Таргетированные целевые атаки. Таргетированные атаки и как с ними бороться

С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя ИT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, – бизнес-процессы просто останавливаются.

Вениамин
Левцов

Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"

Николай
Демидов

Технический консультант по информационной безопасности “Лаборатории Касперского"

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации – от имевших место инцидентов, убеждений конкретных сотрудников – и зачастую формируется "снизу", от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

• проверять файлы при помощи систем безопасности конечных точек;
• фильтровать почтовый и web-трафик при помощи шлюзовых решений;
• отслеживать целостность и неизменность файлов и системных настроек;
• контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
• сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
• внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
• инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
• заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
• приводить систему в соответствие с требованиями стандартов и проводить сертификации;
• учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

Понятие целевой атаки

Самое время дать определение, точно отражающее понятие целевой, или таргетированной атаки. Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый вручную в реальном времени.

Во-первых, это именно процесс – деятельность во времени, некая операция, а не просто разовое техническое действие.

Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели – по сути получение контроля над отдельной конечной точкой. В случае целевой атаки – она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренными техническим инструментарием, по сути своей – бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать "входными воротами" в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате его компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди – одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT – Advanced Persistent Threat. Давайте разберемся и с его определением. APT – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня, других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против уже других организаций. Целевая, или таргетированная, атака – это процесс, деятельность. APT – техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для "мирных" целей утилиты – ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале будут озвучены основные этапы таргетированной атаки, показан скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через 4 фазы (рис. 1).

На рис. 1 отображены 4 фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

1. Подготовка – основная задача первой фазы найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую, выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.

2. Проникновение – активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и определении принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.

3. Распространение – фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.

4. Достижение цели – ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:

• хищение закрытой информации;
• умышленное изменение закрытой информации;
• манипуляции с бизнес-процессами компании.

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя "Точку возврата", позволяющую им вернуться в будущем.

Первая фаза целевой атаки – Подготовка

Выявление цели

Количество успешных, т.е. достигающих своей цели атак на ИT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?
Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Целью для атаки может стать любая организация. А начинается все с заказа, или общей разведки, или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует, в том числе для защиты информации, внутренний регламент и так далее. Поэтому процесс сбора информации о жертве называется разведкой. Основная задача разведки – сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

1. Инсайд.

Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрут в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средствах защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании владеющих информацией либо входят в круг доверия путем дружеского общения в общественных местах.

2. Открытые источники.

В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые выбрасывают на помойку без правильного уничтожения, среди мусора могут быть найдены отчеты и внутренняя информация или, например, сайты компании, которые содержат реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В результате этой работы организаторы атаки могут иметь достаточно полную информацию о жертве, включая:

• имена сотрудников, e-mail, телефон;
• график работы подразделений компании;
• внутреннюю информацию о процессах в компании;
• информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

На первый взгляд, приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко получать доверие, оперируя полученной информацией.

3. Социальная инженерия.

• Телефонные звонки от имени внутренних сотрудников.
• Социальные сети.

Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например в случае телефонного звонка злоумышленник может представиться от имени работника информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь кибер-преступникам выработать правильную стратегию общения с будущей жертвой.

Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

• описание этапов атаки: проникновение, развитие, достижение целей;
• методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности;
• этапы развития атаки с учетом возможных внештатных ситуаций;
• закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами;
• извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда c идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно определиться между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях: как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C).

Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с "хозяевами", могут меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения, решающие задачу "открытия двери" атакуемого удаленного хоста:

• эксплойт (Exploit) – вредоносный код, использующий уязвимости в программном обеспечении;
• валидатор – вредоносный код, который применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине;
• загрузчик (Downloader) – модуль доставки Dropper; загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях;
• модуль доставки Dropper – вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:
  • закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины;
  • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечения и запуска зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload. Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функцию:

APT (Advanced Persistent Threat) – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня, других компонентов, специально разработанных для реализации данной атаки.

• лкавиатурный шпион;
• запись экрана;
• удаленный доступ;
• модуль распространения внутри инфраструктуры;
• взаимодействие с C&C и обновление;
• шифрование;
• очистка следов активности, самоуничтожение;
• чтение локальной почты;
• поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог

Важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка (другие риски – на рис. 2), высокую сложность их обнаружения и колоссальный урон от их действий, который не гарантированно может быть обнаружен спустя длительный срок. В среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности 1 , это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем половины года. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

Потери в результате крупного инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий 2 .

