех выполняемых на ней действий. Отсюда следует, что в нем может сохраниться IP адрес с которого злоумышленник сканировал ресурсы сети или еще какая информация, которая может его разоблачить или дать понять техническому персоналу атакуемой компании, что их взломали).
Рассмотрим каждую фазу подробнее.
Футпринтинг (footprinting) или разведка — самая первая фаза планирования и подготовки к атаке, где главной задачей злоумышленника является сбор как можно большего количества информации о цели. Здесь можно выделить активный и пассивный подходы.
Пассивным подходом можно назвать обычное исследование цели путем сбора информации из открытых источников в Интернете либо методом социальной инженерии (познакомиться с сотрудником компании и попытаться выудить из него какую-то информацию).
К активному подходу можно отнести сканирование злоумышленником цели при помощи набора специальных инструментов (сетевые сканеры портов, сканеры уязвимостей системы);
Получение доступа к ресурсу. Тут может быть несколько вариантов.
Самый популярный — эксплуатация известной уязвимости в ПО сетевого оборудования либо операционной системы (подробнее эту тему мы рассмотрим позже). Так же, кроме получения доступа тут может быть сценарий дефейса (вывода из строя) ресурса атаками типа DoS/DDoS (доведение сервиса до отказа) при котором злоумышленнику совсем не обязательно получать доступ к системе;
Сохранение доступа. Следующая фаза атаки — закрепление в системе посредством вредоносного ПО типа бэкдора, руткита либо RAT-малвари.
Сокрытие следов. Вполне естественно, что опытный злоумышленник всегда будет стараться скрывать все следы своего пребывания в системе и использовать различные сложные приемы стеганографии, туннели, зачищать журналы ведения логов и проводить различные прочие манипуляции с целью остаться незаметным.
Ну, вот, пожалуй, мы и рассмотрели в общих чертах все основные фазы атаки. Более подробно каждую из них с практическими примерами мы рассмотрим в следующих статьях серии. А пока я прощаюсь с тобой, дорогой читатель до новых встреч!:)
Существует множество различных киберинцидентов, которые могут представлять угрозу для вашего бизнеса. В этой статье перечислены 7 самых распространенных типов кибератак и способы защиты от них.
Что такое инцидент информационной безопасности?
Инцидент информационной безопасности — это несанкционированный доступ к информации с целью её дальнейшего использования в злонамеренных целях, а также нарушение работы IT-систем. Угроза внедрения или неудачная попытка получения доступа тоже считаются инцидентами.
Информационная безопасность – совокупность систем, процессов и инструментов для защиты конфиденциальной информации компании от любых нарушений, включая модификацию, кражу и потерю.
Виды информационной безопасности
Важно отметить, что информационная безопасность и кибербезопасность — это разные понятия. Информационная безопасность — это тип кибербезопасности, который относится непосредственно к данным, а кибербезопасность — это общий термин, который охватывает безопасность данных, а IoT-устройств, оборудования и программного обеспечения.
Существует несколько видов информационной безопасности и множество процессов для защиты данных от компрометации и утечки.
Включает в себя улучшение безопасности на уровне приложений для предотвращения утечек данных и снижения вероятности появления уязвимостей. Распространенные недостатки часто встречаются в процессе аутентификации пользователей и упрощают доступ для злоумышленника.
Включает в себя защиту данных между приложениями, платформами и инфраструктурой в облачной среде. Часто предприятия работают в общедоступном облаке, то есть в общей среде. Поэтому необходимо внедрить процессы для защиты данных от утечки или других проблем безопасности, чтобы не подвергать риску всех пользователей облака.
Криптография и шифрование относятся к кодированию, проверке и защите данных. Примером может служить алгоритм AES (Advanced Encryption Standard).
Относится к безопасности физических носителей — от мобильных телефонов, настольных компьютеров и серверов до целых лабораторий, центров обработки данных и сетевых узлов.
Реагирование на инцидент
При подготовке к возможной утечке данных компании необходимо иметь план реагирования для сдерживания угрозы и восстановления сети. Он также должен включать систему сохранения данных — с отметками времени — для анализа и расследования кибератаки.
