С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя IT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются.

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации, от имевших место инцидентов, убеждений конкретных сотрудников, и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

• проверять файлы при помощи систем безопасности конечных точек;
• фильтровать почтовый и веб-трафик при помощи шлюзовых решений;
• отслеживать целостность и неизменность файлов и системных настроек;
• контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
• сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
• внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
• инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
• заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
• приводить систему в соответствие с требованиями стандартов и проводить сертификации;
• учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но, несмотря на все это, количество успешных, то есть достигающих своей цели, атак на IT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Понятие целевой атаки

Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки. Целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100 дней и больше.

Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей — бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате ее компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие — отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT — Advanced Persistent Threat. Давайте разберемся и с его определением. APT — это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против других организаций. Целевая, или таргетированная, атака — это процесс, деятельность. APT — техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты — ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы.

На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

1. Подготовка. Основная задача первой фазы — найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
2. Проникновение — активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня, для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и после определения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
3. Распространение — фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
4. Достижение цели — ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:

• Хищение закрытой информации
• Умышленное изменение закрытой информации
• Манипуляции с бизнес-процессами компании

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «точку возврата», позволяющую им вернуться в будущем.

Первая фаза целевой атаки — подготовка.

Выявление цели

Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует для защиты информации, о внутреннем регламенте и так далее. Поэтому процесс сбора информации о жертве называется «Разведка». Основная задача разведки — сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

• Инсайд

Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрутер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.

• Открытые источники

В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации — их выбрасывают на помойку без правильного уничтожения, а среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компаний могут содержать реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В результате этой работы организаторы атаки могут получить достаточно полную информацию о жертве, включая:

• имена сотрудников, email, телефон;
• график работы подразделений компании;
• внутреннюю информацию о процессах в компании;
• информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко входить в доверие, оперируя полученной информацией.

• Социальная инженерия

• Телефонные звонки от имени внутренних сотрудников.
• Социальные сети.

Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться работником информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.

• Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

• Описание этапов атаки: проникновение, развитие, достижение целей.
• Методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности.
• Этапы развития атаки с учетом возможных внештатных ситуаций.
• Закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами.
• Извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда с идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно выбрать между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C)

Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», может меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения решают задачу «открытия двери» атакуемого удаленного хоста:

• Эксплойт (Exploit) — вредоносный код, использующий уязвимости в программном обеспечении.
• Валидатор — вредоносный код применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине.
• Загрузчик (Downloader) модуля доставки Dropper. Загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
• Модуль доставки Dropper.

Вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:

• Закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины.
• Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечение и запуск зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload

Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных дополнительных модулей, каждый из которых будет выполнять свою функцию:

• Клавиатурный шпион.
• Запись экрана.
• Удаленный доступ.
• Модуль распространения внутри инфраструктуры.
• Взаимодействие с C&C и обновление.
• Шифрование.
• Очистка следов активности, самоуничтожение.
• Чтение локальной почты.
• Поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем полугода. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

Потери в результате крупного инцидента составляют в среднем по миру $551 тыс. для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий. Таковы данные, полученные в ходе исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в 2015 году. В исследовании приняли участие более 5500 IT-специалистов из 26 стран мира, включая Россию.

Основные риски в секторах индустрии

Что же представляет собой таргетированная атака?

Таргетированная атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, управляемый киберпреступником в режиме реального времени. Процесс всегда строится под жертву, являясь некой продуманной операцией, а не просто разовым техническим действием, он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). Такая операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием. Деятельность группы часто похожа на многоходовую войсковую операцию, она следует четко подготовленной стратегии, обычно состоящей из четырех фаз.

Продолжая аналогию, можно сказать, что происходит вооруженная схватка между людьми: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

И статистика здесь в этом противостоянии неутешительна: по данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

Используя накопленную за последние годы экспертизу «Лаборатории Касперского» в расследовании целевых атак, в продолжении нашего цикла статей мы опишем детальное развитие атаки, следуя четырем ее вышеописанным фазам с реальными примерами, рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии.

1. Подготовка

Основные задачи начальной фазы атаки, подтверждающие ее определение как целевой:

• Поиск и определение цели с последующим сбором детальной информации по выявлению слабых мест.
• Анализ собранной информации, разработка стратегии по достижению результата, дополняется созданием инструментов.

2. Проникновение

По совокупности применяемых техник фаза «Проникновение» является для киберпреступников одной из самых сложных в исполнении и реализации.