О том, как развивается атака, методах обхода стандартных средств защиты и эксплуатации угроз нулевого дня, социальной инженерии, распространении и сокрытии следов при хищении ключевой информации и о многом другом – в следующих статьях цикла "Анатомия таргетированной атаки".

___________________________________________
1 По статистике “Лаборатории Касперского".
2 Данные исследования “Информационная безопасность бизнеса", проведенного “Лабораторией Касперского" и B2B International в 2015 г. В исследовании приняли участие более 5500 ИT- специалистов из 26 стран мира, включая Россию.

Основной тенденцией последних лет называют смещение акцента с массовых атак на таргетированные, или целевые, направленные против конкретной компании, организации или государственного органа. И противостоять им оказывается не слишком просто, хотя и возможно.

Традиционные массовые вирусные эпидемии - акты банального вандализма, которые, вообще говоря, не приносят никаких материальных дивидендов. Только получение сомнительной известности, которая, к тому же, длится не слишком долго и которая, скорее всего, завершается арестом и длительным тюремным сроком. Целевые атаки – дело совсем другое. Тут средства кибернападения используются или для прямой кражи денежных средств, или информации, которую легко монетизировать, например, реквизиты платежных карт или персональные данные, черный рынок которых весьма развит.

Также за таргетированными атаками могут стоять конкуренты. Их целью могут быть всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другая информация, критичная для бизнеса. Впрочем, такого рода информацию можно похитить и другими способами, например, с помощью нелояльных сотрудников. Однако использование целевых атак часто менее хлопотно с организационной точки зрения и занимает меньше времени, да и материальные затраты могут быть ниже.

Проявляют большой практический интерес к такого рода инструментам и спецслужбы. Эта категория наиболее коварна и опасна, поскольку за их действиями, скорее всего, нет прямого материального мотива, но при этом они обладают значительными ресурсами и квалифицированными кадрами, как собственными, так и наемными. К слову, за наиболее громкими акциями последнего времени, в частности, нашумевшей атаки на компанию Sony Pictures, стояли как раз наемные хакеры. Прибегали к услугам кибернаемников и репортеры скандально известного британского таблоида News of the World, которые попались на слежке.

Также целью хактивистов и кибершпионов может быть не только информация, но и разного рода диспетчерские системы и управляющие комплексы, атака на которые может привести к огромному ущербу. Так что данные объекты могут стать мишенью и для террористических атак.

В результате, по данным глобального опроса, проводимого консалтинговой и аудиторской компанией PricewaterhouseCoopers (PwC), риски, связанные с кибератаками, с 2012 года устойчиво входят в первую пятерку. Также подобного рода угрозы называются в качестве одного из основных препятствий для роста бизнеса, так как службы безопасности часто препятствуют внедрению новых критичных ИТ систем вследствие опасений за их возможную уязвимость перед кибератаками. Также опрос PwC констатировал существенный рост кибератак, который составил 60% в годовом исчислении. Средний ущерб от кибератаки в расчете на компанию, по данным исследования «2014 Cost of Cyber Crime Study», проведенного Ponemone Institute, результаты которого были подведены осенью 2014 года, составил 2,3 миллиона долларов.

Основную опасность кибератаки представляют для крупных компаний. Они обладают значительными объемами денежных средств или ликвидной информации, которую легко монетизировать. Да и сам факт взлома может быть предметом шантажа, так как велики регуляторные и репутационные риски, ущерб от которых может быть выше, иногда многократно, чем издержки, связанные с кражей как таковой. Также большой ущерб может нанести публичная демонстрация всяческого рода грязного белья, как это было с Sony Pictures или жертвами слежки репортеров News of the World. Малые предприятия могут просто не принимать те же карточные платежи и они не оперируют большими объемами персональных данных.

Наиболее подвержены атакам предприятия таких отраслей как ТЭК, телекоммуникации, высокие технологии, ВПК. Именно для них проще что-то украсть у конкурента, чем создать аналог успешного продукта «с нуля».

Целевая атака. Как это делается

Все сводится к тому, что перехватывается контроль над каким либо устройством внутри сети атакуемой компании, оттуда получается доступ к бизнес-приложениям и/или файл-серверам. Далее необходимая злоумышленникам информация собирается и передается по назначению, обычно не напрямую.

