Вывод на тему целевая атака. Анатомия таргетированной атаки

Используются для вредоносного воздействия на инфраструктуру компаний и государственных структур. Перед атакой киберпреступники тщательно изучают средства защиты атакуемой организации. Нападению могут быть подвергнуты не только привычные информационные системы компании, но и автоматизированные средства управления технологическими процессами (АСУ ТП) . Антивирусные продукты не в силах предотвратить целевую атаку, так как вредоносные программы в таких случаях разрабатываются специально под конкретную инфраструктуру - в том числе с учетом используемого защитного ПО.

В последнее время наблюдается смещение акцента с написания вредоносных программ на проведение целенаправленных атак. Объектом нападения становится конкретная организация, и подготовка занимает много времени. Преступники тщательно изучают используемые потенциальной жертвой средства защиты и находят нужные уязвимости, которые и используются в комплексе вредоносных операций.

Классификация таргетированных атак

Целевые атаки могут быть направлены на государственные и коммерческие структуры. При взломе применяются стандартные механизмы (спам, фишинг, заражение сайтов) и наборы эксплойтов. В основном злоумышленники преследуют следующие цели:

• Похищение средств с банковских счетов и из электронных кошельков, воровство конфиденциальных данных.
• Нечестная конкуренция: манипулирование процессами, подделка документов, ослабление конкурентов, вымогательство и шантаж.
• Похищение образцов интеллектуальной собственности.
• Нарушение нормальной деятельности объектов военной, промышленной и гражданской инфраструктуры, систем жизнеобеспечения.
• Использование возможностей телекоммуникационных систем для осуществления информационных воздействий и манипулирования общественным мнением.

Этапы таргетированных атак

На подготовительном этапе изучается атакуемый объект, собирается информация, проводятся разведывательные мероприятия, определяются слабые места. Для мониторинга используются рассылки, официальные сайты и аккаунты в социальных сетях, профильные форумы. С помощью программ-анализаторов производится изучение сетевой инфраструктуры и программного обеспечения. Для получения данных могут применяться автоматизированные методы или индивидуальные формы воздействия, такие как телефонные звонки.

После завершения подготовки вырабатывается стратегия, подбираются инструменты атаки. Вредоносные программы пишутся под конкретную атаку и жертву; это необходимо для преодоления штатных средств защиты.

Объект воздействия таргетированных атак

Таргетированные атаки могут преследовать экономические, политические или другие цели.

Известны случаи, когда злоумышленники внедрялись в системы управления отдельными технологическими процессами и деятельностью предприятий. Для получения нужной информации преступники могут настроить прямой доступ, взламывать принадлежащие сотрудникам гаджеты.

Избежать попыток проникновения практически невозможно. Если злоумышленникам нужен доступ к определенным ресурсам, они будут регулярно проводить комбинированные атаки. Всегда существует вероятность, что одна из многочисленных проведенных атак обеспечит нужный результат.

По наблюдениям специалистов ведущих антивирусных лабораторий, наибольшему риску подвержены правительственные ведомства, финансовый сектор, энергетическая и космическая отрасли, телекоммуникационные и ИТ-компании, предприятия военно-промышленного комплекса, образовательные и научные учреждения, видные общественные и политические деятели.

Список систем, на которые чаще всего направлены таргетированные атаки:

• Отделы научно-исследовательских и опытно-конструкторских работ (НИОКР). Такие поздразделения должны иметь высокий уровень защиты, но чаще всего это не так.
• Управляющие офисы компаний. Большинство предприятий уязвимо к действиям инсайдеров, находящихся в сговоре со злоумышленниками и имеющих физический доступ к компьютерам.
• ЦОД. В данных системах работают сервера, на которых запущено множество приложений. Для них нужно обеспечить безопасное функционирование, что и является основной проблемой.
• При росте компании расширяется сеть поставщиков, у которых низок уровень защиты компьютерных систем. Таргетированная атака может быть проведена через них.
• Атаки на производство. Не все производства оснащены современным оборудованием, на многих из них используются старые специализированные системы, объединенные в сети. Их безопасность сложно контролировать, чем стараются пользоваться киберпреступники.
• Компьютерные сети офисов. Для повышения эффективности работы сотрудников все устройства объединяются в общую сеть, и это предоставляет широкое поле для деятельности хакеров.
• Маркетинговые планы. Целью подобных атак является получение списка клиентов и планов продаж, нанесение удара по репутации компании.
• Смартфоны и планшеты. Это - безусловная «головная боль» отделов информационной безопасности любой компании. Обойтись без гаджетов невозможно, при этом в памяти устройств может храниться много ценной и конфиденциальной информации, паролей доступа, которые становятся целью преступников.
• Атаки на базы данных проводятся с целью получения важной информации, для достижения такого результата могут быть использованы реквизиты учетной записи администратора.

