Осада и каска: киберпреступники научились скрываться в сетях компаний
Ряд ИБ-компаний и госкорпорация «Ростех» в текущем году фиксируют мощный рост активности злоумышленников в отношении инфраструктур и внутренних сетей компаний. Причем методы становятся всё более тонкими и изощренными. Организации могут годами не догадываться о присутствии злоумышленников в инфраструктуре банков и предприятий. Как рядовым пользователям, работникам компаний и системным администраторам не стать жертвой продвинутого криминалитета — в материале «Известий».
Под видом легитимности
За прошедшие месяцы 2022 года специалисты по информационной безопасности (ИБ) зафиксировали сразу несколько техник, которые позволяли хакерам оставаться незаметными и заражать жертв через ранее неизвестные каналы, сообщили «Известиям» в ИБ Positive Technologies. Первая относится к взаимодействию с контрольным сервером, где хакеры всё чаще стали использовать облачные сервисы или мессенджеры. Такой трафик всегда зашифрован и легко маскируется под легитимный, так как соединение происходит с известным ресурсом.
Еще одна возможность для легкого и незаметного проникновения в сеть — атака через сторонние пакеты для программирования, например, для Python или JavaScript. Такая атака нацелена больше на разработчиков, но от этого она и более опасна, так как потенциально может принести много вреда компании.
— Представим, что программисту надо скачать дополнительную библиотеку, — отмечает руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов. — Он запускает утилиту для скачивания этой библиотеки из репозитория (место хранения данных. — Ред.), получает ее и устанавливает. А хакер может зарегистрировать вредоносную библиотеку с похожим названием. Если разработчик ошибется в названии, он может случайно скачать вредоносную программу. Кроме этого, хакеры могут взламывать аккаунты ответственных за репозитории и размещать вредоносный код в абсолютно легальных библиотеках, которыми пользуются тысячи разработчиков.
Еще стоит отметить появление новых уязвимостей нулевого дня, от которых практически невозможно защититься. Например, недавно была обнаружена эксплуатация такой уязвимости в продукте Microsoft Exchange, она получила название ProxyNotShell. На данный момент для нее нет патча, и в интернете находятся сотни тысяч уязвимых серверов с этим ПО, которые могут стать жертвой хакеров.
В последнее время одним из самых легких способов обхода средств защиты информации стало использование уязвимостей и неактуальных баз сигнатур в иностранных ИБ-продуктах, которые пока не успели импортозаместить (поскольку быстро такое не сделаешь), предупреждают в компании iTPROTECT. Отключенные от поддержки и обновления, такие средства не защищают в полной мере — уязвимости не «закрываются» вендором, а базы угроз не пополняются актуальными обновлениями. Другая возможность напрямую связана с «размытием» корпоративного и личного цифрового периметра.
— В мире, где множество людей уже привыкли работать на удаленке, а мобильность сотрудников высока, уже сложно однозначно назвать некоторые сервисы предназначенными исключительно для личного использования или для корпоративного, — говорит руководитель направления информационной безопасности компании iTPROTECT Кай Михайлов. — Этим также могут пользоваться злоумышленники. Например, для голосовых звонков зачастую используются любые удобные для этого системы, вплоть до Discord (который изначально имел игровую направленность).
В последние несколько месяцев злоумышленники активно учатся использовать «дыры» в таких сервисах для извлечения выгоды, так как разработчики не всегда способны предугадать все сценарии их использования. По исследованиям, проведенным для «Известий» экспертами АО «Инлайн Груп», в последние месяцы среди наиболее интересных можно выделить следующие методы и уловки:
• внедрение кода запуска оболочки в файлы журнала событий Windows;
• рост количества бэкдоров, использующих стенографию для своего сокрытия. Например, использование китайской группировкой Witchetty метода сокрытия бэкдора в логотипе Windows. При этом сборка исполняемых файлов и библиотек может происходить локально;
• использование легитимного подписанного процесса для загрузки вредоносных DLL-библиотек. Они содержат код и данные, которые могут использоваться несколькими программами одновременно;
• использование легитимных инструментов с цифровой подписью: зафиксировано добавление вредоносного кода в легитимное ПО, подписанное действительной цифровой подписью, и распространение его (ПО) через поддельные сайты. Очевидно, что сертификат для подписи был украден.
