Изображение: Unsplash
С ростом хакерской активности появляются продукты и методы, которые позволяют выявлять актуальные приемы взлома, закрепления, распространения. Поэтому хакеры стараются быть на шаг впереди и оставаться как можно более незаметными.
Сегодня мы поговорим о тактиках сокрытия следов своих действий, которые применяют киберпреступники, и расскажем о том, как их все же вычислить.
Зачем хакерам атаковать компании
Расследуя деятельность APT-группировок, в этом году мы выявили рост числа APT-атак на различные отрасли. Если в прошлом году в поле нашего зрения попали 12 APT-группировок, то в этом году предметом исследований стали уже 27 группировок. Эта тенденция коррелирует и с постоянным ростом числа уникальных киберинцидентов из квартала в квартал (по нашим данным, в третьем квартале 2019 года зафиксировано на 6% больше уникальных инцидентов, чем во втором). Эти выводы подтверждаются данными Генеральной прокуратуры: число преступлений в сфере ИТ в прошлом году выросло почти вдвое по сравнению с 2018 годом и к концу года достигла 270 000 только зарегистрированных случаев, то есть 14% от общего числа всех зарегистрированных преступлений в России. Как и ожидалось, целенаправленные атаки существенно преобладали над массовыми. В течение 2019 года мы наблюдали рост целенаправленных атак: в третьем квартале их доля составила 65% (против 59% во втором квартале и 47% в первом).
За хакерской атакой почти всегда стоит финансовая мотивация. Чаще всего злоумышленники крадут деньги напрямую со счетов компании. В иных случаях — воруют конфиденциальные данные и документы для вымогательства или взламывают инфраструктуры компаний и продают к ним доступ на черном рынке. Также нельзя списывать со счетов обычный шпионаж, при котором атакующих интересуют не деньги, а информация. Чаще всего мотивацией для такого рода атак является конкурентная борьба: хакеры могут по заказу воровать коммерческие тайны, нарушать работу другой компании, вовлекать ее в скандал. В рамках нашего исследования мы выделили 10 APT-группировок, которые на протяжении последних двух лет атаковали государственные компании в России, и отметили, что главным их мотивом был шпионаж. Кроме того, мы провели опрос специалистов в области ИТ и ИБ о готовности их компаний противостоять APT-атакам. Каждый второй респондент из госсектора (45%) ответил, что его компания не готова к APT, а 68% отметили недостаточную квалификацию своих специалистов по ИБ для противостояния столь сложным угрозам.
Наши проекты по ретроспективному анализу и расследованию инцидентов свидетельствуют о том, что многие компании, которые перешли к практике выявления киберинцидентов, обнаруживают следы взломов, произошедшие несколько месяцев, а то и несколько лет назад (в прошлом году была выявлена группировка TaskMasters, которая находилась в инфраструктуре одной из жертв как минимум восемь лет). Это означает, что преступники уже давно контролируют множество организаций, но сами организации не замечают их присутствия, думая, что на самом деле защищены. При этом часто оказывается, что в инфраструктуре таких компаний «живет» даже не одна, а несколько группировок.
По нашей оценке, набор инструментов для проведения атаки, направленной на кражу денег из банка, может стоить от 55 тыс. долл. США. Кибершпионская кампания обходится на порядок дороже, ее минимальный бюджет составляет 500 тыс. долл. США.
Казалось бы, рынок предлагает множество продуктов по защите от взломов. Но как же злоумышленники проникают в сеть организаций? Этот вопрос мы и рассмотрим в сегодняшнем материале.
Социальная инженерия
Социальная инженерия — один из самых распространенных способов проникновения в инфраструктуру. В крупных компаниях работает много людей, их осведомленность о правилах информационной безопасности может быть разной — из-за этого некоторые сотрудники подвержены атакам с использованием методов социальной инженерии и фишингу больше остальных. А чтобы собрать список для фишинговой рассылки, достаточно провести поиск по открытым источникам (OSINT).
Многие из нас имеют аккаунты в соцсетях, некоторые — размещают информацию о своем месте работы. Чаще всего электронная почта сотрудника представляет собой комбинацию «первая буква имени + фамилия на английском» с небольшими вариациями. Поэтому хакеру достаточно знать формат электронного адреса компании и полное имя сотрудника, чтобы с 90% вероятностью получить его электронный адрес. Также данные можно купить на теневых форумах или в соответствующих каналах популярных мессенджеров, а также найти в очередных «сливах» баз данных.
Уязвимости в инфраструктуре, доступной из интернета
«Кровавый энтерпрайз» — это не только большое количество людей, но и большое количество сервисов: сервисы удаленного доступа, базы данных, панели администрирования, веб-сайты. А чем их больше, тем сложнее их контролировать. Поэтому возникают ситуации, когда из-за ошибок конфигурации сервис становится доступен извне. Если хакер постоянно следит за периметром организации, то он практически сразу заметит такую «дыру» в инфраструктуре, сроки зависят только от того, как часто он сканирует периметр, — от пары минут до суток.