Как правило, для таких целей используются средства удаленного управления ПК или серверами. Самое сложное – определить то, где именно в корпоративной сети можно найти требуемую информацию. Так что требуется проведение предварительной разведки или наличие сообщника внутри. Например, нужно знать, на какой платформе построена КИС атакуемой компании. А процедура получения нужной информации в системах на базе 1С, SAP, Oracle, Microsoft существенно отличается.

Также чрезвычайно распространена кража очень многих категорий информации в полностью автоматическом режиме. Такие инструменты пользуются наибольшим спросом, так как проблема нехватки кадров для злоумышленников тоже стоит весьма остро. Центры управления многими бот-сетями позволяют настраивать отдельные узлы не только на рассылку спама или проведение DDoS атак, но и на поиск и передачу в условленное место различных категорий данных: в том числе реквизиты банковских карт или аутентификационные данные для систем дистанционного банковского обслуживания (ДБО). Тем более, что клиентов бот-сети можно и доработать под свои нужды за отдельную, вполне умеренную плату. Например, автор одного из «популярных» банковских троянцев брал за доработку своей программы около 2000 долл.

Технология внедрения вредоносного ПО также очень проста, хотя и меняется со временем. Сейчас пользователи намного реже открывают исполняемые файлы, и корпоративные почтовые серверы такие вложения могут блокировать. Однако есть и другие методы. Например, заманить на зараженную страничку. Подготовка ее занимает считанные минуты. В последнее время более популярно использовать в качестве контейнера для зловредов документы в форматах Microsoft Office или Adobe PDF. В российских условиях этому способствует сложившиеся традиции работы с электронной почтой. К тому же сами бот-сети в автоматическом режиме массово заражают ПК, в том числе и корпоративные. Для этого используются всяческого рода уязвимости в ПО. Как показало исследование, проведенное в 2014 году HP, 70% корпоративного ПО содержит уязвимости. Очень часто зловреды проникают через публичные незащищенные Wi-Fi сети, к которым многие подключают служебные ноутбуки.

Иногда оба подхода комбинируют. Когда злоумышленники понимают, что их бот попал в сеть, например, банка или розничной сети, на зараженные компьютеры внедряется система удаленного управления, с которого и проводится то, что не позволяет сделать бот.

Есть способы проникнуть в сеть, используя другие устройства, например, принтеры, МФУ, некоторые виды сетевого оборудования. В их прошивках тоже есть уязвимости, часто серьезные, и при этом эти самые прошивки обновляют существенно реже, чем операционные системы на рабочих станциях и серверах, и как раз этим пользуются злоумышленники. А до должной настройки сетевого оборудования у ИТ персонала и вовсе часто, что называется, руки не доходят. Так что можно очень часто встретить коммутатор, маршрутизатор или точку беспроводного доступа, где не успели сменить заводской пароль, которые хорошо известны. Если используются пароли, то и это часто не проблема для злоумышленников.Так, взлом протокола WEP занимает считанные минуты даже на смартфоне. А как раз такой используют многие в том числе и российские торговые сети для защиты своих беспроводных сетей. Появились методы взлома и более защищенного протокола WPA, но данный процесс уже может занимать часы.

Уязвимое оборудование можно найти с помощью вардрайвинга. Этот метод может занять довольно много времени, но при этом дешев и прост в исполнении. Именно так были проведены нашумевшие взломы американских розничных сетей Target и TJX, в ходе которых было скомпрометировано несколько десятков миллионов кредитных карт, а ущерб измерялся миллиардами долларов. Но, опять же, нужно хорошо знать, где находится требуемая информация.

Также, по оценке PwC, растет опережающими темпами количество инцидентов, связанное с деятельностью внешних компаний. Впрочем, обычно это связано с тем, что уровень защиты у внешних подрядчиков существенно ниже, чем злоумышленники часто пользуются. Бывает и так, что определенного рода изменения в информационные системы вносят разработчики, как штатные, так и внешние. Как правило, речь идет о регулярном перечислении денежных сумм (совсем небольших) на счета злоумышленников. Но такого рода случаи отмечаются не слишком часто.

Как выявлять атаки и противостоять им

Как уже было сказано выше, традиционные средства защиты, прежде всего, антивирусы и межсетевые экраны, малоэффективны против вредоносного ПО, которое используется в ходе целевых атак. Так что очень многие практики в области информационной безопасности рекомендуют считать, что атака уже идет.

Как правило, сам факт атаки обнаруживается вследствие обнаружение нетипичной сетевой активности. Например, когда объем сетевого трафика вдруг по неясной причине вырос, что привело к заметному увеличению счетов от оператора связи. Или обнаружилось, что потоки данных идут в страну, в которой точно нет никаких поставщиков, покупателей, заказчиков, партнеров.

