Анатомия таргетированной атаки. Часть 4. Обнаружение таргетированных атак

 ВЕНИАМИН ЛЕВЦОВ, вице-президент, глава корпоративного дивизиона «Лаборатории Касперского»

 НИКОЛАЙ ДЕМИДОВ, технический эксперт «Лаборатории Касперского»

Анатомия таргетированной атаки
Часть 4. Обнаружение таргетированных атак

Это заключительная статья цикла публикаций [1-3], посвященных природе таргетированных атак, их особенностям и методам противодействия им

В предыдущей, третьей части [3], мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ. Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:

• анализ аномалий – технология, основанная на статистическом анализе информации и учитывающая частоту событий и их последовательность. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности;
• динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде.

Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.

Так что же должна уметь современная система выявления следов таргетированной атаки?

• Собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7;
• Быстро обнаруживать следы целевой атаки;
• Уведомлять об инцидентах информационной безопасности;
• Детально протоколировать выявленные инциденты;
• Передавать события об инцидентах в систему корреляции событий SIEM и друге решения;
• Получать статистику угроз через облачную инфраструктуру;
• Накапливать историческую информацию об инцидентах.

Рассмотрим за счет каких технологий удается достичь результата в обнаружении таргетированной атаки на примере их реализации в решении «Лаборатории Касперского».

На протяжении более чем 20 лет «Лаборатория Касперского» занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Cтатью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.

Важно отметить

Часть основополагающих технологий детектирования, вошедших в состав решения, были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.

Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.

Какова цель решения?

Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (dashboard).

Как решение устроено?

Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующем уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.

Какая информация в решении считается обязательной для анализа?

В целях обеспечения комплексного мониторинга, решение анализирует следующую информацию:

• Посещаемые URL
• Файлы различных форматов в том числе исполняемые
• Электронные сообщения и вложения
• Метаданные траффика
• Метаданные рабочих станций

Далее мы подробней расскажем про архитектуру решения, и опишем функциональное назначение каждого уровня в отдельности.

Как строится взаимодействие в многоуровневой структуре?

Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни «делятся» анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который в свою очередь осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.

1. Уровень сбора информации;
2. Статический анализ;
3. Динамический анализ объектов;
4. Статистический анализ;

Рассмотрим применяемые технологии на каждом из уровней решения.

Рисунок 1. KATA Platform включает четыре уровня анализа, обеспечивающих детектирование угроз

Уровень 1 – Сбор информации

Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для вы-полнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, сервера электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.

Сбор данных на уровне сети

Для сбора сетевых данных применяются следующие технологии:

• Сбор URL – из сетевого трафика выделяются посещаемые URL, которые передаются для проверки верхними уровнями системы.
• Сбор файлов – благодаря технологии File recognition, применяющей множество критериев к объектам, из сетевого потока выделяются только обязательные файлы, попадающие на второй и третий уровень анализа. Это позволяет решению не тратить время и производительность на анализ каждого проходящего объекта в сети.
• Сбор Email – электронная почта продолжает оставаться одним из основных каналов распространения целевых атак. Каждое входящее электронное письмо вначале отправляется на проверку второго уровня статического анализа – антивирусом.
• Сбор метаданных траффика – генерируется подробная информация по сетевому траффику, необходимая для работы четвертого уровня системы, где расположен Targeted Attack Analyzer. Информация накапливается и применяется длявыполнения статистического анализа.
• Система обнаружения вторжений (ID System)

Технология сигнатурного детектирования, применяемая на первом уровне основана на технологии SNORT и отвечает за проверку сетевого траффика. Приведем несколько примеров обнаружения данной технологией:

• Активное сканирование портов;
• Переполнение буфера;
• Атаки на веб-приложения, базы данных и веб порталы (например, инжектирование кода)
• Сетевая коммуникация с командным центром (определяя основные известные команды, применяемые в управлении);
• RAT – remote admin tool (инструменты удаленного управления) и др.
• Вердикты IDS системы передаются непосредственно в общую базу четвертого уровня, Targeted Attack Analyzer.