Источники таргетированных атак

Для достижения своих целей преступники используют все доступные средства. Можно выделить несколько основных векторов таргетированных атак:

• Несанкционированный доступ к офисной технике и другому оборудованию, в которое можно проникнуть или внедрить вредоносный код.
• Хотя центры обработки данных в основном обеспечивают приемлемый уровень безопасности, их уязвимые места связаны с функционированием серверного оборудования и установленного на нем программного обеспечения.
• Разветвленные локальные сети благодаря развитию технологий позволяют злоумышленникам в случае подключения к одному из устройств (это может быть компьютер, факс, принтер или МФУ) спокойно перемещаться внутри корпоративной сети.
• Использование смартфонов и прочей персональной электроники в рабочих целях и внутри корпоративной сети может стать слабым звеном в защите и отправной точкой в развитии атаки.

Анализ риска таргетированных атак

Маловероятно, что целевая атака будет применена против рядовых пользователей ПК, если они не являются сотрудниками компаний. Целью атаки может стать любая информация, представляющая ценность. Чаще всего такие нападения совершаются для получения промышленных секретов, персональных и платежных данных. Многие крупные бизнесмены и руководители предприятий предполагают, что однажды подобная атака может быть проведена и против их организации.

Сегодня известно о более чем ста хакерских группировках, проводящих целевые атаки. От их действий страдают государственные и коммерческие структуры в 85 странах. Такое широкое распространение объясняется оптимизацией средств взлома, что приводит к упрощению и удешевлению вредоносных операций.

Производители средств информационной безопасности постоянно совершенствуют средства для противодействия таргетированным атакам. Разрабатываются специализированные продукты, направленные не на поиск неизвестных образцов вредоносного кода, а на выявление подозрительной активности. Это объясняется тем, что при атаках не всегда используются вредоносные программы: злоумышленники могут применять вполне легальные средства. Отдельные модули анализируют загружаемые из интернета файлы, сетевую активность и поведение пользователей на рабочих станциях. Наиболее эффективными являются комплексные решения, отдельные компоненты которых предоставляют злоумышленникам ложные наборы данных и целей.

Полностью обезопасить себя от таргетированных атак невозможно. Так, если преступник планирует получить доступ к данным компании, то он может вести атаки в течение многих месяцев или даже лет, иногда развивая параллельно несколько вредоносных операций. Не имея ограничений по времени, он тщательно проверяет возможность обнаружения вредоносных программ со стороны антивируса, при необходимости модифицирует их. На подготовительный этап атаки приходятся основные затраты времени, а вот само нападение занимает считаные минуты. В таких условиях вероятность его успешности очень велика.

Обнаружение таргетированной атаки - очень сложная и комплексная задача. Факт проникновения в систему может оставаться незамеченным долгое время. В связи с этим очень сложно оценить общее число атак, проводимых по всему миру.

29.03.2013, Пт, 13:03, Мск

Вредоносные программы, используемые в комплексных таргетированных угрозах (англ. advanced persistent threats, сокр. APT), постоянно совершенствуются. Теперь они могут тайно проникать в сети, нередко следуя по пятам за рабочими местами и съемными носителями. Сегодня, когда рабочие места становятся все более мобильными и выходят из-под контроля инфраструктуры корпоративной ИТ-безопасности, проблема лишь усиливается.

Примером такой угрозы служит червь Flame – новое оружие кибервойн, которое атаковало иранский энергетический сектор и теперь распространяется по Ближнему Востоку. Вредоносная программа Flame1, обнаруженная специалистами "Лаборатории Касперского", известна как "одна из сложнейших угроз всех времен". И хотя изначально вирус Flame должен был саботировать ядерную программу Ирана, он до сих пор не дает покоя экспертам по безопасности. Дело в том, что в настоящее время он распространился за пределы целевой инфраструктуры, заражая корпоративные системы во всем мире.

Его предшественником был вирус Stuxnet, который был разработан специально для заражения и нарушения работы систем диспетчерского контроля и сбора данных (SCADA), которые управляли иранскими центрифугами для обогащения урана. Успех этой вредоносной программы превзошел ожидания ее создателей: оборудование перешло в неконтролируемый режим работы с курсом на самоуничтожение. К несчастью, Stuxnet тоже вышел за пределы целевых объектов Ирана и стал заражать системы SCADA в Германии, а потом и в других странах мира.