В современном быстром темпе системы компании нуждаются в частых проверках и обновлениях. Факторы риска включают устаревшее оборудование, незащищенные сети, человеческие ошибки, а также уязвимые личные устройства сотрудников. Организация может оценить уровень возможного риска для своих сетей с помощью продуманного плана оценки рисков.
Типы инцидентов и атак различаются по уровню сложности: от простых хакерских атак до сложных и тщательно спланированных долгосрочных атак.
Фишинговые атаки основаны на человеческих ошибках, поэтому обучение сотрудников имеет решающее значение для предотвращения утечки данных. Сотрудники должны знать, что нельзя нажимать на подозрительные ссылки или загружать файлы из неизвестных источников.
В этих атаках хакеры используют ПО для подбора комбинации паролей. Учитывая сложность инструментов взлома учетных данных, полагаться на комбинацию букв, символов и цифр уже недостаточно для обеспечения надежной защиты. Ограничение попыток входа в систему и включение двухфакторной аутентификации являются лучшими мерами защиты от брутфорса.
Вредоносное ПО заражает устройство без ведома пользователя. Сюда входят трояны, шпионские программы, программы-вымогатели и вирусы. Например, в 2021 году крупнейший поставщик нефти в США Colonial Pipeline подвергся атаке программы-вымогателя и заплатил злоумышленникам выкуп $5 млн.
Атака Drive-By Download
В ходе этой атаки из браузера на целевую систему незаметно загружается вредоносный файл без ведома жертвы. Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в сайт вредоносный скрипт.
Атака, при которой хакер помещает вредоносный код на сервер для управления базой данных компании. Цель атаки – получить доступ к конфиденциальным данным компании, таким как информация о клиентах и номера кредитных карт.
Межсайтовый скриптинг (Cross Site Scripting, XSS)
В ходе этой атаки хакер использует уязвимости, вставляя вредоносный JavaScript-код в браузер пользователя, чтобы получить доступ к браузеру и конфиденциальной информации жертвы. Обычно XSS-атаки направлены на кражу личных данных, cookie-файлов, паролей и т.д.
Атака «человек посередине» (Man-in-the-Middle, MITM)
В MITM-атаке злоумышленник внедряется в существующий процесс связи между двумя пользователями и незаметно перехватывает разговор или передачу данных путем подслушивания, либо притворяясь легальным участником. Целью MITM-атаки является получение конфиденциальной информации – данные банковского счета, номера банковских карт или учетные данные.
Атаки типа «отказ в обслуживании» (Denial of Service, DoS)
DoS-атака переполняет устройство или сеть потоком трафика, чтобы вывести систему из строя и лишить доступа реальных пользователей. Иногда хакеры инициируют DoS-атаку, чтобы проверить целостность системы.
Как обнаружить инциденты безопасности?
Существуют различные способы определить, находится ли ваша компания под угрозой киберинцидента. Различные типы инцидентов будут иметь разные маркеры для обнаружения.
Распространенные векторы атак
Векторы атаки — это средства или пути, по которым хакер может скомпрометировать целевое устройство. Они основаны на уязвимостях системы и человеческих ошибках. Векторы атак включают:
7 распространенных типов киберинцидентов и методы борьбы с ними
Каждый тип инцидента информационной безопасности имеет свой метод обработки, и все они являются важной частью строгой и всеобъемлющей стратегии информационной безопасности.
1. Стороннее сканирование
2. Заражение вредоносным ПО
Часто сканируйте системы на наличие признаков компрометации. Признаки вредоносного ПО включают в себя необычную системную активность – внезапная потеря памяти, необычно низкие скорости, повторяющиеся сбои или зависания, а также неожиданные всплывающие окна с рекламой. Используйте антивирусное ПО, которое может обнаруживать и удалять вредоносные программы.
DoS-атаки могут быть обнаружены по потоку трафика на ваш сайт. Нужно настроить свои серверы для борьбы с многочисленными HTTP-запросами и координировать свои действия с вашим интернет-провайдером для блокировки источников при возникновении атаки.
Кроме того, остерегайтесь диверсионной DoS-атаки, которая используется для отвлечения группы безопасности от реальной попытки взлома данных. Если DoS-атака приводит к сбою сервера, проблема обычно решается перезагрузкой. После этого перенастройка брандмауэров, маршрутизаторов и серверов может заблокировать будущие потоки трафика.
