Сегодня классический антивирус то и дело списывают в утиль. Дескать, «это театр безопасности», «он бессилен против таргетированной атаки», «да его студент обойдет в два счета». Что же, антивирус и вправду никакая не броня и не всегда спасает от сложных и тщательно спланированных действий злоумышленников.
На связи Семён Рогачёв, руководитель отдела реагирования на инциденты в Бастионе. Открою страшную тайну: изощренных атак становится все меньше — киберпреступники в массе стремятся удешевить и упростить свои методы, а их инструментарий нередко скатывается к палкам и камням общедоступному опенсорсу.
Для борьбы с подобными незамысловатыми угрозами старый добрый, а зачастую вовсе бесплатный антивирус подходит на все сто. Как показывает практика, значительную часть кибератак удалось бы пресечь, обрати безопасники внимание на предупреждения противовирусного ПО.
В этой статье рассмотрим экономику современных кибератак, разберемся в причинах их удешевления и упрощения. Также заглянем в арсенал типичного злоумышленника и на реальных кейсах разберем, как «устаревшие» и «бесполезные» антивирусы дают прикурить киберпреступникам.
Экономика киберпреступности, или почему взломать так дешево и просто
«Чтобы защититься от атакующего, нужно понять атакующего». Всемогущий компьютерный гений в капюшоне, способный влегкую «хакнуть Пентагон», — на самом деле редкость. Зачастую это, скорее, авантюрист, который нашел на том же GitHub готовый инструмент и решил попытать счастья.
Укрупненно можно выделить четыре причины упрощения, удешевления и, как следствие, роста количества кибератак. Разберем каждую из них подробно.
1. Рост IT-инфраструктуры: больше целей, чем стрелков
Представьте глухой городок в глубинке, скажем, Васюки. Вдруг там открывают новое высокотехнологичное производство — Васюки превращаются в Нью-Москву, территория и население города за пару лет увеличиваются на 20%, а вот штат полиции — только на 5%. Получите и распишитесь — рост преступности.
Похожая ситуация сложилась и в IT-инфраструктуре. По примерным оценкам, ежегодно объемы серверных мощностей в мире расширяются на 15–20%. При этом ЦОДы, серверы и прочая инфраструктура становятся сложнее и технологичнее. А вот число специалистов, которые защищают и обслуживают эту инфраструктуру, увеличивается гораздо медленнее. В результате, несмотря на обилие СЗИ и встроенных проверок, количество уязвимостей растет как снежный ком.
2. Демократизация взлома: GitHub как арсенал для начинающих хакеров
Среднестатистическому атакующему больше не нужно изобретать велосипед: судя по нашему проектному опыту, больше половины применяемых хакерскими группировками инструментов — это бесплатный софт с открытым исходным кодом. Да, иногда он модифицирован или дополнительно переупакован, но в основе это обычный open source.
Причем такие инструменты легко найти и скачать на GitHub. Там же полно утекших мануалов для подобных утилит. Достаточно вспомнить хотя бы нашумевшие утечки LockBit и Babuk Locker, благодаря которым любой начинающий киберпреступник мог на коленке создавать программы-вымогатели.
Выходит, что злоумышленнику уже не нужно самостоятельно писать сложный эксплойт: можно просто клонировать репозиторий, запустить скрипт — и никаких «танцев с бубнами». Не удивительно, что порог входа в «профессию» снижается, а кибератаки, опять же, упрощаются и дешевеют.
3. Автоматизация разведки и снижение рисков: армия ботов ищет «открытые двери»
В то время как сисадминам и безопасникам становится всё сложнее наводить порядок в разрастающихся инфраструктурах, злоумышленникам всё проще находить в них бреши. Благодаря Shodan и прочим поисковым системам и краулерам, которые индексируют подключенные к интернету устройства, различные серверы, виртуальные машины, маршрутизаторы обнаруживаются с легкостью запроса в Google.
Более того, интернет уже давно превратился в цифровой фронтир, где орудуют банды ботов. По статистике, примерно половина трафика генерируется не людьми, а роботами. Это всевозможные краулеры, автоматизированные инструменты скрапинга, сканирования и анализа. Примерно 70% таких программ рыщут по сети отнюдь не с добрыми намерениями, а чтобы найти точки входа в уязвимые инфраструктуры. Далее атакующему остается подобрать нужную технику — перебор паролей, эксплуатация известной уязвимости и т. д. — и дело в шляпе. Такие «цифровые помощники» значительно облегчают работу злоумышленникам.
4. Геополитический аспект: риски для атакующего из недружественной юрисдикции минимальны
«Если вы не занимаетесь политикой, политика займется вами». Вот и киберпреступность уже давно не находится в политическом вакууме. Многие злоумышленники используют разногласия на международной арене, чтобы снизить свои риски. Проще говоря, можно смело атаковать объекты недружественных государств из-за рубежа, не опасаясь штрафов, арестов и экстрадиции. Часто такая активность даже поощряется властями страны, с территории которой ведется атака. Этот геополитический фактор придает смелости злоумышленникам и увеличивает количество кибератак.