Естественно, не стоит уповать на то, что кто-то из персонала обнаружит такой факт и пресечет злонамеренную активность. Зато такие классы средств защиты, как системы обнаружения и предотвращения атак (IDS/IPS) или мониторинга и корреляции событий (SIEM) позволяют их выявлять. Как показало исследование «2014 Cost of Cyber Crime Study» те, кто их внедрил, в среднем сэкономили в расчете на компанию 5,3 млн. долл. за счет более высокой эффективности.

Важно отметить, что имеются как IDS/IPD, так и SIEM системы с открытым кодом, лицензирование которых не стоит ничего. Необходимо лишь выделить серверную мощность, причем данные средства отлично работают и в виртуальной среде. Также стоит напомнить, в комплект поставки большинства представленных на рынке программно-аппаратных средств межсетевого экранирования входят и IDS/IPS системы, возможностей которых вполне может быть достаточно.

В результате входной порог не так уж и велик. Однако обратной стороной является необходимость тщательной настройки, которую, к тому же, необходимо время от времени актуализировать. При этом необходимо еще и хорошее знание собственной инфраструктуры. Это, однако, в полной мере относится и к коммерческим системам. Год назад на портале Habrahabr было проведено сравнительное тестирование ведущих IDS/IPS систем «из коробки». Результат был обескураживающим: системы пропускали в лучшем случае половину атак, причем речь шла о хорошо известных сценариях (http://habrahabr.ru/company/it/blog/209714/).

Для SIEM системы также важно обеспечить сохранность журналов событий в течение довольно длительного времени, с чем часто также возникают проблемы. Они достигают больших объемов (до десятков гигабайт за рабочий день), а емкостей хранения всегда не хватает. Плюс, опять же, необходимость тщательной настройки квалифицированным специалистом.

Появляются и специализированные средства, направленные исключительно на борьбу с таргетированными атаками, которые появляются в арсенале целого ряда вендоров, включая BlueCoat, CheckPoint, InfoWatch. Однако это довольно молодой класс ПО с большим количеством «детских болезней», и использовать его стоит с известной осторожностью.

Также необходимо регулярно проводить тесты на проникновение, причем в условиях, что называется, максимально приближенных к боевым. Только таким образом можно выявлять потенциальные «дыры» в защите, которыми могут воспользоваться злоумышленники.

Важнейшим условием является повышение осведомленности персонала. Надо регулярно доводить то, какими методами могут пользоваться злоумышленники, как действовать в условиях тех или иных инцидентов и тому подобное. Чем меньше тех, кто потенциально может пойти на поводу у злоумышленников, тем лучше.

Как бороться с целенаправленными атаками? Очевидно, что нужно какое-то технологическое решение, в котором были бы объединены лучшие идеи по обнаружению неизвестных угроз. Но прежде чем говорить о нем, стоит определиться с тем, что считать целевой атакой, и разобрать, как они работают.

В новостях то и дело мелькает: «В результате таргетированной атаки преступникам удалось украсть два миллиарда долларов из 40 банков и финансовых организаций по всему миру…», «…Жертвами атаки, направленной на промышленные компании, стали более 500 энергетических, металлургических и строительных компаний более чем в 50 странах…», «…Эффективные и грамотно размещенные вредоносные программы, предназначенные для реализации атак на систему SWIFT, позволили киберпреступникам украсть миллионы…» и так далее, и так далее.

Таргетированные атаки (они же APT) - настоящий бич нашего времени, и на защите от них уже построен не один многомиллионный бизнес. Заглядываешь на любую выставку, посвященную ИБ, и видишь: для продающей стороны APT - это теперь важная часть предложения, а для покупающей - одна из насущных проблем. Причем актуальна она уже не только для крупного бизнеса, наученного горьким опытом, но и для среднего и даже малого. Если атакующий хочет добраться до корпорации, то мелкий подрядчик вполне может оказаться промежуточной целью.

Не просто слова

К сожалению, термины «таргетированная атака» и «целенаправленная атака» некорректны. Почему? Вспомним классическое определение компьютерной атаки: «Компьютерная атака - целенаправленное несанкционированное воздействие на…». Стоп, стоп, уже достаточно! Получается, что цель-то есть у любой атаки, а не только у «таргетированной».

Отличительная особенность целенаправленных атак заключается в том, что атакующий активно и интеллектуально подходит к выбору точки входа в конкретную инфраструктуру , достаточно долго анализирует циркулирующую в ее компонентах информацию и использует собранные данные для получения доступа к ценной информации.