Случаи попыток вторжений
Для выявления следов продвинутой хакерской и вредоносной активности уже сегодня недостаточно одного средства или способа. Тут важно иметь комплекс систем безопасности. Его можно условно разделить на три уровня: базовый, расширенный и продвинутый. На базовом уровне используются антивирусные и антиспам-решения, межсетевые экраны, на расширенном — системы обнаружения целевых атак на конечных точках, «песочницы» — для предварительного запуска подозрительных ссылок и приложений и пр., а на продвинутом — системы мониторинга и оперативного реагирования на ИБ-инциденты, аналитические платформы для киберразведки, «ловушки» для хакеров и т.п.
Руководитель направления информационной безопасности компании iTPROTECT Кай Михайлов приводит несколько примеров:
— Не так давно мы внедрили капкан для хакеров в одном крупном банке. Он состоит из сети ловушек и приманок, замаскированных под сетевые папки, базы данных и другие активы, разбросанные по всей ИТ-инфраструктуре банка. Смысл в том, что если хакер уже проник в сеть, то он «постучится» в одну из таких приманок, и банк сможет выявить атаку на раннем этапе, — пояснил он.
Другой пример — использование системы анализа в реальном времени событий безопасности в региональном водоканале. Уже в процессе внедрения на пилотном участке были обнаружены нелегитимные подключения к внешним почтовым серверам из недружественных стран и следы распространения вредоносного ПО на части компьютеров. Характерно, что этот проект выполнялся в рамках импортозамещения, так как предыдущий иностранный продукт был отключен от поддержки и обновления, сообщил Михайлов.
Третий пример — внедрение системы защиты от целевых атак на одном промпредприятии, где перед этим случилось несколько критичных инцидентов, а таргетированные атаки не обнаруживались стандартными средствами. Еще на стадии «пилота» было выявлено несколько сотен образцов вредоносного ПО, которые в случае отсутствия или бездействия антивирусов заразили бы пользовательские компьютеры. В сети при этом обнаружились следы сразу нескольких целевых атак.
Какие средства хороши
Чтобы эффективно отражать атаки, нужно иметь средства защиты на всех уровнях проявления возможной вредоносной активности. Необходимо проверять файлы в специальной «песочнице», иметь анализаторы трафика и средства защиты на компьютерах сотрудников, отмечает руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов. Кроме того, важно использовать продукты, предназначенные для сбора и анализа информации о событиях безопасности, а также для защиты веб-приложений от несанкционированного доступа. Но нюанс в том, что поставить ПО не всегда достаточно, необходимы администраторы безопасности, которые быстро и компетентно смогут отреагировать на возникший инцидент или потенциальную угрозу.
— Но вообще-то какого-то единого метода защиты от замаскированных злоумышленников всё же не существует, — считает руководитель группы информационной безопасности АО «Инлайн Груп» Данила Егоров. — Необходимо использовать комбинированный подход в зависимости от предполагаемых векторов атак. Анализ событий и сетевого трафика, использование «песочниц», ханипотов (специализированных приманок), поведенческий анализ пользователей позволяют устранить слепые зоны, закрыть многие векторы атак и получить достоверную информацию о происходящем в инфраструктуре.
В свою очередь, директор по продуктам компании «Гарда Технологии» Павел Кузнецов акцентирует, что, к сожалению, формальное, даже самое точное следование требованиям нормативных актов регуляторов ИБ уже не работает в современных условиях.