4. Несанкционированный доступ
Несанкционированный доступ часто используется для кражи конфиденциальной информации. Отслеживайте и расследуйте любые попытки несанкционированного доступа, особенно те, которые происходят в критической инфраструктуре с конфиденциальными данными. Двухфакторная
или многофакторная аутентификация, шифрование данных — это надежные меры защиты от несанкционированного доступа.
5. Нарушение внутренней безопасности
Необходимо убедиться, что сотрудники не злоупотребляют своим доступом к информации. Поддерживайте уровни доступа для работников в отношении доменов, серверов, приложений и важной информации, для которых у них есть разрешения.
Установите систему записи и уведомления о несанкционированных попытках доступа. Также установите ПО для мониторинга действия сотрудников – оно снижает риск внутренней кражи, выявляя инсайдеров и работников со злонамеренными целями.
6. Атака с повышением привилегий
Злоумышленник, который получает доступ к сети, часто использует повышение привилегий, чтобы получить возможности, которых нет у обычных пользователей. Обычно это происходит, когда хакер получает доступ к учетной записи с низкими привилегиями и хочет повысить привилегии для изучения системы компании или проведения атаки.
Для защиты от такого типа атак необходимо ограничить права доступа каждого пользователя, настроив их только для тех ресурсов, которые необходимы для выполнения задач (Zero Trust).
7. Усовершенствованная постоянная угроза
Advanced Persistent Threat (APT) — это обозначение спонсируемой государством группы, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени, отслеживая сетевую активность и собирая данные жертвы.
Мониторинг входящего и исходящего трафика может помочь предотвратить извлечение конфиденциальной информации. Брандмауэры также помогают защитить сетевую информацию и могут предотвратить атаки с SQL-инъекцией, которые часто используются на ранней стадии APT-атаки.
Защититесь от кибератак прямо сейчас
Крайне важно разработать план реагирования на инциденты информационной безопасности, чтобы убедиться, что ваша компания готова к борьбе со всеми типами киберугроз. Это снизит финансовые потери от атаки и поможет предотвратить их в будущем.
Сканирование
После того как в периметре защиты компании-цели найдено слабое место, которое позволит получить доступ, начинается этап сканирования. Для этого применяются общедоступные инструменты интернет-сканирования, позволяющие обнаружить открытые порты, уязвимости в программном обеспечении, ошибки в настройке оборудования и другие «дыры». Этот этап может растянуться на месяцы, ведь поиск должен быть аккуратным и не спровоцировать службу безопасности на усиление средств защиты.
Организация доступа
После того как найдена уязвимость и осуществлен взлом системы, необходимо гарантировать поддержку доступа на протяжении времени, требуемого для выполнения преступных задач. Служба безопасности компании обладает достаточной квалификацией для обнаружения атаки, поэтому рано или поздно проникновение будет раскрыто. Как бы хакер ни пытался скрыть свое присутствие, его могут выдать операции по перемещению данных внутри сети или на внешние ресурсы, нарушения связи между центром обработки данных и сетью компании, установка соединений через нестандартные порты, аномальные серверные или сетевые операции.
Системы мониторинга сети и глубокого анализа трафика (DPI) позволяют обнаружить такую активность и принять меры по ее предотвращению.
Нанесение ущерба
Не каждая кибератака содержит этот этап. В некоторых случаях злоумышленник только копирует данные для дальнейшей перепродажи, например. Однако на этой стадии хакер уже полностью контролирует сеть и информационные системы компании, а значит, способен вывести из строя оборудование, стереть базы данных, отключить рабочие сервисы и тем самым нанести огромный материальный урон и ущерб репутации.
Спиральная модель кибератаки
Практика показывает, что кибератака зачастую не ограничивается единоразовым последовательным прохождением по указанным выше этапам. Ее реализация развивается скорее по спирали: требуется выполнить одно задание, прежде чем приступить к другому. Более того, состав заданий может меняться после прохождения любого из этапов и будет зависеть от качества его реализации.
Данная модель соответствует и достаточно популярной сегодня схеме, когда один атакующий получает доступ, осматривается, а потом продает собранную информацию или полученный доступ другому незваному гостю, преследующему свои цели и реализующему свои действия.