В наихудшем сценарии «голый» сервис будет с известной уязвимостью, что позволит злоумышленнику сразу применить эксплойт и попасть внутрь сети. А если при настройке сервиса не был изменен стандартный пароль, хакер в несколько раз быстрее найдет доступ к данным, подобрав стандартные связки логина и пароля.
Почему атаки становится все труднее заметить
Переломным моментом в процессе усложнения хакерских атак стало появление червя Stuxnet в 2010 году, которого многие называют первым кибероружием. Он долгое время находился незамеченным в сети иранской ядерной программы, контролировал скорость работы центрифуг по обогащению урана и выводил оборудование из строя. Cпустя годы его находили уже в других компьютерных сетях. Использование уязвимостей нулевого дня, цифровых подписей, распространение через USB-устройства и общие принтеры позволяло червю оставаться незамеченным долгое время.
Хакеры начали объединяться в группировки. Если в нулевых мы наблюдали больше хакеров-одиночек, то в 2010-х начался активный рост организованной киберпреступности. Вместе с тем стало быстро увеличиваться количество преступлений. При этом в начале десятилетия владельцы бизнеса мало задумывались об информационной безопасности своей организации, что позволяло хакерам почти беспрепятственно красть миллионы долларов. В первой половине десятилетия финансовые организации оказались не готовы к появлению сложного ВПО, такого как Carberp и Carbanak. В результате атак с их использованием был нанесен ущерб приблизительно в 1 млрд. долларов.
Сегодня существуют решения и для выявления взломов, и для обнаружения активности злоумышленников в инфраструктуре. В ответ на это хакеры разрабатывают методы обхода, чтобы оставаться незамеченными как можно дольше. Например, они используют техники типа living-off-the-land. При таких атаках для удаленного выполнения команд на узлах используются встроенные в ОС механизмы и доверенные программы. В Windows-инфраструктуре это могут быть PowerShell, WMI, утилиты из набора Sysinternals. Например, утилита PsExec хорошо зарекомендовала себя как среди IT-администраторов, так и среди злоумышленников.
Злоумышленники также используют технику watering hole — взламывают отраслевой сайт или приложение, которые часто посещают и используют сотрудники компании, и размещают в них вредоносный код. После того как пользователь запускает приложение или заходит на сайт, на его устройство скачивается ВПО, через которое злоумышленник попадает в инфраструктуру. Этот метод взят на вооружение такими APT-группировками как Turla, Winnti.
Некоторые хакерские группы, например Cobalt, Silence, TaskMasters, используют метод supply chain attack. Злоумышленники заранее взламывают серверы партнера целевой организации и уже с его почтовых ящиков производят фишинговые рассылки. Хакеры не ограничиваются рассылкой писем, а атакуют разработчиков софта, которым пользуются интересующие организации, и встраивают вредоносный код, например, в очередное обновление. Все пользователи, которые устанавливают это обновление, заражают свои компьютеры. Так, вредоносный код вируса-шифровальщика NotPetya был встроен как раз в одно из обновлений бухгалтерской программы.
Однако при всех преимуществах ВПО злоумышленника может обнаружить антивирус или песочница, если оно отправлялось через почту. В связи с этим злоумышленники изобретают все более сложные техники обфускации кода — например, его виртуализацию — проводят бесфайловые атаки, вставляют в код методы anti-VM и antisandbox.
Нельзя исключать, что злоумышленник сможет обойтись внутри сети вообще без вредоносного ПО, ограничиваясь инструментами, разрешенными политиками безопасности.
Как поймать хакера в инфраструктуре: передовой опыт и основные ошибки
Самый простой способ предотвратить появление незваного гостя в своей инфраструктуре — выстроить правильную линию защиты. Здесь можно выделить три главных составляющих:
- надежный периметр;
- осведомленные пользователи;
- ролевая и парольная политики.
Есть отличное высказывание из книги Сунь-Цзы «Искусство войны»: «Идти вперед, туда, где не ждут, атаковать там, где не подготовились». Обеспечение кибербезопасности не должно ограничиваться периметром и традиционными средствами защиты. Как показали результаты нашего исследования, 92% угроз выявляются тогда, когда враг уже внутри.
Кибергруппировки успешно научились преодолевать защиту на периметре интересующих их организаций, и об этом свидетельствует тенденция к росту доли успешных целевых атак. Это повод сместить фокус внимания с предотвращения атак на периметре на своевременное выявление компрометации и реагирование внутри сети.