Большинство инженеров информационной безопасности затруднялись с ответом, когда их просили перечислить применяемые средства и методы проникновения в инфраструктуру. Давайте сформулируем ответ вместе. Для этого вначале приведем наименование основных технических средств с описанием их основных функций:

• Эксплойт (Exploit)

Вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.

Проникнув благодаря уязвимости на целевой корпоративный компьютер, эксплойт запускает средство доставки, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или dropper.

• Валидатор

Сборщик информации с зараженного хоста, выполняет фильтрацию информации об учетных записях пользователей, установленном программном обеспечении, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:

• Загрузка Dropper — приступить к выполнению целевой атаки.
• Самоуничтожение — в случаях, когда компьютер и данные на нем не представляют ценности для целевой атаки.
• Ожидание — решение откладывается, режим «сна».

Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае если он перехватывается средствами защиты, это не создает для киберпреступников угрозы утечки методов и средств, планируемых к применению.

Благодаря таким качествам может применяться в случаях, когда:

• Риск обнаружения стандартными средствами защиты велик, для исключения возможной утечки применяемых техник в целевой атаке.
• Целевая почтовая рассылка.

Средства доставки: электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства.

• Загрузчик (Downloader)

Инструмент загрузки используется в целях быстрого заражения с применением техники фишинга через вложения в письмах либо с фишинговых веб-сайтов. При запуске выкачивает основной модуль Payload либо Dropper в зависимости от целей и планов киберпреступников.

• Dropper

Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на целевую машину с последующим закреплением внутри операционной системы, как правило, это скрытая автозагрузка.

• Определяет активные процессы в операционной системе, выбирая наиболее выгодный с точки зрения привилегий, и инжектирует собственный код в код активного процесса непосредственно в оперативной памяти, что позволяет ему получить все уровни доступа к ресурсам операционной системы, не вызывая подозрений у средств защиты.
• Загружает тело основного модуля Payload.
• Выполняет частичную дешифрацию и запуск основного модуля.

Средствами доставки могут являться электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).

• Основной модуль Payload

Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи.

Тело модуля содержит многоуровневое шифрование, призванное защитить разработки и технологии киберпреступников и детектирование атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, призванные обеспечить гарантированный запуск модуля в подходящей для него среде и не допустить запуска, если среда не удовлетворяет требованиям. Среди не подходящих для модуля условий можно назвать:

• Поведенческий анализ в песочнице (Sandbox).
• Эмуляторные техники в случаях, когда антиэмуляторные механизмы не срабатывают.
• Наличие отладчика и любого другого средства работы вирусного аналитика.
• Наличие средств мониторинга системы и сетевого трафика.
• Наличие неизвестного антивируса, не попадающего под используемые техники обхода.

У вас может возникнуть ложное ощущение, что все перечисленные средства применяются в каждой целевой атаке, но это не так. В случае гипотетической атаки на компанию «А» хакеры будут использовать конкретный набор инструментов. Он может состоять из одного Dropper с основным модулем Payload. Весь перечень инструментов, приведенный выше, лишь демонстрирует разнообразие технологий в арсенале киберпреступников.

Перейдем к применяемым техникам обхода стандартных средств защиты, таких как: Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.

Обход стандартных средств защиты

На сегодняшний день стандартные решения информационной безопасности обладают большим количеством функций, обеспечивающих высокий уровень по контролю и фильтрации данных. Этот факт сильно усложняет работу киберпреступников и вынуждает их изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы.

Опишем наиболее известные из них:

• Обфускация кода

Запутывание кода на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа антивирусом.

• Шифрование

Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.

• Инжектирование процесса

Техника по динамическому внедрению собственного кода в чужой процесс. Позволяет использовать все привилегии легитимного процесса в своих целях, не обращая на себя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

• Определение дескриптора нужного процесса.
• Создание нового потока в виртуальном пространстве процесса.

• Mimikatz

Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Из практики «Лаборатории Касперского» каждая целевая атака строится на повышении прав доступа и реализуется под правами суперпользователя.

• Руткит

Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлоггер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают в системы свои драйверы и службы (они также являются «невидимыми»). Руткит также может быть использован как средство доставки, способный выгрузить все необходимое хакеру после заражения машины.

• Обход эмулятора

Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.

• Обход поведенческого анализа

Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код «засыпает» на некоторое время, чтобы предотвратить обнаружение.

Важно отметить факт присутствия уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Зачастую эксплуатирующий персонал не отслеживает бюллетени безопасности производителей и не устраняет проблемы своевременно, оставляя хакерам шанс на проникновение.

Эксплуатация уязвимостей

Само определение уязвимости говорит о потенциальном недостатке в программном обеспечении. Такое случается вследствие просчетов проектирования либо допущенных ошибок разработчиками ПО, ведь программы пишут люди. Этот недостаток может быть использован киберпреступником в собственных целях. Уязвимость эксплуатируется через внедрение кода в уже запущенную ОС или программу — таким образом изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять недекларированные функции, зачастую с правами администратора.

