Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разрабатывали собственные утилиты, целясь в крупный бизнес и госвласть. Подход понятный и простой. Проблема только в том, что сами хакеры уже вышли за пределы этого шаблона. А раз врага надо знать в лицо, то и мы в JSOC решили подойти к делению хакеров и определению их инструментов, методик и целей с другой стороны. В итоге у нас получилось 5 уровней злоумышленников. В этом посте мы постарались изложить, как, на наш взгляд, изменились хакерский инструментарий и подходы к атакам и на что способны разные типы злоумышленников в зависимости от своей квалификации. Надеемся, вам будет интересно.
Квалификация злоумышленников растет, а атаки становятся все сложнее. Прошли 2010-е, когда хакеры быстро приходили, забирали самое ценное (как правило деньги) и уходили (если успевали). Теперь им нужно получить доступ в инфраструктуру жертвы, к ее ключевым узлам и находиться там инкогнито максимально долго. Целевых атак при этом становится больше, а злоумышленники все чаще выбирают себе специализацию: атакуют компании определенного масштаба из определенного сектора экономики – исходя из того, какой потенциал в себе чувствуют и какие цели преследуют.
Что в арсенале хакера
Обфускация ВПО
Как мы и говорили ранее, инструментарий злоумышленников усложнился. Намного чаще они стали применять методы обфускации при написании ВПО. То есть запутывание исходного кода вредоноса, не влияющее на его производительность и функционал, однако затрудняющее его анализ при декомпиляции. Таким образом можно обойти песочницы и антивирус на хостах. Логическая схема восстановленного вредоноса выглядит так:
Видите, сколько мельчайших функциональных блоков и переходов присутствует в коде? Эта паутина скрывает основные алгоритмы вредоноса, что, в свою очередь, позволяет практически гарантированно доставить и запустить ВПО на хосте жертвы.
Сокрытие C&C через TOR-ноды
Интересен подход злоумышленников при использовании TOR-нод (узлов распределенной сети, между которыми передается зашифрованный трафик). Если раньше они применялись лишь для доставки ключей шифрования и самого шифрования инфраструктуры жертвы, то сегодня за ними скрывают реальные адреса центров управления ВПО. Подобный подход существенно снижает эффективность классических фидов, которые содержат информацию о командных центрах в сети (IP-адреса, web-сайты).
Если учесть, что TOR-нод больше 10 000, то вам остается: либо мониторить использование TOR-сетей в организации и попутно блокировать их, либо смириться, потому что никакими фидами никогда в жизни не защитить компьютеры от управляющего центра ВПО.
Умное ВПО
Современные вредоносы становятся умнее. Например, они научились определять, что работают в средах виртуализации или стенда. Первое они обнаруживают путем проверки запущенных процессов. Если ВПО находит запущенные элементы VMware или Hyper-V, то автоматически уходит в сон. А попадая на тестовый стенд, ВПО делает скриншот рабочего стола и передает его злоумышленнику, который уже может сделать вывод о том, будет ли зараженный хост для него полезным или нет. Получается, что хакерам для поиска ценного ресурса теперь требуется гораздо меньше времени и усилий.
Ниже представлен пример обхода песочницы с докачкой основного тела вредоноса с файлообменника (а точнее, с фотообменника):
Вредонос вшит в самую обычную фотографию, которая располагалась на известном, а главное, легитимном хостинге для обмена фото imgur.com. Вы видите полноценную стеганографию демонстрирующую, как и откуда скачивалось фото на хост, как после этого часть фото переродилась в ВПО, которое и сделало всю грязную работу на заражённом хосте.
Доступные уязвимости
Доля критических уязвимостей с каждым годом растет. Растёт и скорость их эксплуатации. Раньше это были Shellshock и EternalBlue, которые обсуждали и эксплуатировали на протяжении 1,5 – 2 лет. Сегодня это уязвимость ПО Citrix Netscaler (позволяющая получить доступ в внутреннюю сеть компании из интернета), которая всего за полгода «подкосила» многие компании. Поскольку это решение очень часто используется как в госкорпорациях, так и в коммерческих компаниях, пострадали очень многие, кто не пропатчился вовремя.
Или другой пример. Критическая уязвимость Zerologon была обнаружена недавно, и реальных кейсов кибератак с применением этого инструмента мы пока не наблюдали, но, очевидно, что его эксплуатация не за горами. При этом практически сразу после выявления Zerologon мы обнаружили его в Kali Linux.
