Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разрабатывали собственные утилиты, целясь в крупный бизнес и госвласть. Подход понятный и простой. Проблема только в том, что сами хакеры уже вышли за пределы этого шаблона. А раз врага надо знать в лицо, то и мы в JSOC решили подойти к делению хакеров и определению их инструментов, методик и целей с другой стороны. В итоге у нас получилось 5 уровней злоумышленников. В этом посте мы постарались изложить, как, на наш взгляд, изменились хакерский инструментарий и подходы к атакам и на что способны разные типы злоумышленников в зависимости от своей квалификации. Надеемся, вам будет интересно.
Квалификация злоумышленников растет, а атаки становятся все сложнее. Прошли 2010-е, когда хакеры быстро приходили, забирали самое ценное (как правило деньги) и уходили (если успевали). Теперь им нужно получить доступ в инфраструктуру жертвы, к ее ключевым узлам и находиться там инкогнито максимально долго. Целевых атак при этом становится больше, а злоумышленники все чаще выбирают себе специализацию: атакуют компании определенного масштаба из определенного сектора экономики – исходя из того, какой потенциал в себе чувствуют и какие цели преследуют.
Что в арсенале хакера
Обфускация ВПО
Как мы и говорили ранее, инструментарий злоумышленников усложнился. Намного чаще они стали применять методы обфускации при написании ВПО. То есть запутывание исходного кода вредоноса, не влияющее на его производительность и функционал, однако затрудняющее его анализ при декомпиляции. Таким образом можно обойти песочницы и антивирус на хостах. Логическая схема восстановленного вредоноса выглядит так:
Видите, сколько мельчайших функциональных блоков и переходов присутствует в коде? Эта паутина скрывает основные алгоритмы вредоноса, что, в свою очередь, позволяет практически гарантированно доставить и запустить ВПО на хосте жертвы.
Сокрытие C&C через TOR-ноды
Интересен подход злоумышленников при использовании TOR-нод (узлов распределенной сети, между которыми передается зашифрованный трафик). Если раньше они применялись лишь для доставки ключей шифрования и самого шифрования инфраструктуры жертвы, то сегодня за ними скрывают реальные адреса центров управления ВПО. Подобный подход существенно снижает эффективность классических фидов, которые содержат информацию о командных центрах в сети (IP-адреса, web-сайты).
Если учесть, что TOR-нод больше 10 000, то вам остается: либо мониторить использование TOR-сетей в организации и попутно блокировать их, либо смириться, потому что никакими фидами никогда в жизни не защитить компьютеры от управляющего центра ВПО.
Умное ВПО
Современные вредоносы становятся умнее. Например, они научились определять, что работают в средах виртуализации или стенда. Первое они обнаруживают путем проверки запущенных процессов. Если ВПО находит запущенные элементы VMware или Hyper-V, то автоматически уходит в сон. А попадая на тестовый стенд, ВПО делает скриншот рабочего стола и передает его злоумышленнику, который уже может сделать вывод о том, будет ли зараженный хост для него полезным или нет. Получается, что хакерам для поиска ценного ресурса теперь требуется гораздо меньше времени и усилий.
Ниже представлен пример обхода песочницы с докачкой основного тела вредоноса с файлообменника (а точнее, с фотообменика):
Вредонос вшит в самую обычную фотографию, которая располагалась на известном, а главное, легитимном хостинге для обмена фото imgur.com. Вы видите полноценную стеганографию демонстрирующую, как и откуда скачивалось фото на хост, как после этого часть фото переродилась в ВПО, которое и сделало всю грязную работу на заражённом хосте.
Доступные уязвимости
Доля критических уязвимостей с каждым годом растет. Растёт и скорость их эксплуатации. Раньше это были Shellshock и EternalBlue, с момента выявления и до начала эксплуатации которых прошло 1,5-2 года. Сегодня это Citrix Netscaler (по сути позволяет запускать вредоносный код прямо на оборудовании Cisco), которая всего за полгода «подкосила» многие компании. Поскольку это решение очень часто используется как в госкорпорациях, так и в коммерческих компаниях, пострадали очень многие, кто не пропатчилися вовремя.
Или другой пример. Критическая уязвимость Zerologon была обнаружена недавно, и реальных кейсов кибератак с применением этого инструмента мы пока не наблюдали, но, очевидно, что его эксплуатация не за горами. При этом практически сразу после обнаружения Zerologon мы нашли эксплуатирующий её вредонос.