Уязвимости программного обеспечения можно разделить на два типа:

• Известные — имеющие стандартно классифицированное CVE (Common Vulnerabilities and Exposures) описание и готовые исправления в обновлениях разработчика. CVE — открытая база известных уязвимостей.
• Неизвестные, или уязвимости нулевого дня, не устраненные и еще не обнаруженные разработчиками и исследователями угрозы. Такого рода угрозы являются неплохим заработком для черных исследователей, зарабатывающих на продаже выявленных уязвимостей на хакерских рынках.

Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру:

Переполнение буфера (buffer overflow) — может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии или предварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.

• USB-устройства в сочетании с уязвимостью и методом социальной инженерии

Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.

Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.

• Целевой фишинг (Spear phising) в сочетании с социальной инженерией

Абсолютно все современные компании используют специализированные средства контроля электронной почты. Наличие таких сервисов, как антиспам и антивирус, является обязательным условием для работы корпоративной почты. Многие пользователи привыкли доверять входящей корреспонденции, прошедшей, как они предполагают, профессиональную проверку специализированными средствами контроля безопасности. К сожалению, это не относится к социальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.

Так, секретарь может получить электронное письмо с вложением якобы от своего руководства либо партнера (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный email, видоизменив один символ). При открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментов с вытекающими последствиями развития атаки.

Разновидности использования почты как точки входа:

• Подделка/имитация адреса отправителя.
• Опасное вложение (различные документы и изображения с вшитым эксплойтом).
• Ссылка на HTML-страницу с заранее размещенным инструментом проникновения.

По данным исследования «Лаборатории Касперского», среди российских компаний ключевыми рисками внутри по-прежнему остаются уязвимости в ПО (их отметили 48% от общего числа опрошенных компаний), а также незнание правил IT-безопасности сотрудниками, приводящее к утечкам данных (отметили 37% респондентов). Исходя из этого мы приравниваем методы социальной инженерии к угрозам не меньшим по важности, чем программные.

Комбинированные техники

Каждые организаторы целевой атаки используют комбинированный подход, включающий различные технические средства для реализации проникновения. Очевидный пример — когда хакер делал рассылку по электронным адресам сотрудников компании, предварительно войдя в контакт с ними в социальной сети под вымышленным именем и собрав данные о них. Это комбинация методов социальной инженерии с фишингом.

Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. При этом часть инструментов по проникновению может сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в «белые списки» систем безопасности. Для наглядности приведем несколько примеров таких программ:

• Продукты удаленного администрирования, RDP, VNC.
• Программы переключения языков клавиатуры, имеющие возможность легитимно использовать логирование клавиатуры.
• Сетевые сканеры и т.д.

Инвентаризация сети

После выполнения автоматических уклонений от обнаружения и системных тестов на соответствие операционной среде Payload активирует основные функциональные модули, устанавливая закрытое шифрованное соединение с командными центрами и сигнализируя о своем активном статусе. На этой стадии киберпреступники приступают к консольной работе, используя терминал подконтрольной машины. Им очень важно быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться в сети. Первоочередным по важности является поднятие уровня доступа до привилегированного, после чего сразу же начинается изучение топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое ПО, например Netscan.

Приведем примеры проникновения из реальных атак.

Распространение

Опираясь на собранные данные по топологии сети, злоумышленники проводят ручной отбор ключевых рабочих станций и серверов. Выбранные машины киберпреступники берут под свой контроль и используют под новые задачи. На этом шаге хакеры уже имеют административные права, и все их действия по отношению к системам безопасности абсолютно легальны. Используя стандартные средства удаленного доступа, они выбирают наиболее удобные с точки зрения их задач сервера и рабочие станции.

Шаг 1. Закрепление внутри инфраструктуры

Под закреплением понимается комплекс мероприятий, направленных на организацию гарантированного доступа в инфраструктуру жертвы. Дело в том, что первичной точкой проникновения являются, как правило, компьютеры сотрудников с фиксированным рабочим графиком, а это означает, что время доступа в инфраструктуру для злоумышленников будет ограниченным.

Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак, расследованных экспертами «Лаборатории Касперского».

• Duqu

В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn — известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Payload. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.

• Carbanak

Закрепление происходило методом копирования Payload в системную папку %system32%com с именем svchost.exe, при этом файлу назначались следующие атрибуты: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.

Шаг 2. Распространение

Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются сервера с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки «Persistent». На таком уровне для заражения достаточно подключиться к выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.