По нашей статистике, закрытие уязвимости в организации занимает от 1 месяца до нескольких лет. Причем 1 месяц – это в самом прогрессивном банковском секторе. В госорганах процесс может растянуться на несколько месяцев, а то и лет. В инфраструктурах госзаказчиков нам встречались такие динозавры, как WannaCry или WannaMine.
Легитимные утилиты
Здесь злоумышленники действуют по принципу «спрятать на самом видном месте». Например, американские ИБ-исследователи запустили специальную платформу (ceye.io). Ресурс позволяет тестировать уязвимости (проводить тестовые атаки на организации) и собирать итоговую информацию. А так как это открытый проект, то зарегистрироваться на нем могли как белые, так и серые хакеры. Цель первых – обнаружить уязвимость и сообщить о ней владельцу ресурса, цель вторых – использовать найденные уязвимости в корыстных целях. Этим и воспользовались злоумышленники. После регистрации они начали «сливать» данные о компаниях сначала в свой личный кабинет на портале, а после выкачивали оттуда всю информацию. В самих организациях видели утечки, но решили, что раз это исследовательский портал, то, наверняка, кто-то проводит пентест или нечто подобное, и не блокировали ресурс.
Еще один вариант – использование утилиты Nirsoft и среды Powershell, которые являются вполне легитимными инструментами администраторов. Nirsoft может собрать пароли со всех браузеров на хосте, а Powershell, в свою очередь, позволяет незаметно собирать внутренние пользовательские данные. Вот так:
В последнее время злоумышленники также стали обращать внимание на централизованное управление инфраструктурой через легитимные сервисы. Захватить сервер «Касперского» и через него подключаться к любому хосту – это же классика, причем как пентеста, так и реальной кибератаки. Самый критичный вариант: если ресурсы не мониторятся, захватить контроллер домена и спокойно сидеть на нем в компании админов и делать все, что угодно.
RDP и все, что не прикрыто
А сколько боли нам (а им возможностей) принесла пандемия!? Многие организации переходили на удаленку по-быстрому и по-простому, то есть через торчащий наружу RDP. Аналогичная история с веб-сервисами для ВКС. Как правило, они не пропатчены, и являются уязвимыми для атак извне.
Эффективным остается банальный ситуативный фишинг. Письмо со статистикой по COVID-19? Конечно, открыть! Загрузить памятку про вакцинацию? Естественно! Что же говорить про более продуманные атаки, когда злоумышленники обращаются к жертве по ФИО и меняют в домене «о» на «0».
За 2020-й также появились два новых вектора атак (конечно, они были всегда, но сейчас «заиграли новыми красками»). Это атаки на удаленных пользователей (например, через компрометацию данных VPN или взлом и заражение домашних устройств) и атаки через прямой взлом подрядчика или поиск уязвимой точки входа в инфраструктуру клиента.
Уровни злоумышленников
Все это говорит о расслоении подходов злоумышленников к атакам на инфраструктуру. Раньше для нас существовало две группы хакеров. Первая использовала базовые известные всем инструменты (например, эксплуатацию классических веб-уязвимостей, массовые фишинговые рассылки и т. д.). Вторая понимала, как обходить СЗИ, была нацелена на быструю монетизацию, но все же действовала довольно прямолинейно и по привычной для себя схеме. На самом деле была и третья группа – правительственные группировки, которые, отличалась очень высокой квалификацией, но мы на своей практике с ними не встречались. Сейчас же мы отмечаем более четкое расслоение навыков злоумышленников и выделяем 5 уровней их квалификации:
Категория нарушителя | Типовые цели | Возможности нарушителя |
Автоматизированные системы | Взлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атаках | Автоматизированное сканирование |
Киберхулиган/Энтузиаст-одиночка | Хулиганство, нарушение целостности инфраструктуры | Официальные и Open Source инструменты для анализа защищенности |
Киберкриминал / Организованные группировки | Приоритетная монетизация атаки: шифрование, майнинг, вывод денежных средств | Кастомизированные инструменты, доступное ВПО, доступные уязвимости, социальный инжиниринг |
Кибернаемники / Продвинутые группировки | Нацеленность на заказные работы, шпионаж в интересах конкурентов, последующая крупная монетизация, хактивизм, деструктивные действия | Самостоятельно разработанные инструменты, приобретенные 0-day-уязвимости |
Кибервойска / Прогосударственные группировки | Кибершпионаж, полный захват инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизм | Самостоятельно найденные 0-day-уязвимости, разработанные и внедренные «закладки» |
От кого спасет антивирус
Автоматизированные системы (то же, что и автоматизированные сканеры) пытаются эксплуатировать классические web-уязвимости. В целом при соблюдении базовых принципов ИБ-защиты и наличии стандартного набора СЗИ они не страшны. Но если в организации есть незащищенный RDP с учеткой типа «admin:admin», то, скорее всего, автоматизированная система сможет получить доступ к такому хосту.