И Flame, и Stuxnet относятся к комплексным таргетированным угрозам. Это оружие нового поколения для военных операций под контролем правительства, террористов и хорошо финансируемых киберпреступных синдикатов. Эти вредоносные программы, оснащенные множеством функций для сокрытия своей деятельности, прежде всего направлены на кражу интеллектуальной собственности, планов военных организаций и другие ценные корпоративные активы.

Однако жертвами этой войны станут, скорее всего, средние и небольшие предприятия, которые окажутся под перекрестным огнем, если не развернут комплексную инфраструктуру безопасности для защиты конечных точек. Прошли те дни, когда средние и крупные компании могли наслаждаться относительной анонимностью или экономить на средствах безопасности. Комплексные таргетированные угрозы и атаки "нулевого дня" становятся повсеместными и беспощадными.

Эволюция угроз

Когда-то угрозы рассылались массово, как правило, по электронной почте. Жертву заманивали в ловушку с помощью фишингового сообщения, якобы отправленного заграничным финансистом или давно пропавшим родственником. И хотя эти угрозы были потенциально опасными, они рассылались без разбора. Кроме того, их можно было обнаружить и предотвратить с помощью базовых средств безопасности. Эти виды атак по-прежнему преобладают в интернете. Однако в последнее время уровень сложности угроз значительно повысился: теперь все чаще встречаются комплексные таргетированные угрозы и атаки "нулевого дня", которые порождают страх и беспокойство пользователей.

В последние несколько лет самые громкие атаки с применением комплексных таргетированных угроз затмевают даже наиболее невероятные сценарии. Операция Aurora: атака на Google. В 2009 г. в ходе этой атаки китайского происхождения через уязвимости в Windows Internet Explorer был получен исходный код и другие виды интеллектуальной собственности Google и около 30-ти других глобальных корпораций.

Атака на RSA. Благодаря этой атаке со взломом ведущей разработки компании, ключей SecurID, надежностью которых так гордился поставщик решений безопасности, в 2011 г. киберпреступники смогли внедриться в системы подрядчиков военных ведомств США: Lockheed Martin, Northrop Grumman и L3 Communications.

Национальная Лаборатория Окриджа. Лабораторию Министерства энергетики пришлось перевести в автономный режим, когда администраторы обнаружили, что в результате фишинговой атаки с сервера выгружались конфиденциальные данные.

GhostNet. Эта сеть для кибершпионажа, состоящая из 1295 инфицированных компьютеров в 103 странах, была нацелена на ряд сторонников движения за независимость Тибета, а также другие крупные организации, включая местные министерства, комиссии по иностранным делам, посольства, международные и неправительственные организации.

ShadyRat. В рамках этой резонансной кампании были взломаны сети государственных органов, некоммерческих организаций и крупных предприятий в 14-ти странах мира, всего насчитывается 70 пострадавших организаций.

Основные признаки

В наши дни комплексные таргетированные угрозы и атаки "нулевого дня" идут рука об руку и широко освещаются в СМИ. И все же, что они собой представляют и чем отличаются от таких угроз, как троянцы или черви?

Можно с уверенностью сказать, что это не обычные любительские атаки. Из названия ясно, что такие угрозы работают на основе передовых технологий, а также нескольких методов и векторов для целенаправленных атак на конкретные организации с целью получения конфиденциальной или секретной информации.

Создатели комплексных таргетированных угроз сильно отличаются от авторов угроз вида скрипт-кидди, запускающих SQL-атаки, или среднестатистического автора вредоносного ПО, сдающего ботнеты тому, кто предложит самую высокую цену. Обычно такие передовые угрозы планируются крупными организованными синдикатами, имеющими в своем распоряжении целые команды экспертов, которые располагают множеством технологий сбора разведывательных данных. Поскольку эти угрозы действуют постепенно, не привлекая внимания, и умеют скрывать следы своей деятельности, их все чаще предпочитают киберпреступники, враждебно настроенные правительства, террористы и преступные синдикаты.

Схема работы

В реализации комплексных таргетированных угроз киберпреступники используют вредоносные программы для получения персонализированной информации, которая помогает осуществить второй этап атаки. После этого идут в ход индивидуальные технологии социальной инженерии, цель которых – внедриться в организацию через ее самое слабое место: конечного пользователя.

На данном этапе атаки целью являются лица, имеющие доступ к нужным учетным записям. При этом используются убедительные письма, которые якобы отправлены из отдела кадров или другого надежного источника. Один неосторожной щелчок мышью в таком письме – и киберпреступники получают свободный доступ к самым ценным сведениям организации, но никто об этом даже не подозревает. Получив доступ к системе, комплексная таргетированная угроза задействует разнообразные троянцы, вирусы и другие вредоносные программы. Они заражают сеть и создают множество "лазеек", которые могут неопределенно долго оставаться на рабочих станциях и серверах. Все это время угроза незамеченной перемещается с одного компьютера на другой в поисках заданной цели.

