Анатомия таргетированной атаки

Вениамин
Левцов

Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"

Николай
Демидов

Технический консультант по информационной безопасности “Лаборатории Касперского"

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации – от имевших место инцидентов, убеждений конкретных сотрудников – и зачастую формируется "снизу", от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

• проверять файлы при помощи систем безопасности конечных точек;
• фильтровать почтовый и web-трафик при помощи шлюзовых решений;
• отслеживать целостность и неизменность файлов и системных настроек;
• контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
• сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
• внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
• инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
• заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
• приводить систему в соответствие с требованиями стандартов и проводить сертификации;
• учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Понятие целевой атаки

Самое время дать определение, точно отражающее понятие целевой, или таргетированной атаки. Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый вручную в реальном времени.

Во-первых, это именно процесс – деятельность во времени, некая операция, а не просто разовое техническое действие.

Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели – по сути получение контроля над отдельной конечной точкой. В случае целевой атаки – она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренными техническим инструментарием, по сути своей – бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать "входными воротами" в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате его компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди – одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT – Advanced Persistent Threat. Давайте разберемся и с его определением. APT – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня, других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против уже других организаций. Целевая, или таргетированная, атака – это процесс, деятельность. APT – техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для "мирных" целей утилиты – ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале будут озвучены основные этапы таргетированной атаки, показан скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через 4 фазы (рис. 1).

На рис. 1 отображены 4 фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

1. Подготовка – основная задача первой фазы найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую, выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.

2. Проникновение – активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и определении принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.

3. Распространение – фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.

4. Достижение цели – ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:

• хищение закрытой информации;
• умышленное изменение закрытой информации;
• манипуляции с бизнес-процессами компании.

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя "Точку возврата", позволяющую им вернуться в будущем.

Первая фаза целевой атаки – Подготовка

Выявление цели

Целью для атаки может стать любая организация. А начинается все с заказа, или общей разведки, или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует, в том числе для защиты информации, внутренний регламент и так далее. Поэтому процесс сбора информации о жертве называется разведкой. Основная задача разведки – сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

1. Инсайд.

Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрут в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средствах защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании владеющих информацией либо входят в круг доверия путем дружеского общения в общественных местах.

2. Открытые источники.

В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые выбрасывают на помойку без правильного уничтожения, среди мусора могут быть найдены отчеты и внутренняя информация или, например, сайты компании, которые содержат реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В результате этой работы организаторы атаки могут иметь достаточно полную информацию о жертве, включая:

• имена сотрудников, e-mail, телефон;
• график работы подразделений компании;
• внутреннюю информацию о процессах в компании;
• информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

На первый взгляд, приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко получать доверие, оперируя полученной информацией.

3. Социальная инженерия.

• Телефонные звонки от имени внутренних сотрудников.
• Социальные сети.

Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например в случае телефонного звонка злоумышленник может представиться от имени работника информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь кибер-преступникам выработать правильную стратегию общения с будущей жертвой.

Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

• описание этапов атаки: проникновение, развитие, достижение целей;
• методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности;
• этапы развития атаки с учетом возможных внештатных ситуаций;
• закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами;
• извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда c идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно определиться между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях: как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C).

Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с "хозяевами", могут меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения, решающие задачу "открытия двери" атакуемого удаленного хоста:

• эксплойт (Exploit) – вредоносный код, использующий уязвимости в программном обеспечении;
• валидатор – вредоносный код, который применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине;
• загрузчик (Downloader) – модуль доставки Dropper; загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях;
• модуль доставки Dropper – вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:
  • закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины;
  • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечения и запуска зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload. Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функцию:

• лкавиатурный шпион;
• запись экрана;
• удаленный доступ;
• модуль распространения внутри инфраструктуры;
• взаимодействие с C&C и обновление;
• шифрование;
• очистка следов активности, самоуничтожение;
• чтение локальной почты;
• поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог

Важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка (другие риски – на рис. 2), высокую сложность их обнаружения и колоссальный урон от их действий, который не гарантированно может быть обнаружен спустя длительный срок. В среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности¹, это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем половины года. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

Потери в результате крупного инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий².

О том, как развивается атака, методах обхода стандартных средств защиты и эксплуатации угроз нулевого дня, социальной инженерии, распространении и сокрытии следов при хищении ключевой информации и о многом другом – в следующих статьях цикла "Анатомия таргетированной атаки".