Шесть простых шагов к пониманию киберпреступности

Даниэль Айуб (Daniel Ayoub)
сертифицированный специалист по безопасности
информационных систем, Dell SonicWALL

Разведка

Первый этап любой атаки – скрытая разведка и сбор информации. Существует мнение, что разведка играет важнейшую роль, так как именно на этом этапе производится сбор всей информации для планирования успешной атаки.

Наиболее известной формой разведки является социальная инженерия. Этим термином обозначается выдача себя за другого пользователя для получения нужной информации. Для этих целей киберпреступники используют различные тактики: фишинг (получение паролей и других личных данных по поддельным электронным письмам), фарминг (скрытое перенаправление на замаскированные обманные Web-сайты) и использование "клавиатурных шпионов" для записи нажатий клавиш на клавиатуре и отправки этих данных злоумышленнику.

Другой распространенной формой разведки стало "рытье в мусоре" (dumpster diving) – просмотр офисных отходов компании, выбранной для атаки, с целью нахождения конфиденциальной информации (неизмельченных документов, старых жестких дисков и т.п.).

И наконец, настоящим кладезем информации являются сайты социальных сетей, на которых можно найти подробные личные данные пользователей, в том числе сведения о местах работы и служебных обязанностях.

Перечисление (нумерация)

К этому этапу злоумышленник приступает, уже имея на вооружении полученную первичную информацию – набор телефонных номеров и IP-адресов намеченной компании-жертвы, а также списки имен сотрудников с их должностями и идентификаторами пользователей. На этом этапе злоумышленник заполняет пробелы в имеющейся информации, чтобы получить целостное представление об организации и внутренних операциях компании, выбранной в качестве потенциальной жертвы.

На этапе перечисления часто используются сканирование сервисов и "боевые номеронабиратели" (или "боевые диалеры"). Во время сканирования сервисов злоумышленник пытается определить, какие ОС и приложения установлены на открытых IP-адресах. "Боевые номеронабиратели" автоматически обзванивают все телефонные номера компании с целью найти модем, предоставляющий прямой доступ к внутренним ресурсам компании.

Получение доступа

Следующий этап атаки заключается в проникновении в компьютерные системы атакуемой организации и получении доступа. Часто легкой мишенью становятся необновленные ОС и старые приложения. Зараженные вложения к электронным письмам могут проникать в удаленные системы и устанавливать в них вредоносные программы, которые затем посредством "звонка домой", предоставляют злоумышленнику легкий доступ к сети, до этого обеспечивавшей достаточную защиту. Даже безвредные на первый взгляд Web-сайты могут эксплуатировать уязвимости Web-браузеров.

Наиболее опасным и изощренным способом получения доступа является использование эксплойтов "нулевого дня" (zero-day эксплойтов). Атаки такого типа основаны на неизвестных и неопубликованных ошибках ПО, эксплуатация которых дает злоумышленникам доступ к системам, которые считаются надежными и защищенными.

Эскалация (необоснованное повышение) привилегий

Необоснованное повышение привилегий дает злоумышленнику возможность выполнять программы и получать доступ к тем частям сети, которые до этого оставались для него вне пределов досягаемости. В операционных системах и приложениях целостность системы обеспечивается за счет того, что процессы могут выполняться только с ограниченными разрешениями. Если приложению явно не требуется доступ ко всем частям памяти, это должно быть отражено в разрешениях доступа. Для получения доступа к определенной системе злоумышленник должен сначала взломать какой-либо сервис на удаленной системе. Часто такой сервис имеет меньше прав, чем требуется злоумышленнику для продолжения атаки.

На этом этапе злоумышленник пытается перейти к другому или повысить привилегии доступного ему процесса. Когда ему удается успешно повысить привилегии, система считается "захваченной". Это означает, что злоумышленник может выполнять в ней любые действия.

Сохранение доступа

Обычно этот этап связан с использованием установленных вредоносных программ для сохранения доступа к системе через "черный ход". Для этих целей используются различные вредоносные программы, самыми распространенными из которых являются программы-трояны. Трояны – это небольшие программы, которые обеспечивают удаленный доступ к взломанному компьютеру через "черный ход". Злоумышленники часто устанавливают на такой "черный ход" пароли и прячут его в дальних разделах памяти. Поскольку такие приложения часто обнаруживаются антивирусными программами, злоумышленники перед заражением отключают или удаляют антивирусные программы.