Эксплойты "нулевого дня"

Излюбленным инструментом комплексных таргетированных угроз неизменно являются эксплойты "нулевого дня". Это емкое название хорошо отражает суть угроз, которые пользуются уязвимостями безопасности в программах до того, как поставщик устранит их или хотя бы узнает об их существовании. Таким образом, между первой атакой и исправлением проходит меньше одного дня – "нуль дней". В результате киберпреступники получают полную свободу действий. Не боясь возмездия, они используют преимущества атаки, от которой нет известных способов защиты.

Вредоносные программы, использующие уязвимости "нулевого дня", могут незаметно нанести серьезный ущерб организации. Они нацелены на кражу защищаемой информации, такой, как исходный код, интеллектуальная собственность, планы военных организаций, данные оборонной отрасли и другие правительственные тайны, используемые в шпионаже. Когда организация узнает об атаке, для отдела по связям с общественностью это оборачивается кошмаром наяву. Ущерб исчисляется миллионами: ведь нужно не только провести ревизию инфраструктуры безопасности, но и выплатить судебные издержки, а также справиться с последствиями оттока клиентов. Не говоря уже о том, сколько сил, времени и средств уходит на восстановление репутации и доверия клиентов.

Комплексные таргетированные угрозы и эксплойты "нулевого дня" – это далеко не новые явления. Впервые они были применены несколько лет назад, задолго до того, как эти термины вошли в жаргон специалистов по безопасности. До сих пор многие организации даже не догадываются о том, что уже несколько месяцев (а порой и лет) назад стали жертвой скрытой атаки "нулевого дня". Согласно отчету Verizon о нарушениях безопасности данных, 2,44% таких нарушений, связанных с интеллектуальной собственностью, обнаруживаются лишь спустя несколько лет.

Показательный пример: в отчете, опубликованном газетой Christian Science Monitor3, говорится, что еще в 2008 г. три нефтяных компании – ExxonMobil, Marathon Oil и ConocoPhilips – стали жертвами целевых кибератак, проведенных с использованием комплексных таргетированных угроз. В ходе атак (предположительно, китайского происхождения) киберпреступники загрузили на удаленный сервер критически важную информацию о количестве, ценности и расположении открытых нефтяных месторождений в мире. Однако сам факт атаки компании обнаружили лишь после того, как ФБР сообщила о краже у них конфиденциальной информации.

К 2011 г. комплексные таргетированные угрозы по праву заняли одно из первых мест в ряду угроз безопасности. Ведь именно из-за них такие компании, как Sony, Epsilon, HBGary и DigiNotar, понесли в этом году огромные убытки. Не говоря уже о компании RSA, которая потеряла почти 40 млн файлов с одноразовыми паролями для электронных ключей. В общей сложности, сбой системы безопасности RSA4 обошелся компании примерно в $66 млн, тогда как убытки Sony5 от потери 100 млн записей составили $170 млн.

На конец 2011 г. было зафиксировано не менее 535 нарушений защиты данных, в результате которых было потеряно 30,4 млн записей. Многие компании пали жертвой ряда сенсационных атак этого года, сообщает Privacy Rights Clearinghouse. И это – лишь малая часть известных нарушений, ведь каждый год происходят тысячи нарушений систем безопасности, которые не обнаруживаются или не раскрываются.

От комплексных таргетированных угроз можно и нужно защищаться. О методах защиты речь пойдет в статье "Комплексные таргетированные угрозы: обеспечение защиты".