Киберхулиганы (как правило, одиночки) – это начинающие хакеры, которые осваивают базовый инструментарий. В их арсенал входят различные Open Source средства (вспомним хотя бы Kali Linux). Противостоять им могут базовые средства защиты, но при условии, что они настроены корректно и нет очевидных незащищенных серверов. Словом, все как с автоматизированными системами. То есть они действуют по принципу «быстро глянуть, а что есть у вас на периметре». Если ваши администраторы или подрядчики допустили оплошность, то эти вредители ее заметят сразу. Таких «мамкиных хацкеров» очень много и кому-нибудь из них обязательно повезет наткнуться на открытый сервер или сервис.
WAF и Sandbox уже не помогут
С киберкриминалом посложнее. Это организованные группировки, которые в первую очередь нацелены на монетизацию атаки, будь то шифрование с последующим выкупом и установка майнеров или прямой вывод средств, например, из банков.
Их основная цель – обойти базовые средства защиты (песочницы, антивирусы, firewall, WAF). К тому же они хорошо знают, как устроена кибербезопасносноть в организациях, потому что чаще всего сами когда-то там работали (а, может, и работают до сих пор). Кроме того, у них достаточно денег, чтобы просто купить доступы в интересующую их организацию. Зачем тратить время на поиск точки входа, когда все уже сделано какими-нибудь автоматизированными системами? Они также часто покупают известное ВПО, но умеют его кастомизировать. Еще в запасе у киберкриминала всегда есть несколько приемов из социальной инженерии. Например, в 2020 году они умело использовали актуальную тему COVID-19, чтобы заразить компьютеры корпоративных пользователей и уже оттуда получать доступ в инфраструктуру. И здесь злоумышленников становится невозможно детектировать без мониторинга, потому что вся их техника заточена обходить базовые средства защиты.
Словом, в случае с киберкриминалом базовыми СЗИ уже не обойтись. Требуется внедрение процессов мониторинга инцидентов ИБ и процессов патч-менеджмента, а также базовый мониторинг СЗИ и инфраструктуры. Мы не говорим про что-то сверхъестественное, ведь пока такие злоумышленники не научились обходить SOC. Достаточно настроить 20-30-40 сценариев для выявления типовых инцидентов.
Когда нужна форензика
Кибернаемники используют те же техники обхода, что и предыдущие злоумышленники, но делают это намного более профессионально. Они эксплуатируют 0-day-уязвимости на этапе проникновения и перемещения в инфраструктуре, практически не оставляют следов на хостах, применяют ВПО, исполняемое в оперативной памяти, и используют легитимные сервисы, заметая следы после перезагрузки оборудования. В итоге обнаружить признаки их присутствия без профессиональных форензеров практически невозможно.
Самой технически подкованной категорией являются проправительственные кибергруппировки. Согласитесь, когда твой заказчик государство, нельзя ударить в грязь лицом. Такие злоумышленники могут позволить себе потратить время на самостоятельный поиск уязвимостей для целевой атаки и разработку собственного ВПО.
Для противостояния таким хакерам будет недостаточно просто собирать логи с СЗИ, критичных серверов и систем. Необходимы максимальный охват инфраструктуры, сегментация сети, контроль терминальных серверов, контроль привилегированных пользователей, продвинутый мониторинг с применением дополнительных компонентов (NTA и EDR для контроля сетевого трафика и всего того, что происходит на хостах). Словом, полный набор!
Обнаружить злодеев, которые тщательно заметают свои следы и используют многокомпонентные атаки, помогает выстраивание Kill Chain из отдельных, возможно, не очень значимых инцидентов, а также технологии Threat Hunting и Silent Detected на этапе выявления инцидентов.
Вывод
Раз действия злоумышленников ставятся все более хитро… сложносочиненными, то и нам нельзя отставать от них и делить их только на профессионалов и любителей. Пока мы только начали применять новых подход к определению врага. Не исключено, что через пару лет уровней станет уже не 5, а намного больше. Может, и космические инопланетные кибергруппировки когда-нибудь появятся в этом списке.
А вы согласны с нашей классификацией?
Автор: Станислав Скусов, пресэйл-архитектор Solar JSOC