По нашей статистике, закрытие уязвимости в организации занимает от 1 месяца до нескольких лет. Причем 1 месяц – это в самом прогрессивном банковском секторе. В госорганах процесс может растянуться на несколько месяцев, а то и лет. В инфраструктурах госзаказчиков нам встречались такие динозавры, как WannaCry или WannaMine.
Легитимные утилиты
Здесь злоумышленники действуют по принципу «спрятать на самом видном месте». Например, американские ИБ-исследователи запустили специальную платформу (ceye.io). Ресурс позволяет тестировать уязвимости (проводить тестовые атаки на организации) и собирать итоговую информацию. А так как это открытый проект, то зарегистрироваться на нем могли как белые, так и серые хакеры. Цель первых – обнаружить уязвимость и сообщить о ней владельцу ресурса, цель вторых – использовать найденные уязвимости в корыстных целях. Этим и воспользовались злоумышленники. После регистрации они начали «сливать» данные о компаниях сначала в свой личный кабинет на портале, а после выкачивали оттуда всю информацию. В самих организациях видели утечки, но решили, что раз это исследовательский портал, то, наверняка, кто-то проводит пентест или нечто подобное, и не блокировали ресурс.
Еще один вариант – использование утилит Nirsoft и Powershell, которые созданы для криминалистов. Nirsoft позволяет быстренько собрать пароли со всех браузеров на хосте, а Powershell – всю дополнительную информацию. Вот так:
В последнее время злоумышленники также стали обращать внимание на централизованное управление инфраструктурой через легитимные сервисы. Захватить сервер «Касперского» и через него подключаться к любому хосту – это же классика, причем как пентеста, так и реальной кибератаки. Самый критичный вариант: если ресурсы не мониторятся, захватить контроллер домена и спокойно сидеть на нем в компании админов и делать все, что угодно.
RDP и все, что не прикрыто
А сколько боли нам (а им возможностей) принесла пандемия!? Многие организации переходили на удаленку по-быстрому и по-простому, то есть через торчащий наружу RDP. Аналогичная история с веб-сервисами для ВКС. Как правило, они не пропатчены, и с них можно попасть в любую точку инфраструктуры.
Эффективным остается банальный ситуативный фишинг. Письмо со статистикой по COVID-19? Конечно, открыть! Загрузить памятку про вакцинацию? Естественно! Что же говорить про более продуманные атаки, когда злоумышленники обращаются к жертве по ФИО и меняют в домене «о» на «0».
За 2020-й также появились два новых вектора атак (конечно, они были всегда, но сейчас «заиграли новыми красками»). Это атаки на удаленных пользователей (например, через компрометацию данных VPN или взлом и заражение домашних устройств) и атаки через прямой взлом подрядчика или поиск уязвимой точки входа в инфраструктуру клиента.
Уровни злоумышленников
Все это говорит о расслоении подходов злоумышленников к атакам на инфраструктуру. Раньше для нас существовало две группы хакеров. Первая использовала базовые известные всем инструменты (например, эксплуатацию классических веб-уязвимостей, массовые фишинговые рассылки и т. д.). Вторая понимала, как обходить СЗИ, была нацелена на быструю монетизацию, но все же действовала довольно прямолинейно и по привычной для себя схеме. На самом деле была и третья группа – правительственные группировки, которые, отличалась очень высокой квалификацией, но мы на своей практике с ними не встречались. Сейчас же мы отмечаем более четкое расслоение навыков злоумышленников и выделяем 5 уровней их квалификации:
Категория нарушителя | Типовые цели | Возможности нарушителя |
Автоматизированные системы | Взлом устройств и инфраструктур с низким уровнем защиты для дальнейшей перепродажи или использования в массовых атаках | Автоматизированное сканирование |
Киберхулиган/Энтузиаст-одиночка | Хулиганство, нарушение целостности инфраструктуры | Официальные и Open Source инструменты для анализа защищенности |
Киберкриминал / Организованные группировки | Приоритетная монетизация атаки: шифрование, майнинг, вывод денежных средств | Кастомизированные инструменты, доступное ВПО, доступные уязвимости, социальный инжиниринг |
Кибернаемники / Продвинутые группировки | