Анатомия таргетированной атаки. Часть 2. Развитие атаки

 ВЕНИАМИН ЛЕВЦОВ, вице-президент, глава корпоративного дивизиона «Лаборатории Касперского»

 НИКОЛАЙ ДЕМИДОВ, технический эксперт «Лаборатории Касперского»

Анатомия таргетированной атаки
Часть 2. Развитие атаки

Используя накопленную за последние годы экспертизу в расследовании целевых атак, в продолжение нашего цикла статей мы опишем детальное развитие атаки, следуя четырем еефазам, с реальными примерами, рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии

В первой части статьи [1] мы обратили внимание на историю происхождения таргетированных атак, привели описание применяемых методов и инструментов, которые используются в процессе достижения целей, и подробно разобрали шаги подготовительной фазы. По статистике «Лаборатории Касперского» доля целевых атак составляет 1% от общего числа мировых угроз, но, несмотря на низкую распространенность, целевые атаки наносят больше ущерба, чем оставшиеся 99% угроз совокупно, каждый раз увеличивая этот антирекорд.

Что же представляет собой таргетированная атака?

Таргетированная атака – это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, управляемый киберпреступником в режиме реального времени. Процесс всегда строится под жертву, являясь некой продуманной операцией, а не просто разовым техническим действием, он направлен для работы в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). Такая операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием. Деятельность группы часто похожа на многоходовую войсковую операцию, следующую четко подготовленной стратегии, обычно состоящей из четырех фаз.

Продолжая аналогию, можно сказать, что происходит вооруженная схватка между людьми: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

И статистика в этом противостоянии неутешительна: по данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

Таргетированная атака включает в себя четыре основные фазы (см. рис. 1).

Рисунок 1. Фазы целевой атаки

Фаза первая. Подготовка

Основные задачи начальной фазы атаки, подтверждающие ее определение как «целевой»:

• Поиск и определение цели с последующим сбором детальной информации по выявлению слабых мест.
• Анализ собранной информации, разработка стратегии по достижению результата, дополняя ее созданием инструментов.

Более детально первая фаза описана в первой части цикла статей [1].

Фаза вторая. Проникновение

По совокупности применяемых техник фаза «Проникновение» является для киберпреступников одной из самых сложных в исполнении и реализации.

Большинство инженеров информационной безопасности затруднялись с ответом, когда их просили перечислить применяемые средства и методы проникновения в инфраструктуру, давайте сформулируем ответ вместе. Для этого вначале приведем наименование основных технических средств с описанием их основных функций.

Эксплойт (Exploit)

Вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.

Проникнув благодаря уязвимости на целевой корпоративный компьютер, эксплойт запускает средство доставки, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или Dropper.

Валидатор

Сборщик информации с зараженного хоста, выполняет фильтрацию информации об учетных записях пользователей, установленном программном обеспечении, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:

• загрузка Dropper – приступить к выполнению целевой атаки;
• самоуничтожение – в случаях, когда компьютер и данные на нем не представляют ценности для целевой атаки;
• ожидание – решение откладывается, режим «сна».

Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае если он перехватывается средствами защиты, это не создает для киберпреступников угрозы утечки методов и средств, планируемых к применению. Благодаря таким качествам может применяться в случаях, когда:

• риск обнаружения стандартными средствами защиты велик, для исключения возможной утечки применяемых техник в целевой атаке;
• целевая почтовая рассылка.

Средства доставки: электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства.

Загрузчик (Downloader)

Инструмент загрузки используется в целях быстрого заражения с применением техники фишинга через вложения в письмах либо с фишинговых веб-сайтов. При запуске выкачивает основной модуль Payload либо Dropper в зависимости от целей и планов киберпреступников.

Dropper

Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на целевую машину с последующим закреплением внутри операционной системы, как правило, это скрытая автозагрузка:

• определяет активные процессы в операционной системе, выбирая наиболее выгодный с точки зрения привилегий и инжектирует собственный код в код активного процесса непосредственно в оперативной памяти, что позволяет ему получить все уровни доступа к ресурсам операционной системы, не вызывая подозрений у средств защиты;
• загружает тело основного модуля Payload;
• выполняет частичную дешифрацию и запуск основного модуля.

Средствами доставки могут являться электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).

Основной модуль Payload

Основной модуль в целевой атаке может обладать самым разным вооружением, которое зависит от поставленной цели и задачи (см. рис. 2).

Рисунок 2. Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи

Тело модуля содержит многоуровневое шифрование, призванное защитить разработки и технологии киберпреступников и детектирование атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, призванные обеспечить гарантированный запуск модуля в подходящей для него среде и не допустить запуска, если среда не удовлетворяет требованиям. Среди неподходящих для модуля условий можно назвать:

• поведенческий анализ в песочнице (Sandbox);
• эмуляторные техники в случаях, когда антиэмуляторные механизмы не срабатывают;
• наличие отладчика и любого другого средства работы вирусного аналитика;
• наличие средств мониторинга системы и сетевого трафика;
• наличие неизвестного антивируса, не попадающего под используемые техники обхода.