Таким образом, предлагаемая модель кибератаки принимает следующий вид:
На самом деле предложенный вариант очень близок к модели реагирования на компьютерные инциденты, предложенной NIST в SP 800-61 «Computer Security Incident Handling Guide», которая многими считается эталонной.
Выявляя соответствующие инциденты ИБ и соотнося их с этапами реализации кибератаки, приложенными в модели, можно предположить, как много уже прошел атакующий, куда еще может проникнуть или в каком направлении может двинуться дальше (хотя последнее далеко не всегда прозрачно). Дополнительно можно рассмотреть вариант расстановки для себя приоритетов по выявлению кибератак на определенных этапах, хотя здесь есть нюансы: мы изначально не знаем сколько колец в данной конкретной атаке может быть.
Эта модель может быть применима и к массовым атакам, и к атакам, характерным для организаций определенного сектора, и к таргетированным.
Например, первым кольцом в спирали атаки может выступать фишинг. Какими тогда будут основные этапы?
Если необходимо, то сам этап получения списка рассылки может быть разложен по такому же принципу и рассмотрен как нулевое кольцо.
А уже «посередине» может быть горизонтальное перемещение:
Потребность в модели
Зачем вообще нужна система или модель какой-либо деятельности? Она помогает действовать эффективнее, т.е. не изобретать велосипед каждый раз и не тратить драгоценные ресурсы на сведение воедино разрозненных результатов или избыточные шаги. Также система позволяет быстрее вовлекать в ее реализацию новых участников, что особенно актуально сейчас, при дефиците готовых ИБ-специалистов и необходимости решать многие вопросы в режиме
Безусловно, любая систематизация начинается с анализа текущих достижений в данном направлении: что об этом уже говорят авторитетные источники, что есть в лучших практиках (но о них чуть позже).
Сама же модель должна быть, во-первых, легко воспринимаемой и по возможности иметь графическое представление, а во-вторых, инвариантной к изменению целей и средств атакующих, т.к. в противном случае потребуется каждый раз ее перерабатывать.
Как выглядят современные целевые атаки
Время на прочтение
Целевые кибератаки отличаются от массовых хакерских атак тем, что направлены на конкретную компанию или организацию. Такие атаки максимально эффективны, поскольку спланированы и персонализированы с использованием собранной о жертве информации. Всё начинается со сбора сведений. Как правило, это самая длительная и трудоёмкая часть операции. А далее нужно подготовить и провести нападение. Со стороны всё выглядит довольно сложно и кажется, что провернуть такое под силу лишь элитным взломщикам. Однако реальность выглядит иначе.
Если в 2017 году доля нецелевых атак составляла 90%, а целевыми было всего 9,9%, в 2018 и 2019 году наблюдается устойчивый рост именно целевых атак. Если они настолько сложны в исполнении, почему их становится больше? И как проводятся современные целевые атаки, почему хакеры переключаются с массовых атак на таргетированные? Почему количество таких инцидентов, связанных с известными кибергруппировками, не так велико, как может показаться? Давайте разбираться.
Представим себе группу хакеров, которые решили провести атаку на завод, выпускающий фигурные зубочистки, чтобы похитить секрет их производства и продать его конкурентам. Рассмотрим, из каких этапов может состоять такая атака и какие инструменты для этого понадобятся.
Этап 1. Сбор информации
Инструменты: сканер уязвимостей, сервисы по продаже логов веб-сайтов, похищенные учётные данные электронной почты и сайтов.
Этап 2. Организация точек входа
Используя собранную информацию, хакеры готовят проникновение в сеть компании. Наиболее простой способ — это фишинговые письма с вредоносными вложениями или ссылками.
Преступникам не нужно владеть навыками социальной инженерии или разработки веб-эксплойтов для разных версий браузера — всё необходимое доступно в виде сервисов на хакерских форумах и в даркнете. За относительно небольшую плату эти специалисты подготовят фишинговые письма по собранным данным. Вредоносный контент для сайтов также можно приобрести как услугу «malicious-code-installation-as-a-service». При этом заказчику не понадобится вникать в детали реализации. Скрипт автоматически определит браузер и платформу жертвы и проэксплуатирует, воспользуется соответствующей версией эксплойта для внедрения и проникновения на устройство.
Инструменты: сервис «вредоносный код как услуга», сервис по разработке вредоносных фишинговых писем.