Слышу возмущенные крики из зала: «Люди деньги теряют, а он к терминам цепляется!» Однако академическая точность описания проблемы чрезвычайно важна для создания той самой «серебряной пули», универсального решения, о котором писал Иван Новиков.

Исследователи обычно рассматривают отдельные аспекты атак и не проводят комплексный анализ проблемы. Поэтому несовершенны и методы выявления атак и борьбы с ними в уже скомпрометированной среде.

Например, многие методы и системы безопасности основаны на статических списках шаблонов, то есть на базах для эвристического анализа, «белых списках», базах сигнатур и так далее. Однако такие списки оказываются неэффективными для определения «нешаблонных» угроз, при которых злоумышленники стараются скрыть свое присутствие в скомпрометированной инфраструктуре.

Метод, который в соответствии с требованиями различных стандартов обеспечения ИБ гарантирует отсутствие в системе нарушителя, заключается в создании и поддержании замкнутых доверенных программно-аппаратных сред . Именно так «бумажная безопасность» исключает компрометацию на любом этапе.

Увы, с практической точки зрения этот метод неэффективен. Современные программно-аппаратные среды обычно построены на основе оборудования и софта разных производителей, которые используют разные подходы при разработке, разные методы обновления и поддержки. Исследовать все продукты, нет ли в них закладок, нереально, а без этого никаких доверенных сред не выйдет.

Другой метод защиты ценных ресурсов от целенаправленного несанкционированного доступа основан на физической изоляции защищаемых объектов . И он тоже неэффективен в реальных условиях. Даже если удастся закрыть все побочные каналы связи, которые могут быть использованы злоумышленниками для вывода данных, остается человеческий фактор. Нередко побочные каналы связи создают именно люди, взаимодействуя с системами, - непреднамеренно или же умышленно.

Проблема решения

Получается, что избежать риска компрометации фактически невозможно. Соответственно, нужны системы выявления неизвестных атак в уже скомпрометированной среде. Этот класс решений носит гордое название post-breach («после взлома») и чаще всего решает задачу response/mitigation, то есть реагирования и смягчения.

А вот методов и построенных на их основе решений для своевременного детекта угроз (post-breach detection) в действительности не так много. Например, один из них - это сети ловушек, которые широко известны как «ханипоты».

Правильно сделанная ловушка действительно может помочь обнаружить целенаправленную атаку на определенной стадии. Но при этом классический ханипот вряд ли чем-то поможет в выявлении других точек присутствия атакующего.

Известны способы адаптивного развертывания систем ловушек , а также поиска аномалий в функционировании компонентов системы. Гораздо сложнее найти рекомендации, как выбирать параметры развертывания ханипотов. Сколько нужно фейковых рабочих станций в сети? Какие фейковые аккаунты и на каких машинах создать? Еще сложнее проанализировать полученные таким способом данные. «Окей, Google, кто-то воспользовался фейковой учеткой на компьютере нашего бухгалтера. Что теперь делать?»

Неопознанное ≠ сверхъестественное

Чтобы не вносить терминологическую путаницу, будем использовать термин «неизвестная компьютерная атака». Она может включать в себя свойства целенаправленных атак, но не ограничиваться ими. Неизвестная компьютерная атака - это непрерывное целенаправленное несанкционированное воздействие при помощи программных или программно-аппаратных средств с такими параметрами функционирования, которые не позволяют защитным решениям его обнаружить в реальном времени.

Звучит сложно? На самом деле все сводится к трем ключевым особенностям: непрерывности, целенаправленности и нетривиальности.

Непрерывность - характеристика, определяющая временной интервал, в течение которого атакующий сохраняет несанкционированный доступ к ресурсу или воздействует на него. В частности, целенаправленные атаки отличаются продолжительным контролем точек присутствия в целевой информационной системе.

Целенаправленность - характеристика, которая определяет степень ручной работы со стороны атакующего для реализации несанкционированного доступа или воздействия и учитывает индивидуальные особенности целевой инфраструктуры.

Нетривиальность для систем обнаружения атак - это характеристика, определяющая сложность обнаружения этого класса атак защитными системами атакуемого объекта. Связана с целенаправленностью. Это ключевая характеристика для оценки эффективности методов и систем защиты.

Жизненный цикл атаки

Любую кибератаку можно поделить на стадии, названия которых пришли к нам из военной науки. Каждая стадия подразумевает набор стратегий и методов для их реализации. И для каждой из стадий существуют превентивные меры и стратегии ответных действий.