Шаг 3. Обновление

Случается, когда определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля (например, такой функцией может являться запись звука с внешнего микрофона). Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть при необходимости активирована.

Шаг 4. Поиск ключевой информации и методов достижения целей

Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью является шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.

Приведем пример из Carbanak:

Ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело в том, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.

Достижение целей

Шаг 1. Выполнение вредоносных действий

В завершающей фазе мы подходим к ключевой точке целевой атаки. На этом этапе киберпреступники уже могут выполнить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз.

Пример 1. Хищение ключевой информации

Чаще всего компании сталкиваются с хищением информации. В коммерции это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж, реже получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.

Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающим реальное название. Обычно это выглядит как активная шифрованная сессия, где веб-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).

Пример 2. Изменение данных

Целевая атака Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.

А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств на подконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.

При этом если смотреть со стороны самих компаний, то статистика «Лаборатории Касперского» говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) и потеря важных деловых контактов или бизнес-возможностей (34%).

Пример 3. Манипуляции с бизнес-процессами и шантаж

Наглядный пример произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. В результате были похищены тысячи файлов и документов, финансовые данные, а также к киберпреступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышли из строя, а на экранах рабочих станций отображалась фраза «Мы завладели вашими секретами». Все данные на жестких дисках рабочих компьютеров были стерты, киберпреступники грозились опубликовать информацию, если компания не подчинится их требованиям.

Уничтожение данных — другой, нечасто встречающийся пример развития целевой атаки. В августе 2012 года порядка 30 тысяч персональных компьютеров, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя. Киберпреступники преследовали две цели: первая — хищение закрытой информации, вторая — полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив филиалы от сети Интернет.

Шаг 2. Сокрытие следов

На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.

Шаг 3. Точка возврата

На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.

В завершение еще раз подчеркнем три основных отличия целевой атаки:

• Адресность
• Скрытность
• Результативность

APT

APT (Advanced persistent threat) — комбинации утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня и других компонентов, специально разработанных для реализации атаки.

Целенаправленная, или таргетированная, атака — это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).

Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:

• Адресность
• Скрытность
• Продолжительность
• Использование разнородных инструментов и методов
• Изменчивость вектора атаки, ее инструментария по мере развития
• Наличие центра управления атакой — преступной группы, в составе которой есть и профессиональные IT-эксперты

Возникает вопрос о возможных способах противодействия такой операции. Ниже мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.

Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.

Стратегия противодействия целевым атакам

Комплексная стратегия включает четыре важных элемента системы защиты, которые описаны далее. Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.

А. Предотвращение. Целью является недопущение начала и развития атаки.

Б. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.

В. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.

Г. Прогнозирование. Цель — реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.

Предотвращение таргетированной атаки

Главная цель — не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер — хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.

Технические средства

Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, «классика» может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (black & whitelisting) приложений.

Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, — воспроизводится вероятная конфигурация межсетевого экрана, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая health-check хотя бы раз в год, остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.

Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:

• Таргетированная атака Carbanak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил $1 млрд. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники.

Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.

• Таргетированная атака Hellsing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг — распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором.

Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнит организацию целевой вредоносной рассылки.

Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории machine learning, или самостоятельного обучения. Одной из таких технологий в составе продуктов «Лаборатории Касперского» является технология Automatic Exploit Prevention (AEP) по защите от эксплуатации уязвимостей в приложениях. Технология основывается на глубоком анализе процесса работы ПО, относящегося к группе риска (повышенного внимания хакеров), а также окружения операционной системы в целом. Технология анализа поведения выявит попытку эксплуатации уязвимости, так как она проанализирует непосредственный процесс работы.

Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.

Обучение в целях повышения грамотности в области ИБ

Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используются целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.

Для того чтобы приносить реальную пользу в отражении атак, такое обучение «кибергигиене» должно охватывать важнейшие области знаний, представление о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:

• назначение антивируса и контроля приложений;
• уведомления систем безопасности — как на них реагировать;
• понимание проблемы утечки данных;
• риски при использовании мобильных устройств;
• угрозы при работе с электронной почтой и Интернетом;
• социальные сети и риски работы в них;
• методы социальной инженерии;
• развитие бдительности;
• политика ИБ и как ее можно нарушить.

Итак, эффективное сочетание классических превентивных решений защиты с обученным основам кибербезопасности персоналом усложняет задачу атакующему. Но что делать, если атаке удалось «зацепиться» в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.

Детектирование

Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

• Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний, в чем организация их всячески должна поддерживать.
• SIEM как автоматизация обработки событий безопасности.
• Внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
• Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки.
• Сервисы по выявлению атак с проведением регулярных проверок.