Таргетированные атаки впервые стали предметом активных дискуссий мирового сообщества еще в 2009 году. Тогда стало известно об атаке Stuxnet. Пожалуй, можно сказать, что с нее и началась новейшая история целенаправленных кибератак. Что представляет собой подобный вид киберпреступлений и чем могут обернуться подобные нападения, подробнее в нашем материале.
1. Что такое таргетированные атаки?
Таргетированные (или целенаправленные) атаки – это заранее спланированные действия против конкретной государственной или негосударственной структуры либо организации. Как правило, киберпреступники, занимающиеся таргетированными атаками, – это профессионалы, их можно сравнить с традиционными злоумышленниками, которые угоняют машины по заказу: у них есть определенная мишень, они изучают средства защиты автомобиля, чтобы потом успешно их обойти.
Сегодня деятельность хакеров приобретает все больше черт традиционного бизнеса. На российском рынке существует своеобразный «черный рынок» – теневые схемы и места реализации программных средств, необходимых для атаки на ИТ-инфраструктуру той или иной компании. Есть фиксированные расценки, которые с легкостью можно обнаружить в интернете.
Можно отыскать даже уже сформированные продуктовые линейки: «компании» злоумышленников расширяют воронку продаж, готовят отдельные модификации решений с учетом различных целевых сегментов. Есть расценки на ботнеты, активно анонсируются новые версии троянов. Можно даже приобрести услугу целенаправленной атаки как сервис. Киберзлоумышленники создают собственные планы развития, которые также активно анонсируются.
- Анонсы, как правило, даются в закрытых источниках, – рассказывает Андрей Арефьев, менеджер по развитию продуктов компании InfoWatch. – Но, тем не менее, можно говорить, что современная индустрия ботнетов обладает всеми признаками полноценных коммерческих продуктов. По данным независимых исследований, количество утилит, которые применяются для построения ботнетов, возросло за последние годы в десятки раз.
Кроме того, за последние годы значительным образом изменился характер атак: они весьма усложнились. Сегодняшние атаки стали более разветвленными: атакующая сторона пытается адаптироваться под собственную инфраструктуру компании и сделать атаку максимально незаметной. Атака должна быть либо обнаружена как можно позже, либо не обнаружена вообще. Поэтому подобные атаки, как правило, протяженны во времени и становятся заметны только тогда, когда приходит время активно проявить себя.
Целенаправленные атаки на ИТ-инфраструктуру обладают следующими характеристиками:
џ Они изучают ту систему защиты, которая имеется у компании, и обходят ее.
џ Характер атак стал более многоступенчатым: они могут начинаться на компьютере секретаря, а конечной целью при этом будет компьютер бухгалтера – например, задачей злоумышленников может быть установка там вредоносного ПО.
- В качестве промежуточного итога можно отметить, что если вы не наблюдаете видимых признаков атаки на ИТ-инфраструктуру компании, это еще не означает, что ее не атакуют, – резюмирует Андрей Арефьев.
2. Примеры целенаправленных атак.
Как утверждает ряд открытых источников, для внедрения троянской вирусной программы «точкой входа» часто становится инсайдерская деятельность нелояльных сотрудников компании. Подобный пример не так давно можно было наблюдать в Иране.
Основной целью данной атаки было сдерживание иранской ядерной программы. Насколько известно, суверенное государство контролировало обогатительные ядерные центрифуги, и ряд объектов при этом был переведен во внештатный режим. Центрифуги быстро выходили из строя, их ремонт требовал времени и денег, поэтому обогащение урана откладывалось. Как удалось выяснить, данная атака была спланирована заранее, осуществлялась и проводилась в течение длительного времени.
Целью атаки была не кража оборудования, а контроль над промышленными объектами. Страшно себе представить, что может произойти, если кто-нибудь начнет контролировать ядерную электростанцию: переведение её во внештатный режим грозит как минимум, вторым Чернобылем...
Однако мишенью злоумышленников становятся не только стратегически важные объекты и крупные правительственные организации. Недавно одному владельцу бизнес-организации довелось в этом убедиться лично. Сервер компании попытались заразить при помощи контактных уязвимостей – повезло владельцу фирмы только в том, что атаке подвергся всего лишь компьютер бухгалтера.
Вредоносное ПО представляет собой программу, которая позволяет получить несанкционированный доступ к конфиденциальной информации при помощи уязвимостей. Применяются подобные программы обычно для получения первичного доступа к сети предприятия. Как правило, внедрение системы обозначает допуск к данным при перезагрузке системы. «Пропиской» исполняемого модуля при этом каждый раз является его перезапуск.
Вредоносное ПО может попасть на компьютер сотрудника компании не только по злому умыслу последнего, но и вследствие применяемой хакерами социальной инженерии (например, киберпреступник может попросить жертву перейти по той или иной ссылке или посетить сторонний ресурс).
В результате жертва становится доступна для атаки, и злоумышленники получают доступ к операционной системе рабочего компьютера сотрудника. Теперь можно запустить вредоносные файлы, чтобы в последующем получить контроль над компьютерами организации. Перечисленные выше действия носят название "атаки нулевого дня".
3. Какие данные чаще всего похищают?
Во многом это зависит от профиля деятельности компании. Целью хакеров могут быть промышленные секреты и стратегические разработки закрытого плана, платежные и персональные данные. Любопытно, что, согласно проведенным исследованиям, 63% опрошенных понимают, что таргетированная атака на их компанию – всего лишь вопрос времени.
Методики выявления таргетированных атак:
1. Сигнатурный анализ.
Проведение сигнатурного анализа подразумевает, что у аналитиков есть какой-либо файл, пораженный вирусом. Изучение такой вредоносной программы позволяет снять с нее сигнатуру (цифровой отпечаток). После того, как сигнатура занесена в базу, можно проверять файл на предмет заражения этим вирусом, просто сравнивая сигнатуры. Преимущество сигнатурного анализа в том, что он позволяет точно диагностировать атаку. Если имеется файл с совпадающей сигнатурой, то можно смело говорить о том, что компьютер поражен.
Сигнатурный анализ обладает рядом преимуществ:
џ Он может быть использован не только для сканирования вирусов, но и для фильтрации системного трафика.
џ Вы можете "сесть" на шлюзе и контролировать наличие тех или иных непроверенных сигнатур.
џ Он позволяет с большой точностью осуществлять диагностические комплексы противостояния атакам.
Существенным недостатком сигнатурного анализа является необходимость обновления сигнатурной базы. Большинство компаний вынуждено обновлять сигнатурную базу каждые 15 минут. При этом каждые полчаса в мире появляется новый вирус. Далее идет длительный процесс его регистрации и изучения, и только после этого сигнатура заносится в базу. Все время до этого момента компания беззащитна перед новым вирусом.
Другой метод изучения уже выявленного ранее вредоносного ПО – это эвристический анализ.
Функция эвристического анализа заключается в том, чтобы проверять исполняемый код на наличие подозрительной активности, характерной для деятельности вирусов. Подобная методика хороша тем, что не зависит от актуальности каких-либо баз. Однако и у эвристического анализа есть свои минусы.
Ввиду того, что все основные антивирусы известны и доступны для использования всем желающим, хакеры могут производить тестирование написанного ПО и видоизменять его до тех пор, пока он не будет обходить все известные средства антивирусной защиты. Тем самым эффективность основных эвристических алгоритмов сводится на нет.
Другой метод обнаружения целенаправленных атак подразумевает использование так называемых фаерволлов нового поколения, которые в дополнение к традиционным возможностям также позволяют фильтровать трафик. Основным недостатком фаерволлов является чрезмерная «подозрительность», они генерируют большое количество ложноположительных срабатываний. Кроме того, фаерволлы используют технологии, которые можно обмануть (песочница, эвристический анализ и сигнатурный анализ).
Существует также иной метод защиты, применяемый для запуска приложений. Идея его весьма проста: станция может запустить только отдельные приложения (это носит название WhiteListening). Минус в том, что такой «белый список» должен содержать все без исключения приложения, которые могут понадобиться пользователю. На практике такой способ, конечно, довольно надежен, но очень неудобен, так как тормозит рабочие процессы.
Наконец, есть недавно разработанная технология динамического обнаружения атак, которая используется в продукте InfoWatch Targeted Attack Detector, - рассказывает Андрей Арефьев. – Данная технология базируется на том, что действия злоумышленников неизбежно приводят к модификации ИТ-систем предприятия. Поэтому решение InfoWatch периодически сканирует ИТ-систему организации, собирая информацию о состоянии критических объектов. Полученные данные сравниваются с результатами прошлых сканирований, затем осуществляется интеллектуальный анализ произошедших изменений на предмет наличия аномалий. При обнаружении неизвестного вредоносного ПО к анализу его действий и возможного вреда для инфраструктуры предприятия привлекается аналитик компании.
- На каком этапе удается классифицировать атаку в качестве целенаправленной?
- Фактически выявление аномалий является первичным признаком того, что в вашей системе возникают неполадки, это косвенный признак того, что компанию атакуют. При этом в атаке не обязательно должен быть задействован вирус уровня «Красного Октября». Достаточно, как показывает практика, небольшого трояна, периодически пересылаемого дальше. В принципе, этого достаточны для того, чтобы приносить деньги конкретным киберзлоумышленникам.
В целом же, хотелось бы отметить, что таргетированные атаки представляют собой мощный инструмент для влияния на корпоративную политику крупных правительственных и коммерческих организаций. Именно поэтому противостоять подобным типам киберпреступлений необходимо планомерно и тщательно.
Гринёв Сергей Олегович, для портала "Технологии безопасности" (РБ)