Давай на примерах разберем каждую стадию жизненного цикла атаки и проиллюстрируем стратегии реализации этапов. Назовем атакующего Василием.

Имей в виду, что эти сценарии лишь частный случай из многообразия тактик и средств, которые может использовать атакующий.

Разведка, подготовка

Во время разведки Василий пытается обнаружить точки входа в целевую инфраструктуру. Для этого он внимательно изучает отчет своего сканера веб-уязвимостей, который просканировал публичное веб-приложение, принадлежащее жертве.

Кроме того, Вася, анализируя выдачу поисковых систем, ищет эксплуатабельные ресурсы, IP которых входят в диапазон адресов целевой организации.

Василий нашел профили нескольких сотрудников организации в социальных сетях и их корпоративные email-адреса. На основе полученных данных Василий подготовил следующий план действий.

1. Попытаться скомпрометировать рабочие станции обнаруженных сотрудников.
2. Если это не удастся, Василий попробует использовать публичные эксплоиты, чтобы атаковать серверы организации, доступные из интернета, а также роутеры Wi-Fi в офисах компании.
3. Параллельно с первыми двумя шагами Василий будет искать уязвимости в публичном веб-приложении в надежде, что скомпрометированное приложение предоставит ему доступ к внутренней инфраструктуре.

Чтобы реализовать все это, Василий готовит текст письма с вредоносным вложением сотрудникам, кастомизирует найденные эксплоиты, а также запускает перебор пароля для админки обнаруженного веб-ресурса.

Доставка, эксплуатация, закрепление

Как ты думаешь, какой из пунктов имеет больший шанс на успех? Быть может, ты видел отчеты консалтинговых компаний и скажешь, что это веб-приложение. Или вспомнишь про человеческий фактор и некомпетентность персонала в вопросах ИБ и предположишь, что победит фишинговое письмо с вложением. Но Васе все равно, что ты думаешь, потому что он уже сидит с ноутбуком в офисе компании и ждет подключений мобильных устройств ее сотрудников.

Так или иначе, итог этой стадии: отстук загруженного вредоносного кода на управляющий сервер Василия.

Действие

Вот тут начинается все самое интересное. На практике часто оказывается так, что злоумышленник вынужден проводить целую спецоперацию и создавать новые точки присутствия для того, чтобы обеспечить себе постоянный контроль (persistent). Ему придется проводить разведку внутри скомпрометированной инфраструктуры и перемещаться к ценным ресурсам. Это называется lateral movement: вряд ли полученный доступ к компьютеру бухгалтера удовлетворит заказчиков Василия - их скорее интересует интеллектуальная собственность компании. Ну и в конечном счете Васе нужно будет провести незаметный вывод данных (exfiltration).

Противодействие

Конечно, этап противодействия должен начинаться раньше, а не после всех описанных стадий. Но иногда бывает так, что Василия начинают искать уже после того, как он скрылся с ценными данными. И зачастую это происходит не только из-за некомпетентности защищающейся стороны. Просто Василий имел достаточно времени, чтобы изучить жертву, прежде чем начал какие-то активные действия, и хорошо знал обо всех защитных системах. Да и василиев зачастую много, а некоторые из них прячутся и среди внутренних сотрудников.

Именно по описанным выше причинам мы постараемся узнать о Васе и его намерениях еще до того, как он реализует все стадии своей атаки. Для этого нужно научиться вовремя определять его появление в нашей инфраструктуре. Тому, как это делать, я посвящу следующие выпуски моей колонки.

29.03.2013, Пт, 13:03, Мск

Вредоносные программы, используемые в комплексных таргетированных угрозах (англ. advanced persistent threats, сокр. APT), постоянно совершенствуются. Теперь они могут тайно проникать в сети, нередко следуя по пятам за рабочими местами и съемными носителями. Сегодня, когда рабочие места становятся все более мобильными и выходят из-под контроля инфраструктуры корпоративной ИТ-безопасности, проблема лишь усиливается.

Примером такой угрозы служит червь Flame – новое оружие кибервойн, которое атаковало иранский энергетический сектор и теперь распространяется по Ближнему Востоку. Вредоносная программа Flame1, обнаруженная специалистами "Лаборатории Касперского", известна как "одна из сложнейших угроз всех времен". И хотя изначально вирус Flame должен был саботировать ядерную программу Ирана, он до сих пор не дает покоя экспертам по безопасности. Дело в том, что в настоящее время он распространился за пределы целевой инфраструктуры, заражая корпоративные системы во всем мире.