Обеспечение экспертизы

Первым условием является профессиональное обучение расследованию целевых атак — специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.

Курс затрагивает следующие аспекты:

• что такое инциденты информационной безопасности и их категоризация;
• как проводить сбор свидетельств инцидента;
• изучение прикладной науки — «криминалистика компьютерных преступлений (Digital Forensics)»;
• как правильно применять специализированные инструменты.

По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.

Автоматизация обработки событий безопасности

Развитие информационной безопасности подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных IT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий — менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and event management) — по управлению событиями информационной безопасности, которая призвана решать следующие задачи:

• сбор, объединение, хранение событий, получаемых от различных источников;
• оперативное обнаружение нарушений политик ИБ;
• автоматическое оповещение и управление инцидентами;
• формирование базы знаний по инцидентам;
• предоставление отчетности для аналитиков.

За последние 15 лет SIEM получила широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.

Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.

Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например, о действующих командных центрах ботнетов или фишинговых сайтах.

Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:

• Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
• Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода.
• Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался.
• Всплеск сетевого трафика между различными узлами в нерабочие часы.

Threat Intelligence — данные об актуальных угрозах ИБ

Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить три источника оперативных данных об угрозах:

• потоки данных (Threat Data Feeds);
• отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации;
• мониторинг активности ботнет-сетей.

Потоки данных (Threat Data Feeds)

За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Например, «Лаборатория Касперского» детектирует и описывает свыше 315 тысяч уникальных угроз в день, большая часть которых попадает в поток данных.

Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation — простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид, под конкретное решение, благодаря использованию парсера (программы для считывания и обработки текстовых данных).

Фактически поток данных (data feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.

Поток данных является неотъемлемой частью любого SOC (Security operational center, ситуационный центр управления безопасностью).

Что может содержать в себе поток данных:

• набор URL-адресов, соответствующих наиболее зловредным ссылкам и веб-сайтам;
• IP-репутацию — градацию IP-адресов по уровню безопасности;
• набор файловых хэшей, охватывающий вредоносные программы;
• активность ботнет-сетей (вредоносные объекты, командные центры).

Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.

Приведем наглядный пример, на базе обнаруженного командного центра ботнет-сети, ниже вы видите строки, содержащиеся в полученном JSON-пакете:

• уникальный идентификатор записи — «id»: «143348»;
• ссылка на домен центра управления «mask»: «botnetccurl.com»;
• тип записи (применяется для сопоставления правил в корреляторе) «type»: «1»;
• первый раз, когда был замечен, «first_seen»: «08.04.2014 16:45»;
• последний раз, когда был замечен, «last_seen»: «12.02.2015 13:56»;
• популярность (насколько распространен, наивысшая популярность — 5) «popularity: «5»;
• наименование угрозы «threat»: «CnC.Win32.ZBot».

После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен «botnetccurl.com» из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.

Отчеты об APT

Помимо потоков данных на рынке существует возможность получать детализированные отчеты.

Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SoC и командой аналитиков.

APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:

• IOC — индикатор компрометации, описание вредоносных объектов;
• YARA — набор детектирующих правил;
• детальный отчет, содержащий анализ (фазы развития) атаки.

Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы.

Например, подобные публичные отчеты можно найти на www.securelist.ru.

Анализ активности ботнет-сетей

В последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения malware (PC), драйвером бурного роста выступили решения класса «Интернет вещей» (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.

Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?

Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).

Так же через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.

Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:

• В 2011 году, кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.

• В 2015 году, таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберприступники применили масштабную DDoS-атаку на внешние веб-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.

Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.

Мониторинг ботнет-сетей

Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:

1. В составе потока данных (data feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира.
2. Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы.

Каким образом осуществляется мониторинг активности ботнет-сетей?

Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами.

Результаты анализа попадают в отчет, который содержит следующую информацию:

• Тип ботнета – классификация,
• IP-адреса командных центров,
• Географическое распределение образцов ПО,
• Тип атаки – информация о целях и используемом ПО,
• Сведения об использованных алгоритмах атаки (инъекции веб-кода),
• MD5 – хэши вредоносного ПО.

Услуга по анализу активности ботнет-сетей, является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.

 Внедрение специализированных систем обнаружения таргетированных атак

Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (веб, e-mail, основной gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.

Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:

• Сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек;
• Сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации;
• Компонент динамического анализа объектов;
• Центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них;
• Облачный репутационный сервис — обновляемая в реальном времени база знаний об угрозах в том числе и по компонентам таргетированных атак.

Основные технологии обнаружения следов таргетированной атаки.

Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки:

Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница, это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.

Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).