У вас может возникнуть ложное ощущение, что все перечисленные средства применяются в каждой целевой атаке, но это не так. В случае гипотетической атаки на компанию «А» хакеры будут использовать конкретный набор инструментов. Он может состоять из одного Dropper с основным модулем Payload. Весь перечень инструментов, приведенный выше, лишь демонстрирует разнообразие технологий в арсенале киберпреступников.

Перейдем к применяемым техникам обхода стандартных средств защиты, таких как Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.

Обход стандартных средств защиты

На сегодняшний день стандартные решения информационной безопасности обладают большим количеством функций, обеспечивающих высокий уровень по контролю и фильтрации данных. Этот факт сильно усложняет работу киберпреступников и вынуждает их изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы.

Опишем наиболее известные из них:

• Обфускация кода. Запутывание кода на уровне алгоритма с помощью специальных компиляторов для усложнения его анализа антивирусом.
• Шифрование. Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.
• Инжектирование процесса. Техника подинамическому внедрению собственного кода вчужой процесс. Позволяет использовать всепривилегии легитимного процесса всвоих целях, необращая насебя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, втом числе контроля приложений. Инжектирование применяется науровне Windows API:
  • Определение дескриптора нужного процесса.
  • Создание нового потока в виртуальном пространстве процесса.
• Mimikatz. Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогиневшегося в системе пользователя в открытом виде. Из практики «Лаборатории Касперского»: каждая целевая атака строится на повышении прав доступа и реализуется под правами суперпользователя.
• Руткит. Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлогер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают всистемы свои драйверы и службы (они также являются «невидимыми»). Руткит также может быть использован как средство доставки, способное выгрузить все необходимое хакеру после заражения машины.
• Обход эмулятора. Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.
• Обход поведенческого анализа. Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код «засыпает» на некоторое время, чтобы предотвратить обнаружение.

Важно отметить факт присутствия уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Зачастую эксплуатирующий персонал неотслеживает бюллетени безопасности производителей и не устраняет проблемы своевременно, оставляя хакерам шанс на проникновение.

Эксплуатация уязвимостей

Само определение уязвимости говорит о потенциальном недостатке в программном обеспечении. Такое случается вследствие просчетов проектирования либо допущенных ошибок разработчиками ПО, ведь программы пишут люди. Этот недостаток может быть использован киберпреступником в собственных целях. Уязвимость эксплуатируется через внедрение кода в уже запущенную ОС или программу – таким образом изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять не декларированные функции, зачастую с правами администратора.

Уязвимости программного обеспечения можно разделить на два типа:

• Известные – имеющие стандартно классифицированное CVE (Common Vulnerabilities and Exposures) описание и готовые исправления в обновлениях разработчика. CVE – открытая база известных уязвимостей.
• Неизвестные, или уязвимости нулевого дня, не устраненные и еще не обнаруженные разработчиками и исследователями угрозы. Такого рода угрозы являются неплохим заработком для черных исследователей, зарабатывающих на продаже выявленных уязвимостей на хакерских рынках.

Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру.

Переполнение буфера (buffer overflow) – может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии илипредварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.

USB-устройства в сочетании с уязвимостью и методом социальной инженерии. Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.

Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.

Целевой фишинг (Spear phising) в сочетании с социальной инженерией. Абсолютно все современные компании используют специализированные средства контроля электронной почты. Наличие таких сервисов, как антиспам и антивирус, является обязательным условием для работы корпоративной почты. Многие пользователи привыкли доверять входящей корреспонденции, прошедшей, как они предполагают, профессиональную проверку специализированными средствами контроля безопасности. К сожалению, это не относится ксоциальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.

Так, секретарь может получить электронное письмо с вложением якобы от своего руководства либо партнера (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный е-mail, видоизменив один символ). При открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментов с вытекающими последствиями развития атаки.

Разновидности использования почты как точки входа:

• подделка/имитация адреса отправителя;
• опасное вложение (различные документы и изображения с вшитым эксплойтом);
• ссылка на HTML-страницу с заранее размещенным инструментом проникновения.

По данным исследования «Лаборатории Касперского» среди российских компаний, ключевыми рисками внутри по-прежнему остаются уязвимости в ПО (их отметили 48% отобщего числа опрошенных компаний), а также незнание правил ИТ-безопасности сотрудниками, приводящее к утечкам данных (отметили 37% респондентов). Исходя из этого мыприравниваем методы социальной инженерии к угрозам, не меньшим по важности, чем программные.