Его предшественником был вирус Stuxnet, который был разработан специально для заражения и нарушения работы систем диспетчерского контроля и сбора данных (SCADA), которые управляли иранскими центрифугами для обогащения урана. Успех этой вредоносной программы превзошел ожидания ее создателей: оборудование перешло в неконтролируемый режим работы с курсом на самоуничтожение. К несчастью, Stuxnet тоже вышел за пределы целевых объектов Ирана и стал заражать системы SCADA в Германии, а потом и в других странах мира.

И Flame, и Stuxnet относятся к комплексным таргетированным угрозам. Это оружие нового поколения для военных операций под контролем правительства, террористов и хорошо финансируемых киберпреступных синдикатов. Эти вредоносные программы, оснащенные множеством функций для сокрытия своей деятельности, прежде всего направлены на кражу интеллектуальной собственности, планов военных организаций и другие ценные корпоративные активы.

Однако жертвами этой войны станут, скорее всего, средние и небольшие предприятия, которые окажутся под перекрестным огнем, если не развернут комплексную инфраструктуру безопасности для защиты конечных точек. Прошли те дни, когда средние и крупные компании могли наслаждаться относительной анонимностью или экономить на средствах безопасности. Комплексные таргетированные угрозы и атаки "нулевого дня" становятся повсеместными и беспощадными.

Эволюция угроз

Когда-то угрозы рассылались массово, как правило, по электронной почте. Жертву заманивали в ловушку с помощью фишингового сообщения, якобы отправленного заграничным финансистом или давно пропавшим родственником. И хотя эти угрозы были потенциально опасными, они рассылались без разбора. Кроме того, их можно было обнаружить и предотвратить с помощью базовых средств безопасности. Эти виды атак по-прежнему преобладают в интернете. Однако в последнее время уровень сложности угроз значительно повысился: теперь все чаще встречаются комплексные таргетированные угрозы и атаки "нулевого дня", которые порождают страх и беспокойство пользователей.

В последние несколько лет самые громкие атаки с применением комплексных таргетированных угроз затмевают даже наиболее невероятные сценарии. Операция Aurora: атака на Google. В 2009 г. в ходе этой атаки китайского происхождения через уязвимости в Windows Internet Explorer был получен исходный код и другие виды интеллектуальной собственности Google и около 30-ти других глобальных корпораций.

Атака на RSA. Благодаря этой атаке со взломом ведущей разработки компании, ключей SecurID, надежностью которых так гордился поставщик решений безопасности, в 2011 г. киберпреступники смогли внедриться в системы подрядчиков военных ведомств США: Lockheed Martin, Northrop Grumman и L3 Communications.

Национальная Лаборатория Окриджа. Лабораторию Министерства энергетики пришлось перевести в автономный режим, когда администраторы обнаружили, что в результате фишинговой атаки с сервера выгружались конфиденциальные данные.

GhostNet. Эта сеть для кибершпионажа, состоящая из 1295 инфицированных компьютеров в 103 странах, была нацелена на ряд сторонников движения за независимость Тибета, а также другие крупные организации, включая местные министерства, комиссии по иностранным делам, посольства, международные и неправительственные организации.

ShadyRat. В рамках этой резонансной кампании были взломаны сети государственных органов, некоммерческих организаций и крупных предприятий в 14-ти странах мира, всего насчитывается 70 пострадавших организаций.

Основные признаки

В наши дни комплексные таргетированные угрозы и атаки "нулевого дня" идут рука об руку и широко освещаются в СМИ. И все же, что они собой представляют и чем отличаются от таких угроз, как троянцы или черви?

Можно с уверенностью сказать, что это не обычные любительские атаки. Из названия ясно, что такие угрозы работают на основе передовых технологий, а также нескольких методов и векторов для целенаправленных атак на конкретные организации с целью получения конфиденциальной или секретной информации.

Создатели комплексных таргетированных угроз сильно отличаются от авторов угроз вида скрипт-кидди, запускающих SQL-атаки, или среднестатистического автора вредоносного ПО, сдающего ботнеты тому, кто предложит самую высокую цену. Обычно такие передовые угрозы планируются крупными организованными синдикатами, имеющими в своем распоряжении целые команды экспертов, которые располагают множеством технологий сбора разведывательных данных. Поскольку эти угрозы действуют постепенно, не привлекая внимания, и умеют скрывать следы своей деятельности, их все чаще предпочитают киберпреступники, враждебно настроенные правительства, террористы и преступные синдикаты.