Если инцидент все-таки произошел, необходимо выстроить всю цепочку событий, которые совершал хакер на пути к своей цели — таймлайн. При обнаружении инцидента многие не умеют правильно реагировать, паникуют и совершают ошибки уже на ранних этапах. Начинается суматошное устранение последствий самого инцидента, которое приводит к затиранию его артефактов. Однако мало кто сразу задумывается о причинах его появления, а к тому времени, как необходимость поиска причины становится очевидной, большинство следов уже уничтожены — приходится восстанавливать картину из того, что осталось.
Бывает так, что в процессе инцидента хакер еще остается в сети и жертва пытается «выбить» его всеми доступными способами, не поняв при этом, какая часть инфраструктуры и сервисов контролируется злоумышленником. В этом случае хакер может уйти, громко хлопнув дверью: например, зашифровав подконтрольные узлы.
Поиск «засевшего» в инфраструктуре хакера не всегда является тривиальной задачей. При грамотном подходе он может оставаться в инфраструктуре долгое время. Например, группа TaskMasters, которую обнаружили специалисты PT Expert Security Center в 2018 году, в некоторых организациях годами скрывала свое присутствие. При этом хакеры несколько раз возвращались во взломанную инфраструктуру, чтобы выгрузить очередную порцию данных, после чего засыпали выкопанную яму, оставляя несколько точек доступа во внутреннюю сеть. И каждый раз они оставались незамеченными. В таких случаях хакеров можно было вычислить по аномальной сетевой активности (которая преимущественно происходила в ночное время) по большому объему трафика на внешние узлы или нестандартным горизонтальным перемещениям внутри.
Но что делать, если мы не знаем, есть ли хакер внутри сети, и хотим обезопасить себя, проверив отсутствие взлома? Для этого необходимо иметь большую базу знаний о том, как хакер может действовать: как проникнуть, как закрепиться, как передвигаться. К счастью такая база знаний есть и называется она ATT&CK, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. База представляет собой наглядную таблицу тактик, к которым может прибегнуть хакер для того, чтобы успешно достигнуть своей цели. В ней структурированы знания о целевых атаках и категоризированы действия злоумышленников. База постоянно пополняется исследователями со всего мира, что позволяет специалистам по ИБ всех стран разговаривать на одном языке. Помимо этого, знание тактик позволяет успешно выявить следы взлома и заранее подготовиться — усилить слабые места, установить за ними повышенный контроль и оперативно отреагировать на появление злоумышленника.
Помимо этого, взломщики оставляют следы в сетевом трафике, а значит, задача специалиста по кибербезопасности — обнаружить эти следы. Результаты наших пилотных проектов показали, что решения класса NTA позволяют эффективно выявлять угрозы разной степени риска — от нарушений регламентов ИБ до сложных целенаправленных атак.
Технические подробности о том, как поймать хакера в сетевом трафике (подробный мануал со скриншотами), читайте в нашей статье на Anti-Malware.
Чего ждать в будущем: тренды кибербезопасности
Новости об утечках данных в последние годы стали особенно громкими, в том числе и потому, что злоумышленникам удается использовать утечки прошлых лет. Это дает им более полные цифровые досье огромного количества пользователей. Следует ожидать продолжения этого тренда.
В 2019 году мы зафиксировали более полутора тысяч хакерских атак; это на 19% больше, чем в 2018 году. В 81% кибератак жертвами были юридические лица. По итогам года в пятерку наиболее часто атакуемых отраслей вошли госучреждения, промышленность, медицина, сфера науки и образования, финансовая отрасль. Отраслевой фокус сохранится и в дальнейшем.
Доля целенаправленных атак растет: в каждом квартале мы наблюдали больше целевых атак, чем в предыдущем. В I квартале 2019 целевыми были менее половины атак (47%), а в конце года их доля составила уже 67%. Стоит ожидать дальнейшего роста APT-атак.
Чтобы успевать реагировать на новые угрозы, технологии защиты также должны активно развиваться. Однако добиться высокого уровня защищенности с помощью только лишь инструментов противодействия и обнаружения атак не удастся. Мы рекомендуем компаниям регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming — это позволит обнаруживать и своевременно устранять потенциальные векторы атак на критически важные ресурсы и отладить взаимодействия служб ИБ и ИТ в случае кибератаки.
Наша компания разработала комплекс защиты сети организации — Anti-APT, предназначенный для выявления и предотвращения целевых атак. Он позволяет максимально быстро обнаружить присутствие злоумышленника в сети и воссоздать полную картину атаки для детального расследования. Определение аномальной активности в сети, ретроспективный анализ файлов и продвинутая песочница позволяют снизить время реагирования на инцидент или вовсе его предотвратить.
Автор: Денис Кувшинов, ведущий специалист группы исследования киберугроз Positive Technologies