Существенно большую опасность представляют вредоносные программы другого типа – руткиты. Как и программы-трояны, руткиты обеспечивают злоумышленнику удаленный доступ к взломанной системе, но они устанавливаются в системных сервисах нижнего уровня, таким образом оставаясь полностью скрытыми от операционной системы.

Сокрытие следов

Последний этап кибератаки заключается в удалении из пораженной системы доказуемых следов взлома. Чтобы системный администратор при расследовании нарушения безопасности не смог понять, что произошло в системе, проще всего удалить файлы журналов или конкретные записи в них.

Менее опытные и изощренные злоумышленники обычно оставляют многочисленные следы своего присутствия, которые можно впоследствии использовать для юридического преследования, но опытный и хорошо подготовленный хакер оставит систему на первый взгляд в совершенно таком же состоянии, в котором она была до атаки.

Что дальше?

Корпоративная сеть – это центральная нервная система многих предприятий. Ее выход из строя в результате успешной кибератаки приводит к снижению продуктивности работы сотрудников, потенциальной утечке данных, взлому IP-адресов – одним словом, к полному параличу предприятия. Количество, сложность и уровень серьезности преступных и злонамеренных кибератак с каждым днем увеличиваются. Именно поэтому компаниям столь важно не только понимать типы, объем воздействия и уровень серьезности кибератак, но и предпринимать необходимые действия для оценки имеющихся технологий защиты и стратегий администрирования и развертывания средств обеспечения безопасности.

Колонка эксперта

Петр Ляпин

Начальник службы информационной безопасности, ООО “НИИ ТНН” (“Транснефть”)

В своей статье автор затронул, пожалуй, самую животрепещущую тему современности в части обеспечения международной безопасности. Киберпреступность как явление развивается крайне интенсивно в силу целого ряда объективных причин. И развитие это уже прошло путь от мелкого хулиганства до глобального противостояния государств. Мало кого сегодня удивишь терминами "кибершпионаж" и "кибероружие".

Цель, поставленная автором в этой статье, – популяризация этой серьезнейшей проблемы. Классический, можно даже сказать академический подход, выбранный автором, дает читателю достаточно подробное описание "полного цикла" кибератаки, что, безусловно, полезно для понимания сути проблемы.

Тем не менее целесообразно было бы упомянуть о практике реализации кибератак. Нюансы здесь настолько значительны, что пренебрегать ими попросту опасно. В частности, можно уверенно говорить о фактически двух выделившихся направлениях реализации преступного замысла.

Первое направление – это массовые преступления, которые готовятся и совершаются не столько в отношении конкретного субъекта, сколько в отношении используемой им технологии. Их целью часто являются непосредственно деньги. Это массовые атаки на системы ДБО, социальные сети, облачные сервисы, мобильные платформы и т.п. Здесь приведенный автором "полный цикл" не применяется, поскольку изучению подлежит массово использующаяся технология, ее особенности и уязвимости, а не потенциальная жертва. В этом случае показателен термин "огонь на поражение".

Второе направление – целевые атаки. Это совершенно иной класс преступлений. Они, как правило, реализуются посредством профессионально организованных управляемых кибератак, с глубоким знанием используемых технологий, целевых платформ, приложений, режимов эксплуатации и обеспечения безопасности. И здесь "полный цикл" также не применяется в силу того, что такие преступления практически всегда реализуются посредством уникальных, специально разработанных для конкретной цели методов и средств с использованием всех возможных и по большей части уникальных инструментов. И они не прекращаются до тех пор, пока цель не будет достигнута. А цели каждого из таких преступлений уникальны: от хищения информации и шпионажа до решения политических задач и физического разрушения объектов критически важной инфраструктуры (Prism, Stuxnet, "послужной список" Anonymous и др.).

Практика в этом вопросе все же имеет ключевое значение, поскольку она и есть тот эмпирический базис, который лежит в основе эффективной защиты.