ВЕНИАМИН ЛЕВЦОВ , вице-президент, глава корпоративного дивизиона «Лаборатории Касперского»
НИКОЛАЙ ДЕМИДОВ , технический консультант по информационной безопасности «Лаборатории Касперского»

Анатомия таргетированной атаки
Часть 1

С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя новые решения, одновременно усложняя ИТ-инфраструктуру. Теперь, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации – от имевших место инцидентов, убеждений конкретных сотрудников – и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине.

В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где специалисты по ИБ могут:

• проверять файлы с помощью систем безопасности конечных точек;
• фильтровать почтовый и веб-трафик с помощью шлюзовых решений;
• отслеживать целостность и неизменность файлов и системных настроек;
• контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
• сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
• внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
• инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
• заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
• приводить систему в соответствие с требованиями стандартов и проводить сертификации;
• учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но, несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИТ-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, какправило, уникальные по своему составу и структуре?

Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Понятие целевой атаки

Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки.

Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Во-первых, это именно процесс – деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100дней и больше.

Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели – по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей – бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате его компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT – Advanced Persistent Threat. Давайте разберемся и с его определением.

APT – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки.

Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против уже других организаций.

Целевая, или таргетированная, атака – это процесс, деятельность. APT – техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено, в том числе, и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах ивредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты– ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы (см. рис. 1).

На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

• Подготовка – основная задача первой фазы – найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую, выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
• Проникновение – активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки иопределения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
• Распространение – фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
• Достижение цели – ключевая фаза целевой атаки, взависимости отвыбранной стратегии вней могут применяться:
  • хищение закрытой информации;
  • умышленное изменение закрытой информации;
  • манипуляции с бизнес-процессами компании.

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «Точку возврата», позволяющую им вернуться в будущем.

Первая фаза целевой атаки – Подготовка

Выявление цели

Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует, в том числе защиты информации, внутренний регламент и т.д. Поэтому процесс сбора информации о жертве называется «разведка». Основная задача разведки, сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например, социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

Инсайд. Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрут всостоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средствах защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.

Открытые источники. В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые выбрасывают на помойку без правильного уничтожения, среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компании, которые содержат реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В результате этой работы организаторы атаки могут иметь достаточно полную информацию о жертве, включая:

• имена сотрудников, email, телефон;
• график работы подразделений компании;
• внутреннюю информацию о процессах в компании;
• информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации. На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко завоевать доверие, оперируя полученной информацией.

Социальная инженерия.

• Телефонные звонки от имени внутренних сотрудников.
• Социальные сети.

Используя социальную инженерию можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться от имени работника информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.

Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

• описание этапов атаки: проникновение, развитие, достижение целей;
• методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности;
• этапы развития атаки с учетом возможных внештатных ситуаций;
• закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами;
• извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда c идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно определиться между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различный инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C). Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», могут меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения решают задачу «открытия двери» атакуемого удаленного хоста:

• Эксплойт (Exploit) – вредоносный код, использующий уязвимости в программном обеспечении.
• Валидатор – вредоносный код применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине.
• Загрузчик (Downloader) модуля доставки Dropper. Загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
• Модуль доставки Dropper – вредоносная программа (какправило, троян), задачей которой является доставка основного вируса Payload назараженную машинужертвы, предназначена для:
  • закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины;
  • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечения и запуска зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload. Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper, может состоять из нескольких функциональных допмодулей, каждый из которых будет выполнять свою функцию:

• клавиатурный шпион;
• запись экрана;
• удаленный доступ;
• модуль распространения внутри инфраструктуры;
• взаимодействие с C&C и обновление;
• шифрование;
• очистка следов активности, самоуничтожение;
• чтение локальной почты;
• поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который не гарантированно может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но иконтролировали ситуацию на протяжении более чем половины года.

Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий заинформационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

По данным опроса «Лаборатории Касперского», потери в результате крупного инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий. (Данные исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в 2015 году. В исследовании приняли участие более 5500 ИТ-специалистов из 26 стран мира, включая Россию.)

О том, как развивается атака, о методах обхода стандартных средств защиты и эксплуатации угроз нулевого дня, социальной инженерии, распространении и сокрытии следов при хищении ключевой информации и о многом другом – вследующих статьях цикла «Анатомия таргетированной атаки».

Вконтакте

С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя ИT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, – бизнес-процессы просто останавливаются.

Вениамин
Левцов

Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"

Николай
Демидов

Технический консультант по информационной безопасности “Лаборатории Касперского"

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации – от имевших место инцидентов, убеждений конкретных сотрудников – и зачастую формируется "снизу", от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

• проверять файлы при помощи систем безопасности конечных точек;
• фильтровать почтовый и web-трафик при помощи шлюзовых решений;
• отслеживать целостность и неизменность файлов и системных настроек;
• контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
• сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
• внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
• инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
• заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
• приводить систему в соответствие с требованиями стандартов и проводить сертификации;
• учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но несмотря на все это, количество успешных, т.е. достигающих своей цели атак на ИT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

Понятие целевой атаки

Самое время дать определение, точно отражающее понятие целевой, или таргетированной атаки. Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый вручную в реальном времени.