От теории к суровой реальности
Как говорится, теория без практики мертва. Самое время взглянуть, как же работают вышеописанные факторы удешевления и упрощения кибератак в реальности.
Кейс №1: «Бесхозный» RDP и Windows Server 2008
Итак, открываем общедоступный сервис для сетевого сканирования (условный censys.io) через Google-аккаунт, применяем пару простых фильтров — по протоколу RDP и геофильтр по России.
Бинго! Вот так, «легким движением руки», мы собрали урожай из 37215 устройств со смотрящими в интернет RDP по стране. Для этого понадобилось ввести «полстрочки» запроса в системе.
Мне могут возразить, что ничего страшного здесь нет: везде применяются сильные пароли, защита от перебора Fail2Ban или аналоги. Вот только среди найденных устройств — серверы на Windows Server 2008, поддержка которых закончилась при царе Горохе во времена первого Айфона. Остается выгрузить CSV и по баннерам сервисов (версии ОС, RDP и т. д.) отфильтровать эти устаревшие серверы.
Это еще один аргумент в пользу тезиса, что обновления и защита IT-инфраструктуры не поспевают за ее ростом, а квалифицированных специалистов не хватает.
Кейс №2: Уязвимый SharePoint и гонка на опережение
Наверное, все помнят недавнюю критическую уязвимость в SharePoint. Когда в инфополе прогремела новость об этой «бреши», на GitHub уже лежал рабочий Proof of Concept.
Сколько времени могло уйти у российских пользователей на обновления, особенно учитывая проблемы с поддержкой зарубежного софта? Как минимум часы, а то и дни. Зато всё те же системы сканирования находят подобные устройства по щелчку пальцев.
В день публикации этой новости я решил испытать удачу и поискать такие серверы при помощи уже упомянутого общедоступного сервиса сканирования. Зашел под Google-аккаунтом, вбил простой геофильтр по России и произвольный запрос с упоминанием SharePoint…
Результат меня удивил: 458 уязвимых серверов по стране — вот вам и импортозамещение. Словом, гонка со злоумышленником проиграна уже на старте.
Против дешевого «лома» есть дешевый прием — антивирус
В который раз повторюсь, что львиная доля сегодняшней киберпреступности — это массовый поток недорогих атак с использованием общедоступных инструментов. Нет никакого смысла бороться с таким «ширпотребом» дорогими сложными системами — они нужны для другого. Рациональнее всего «вышибать клин клином»: использовать такой же простой и бюджетный антивирус.
И снова предвижу возражения: «А как же сложные атаки и FUD (fully undetectable malware)? Или это, по-вашему, детские страшилки?». Разумеется, эти угрозы реальны, причем недектируемое ПО создают и используют далеко не одни пентестеры. Однако подобные атаки трудоемки и ресурсозатратны, так что применять их к условным «Рогам и копытам» — все равно что палить из Джавелина по воробьям. Массовый рынок кибератак работает на другом топливе.
Да, вы не ослышались, именно «рынок кибератак», который позволяет даже низкоквалифицированным злоумышленникам заработать легкие деньги. Не нужно быть компьютерным гением — достаточно зайти в какую-нибудь опенсорсную систему сканирования сети, выгрузить список IP-адресов, залить web shell и продать «закладку» более изощренному хакеру за 10 баксов. Словом, монетизация здесь не так сложна, как может показаться на первый взгляд, и не требует от злоумышленника высокой квалификации. Так какой смысл выдумывать сложные инструменты, если достаточно того, что лежит на поверхности и хорошо работает?
Что на самом деле видит антивирус?
Теперь пора прогуляться по «зоопарку» самых популярных и массовых инструментов атакующих и посмотреть, как на них реагируют антивирусы. Насколько зоркий взгляд у бюджетного коммерческого и встроенного в ОС бесплатного антивирусного ПО? Поехали!
ADRecon
Этот скрипт для разведки в Active Directory давно стал «швейцарским ножом» для быстрого осмотра корпоративной сети изнутри. Навскидку атрибутируются пять хакерских группировок, применяющих такой инструмент. На деле их в сотни раз больше, ведь масса атакующих использует исключительно open source, поэтому какую-либо атрибуцию по ним не выполнить.
Как видно на скриншоте, что антивирус Касперского, что встроенный в Windows бесплатный Defender отлично детектируют применение такого инструмента сканирования.
Mimikatz
Одно упоминание этой утилиты для извлечения паролей из памяти заставляет любого сисадмина нервно вздрагивать. Судя по публичным отчетам, Mimikatz есть в арсенале у такого количества атакующих групп, что считать их поштучно уже бессмысленно. Парадоксально, но некоторые антивирусы до сих пор не распознают эту угрозу: 54 страны из 64.
И всё же факт остается фактом: это по-прежнему один из наиболее расхожих инструментов, представляющих колоссальную угрозу. И Касперский, и Defender его отлично детектируют, но почему-то такие сигналы тревоги часто остаются без реакции.
GOST и другие средства туннелирования
Средств туннелирования сейчас вагон и маленькая тележка, и большинство из них тоже попадает в поле зрения Касперского и Defender. Что там «распиаренный» GOST! Для эксперимента можно зайти на GitHub, скачать любой написанный «на коленке» тоннель, собрать его и скормить антивирусу. Спойлер: детект практически гарантирован.
