Также Технологии, используемые злоумышленниками, не стоят на месте, они постоянно развиваются и специалисты по информационной безопасности должны быть в курсе изменений, происходящих в хакерском мире. В этой статье мы поговорим о том, как меняется ландшафт угроз ИБ. В качестве источников статистических данных будут использоваться отчеты об угрозах ИБ от Лаборатории Касперского и Group IB за 2022 год.
Так как материал статьи ориентирован на специалистов различных уровней, не лишним будет для начала привести несколько основных определений.
Информация нулевого дня
Уязвимость нулевого дня – программная уязвимость, обнаруженная злоумышленниками до того, как о ней узнали производители программы. Для уязвимостей нулевого дня еще не выпущены патчи, что повышает вероятность атаки.
Эксплойт нулевого дня – это метод, используемый злоумышленниками для атаки на системы с не выявленными ранее уязвимостями. Эксплоит нулевого дня использует уязвимости нулевого дня. Замечу, что и уязвимость и эксплоит нулевого дня товары весьма скоропортящиеся. От обнаружения уязвимости до выпуска патча, закрывающего ее может пройти буквально несколько часов и в течении этих часов информация об уязвимости может очень дорого стоить (десятки тысяч долларов). Но, как только будет выпущен закрывающий патч, уязвимость перестанет быть уязвимостью нулевого дня и ее стоимость сразу упадет многократно.
Основные виды хакерских группировок
Времена, когда взломом занимались только любопытные энтузиасты давно прошли. Сейчас хакинг это отдельная, весьма прибыльная индустрия, в которой работают серьезные группировки. Основные типы хакерских группировок можно разделить на три типа:
прогосударственные хакерские группы, нацеленные на шпионаж и диверсии;
хактивисты, организующие DDoS-атаки и дефейсы (взломы) сайтов;
финансово мотивированные преступники, охотящиеся за как за деньгами, так и за данными, которые можно продать.
Говоря о первом типе, можно вспомнить как пророссийские группировки, атакующие ресурсы недружественных государств, так и враждебных хакеров, стремящихся нанести вред веб ресурсам российских организаций и объектам критической инфраструктуры.
Хактивисты также в определенной степени участвуют в политической борьбе, атакуя различные государственные ресурсы.
Однако, больше всего атак осуществляют правильно финансово мотивированные преступники, которые стремятся извлечь прибыль из взломов. Стоит отметить, что за прошедший год почти в три раза увеличилось количество кибератак с участием финансово мотивированных хакеров.
Итак, каким мотивами могут руководствоваться хакерские группировки более-менее понятно. Теперь перейдем к более технической части, а именно рассмотрим какие инструменты они в основном используют.
Методы получения первоначального доступа
Любая атака начинается с проведения разведки, то есть выявления используемых операционных систем и приложений. Далее начинается активная фаза, злоумышленникам необходимо проникнуть в атакуемую инфраструктуру. И здесь могут использоваться различные механизмы. Так на первом месте традиционно идет эксплуатация уязвимостей. Мы можем узнав версии используемого у жертвы ПО попытаться найти уязвимости, которые имеют данные версии для последующей их эксплуатации. Казалось бы, много лет все, и представители вендоров, и безопасники твердят о необходимости установки обновлений. Существует множество сканеров уязвимостей как бесплатных, так и не очень. Но несмотря на это, из года в год, в отчетах по безопасности в качестве средства получения первоначального доступа лидируют уязвимости в ОС и ПО.
Причин этому может быть достаточно много. Так в некоторых организациях администраторы боятся устанавливать обновления, из-за того, что это может привести к сбоям в целевых системах. Особенно это распространено в промышленных сетях, когда какой-либо сбой в работе SCADA систем может привести к серьезным последствиям. Иногда, просто отсутствуют специалисты, поддерживающие данное приложение или разработчики, способные править код.
На втором месте идет фишинг – то есть создание поддельных сайтов, на которых незадачливые пользователи вводят свои учетные данные, которые затем становятся доступны злоумышленникам. В простейшем случае, пользователя на фишинговый сайт можно заманить с помощью поддельного письма. Например, служба ИТ просит протестировать новый сервис (типа OWA), необходимо перейти по ссылке и ввести свои учетные данные. По результатам пентестов, до половины проверяемых пользователей действительно вводят свои учетные данные.