Приведем пример нескольких Sandbox Evasion техник, когда объект не проявит свою активность:

• Разрешение экрана не более чем 800x Обычный пользователь не будет использовать такое разрешение в работе,

Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды,

• Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает.

Поэтому важной особенностью современной песочницы, является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion техник:

• Эмуляция работы пользователя (движения мышью, работа на клавиатуре),
• Распознание диалоговых окон, автоматическое действие,
• Выполнение прокрутки документа на вторую страницу (scroll),
• Настройка окружения, максимально похожего на реального пользователя.

Анализ аномалий – технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.

Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.

Пример работы анализатора аномалий:

• Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
• Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющиеся время.
• Загрузка в сеть большого объема данных.

Внедрение специализированных систем обнаружения таргетированной атаки, позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.

Сервис по выявлению таргетированной атаки.

В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.

Более детально о перечне работ в рамках такого сервиса:

• Анализ ландшафта угроз, применимо к конкретной компании;
• Использование специализированных средств для обнаружения следов компрометации;
• Анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами каберпреступников;
• Использование открытых источников (OSINT);
• Сбор улик;
• Анализ улик и реконструкция инцидента (хронология и логика);
• Анализ вредоносного ПО, использованного в атаке (в случае его обнаружения);
• Обнаружение вероятной компрометации других систем в окружении;
• Предоставление рекомендаций по дальнейшим шагам исправления.

Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.

Реагирование

Третьим элементом стратегии является Реагирование. Основная цель заключается в реакции на инцидент информационной безопасности следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.

Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.

Этапы реагирования включают:

• Идентификацию;
• Сдерживание;
• Лечение;
• Восстановление;
• Выводы и профилактика.

В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующей пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.

Для наглядности, рассмотрим пример. Допустим атакующий нашел уязвимость в IT-инфраструктуре компании и атакующий получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.

Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделать его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это он может также вычистить следы атаки.

После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить вектора проникновения и распространения. На этом этапе важно понимать, что, если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение, и еще долго продолжать свою деятельность.

Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.

Прогнозирование

Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные вектора угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя следующий набор услуг:

Тест на проникновение (Penetration test)

В ходе теста моделируется вторая фаза таргетированной атаки «Проникновение», в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.

Оценка уровня защищенности (Security assessment)

На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные вектора угроз.

Своевременная оценка уязвимостей (Vulnerability assessment)

Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch management), обеспечивающий своевременное обновление программных продуктов.

Чтобы получить точную оценку угроз для выполнения каждого из этих тестов рекомендуется привлекать высоко квалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.

Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report)

Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.

Длительность предоставления сервиса равна одному кварталу, что позволяет определить:

• Актуальные угрозы;
• Факты компрометации информационных систем;
• Наличие потенциальных уязвимостей;
• Наличие действующего вредоносного ПО.

Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.

В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.

Что должна уметь система выявления таргетированной атаки

Выше мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ.

Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:

• анализ аномалий – технология, основанная на статистическом анализе информации и учитывающая частоту событий и их последовательность. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности;
• динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде.

Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.

Так что же должна уметь современная система выявления следов таргетированной атаки?

• Собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7;
• Быстро обнаруживать следы целевой атаки;
• Уведомлять об инцидентах информационной безопасности;
• Детально протоколировать выявленные инциденты;
• Передавать события об инцидентах в систему корреляции событий SIEM и друге решения;
• Получать статистику угроз через облачную инфраструктуру;
• Накапливать историческую информацию об инцидентах.

Рассмотрим за счет каких технологий удается достичь результата в обнаружении таргетированной атаки на примере их реализации в решении «Лаборатории Касперского».

На протяжении более чем 20 лет «Лаборатория Касперского» занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Статью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.

Важно отметить

Часть основополагающих технологий детектирования, вошедших в состав решения, были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.

[Средняя стоимость восстановления после инцидента, связанного с таргетированной атакой, составляет примерно 1 415 000$ для крупного бизнеса*
*Отчет Финансовые аспекты информационной безопасности в российских компаниях, b2b International для «Лаборатории Касперского», 2016]

Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.

Какова цель решения?

Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (dashboard).

Как решение устроено?

Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующем уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.

Какая информация в решении считается обязательной для анализа?

В целях обеспечения комплексного мониторинга, решение анализирует следующую информацию:

• Посещаемые URL
• Файлы различных форматов в том числе исполняемые
• Электронные сообщения и вложения
• Метаданные траффика
• Метаданные рабочих станций

Далее мы подробней расскажем про архитектуру решения, и опишем функциональное назначение каждого уровня в отдельности.

Как строится взаимодействие в многоуровневой структуре?

Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни «делятся» анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который в свою очередь осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.

1. Уровень сбора информации;
2. Статический анализ;
3. Динамический анализ объектов;
4. Статистический анализ;

Рассмотрим применяемые технологии на каждом из уровней решения.

Уровень 1 – Сбор информации

Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, сервера электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.

Сбор данных на уровне сети

Для сбора сетевых данных применяются следующие технологии:

• Сбор URL – из сетевого трафика выделяются посещаемые URL, которые передаются для проверки верхними уровнями системы.
• Сбор файлов – благодаря технологии File recognition, применяющей множество критериев к объектам, из сетевого потока выделяются только обязательные файлы, попадающие на второй и третий уровень анализа. Это позволяет решению не тратить время и производительность на анализ каждого проходящего объекта в сети.
• Сбор Email – электронная почта продолжает оставаться одним из основных каналов распространения целевых атак. Каждое входящее электронное письмо вначале отправляется на проверку второго уровня статического анализа – антивирусом.
• Сбор метаданных траффика – генерируется подробная информация по сетевому траффику, необходимая для работы четвертого уровня системы, где расположен Targeted Attack Analyzer. Информация накапливается и применяется для выполнения статистического анализа.
• Система обнаружения вторжений (ID System)

Технология сигнатурного детектирования, применяемая на первом уровне основана на технологии SNORT и отвечает за проверку сетевого траффика. Приведем несколько примеров обнаружения данной технологией:

• Активное сканирование портов;
• Переполнение буфера;
• Атаки на веб-приложения, базы данных и веб порталы (например, инжектирование кода)
• Сетевая коммуникация с командным центром (определяя основные известные команды, применяемые в управлении);
• RAT – remote admin tool (инструменты удаленного управления) и др.
• Вердикты IDS системы передаются непосредственно в общую базу четвертого уровня, Targeted Attack Analyzer.

Сбор данных с рабочих станций

Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:

• Метаданные сети, содержание подробную информацию (временные интервалы, типы протоколов, IP соединения т.д.);
• Информация о процессах операционной системы (наименование, время работы, и т.д.);
• Информация об изменениях в реестре (тип записи, время изменений);
• Информация об установленных программах (наименование, когда установлена, частота использования);
• Информация об учетных данных в системе (вход в систему, время, от имени кого выполняется программа и д.р.);
• Метаданные файлов (для работы репутационной базы второго уровня статического анализа);
• Дамп оперативной памяти (по запросу уровня статистического анализа (TAA)) и некоторые другие параметры.

Уровень 2 – Статический анализ

Второй уровень приведенной выше общей схемы решения — отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.

Рассмотрим некоторые реализованные на этом уровне технологии:

• Антивирусный движок (Anti-Malware Engine) – Выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика.

Помимо файлов из траффика производится проверка вложений электронной почты перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа.

• YARA правила – Реализована работа с открытым языком сигнатурного описания что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых или бинарных шаблонах.
• Облачное детектирование — Kaspersky Security Network (KSN)

KSN – облачный сервис, предоставляющий оперативный доступ к базам знаний «Лаборатории Касперского», в которых содержится информация по следующим категориям:

• База URL репутации, проверяет посещаемые URL, выносит вердикт по опасным и ненадежным адресам в сети Интернет, которые могут предоставлять угрозу безопасности пользователей. Так же контроль распространяется и на электронные письма, в которых могут содержаться опасные URL ссылки.

Категории веб-адресов, содержащиеся в репутационной базе данных KSN:

• Вредоносный, несет опасность заражения;
• Фишинговый, используется в целях хищения личной информации;
• Адреса, связанные с таргетированной атакой, либо ранее замеченные в ней;
• База репутации файлов, использует для работы снятые контрольные суммы файлов, выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках;

Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.

Каждый вердикт, формируемый KSN, сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа (TAA).

Что делать, когда применение облачных технологий запрещено регламентом безопасности?

Предусмотрена возможность применения KSN сервиса в закрытом контуре предприятия с соответствующим регламентом безопасности. В таком случае локально разворачивается аналог облачного сервиса, именуемый Kaspersky Private Security Network (KPSN). В этом варианте решение не будет отправлять запросы за периметр сети, а будет работать с локальными репутационными базами автономно.]

• Risk Score Engine – анализ apk файлов мобильной операционной системы Android.

Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.

Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.

Уровень 3 – Динамический анализ

Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно не важно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. Тоже самое касается URL адресов, после прохождения репутационной базы, они будут переданы на уровень динамического анализа.

Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.