Как видим, и бюджетные коммерческие антивирусы (Касперский), и бесплатный Windows Defender неплохо вычисляют всю перечисленную хакерскую «классику жанра».
Windows Defender — больше, чем вы думаете
Все еще думаете, что Windows Defender — это просто «галочка» в системе или исторический артефакт? Тогда мы идем к вам, чтобы развеять такой миф. Даже бесплатные современные антивирусы давно не ограничиваются простым сканированием файлов по сигнатурам. Это комплексные системы, обладающие полноценным поведенческим анализом. И вот еще несколько кейсов в подтверждение моих слов.
Сетевой трафик под микроскопом: Привет, DCSync!
Этот кейс из нашей практики напрочь разрывает все шаблоны — ведь такого от бесплатного антивируса никак на ожидаешь. Для начала Defender детектировал вредоносный файл C:\Windows\system32\sysprep.exe — уже неплохо. Дальше больше: антивирус обнаружил трафик, похожий на активность DCSync.
Если вкратце, это атака в среде Active Directory, позволяющая злоумышленнику прикинуться контроллером домена (DC) для получения учетных данных из базы (хэшей паролей всех пользователей домена, включая УЗ с высокими привилегиями, и многого другого). Это все равно что загримироваться под помощника главного архивариуса, попросить у «начальника» копии ключей от всех архивов, а потом выкрасть ценные документы. Примерно так действует DCSync в мире Active Directory.
Итак, бесплатный встроенный в ОС антивирус выявил попытку сложной сетевой атаки на уровне домена — вот это поворот!
Поведенческий анализ: «Пытаетесь сделать дамп реестра? Бросьте!»
Но и на этом сюрпризы не закончились. В ходе той же самой атаки наряду с DCSync антивирус детектировал попытку снять дамп реестра. Здесь уже речь идет не про сигнатуры, а про распознавание подозрительного поведения — поведенческий анализ в действии.
Выходит, Defender выиграл сражение сразу по трем фронтам: обнаружил вредонос, вывел на чистую воду сетевую атаку и увидел нелегитимное взаимодействие с реестром.
Фишинг в архиве: классика жанра
И «на десерт» — кейс другого плана. Бесплатный антивирус детектировал классическую попытку фишинга в архиве RAR (SCR-файл и заявка 1.SCR в RAR-директории). Это та самая рассылка вредоносных архивов с вложенными файлами расширения .SCR, названия которых имитируют офисные документы.
Стоит жертве запустить такой зловред, как он скачивает на компьютер дополнительную полезную нагрузку, собирает данные в архивы и отправляет их злоумышленнику. Да, такие трюки стары как мир, но они все еще в ходу и, самое главное, часто ловятся бесплатным антивирусом.
Так что, EDR и NDR можно выбрасывать?
Конечно же, нет. EDR, NDR, SIEM — это важнейшие и незаменимые инструменты для борьбы со сложными угрозами. Антивирус вовсе не замена таким продвинутым решениям, а, скорее, фундамент защиты. Это как автомобильный ремень безопасности: он не спасет вас при лобовом столкновении с фурой на полной скорости, но предохранит от травм в 95% типичных городских ДТП. Пренебрегать такой базовой защитой — все равно что ездить непристегнутым по оживленной опасной магистрали, еще и напичканной камерами наблюдения.
Вместо заключения: несколько полезных лайфхаков
Не отключайте антивирус без крайней необходимости. Его обновления, как правило, не так сильно мешают работе, а риски безопасности в любом случае перевешивают возможные неудобства. Исключения возможны для отдельных участков инфраструктуры, где применяются альтернативные средства защиты (или где установка антивируса технически невозможна).
Внимательно следите за алертами. Детект от антивируса — это не белый шум и даже не предостережение на будущее. Это сигнал об уже реальной угрозе, и игнорировать его — преступная халатность.
Помните про Linux. Многие не считают нужным устанавливать антивирус на такие серверы под предлогом, что «Linux не болеет». Это крайне опасное заблуждение, особенно учитывая десятилетние аптаймы без обновлений и должного администрирования. В результате Linux-сервера становятся цифровыми чашками Петри.
Стройте защиту слоями. Система кибербеза как многоступенчатый торт: на слое антивируса лежат все остальные «коржи» безопасности. Во-первых, такое СЗИ изначально присутствует почти в любой инфраструктуре. Во-вторых, антивирус бесплатный или стоит копейки. В-третьих, он эффективен против массовых угроз. Даже если компания располагает серьезным бюджетом на ИБ и готова перестраховаться от сложных таргетированных атак, сперва нужно обеспечить базовую защиту. В конце концов, торт не начинают готовить с вишенки.
И напоследок еще одна зубодробительная аналогия. Безопасность — это не поиск одной «серебряной пули», а рутинный, порой скучный процесс соблюдения гигиены. И антивирус — первое правило такой гигиены, как мытье рук перед едой. Просто, бесплатно и спасает от кучи проблем.
PURP — Telegram-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