Этап 3. Соединение с управляющим сервером
После проникновения в сеть завода хакерам нужен плацдарм для закрепления и проведения дальнейших действий. Это может быть скомпрометированный компьютер с установленным бэкдором, принимающим команды от управляющего сервера на выделенном «абузоустойчивом» хостинге (или «жалобоустойчивый», он же «пуленепробиваемый» или BPHS — bulletproof hosting service). Другой способ предполагает организацию управляющего сервера прямо внутри инфраструктуры предприятия, в нашем случае завода. При этом не придётся скрывать трафик между установленным в сети вредоносом и сервером.
На киберпреступных маркетах предлагаются различные варианты таких серверов, выполненные в виде полноценных программных продуктов, на которые даже предоставляется техническая поддержка.
Инструменты: «жалобоустойчивый» (пуленепробиваемый) хостинг, С&C server-as-a-service.
Этап 4. Боковые перемещения
Далеко не факт, что доступ на первый сдавшийся скомпромитированный компьютер в инфраструктуре завода даст возможность получить сведения о производстве фигурных зубочисток. Чтобы добраться до них, требуется выяснить, где хранится главный секрет и как до него добраться.
Этот этап называют «боковыми перемещениями» (lateral movement). Как правило, для его проведения используются скрипты, автоматизирующие сканирование сети, получение административных привилегий, снятие дампов с баз данных и поиск хранящихся в сети документов. Скрипты могут использовать утилиты операционных систем или загружать оригинальные разработки, доступные за дополнительную плату.
Инструменты: скрипты для сканирования сети, получения административных привилегий, слива данных и поиска документов.
Этап 5. Сопровождение атаки
Времена, когда для сопровождения атаки хакерам приходилось сидеть, уткнувшись в терминал, и непрерывно стучать по клавишам, набирая различные команды, ушли в прошлое. Современные киберпреступники используют для координации своей работы удобные веб-интерфейсы, панели и дашборды. Стадии проведения атаки отображаются в виде наглядных графиков, оператор получает уведомления о возникающих проблемах, причём для их решения могут предлагаться различные варианты действий.
Инструменты: веб-панель управления атакой
Этап 6. Хищение информации
Как только необходимые сведения обнаружены, необходимо максимально быстро и незаметно передать её из сети завода хакерам. Передачу нужно замаскировать под легитимный трафик, чтобы система DLP ничего не заметила. Для этого хакеры могут использовать защищённые соединения, шифрование, упаковку и стеганографию.
Инструменты: крипторы, шифраторы, VPN-туннели, DNS-туннели.
Результат атаки
Наши гипотетические хакеры с лёгкостью проникли в сеть завода, нашли необходимую заказчику информацию и похитили её. Всё, что им для этого потребовалось, — относительно небольшая сумма на аренду хакерских инструментов, которую они с лихвой компенсировали, продав секрет зубочисток конкурентам.
Выводы
Всё необходимое для проведения целевых атак легко доступно в даркнете и на хакерских форумах. Купить или арендовать инструментарий может любой желающий, причём уровень предложения настолько высок, что продавцы предлагают техподдержку и постоянно снижают цены. При таком раскладе нет смысла тратить время, стреляя из пушки по колибри и делать широкомасштабные вредоносные кампании. Значительно бо́льшую отдачу принесут несколько целевых атак.
Элитные хакерские группировки тоже идут в ногу с трендами и диверсифицируют риски. Они понимают, что проведение атак — вещь опасная, хотя и прибыльная. Во время подготовки атак и в паузах между ними тоже хочется кушать, а значит, дополнительный доход не помешает. Так почему не дать другим воспользоваться своими разработками за достойное вознаграждение? Это породило массовое предложение хакерских услуг в аренду и по законам рынка привело к снижению их стоимости.
В результате порог входа в сегмент целевых атак понизился, и аналитические компании год за годом отмечают рост их количества.
Ещё одно следствие доступности инструментария на киберпреступных маркетплейсах состоит в том, что теперь атаки APT-группировок значительно сложнее отличить от атак, проводимых преступниками, которые берут их инструментарий в аренду. Таким образом, защита от APT и неорганизованных киберпреступников требует практически одинаковых мероприятий, хотя для противостояния APT нужно больше ресурсов.