Схема работы

В реализации комплексных таргетированных угроз киберпреступники используют вредоносные программы для получения персонализированной информации, которая помогает осуществить второй этап атаки. После этого идут в ход индивидуальные технологии социальной инженерии, цель которых – внедриться в организацию через ее самое слабое место: конечного пользователя.

На данном этапе атаки целью являются лица, имеющие доступ к нужным учетным записям. При этом используются убедительные письма, которые якобы отправлены из отдела кадров или другого надежного источника. Один неосторожной щелчок мышью в таком письме – и киберпреступники получают свободный доступ к самым ценным сведениям организации, но никто об этом даже не подозревает. Получив доступ к системе, комплексная таргетированная угроза задействует разнообразные троянцы, вирусы и другие вредоносные программы. Они заражают сеть и создают множество "лазеек", которые могут неопределенно долго оставаться на рабочих станциях и серверах. Все это время угроза незамеченной перемещается с одного компьютера на другой в поисках заданной цели.

Эксплойты "нулевого дня"

Излюбленным инструментом комплексных таргетированных угроз неизменно являются эксплойты "нулевого дня". Это емкое название хорошо отражает суть угроз, которые пользуются уязвимостями безопасности в программах до того, как поставщик устранит их или хотя бы узнает об их существовании. Таким образом, между первой атакой и исправлением проходит меньше одного дня – "нуль дней". В результате киберпреступники получают полную свободу действий. Не боясь возмездия, они используют преимущества атаки, от которой нет известных способов защиты.

Вредоносные программы, использующие уязвимости "нулевого дня", могут незаметно нанести серьезный ущерб организации. Они нацелены на кражу защищаемой информации, такой, как исходный код, интеллектуальная собственность, планы военных организаций, данные оборонной отрасли и другие правительственные тайны, используемые в шпионаже. Когда организация узнает об атаке, для отдела по связям с общественностью это оборачивается кошмаром наяву. Ущерб исчисляется миллионами: ведь нужно не только провести ревизию инфраструктуры безопасности, но и выплатить судебные издержки, а также справиться с последствиями оттока клиентов. Не говоря уже о том, сколько сил, времени и средств уходит на восстановление репутации и доверия клиентов.

Комплексные таргетированные угрозы и эксплойты "нулевого дня" – это далеко не новые явления. Впервые они были применены несколько лет назад, задолго до того, как эти термины вошли в жаргон специалистов по безопасности. До сих пор многие организации даже не догадываются о том, что уже несколько месяцев (а порой и лет) назад стали жертвой скрытой атаки "нулевого дня". Согласно отчету Verizon о нарушениях безопасности данных, 2,44% таких нарушений, связанных с интеллектуальной собственностью, обнаруживаются лишь спустя несколько лет.

Показательный пример: в отчете, опубликованном газетой Christian Science Monitor3, говорится, что еще в 2008 г. три нефтяных компании – ExxonMobil, Marathon Oil и ConocoPhilips – стали жертвами целевых кибератак, проведенных с использованием комплексных таргетированных угроз. В ходе атак (предположительно, китайского происхождения) киберпреступники загрузили на удаленный сервер критически важную информацию о количестве, ценности и расположении открытых нефтяных месторождений в мире. Однако сам факт атаки компании обнаружили лишь после того, как ФБР сообщила о краже у них конфиденциальной информации.

К 2011 г. комплексные таргетированные угрозы по праву заняли одно из первых мест в ряду угроз безопасности. Ведь именно из-за них такие компании, как Sony, Epsilon, HBGary и DigiNotar, понесли в этом году огромные убытки. Не говоря уже о компании RSA, которая потеряла почти 40 млн файлов с одноразовыми паролями для электронных ключей. В общей сложности, сбой системы безопасности RSA4 обошелся компании примерно в $66 млн, тогда как убытки Sony5 от потери 100 млн записей составили $170 млн.

На конец 2011 г. было зафиксировано не менее 535 нарушений защиты данных, в результате которых было потеряно 30,4 млн записей. Многие компании пали жертвой ряда сенсационных атак этого года, сообщает Privacy Rights Clearinghouse. И это – лишь малая часть известных нарушений, ведь каждый год происходят тысячи нарушений систем безопасности, которые не обнаруживаются или не раскрываются.

От комплексных таргетированных угроз можно и нужно защищаться. О методах защиты речь пойдет в статье "Комплексные таргетированные угрозы: обеспечение защиты".