Сбор данных с рабочих станций

Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:

• Метаданные сети, содержание подробную информацию (временные интервалы, типы протоколов, IP соединения т.д.);
• Информация о процессах операционной системы (наименование, время работы, и т.д.);
• Информация об изменениях в реестре (тип записи, время изменений);
• Информация об установленных программах (наименование, когда установлена, частота использования);
• Информация об учетных данных в системе (вход в систему, время, от имени кого выполняется программа и д.р.);
• Метаданные файлов (для работы репутационной базы второго уровня статического анализа);
• Дамп оперативной памяти (по запросу уровня статистического анализа (TAA)) и некоторые другие параметры.

Уровень 2 – Статический анализ

Второй уровень приведенной выше общей схемы решения – отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.

Рассмотрим некоторые реализованные на этом уровне технологии :

• Антивирусный движок (Anti-Malware Engine) – выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика. Помимо файлов из траффика производится проверка вложений электронной почты перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, таки графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа.
• YARA правила – реализована работа с открытым языком сигнатурного описания что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых илибинарных шаблонах.
• Облачное детектирование – Kaspersky Security Network (KSN).

KSN – облачный сервис, предоставляющий оперативный доступ к базам знаний «Лаборатории Касперского», в которых содержится информация по следующим категориям:

• База URL репутации, проверяет посещаемые URL, выносит вердикт поопасным иненадежным адресам всети Интернет, которые могут предоставлять угрозу безопасности пользователей. Также контроль распространяется инаэлектронные письма, вкоторых могут содержаться опасные URL ссылки. Категории веб-адресов, содержащиеся врепутационной базе данных KSN:
  • Вредоносный, несет опасность заражения;
  • Фишинговый, используется в целях хищения личной информации;
  • Адреса, связанные с таргетированной атакой, либо ранее замеченные в ней;
• База репутации файлов, использует для работы снятые контрольные суммы файлов, выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках;

Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.

Каждый вердикт, формируемый KSN, сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа (TAA).

• Risk Score Engine – анализ apk-файлов мобильной операционной системы Android. Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk-файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.

Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.

Уровень 3 – Динамический анализ

Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно не важно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, онс одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. Тоже самое касается URL адресов, после прохождения репутационной базы, они будут переданы на уровень динамического анализа.

Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.

• Windows XP
• Windows 7 32Bit
• Windows 7 64 Bit

Техники, препятствующие динамическому анализу, и методы борьбы с ними

Технология динамического анализа присутствует на рынке достаточно давно и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:

• Задержка исполнения кода;
• Проверка количества ядер процессора;
• Проверка имени машины;
• Проверка программного окружения;
• Трекинг активности мыши/клавиатуры.

В связи с этим песочница «Лаборатории Касперского» обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых

• Эмуляция работы пользователя (движения мышью, работа на клавиатуре);
• Распознавание диалоговых окон, автоматическое действие;
• Выполнение прокрутки документа (scroll);
• Настройка окружения, максимально похожего на реального пользователя;
• Эмуляция работы пользователя, включая реакцию на диалоговые окна.

Также, песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.

Необходимо отметить две дополнительные задачи, решаемые песочницей:

• Проверка неизвестных URL-адресов. Дело в том, что в реализации второй фазы таргетированной атаки («проникновение») киберпреступники могут скомпрометировать доверенный сторонний веб-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.
• Проверка вложений электронной почты. Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку идинамический анализ содержащихся в нем объектов.

Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.

Уровень 4 – Статистический анализ

На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный – Красный, средний – Желтый, незначительный – Серый).

Targeted Attack Analyzer – анализатор таргетированных атак Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.

Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:

1. Накопительный ретроспективный анализ и поиск аномалий

Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.

Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой «Лаборатории Касперского» (распространённость, время жизни объектов, репутация, категоризация доменов и файлов, и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного ПО.

Пример накопительного ретроспективного анализа:

• Детектирование всплесков сетевой активности на узлах в нетипичное для работы время;
• Запуск программного обеспечения/системных утилит, работа которых была не характерна ранее;
• Активность на машине под учетной записью пользователя, ранее не работавшего на ней.

Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.

2. Связь в хронологическом порядке подозрительной активности, относящейся к атаке

Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.

Приведем пример перечня данных, на базе которых выстраивается хронологическая связь.

• Статистика активности рабочих станций;
• Статистика сетевой активности ИТ-инфраструктуры компании;
• Инциденты, заведенные детектирующими технологиями каждого из уровней.

3. Сбор объектов с рабочих машин пользователей

Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу, либо статического анализа.

Поддерживается сбор следующих типов объектов:

• Исполняемые файлы
• Дампа оперативной памяти. Из общей тенденции развития таргетированных атак все больше случаев, когда следы можно обнаружить только в оперативной памяти.

Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.

Регулярные обновления технологий детектирования

В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.

1. Уровень сбора информации
   • обновление сигнатур для технологии обнаружения вторжений
2. Статический анализ
   • обновление компонентов антивирусного движка
   • обновление методов анализа электронной почты
3. Динамический анализ объектов
   • обновление логики определения подозрительности поведения в том числе Anti-Evasion техник
4. Статистический анализ
   • обновление логики анализа и выявления аномалий
   • правила заведения групповых инцидентов

Задачу динамических обновлений решает специализированный сервис «Лаборатории Касперского», обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.

В случаях использования решения в закрытом контуре, предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.

Результаты, о которых стоит сказать

За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.

В сентябре 2015 года система по защите от таргетированных атак «Лаборатории Касперского», развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации.

С детальным анализом атаки вы можете ознакомиться по адресу https://securelist.ru/analysis/obzor/28983/faq-the-projectsauron-apt.

Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры «Лаборатории Касперского» были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0, заключалось в том, что вредоносный код содержался только воперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.

С детальным анализом атаки вы можете ознакомиться по адресу: https://securelist.ru/blog/issledovaniya/25888/duqu-2-0-moshhnaya-kibershpionskaya-gruppirovka-snova-v-igre.

Вы также можете ознакомиться с картой, демонстрирующей эволюцию таргетированных атак на примере ранее обнаруженных. Данная динамическая карта, специально создана «Лабораторией Касперского» для информирования одействующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое. Ее можно посомтреть по адрему: https://apt.securelist.com

Экспертная поддержка

Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.

Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:

• Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса, позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.
• Внешний экспертный сервис «Расследование инцидентов» полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.

Задачи, решаемые экспертным сервисом:

• предотвращение возможной утечки конфиденциальной информации;
• снижение затрат, связанных с инцидентом;
• снижение репутационных рисков с учетом выявленного инцидента;
• восстановлению нормальной работоспособности скомпрометированных узлов включая дополнительные рекомендации;
• выработка рекомендаций по защите информации на базе выявленного инцидента, что бы избежать подобных инцидентов в будущем.

Threat Deception как дополнительный источник данных о целевых атаках

Технология является продолжением развития специализированных решений, именуемых «Honeypot» – предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, сервера), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.

Однако зачастую решения класса «Honeypot» не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.

«Threat Deception» подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса «Honeypot». «Threat Deception» предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа проводимого экспертом ИБ. Для этого в процессе имплементации решения, защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.

Внутри ловушки повторяют основной набор бизнес приложений и содержат специальные файлы приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP адрес, время, наименование ловушки).

Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.

***

На этом наш цикл статей завершен, мы надеемся, что он помог детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!

1. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 1. //«Системный администратор», №4, 2016 г. – С. 36-39 (http://samag.ru/archive/article/3170).
2. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 2. Развитие атаки. //«Системный администратор», №5, 2016 г. – С. 16-21 (http://samag.ru/archive/article/3188).
3. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 3. Способы профилактики и противодействия. //«Системный администратор», №7-8, 2016 г. – С. 40-46 (http://samag.ru/archive/article/3236).

* Отчет Финансовые аспекты информационной безопасности в российских компаниях, b2b International для «Лаборатории Касперского», 2016. https://business.kaspersky.com/security_risks_report_financial_impact.

Комментарии могут оставлять только зарегистрированные пользователи