Во-первых, это именно процесс – деятельность во времени, некая операция, а не просто разовое техническое действие.

Во-вторых, процесс направлен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели – по сути получение контроля над отдельной конечной точкой. В случае целевой атаки – она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренными техническим инструментарием, по сути своей – бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать "входными воротами" в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате его компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди – одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT – Advanced Persistent Threat. Давайте разберемся и с его определением. APT – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня, других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против уже других организаций. Целевая, или таргетированная, атака – это процесс, деятельность. APT – техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для "мирных" целей утилиты – ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале будут озвучены основные этапы таргетированной атаки, показан скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через 4 фазы (рис. 1).

На рис. 1 отображены 4 фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

1. Подготовка – основная задача первой фазы найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую, выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.

2. Проникновение – активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и определении принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.

3. Распространение – фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.

4. Достижение цели – ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:

• хищение закрытой информации;
• умышленное изменение закрытой информации;
• манипуляции с бизнес-процессами компании.

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя "Точку возврата", позволяющую им вернуться в будущем.

Первая фаза целевой атаки – Подготовка

Выявление цели

Количество успешных, т.е. достигающих своей цели атак на ИT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?
Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Целью для атаки может стать любая организация. А начинается все с заказа, или общей разведки, или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует, в том числе для защиты информации, внутренний регламент и так далее. Поэтому процесс сбора информации о жертве называется разведкой. Основная задача разведки – сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

1. Инсайд.

Целевая атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрут в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средствах защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании владеющих информацией либо входят в круг доверия путем дружеского общения в общественных местах.

2. Открытые источники.

В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации, которые выбрасывают на помойку без правильного уничтожения, среди мусора могут быть найдены отчеты и внутренняя информация или, например, сайты компании, которые содержат реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие – отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В результате этой работы организаторы атаки могут иметь достаточно полную информацию о жертве, включая:

• имена сотрудников, e-mail, телефон;
• график работы подразделений компании;
• внутреннюю информацию о процессах в компании;
• информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

На первый взгляд, приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко получать доверие, оперируя полученной информацией.

3. Социальная инженерия.

• Телефонные звонки от имени внутренних сотрудников.
• Социальные сети.

Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например в случае телефонного звонка злоумышленник может представиться от имени работника информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь кибер-преступникам выработать правильную стратегию общения с будущей жертвой.

Разработка стратегии

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

• описание этапов атаки: проникновение, развитие, достижение целей;
• методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности;
• этапы развития атаки с учетом возможных внештатных ситуаций;
• закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами;
• извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда c идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно определиться между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях: как правило, Toolset состоит из трех основных компонентов:

1. Командный центр, или Command and Control Center (C&C).

Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с "хозяевами", могут меняться динамически вместе с вредоносными модулями.

2. Инструменты проникновения, решающие задачу "открытия двери" атакуемого удаленного хоста:

• эксплойт (Exploit) – вредоносный код, использующий уязвимости в программном обеспечении;
• валидатор – вредоносный код, который применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине;
• загрузчик (Downloader) – модуль доставки Dropper; загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях;
• модуль доставки Dropper – вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:
  • закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины;
  • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечения и запуска зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

3. Тело вируса Payload. Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функцию:

APT (Advanced Persistent Threat) – это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня, других компонентов, специально разработанных для реализации данной атаки.

• лкавиатурный шпион;
• запись экрана;
• удаленный доступ;
• модуль распространения внутри инфраструктуры;
• взаимодействие с C&C и обновление;
• шифрование;
• очистка следов активности, самоуничтожение;
• чтение локальной почты;
• поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог

Важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка (другие риски – на рис. 2), высокую сложность их обнаружения и колоссальный урон от их действий, который не гарантированно может быть обнаружен спустя длительный срок. В среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности 1 , это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем половины года. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

Потери в результате крупного инцидента составляют в среднем по миру $551 000 для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий 2 .

О том, как развивается атака, методах обхода стандартных средств защиты и эксплуатации угроз нулевого дня, социальной инженерии, распространении и сокрытии следов при хищении ключевой информации и о многом другом – в следующих статьях цикла "Анатомия таргетированной атаки".

___________________________________________
1 По статистике “Лаборатории Касперского".
2 Данные исследования “Информационная безопасность бизнеса", проведенного “Лабораторией Касперского" и B2B International в 2015 г. В исследовании приняли участие более 5500 ИT- специалистов из 26 стран мира, включая Россию.