— В последнее время для выявления вредоносной активности и скрытых следов уже присутствующего в системе злоумышленника необходимо мониторить, что происходит непосредственно на самих компьютерах и устройствах, а также искать аномалии в сетевых взаимодействиях, — объясняет Павел Кузнецов. — Кроме того, не стоит опасаться только продвинутых хакеров. К сожалению, зачастую угрозу могут нести собственные недобросовестные сотрудники и администраторы.
Невидимые гости
В настоящее время наиболее труднораскрываемыми техниками вторжения, по данным АО «Инлайн Груп», являются использование стенографии и подмена легитимных инструментов. Оба эти метода связаны с сокрытием вредоносного содержимого в файлах и инструментах, которым привыкли доверять пользователи и системные администраторы.
— Шансы же вообще не раскрыть присутствие киберпреступников в сетях компаний очень высоки, — говорит руководитель группы информационной безопасности АО «Инлайн Груп» Данила Егоров. — По статистике организаций, занимающихся расследованием инцидентов в области ИБ, продолжительность присутствия киберпреступников в инфраструктуре до обнаружения может составлять несколько лет. Сказывается недостаток на рынке труда кадров с образованием в области защиты информации, а также решение проблем информационной безопасности компаниями по остаточному принципу. К счастью, сейчас ситуация начала меняться в лучшую сторону, и многие озаботились вопросами ИБ всерьез.
Защита от «прогрессивной» киберпреступности зависит от сложности ИТ-инфраструктуры компании, имеющихся средств кибербезопасности, корректности их настроек и уровня киберграмотности сотрудников. Так, по словам руководителя направления информационной безопасности компании iTPROTECT Кая Михайлова, популярность использования человеческого фактора в цепочке атак уже затмила собой инструментальные методы взлома. Злоумышленники активно используют новостную повестку для фишинга путем распространения писем и вложений, которые с высокой вероятностью будут открыты частью пользователей. Небезопасное реагирование сотрудника, утечки персональных учетных записей из сторонних сервисов, активное поведение в соцсетях — идеальная среда для начала атаки и получения начальных привилегий. Закрепление в инфраструктуре уже дело техники, причем не всегда сложной, так как в условиях импортозамещения далеко не все уголки инфраструктуры мониторятся должным образом.
— Нужно быть готовыми к тому, что для самых труднораскрываемых техник в сети может элементарно не быть средств защиты, которые способны их обнаружить, — предупреждает руководитель отдела исследования угроз ИБ Positive Technologies Денис Кувшинов. — Качественно построенная система защиты спасает практически от любой угрозы. Во время расследований инцидентов приходится постоянно сталкиваться со случаями, когда организация не знала об инциденте полугодовой давности или злоумышленники присутствовали в инфраструктуре несколько месяцев.
По мнению директора по продуктам компании «Гарда Технологии» Павла Кузнецова, основная проблема сегодня не в том, что киберпреступление невозможно раскрыть — компании оказываются не готовы не только к противодействию злоумышленникам, но и к расследованию атак. По нашим оценкам, дельные специалисты по расследованию есть лишь в 10% самых крупных компаний.
— Современный арсенал средств защиты информации позволяет при грамотно выстроенной системе кибербезопасности выявлять практически все действия атакующих, причем как в реальном времени, так и в ретроспективе, — говорит Павел Кузнецов. — Более того, специалистам по большому счету они почти все известны. Профессионалам хорошо знакомы описания таких «каталогов»: например, база знаний MITRE ATT&CK описывает 222 техники атакующих, конкретная реализация каждой из которых той или иной группой преступников может отличаться незначительными деталями.
Иначе говоря, вопрос лишь в готовности компаний, организаций или учреждений. Например, для обеспечения видимости сетевых действий злоумышленника могут применяться решения класса NTA. Они способны анализировать весь трафик, циркулирующий в сети организации, позволяют отслеживать передвижение по ней злоумышленника с узла на узел и, к примеру, попытки вывода собранной им информации наружу, записывать трафик для возможного расследования преступления и сбора доказательств.