Развитием фишинговых атак являются ссылки на поддельные ресурсы, передаваемые с помощью мессенджеров. Также, можно поднять поддельную точку доступа, рядом с организацией жертвы, используя настройки гостевой беспроводной сети данной организации. В результате пользователи будут подключаться к этой сети, используя свои обычные настройки. А дальше поддельная точка доступа может с помощью параметров, выдаваемых по DHCP перенаправить жертву на поддельный сайт.
И завершает тройку самых распространенных способов проникновения компрометация служб удаленного доступа. Во времена пандемии всем потребовался удаленный доступ к корпоративным ресурсам. И во многих организациях незадачливые админы просто опубликовали наружу доступ по RDP. В результате как минимум стали возможны различные вариации атак перебора пароля, а также уже упомянутая эксплуатация уязвимостей.
Общее представление о первоначальных векторах атаки можно получить из следующей таблицы:
О “пользе” вымогателей
В качестве основного средства реализации атак выступают программы-вымогатели – 68% от числа всех инцидентов. При этом часто их использовали для вывода из строя ИТ-инфраструктуры и последующего шантажа. По сути, атаки шифровальщиков обычно заключаются в том, что шифруются различные файлы офисных документов, при этом операционная система даже может сохранять некоторую работоспособность, то есть загружаться, но не один файл не будет доступен, вернее читаем.
При этом, важной особенностью этих атак является то, что очень часто они используют для реализации результаты других вредоносных активностей. Так, почти в каждом четвёртом случае (24%) атаки программ-вымогателей начинались с использования ранее скомпрометированных аккаунтов пользователей, а в 12% ― с вредоносных писем. Помимо шифрования, в ряде случаев целью атакующих было не шифрование данных, а получение доступа к личной информации пользователей, интеллектуальной собственности и другим конфиденциальным данным организаций.
Выполнение кода
Проникнув в систему, злоумышленнику необходимо в ней как-то закрепиться и попытаться поднять привилегии, то есть превратиться из обычного пользователя в root или администратора.
Естественно, основными средствами выполнения кода в операционных системах атакуемых организаций является использование встроенных интерпретаторов. Для Windows это будут VBscript и Powershell. Конечно, Powershell намного мощнее и удобнее, но очень часто администраторы отключают или ограничивают использование скриптов, и тогда на помощь приходит VBscript. Для Линукса традиционно используется Bash.
Для получения аутентификационных данных на целевой системе традиционно используются дампы памяти. Как правило, злоумышленники получив права локального админа делают дамп содержимого оперативной памяти, для того, чтобы в последствии, что называется оффлайн попытаться расшифровать полученные хеши паролей с помощью Mimikatz. Да, старый добрый Мимик, которому уже тоже много лет до сих пор активно используется атакующими.
Вообще, среди инструментов, которые используют злоумышленники, помимо специализированных тулов из даркнета, можно встретить как фреймворк Metasploit, так и другие инструменты, входящие в состав дистрибутива Kali Linux.
Ну и не стоит забывать про социальную инженерию, с помощью которой злоумышленники обманом могут выманить у пользователей учетные данные.
Методы закрепления на целевой системе
Получив необходимые аутентификационные данные злоумышленнику необходимо обеспечить себе постоянный доступ в сеть жертвы. Как правило, запуск своего ПО злоумышленник прописывает в реестре. В простейшем случае, он может прописаться в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run или HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и аналогичных ветках реестра. Также, нужное приложение можно прописать в Планировщике задач.
Заключение
В этой статье мы рассмотрели ландшафт современных угроз, поговорили о том, какие тактики используют злоумышленники для реализации этих угроз.
В завершение хочу пригласить вас на бесплатный урок, где обсудим какие основные средствах защиты АСУ ТП бывают и каким образом их выбирать. Поговорим о специфике защиты АСУ ТП и рассмотрим нормативные требования. Также обсудим в каких отраслях используются АСУ ТП и каким образом выстраивать систему защиты