В качестве эмпирического критерия, по которым выявляются действия APT-хакеров, остаются только сложность и оригинальность проводимых атак, использование уникальных разработок и эксплойтов, недоступных на андерграундных маркетплейсах, более высокий уровень владения инструментарием.
Борьба с хакерскими атаками
Знание стратегии злоумышленников позволит обнаружить ее на любой из стадий и вовремя предотвратить. Операторы связи должны не только полагаться на свой опыт построения защищенных сетей, но и использовать специальное оборудование для мониторинга и предотвращения вторжений.
Одной из популярных кибератак является «отказ в обслуживании» (DDoS), которая в последнее время не только наносит ущерб атакованной компании, но и становится финансово мотивированной.
По данным исследования Corero, 62 % опрошенных респондентов, связанных с сетевой безопасностью, допускают возможность передачи хакерам денег за остановку DDoS-атаки на ресурсы компании. Если раньше такого рода атаки производились с целью нанесения ущерба репутации фирмы или кражи данных, то теперь они превратились в бизнес, как программы вымогатели для персональных компьютеров.
Также Corero обнаружили, что почти три четверти респондентов (73 %) ожидают усиления мер безопасности от интернет-провайдеров и считают, что те плохо защищают своих клиентов от угроз DDoS.
Можно утверждать, что защита корпоративной информации лежит целиком на плечах внутренней службы безопасности организации, но если оператор связи или интернет-провайдер имеет инструменты для предотвращения DDoS, то их использование целесообразно.
Система глубокого анализа трафика СКАТ DPI позволяет с помощью инструментов мониторинга и анализа трафика в реальном времени отслеживать аномалии и обнаруживать вторжения, а также организовать комплекс мер по защите от DDoS.
По материалам сайта www.rcrwireless.com
Запутывание следов
После совершения атаки кажется разумным удалить всю информацию о своем присутствии, однако на практике не всегда происходит именно так. Часто хакеры оставляют признаки взлома как автограф на своем преступлении, но есть и более практичная цель – запутать следы. Существует множество способов пустить экспертов, расследующих преступление, по ложному пути: очистка и подмена записей в журнале, создание зомби-аккаунтов, использование троянских команд и другие.
Любимые тактики хакерских группировок
Взлом компьютерных систем может происходить по-разному — от изощренных атак со взломом сетевых компонент до технически примитивных техник типа компрометации деловой переписки. В этом посте мы разберём тактики, которые используют самые опасные хакерские группировки — Lazarus, Pawn Storm, Cobalt, Silence и MoneyTaker.
Один из важнейших критериев выбора хакерских инструментов, помимо степени владения ими участников группировки, — это эффективность. Современные кибератаки — сложные многоступенчатые операции, проведение которых требует много времени и серьёзных финансовых ресурсов. Если проникновение в систему не удастся, вся предварительная работа и затраты окажутся напрасными. Таким образом, тактики проникновения в системы, которые используют ведущие группировки, можно рассматривать в качестве наиболее эффективных.
В числе таких тактик следует выделить:
По сути, все эти способы давно известны, однако каждая группировка вносит свою «изюминку», превращая просто эффективную тактику в бронебойный снаряд или изящно комбинируя несколько техник, чтобы с лёгкостью обойти системы защиты компаний.
Фишинг
Письма, отправленные коллегами или руководителями, вызывают больше доверия, чем послания от незнакомцев, особенно если оформление письма соответствует принятому в компании стилю. В связи с этим подготовительный этап киберкампании, использующей фишинг, обязательно включает в себя сбор сведений о структуре организации, списка сотрудников и их емейлов, а также реальных писем, содержащих элементы оформления.
Группировка Silence использует для проникновения самый обычный фишинг с небольшим нюансом: её кампании обязательно включают тестовый этап с рассылкой безвредных писем для проверки актуальности собранной базы адресов. Это позволяет повысить эффективность атаки, рассылая письма с вредоносной нагрузкой по выверенной базе получателей.
Группировка Pawn Storm также использует фишинговые рассылки, а для повышения их эффективности в них добавляется такой усилитель воздействия, как авторитет. В связи с этим подготовительный этап их кампании включает так называемый High-Credential Phishing — хищение учётных записей высокопоставленных лиц. Собрав достаточное количество таких данных по целевой организации, Pawn Storm проводит рассылку от лица этих персон, «зарядив» их полезной нагрузкой, обеспечивающей успешное достижение цели.