• Windows XP
• Windows 7 32Bit
• Windows 7 64 Bit

Техники, препятствующие динамическому анализу, и методы борьбы с ними

Технология динамического анализа присутствует на рынке достаточно давно и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:

• Задержка исполнения кода;
• Проверка количества ядер процессора;
• Проверка имени машины;
• Проверка программного окружения;
• Трекинг активности мыши/клавиатуры.

В связи с этим песочница «Лаборатории Касперского» обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых

• Эмуляция работы пользователя (движения мышью, работа на клавиатуре);
• Распознавание диалоговых окон, автоматическое действие;
• Выполнение прокрутки документа (scroll);
• Настройка окружения, максимально похожего на реального пользователя;
• Эмуляция работы пользователя, включая реакцию на диалоговые окна;

Также, песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.

Необходимо отметить две дополнительные задачи, решаемые песочницей:

1. Проверка неизвестных URL адресов.

Дело в том, что в реализации второй фазы таргетированной атаки («проникновение») киберпреступники могут скомпрометировать доверенный сторонний веб-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.

2. Проверка вложений электронной почты.

Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.

Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.

Уровень 4 – Статистический анализ

На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный — Красный, средний — Желтый, незначительный — Серый).

Targeted Attack Analyzer – анализатор таргетированных атак Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.

Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:

1. Накопительный ретроспективный анализ и поиск аномалий;

Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.

Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой «Лаборатории Касперского» (распространённость, время жизни объектов, репутация, категоризация доменов и файлов, и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.

Пример накопительного ретроспективного анализа:

• Детектирование всплесков сетевой активности на узлах в нетипичное для работы время;
• Запуск программного обеспечения/системных утилит, работа которых была не характерна ранее;
• Активность на машине под учетной записью пользователя, ранее не работавшего на ней.

Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.

2. Связь в хронологическом порядке подозрительной активности, относящейся к атаке;

Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.

Приведем пример перечня данных, на базе которых выстраивается хронологическая связь.

• Статистика активности рабочих станций;
• Статистика сетевой активности ИТ-инфраструктуры компании;
• Инциденты, заведенные детектирующими технологиями каждого из уровней.

3. Сбор объектов с рабочих машин пользователей;

Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу, либо статического анализа.

Поддерживается сбор следующих типов объектов:

• Исполняемые файлы
• Дампа оперативной памяти. Из общей тенденции развития таргетированных атак все больше случаев, когда следы можно обнаружить только в оперативной памяти.

Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.

Регулярные обновления технологий детектирования

В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.

1. Уровень сбора информации

• обновление сигнатур для технологии обнаружения вторжений

2. Статический анализ

• обновление компонентов антивирусного движка
• обновление методов анализа электронной почты

3. Динамический анализ объектов

• обновление логики определения подозрительности поведения в том числе Anti-Evasion техник

4. Статистический анализ

• обновление логики анализа и выявления аномалий
• правила заведения групповых инцидентов

Задачу динамических обновлений решает специализированный сервис «Лаборатории Касперского», обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.

В случаях использования решения в закрытом контуре, предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.

Результаты, о которых стоит сказать

За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.

В сентябре 2015 года система по защите от таргетированных атак «Лаборатории Касперского», развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации. С детальным анализом атаки вы можете ознакомиться здесь.

Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры «Лаборатории Касперского» были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0, заключалось в том, что вредоносный код содержался только в оперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.

С детальным анализом атаки вы можете ознакомиться по этому адресу.

Вы также можете ознакомиться с картой, демонстрирующей эволюцию таргетированных атак на примере ранее обнаруженных. Данная динамическая карта, специально создана «Лабораторией Касперского» для информирования о действующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое.

Экспертная поддержка

Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.

Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:

• Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса, позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.
• Внешний экспертный сервис «Расследование инцидентов» полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.

Задачи, решаемые экспертным сервисом:

• предотвращение возможной утечки конфиденциальной информации;
• снижение затрат, связанных с инцидентом;
• снижение репутационных рисков с учетом выявленного инцидента;
• восстановлению нормальной работоспособности скомпрометированных узлов включая дополнительные рекомендации;
• выработка рекомендаций по защите информации на базе выявленного инцидента, что бы избежать подобных инцидентов в будущем;

Threat Deception как дополнительный источник данных о целевых атаках

Технология является продолжением развития специализированных решений, именуемых «Honeypot» — предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, сервера), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.

Однако зачастую решения класса «Honeypot» не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.

«Threat Deception» подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса «Honeypot». «Threat Deception» предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа проводимого экспертом ИБ. Для этого в процессе имплементации решения, защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.

Внутри ловушки повторяют основной набор бизнес приложений и содержат специальные файлы приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP адрес, время, наименование ловушки).

Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.

Мы надеемся, что эта статья помогла детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!