Комбинированные техники

Все организаторы целевой атаки используют комбинированный подход, включающий различные технические средства для реализации проникновения. Очевидный пример – когда хакер делал рассылку по электронным адресам сотрудников компании, предварительно войдя в контакт с ними в социальной сети под вымышленным именем и собрав данные о них. Это комбинация методов социальной инженерии с фишингом.

Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. Приэтом часть инструментов по проникновению могут сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в «белые списки» систем безопасности. Для наглядности приведем несколько примеров таких программ:

• Продукты удаленного администрирования, RDP, VNC.
• Программы переключения языков клавиатуры, имеющие возможность легитимно использовать логирование клавиатуры.
• Сетевые сканеры и т.д.

Инвентаризация сети

После выполнения автоматических уклонений от обнаружения и системных тестов на соответствие операционной среде Payload активирует основные функциональные модули, устанавливая закрытое шифрованное соединение с командными центрами и сигнализируя о своем активном статусе. На этой стадии киберпреступники приступают к консольной работе, используя терминал подконтрольной машины. Им очень важно быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться в сети. Первоочередным по важности является поднятие уровня доступа до привилегированного, после чего сразу же начинается изучение топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое ПО, например Netscan.

Фаза третья. Распространение

ОС учетом собранных данных по топологии сети происходит ручной отбор ключевых рабочих станций и серверов. Выбранные машины киберпреступники берут под свой контроль и используют под новые задачи. На этом шаге хакеры уже имеют административные права и все их действия по отношению к системам безопасности абсолютно легальны. Используя стандартные средства удаленного доступа, они выбирают наиболее удобные с точки зрения их задач серверы и рабочие станции.

Шаг 1. Закрепление внутри инфраструктуры

Под закреплением понимается комплекс мероприятий, направленный на организацию гарантированного доступа в инфраструктуру жертвы. Дело в том, что первичной точкой проникновения являются, как правило, компьютеры сотрудников с фиксированным рабочим графиком, а это означает, что время доступа в инфраструктуру для злоумышленников будет ограниченным.

Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак, расследованных экспертами «Лаборатории Касперского»:

• Duqu 2.0. В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn – известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Payload. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.
• Carbanak. Закрепление происходило методом копирования Payload в системную папку %system32%\com с именем svchost.exe, назначая файлу следующие атрибуты: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.

Шаг 2. Распространение

Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются серверы с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки Persistent. На таком уровне для заражения достаточно подключиться в выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.

Шаг 3. Обновление

Случается, когда определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля, например, такой функцией может являться запись звука с внешнего микрофона. Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть активирована при необходимости.

Шаг 4. Поиск ключевой информации и методов достижения целей

Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью являются шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.

Приведем пример из Carbanak: ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело втом, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов, ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.

Фаза четвертая. Достижение целей

Шаг 1. Выполнение вредоносных действий

В завершающей фазе мы подходим к ключевой точке целевой атаки. На этом этапе киберпреступники уже могут выполнить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз:

Пример 1. Хищение ключевой информации. Чаще всего компании сталкиваются с хищением информации. В коммерции это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж, реже получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.

Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающего реальный. Обычно это выглядит как активная шифрованная сессия, где веб-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).

Пример 2. Изменение данных. Пример целевой атаки Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.

А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств наподконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.

При этом если смотреть со стороны самих компаний, то статистика «Лаборатории Касперского» говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) ипотеря важных деловых контактов или бизнес-возможностей (34%).

Пример 3. Манипуляции с бизнес-процессами и шантаж. Наглядный случай произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. Врезультате были похищены тысячи файлов и документов, финансовых данных, а также к киберпреступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышло из строя, а на экранах рабочих станций отображалась фраза «мы завладели вашими секретами». Все данные на жестких дисках рабочих компьютеров были стерты, киберпреступники грозились опубликовать информацию, если компания не подчинится их требованиям.

Уничтожение данных – другой не часто встречающийся пример развития целевой атаки: в августе 2012-го порядка 30 тысяч персональных компьютеров, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя. Киберпреступники преследовали две цели: первая – хищение закрытой информации, вторая– полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив филиалы отсети Интернет.

Шаг 2. Сокрытие следов

На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.

Шаг 3. Точка возврата

На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.

В завершении статьи еще раз подчеркнем три основных отличия целевой атаки:

• адресность;
• скрытность;
• результативность.

В третьей части цикла статей «Анатомия целевой атаки» мы рассмотрим актуальные способы профилактики и противодействия процессу, именуемому целевой атакой.

1. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 1. //«Системный администратор», №4, 2016 г. – С. 36-39 (http://samag.ru/archive/article/3170).

Комментарии могут оставлять только зарегистрированные пользователи