В арсенале приёмов Fancy Bear есть ещё один, не слишком известный, — подмена легального сайта на фишинговый во вкладках браузера — tabnabbing, описанный Азой Раскиным из Mozilla в 2010 году. Атака tabnabbing выглядит следующим образом:
Хакеры Lazarus не размениваются на мелочи, предпочитая бить точно в цель. Их оружие — целевой фишинг по почте и в социальных сетях. Выбрав подходящего для своих задач сотрудника компании, они изучают его профили в соцсетях, а затем вступают с ним в переписку, которая, как правило, начинается с заманчивого предложения новой работы. Используя социальную инженерию, они убеждают его под видом чего-то важного загрузить вредоносную программу и запустить её на своём компьютере.
Команда MoneyTaker, которая специализируется на банках, проводит фишинговые рассылки от имени других банков, центрального банка, министерства финансов и других связанных с финансами организаций. Копируя шаблоны соответствующих ведомств, они придают письмам необходимую и достаточную для успешной атаки степень убедительности.
Атаки на контрагентов
Например, группировка Cobalt проникала в банковские сети, атакуя системных интеграторов и поставщиков других услуг, а взломы разработчиков электронных кошельков и терминалы оплаты позволили ей с помощью собственной программы автоматически похищать деньги через платёжные шлюзы.
Атака типа «водопой»
Среди взломанных Lazarus сайтов — польская Комиссия по финансовому надзору, Банк Восточной Республики Уругвай и Национальная банковская и фондовая комиссия Мексики. Для взлома сайтов хакеры использовали уязвимости в Liferay и JBoss.
Уязвимости ОС и сетевого оборудования
Атаки с применением уязвимостей характерны для группировок MoneyTaker, Lazarus и Pawn Storm. Первые две группы в основном используют известные ошибки в прошивках сетевого оборудования для внедрения в сеть компании своего сервера через VPN, через который проводят дальнейшие действия. А вот в арсенале Pawn Storm обнаруживаются опаснейшие уязвимости нулевого дня, для которых нет патчей; она проводит сканирование систем, в которых имеются известные уязвимости.
Атаки через DNS
Pawn Storm использует несколько уровней DNS-компрометации. Например, известны случаи, когда они похищали учётные данные компании от панели управления DNS и меняли MX-серверы на свои, получая полный доступ к переписке. Вредоносный сервер принимал и передавал всю почту целевой компании, оставляя у себя копии, а хакеры могли в любой момент внедриться в любую цепочку и добиться нужного результата, оставаясь незамеченными.
Другой способ компрометации предполагал получение полного контроля над серверами DNS-регистратора. Во многих странах имеется лишь совсем небольшое число регистраторов, поэтому перехват управления над крупнейшими из них обеспечивал практически бесконечные возможности для внедрения в информационный обмен большинства государственных и частных организаций, фишинга и других видов воздействия.
Перехваченные учётные данные от почты высокопоставленной персоны позволят преступникам похитить конфиденциальные сведения особой важности, а затем использовать эту почту и информацию для проведения многоходовой атаки. Между тем, банальная тренировка навыков и использование MFA лишили бы хакеров такой возможности.
Однако защитные системы также не стоят на месте, обнаруживая вредоносные действия с помощью искусственного интеллекта, глубокого обучения и нейросетей. Разработки такого класса проводят многие компании, и мы также предлагаем нашим клиентам защититься от изощрённых BEC-атак с помощью специально обученного искусственного интеллекта. Их использование совместно с тренировкой сотрудников навыкам безопасного поведения позволит успешно противостоять кибератакам даже самых технически подготовленных группировок.
Разведка
Первым этапом любой кибератаки является разведка, в ходе которой злоумышленник собирает как можно больше информации о компании, ставшей мишенью для взлома. Найденные сведения необходимы для выявления уязвимостей, хакер выполняет анализ сайта компании и ее информационных систем, а также рассматривает способы взаимодействия цели с другими организациями.
Как только уязвимость найдена, начинается подбор инструментов для взлома и подготовка к их применению.
Например, одним из способов распространения вредоносного программного обеспечения является рассылка фишинг-писем.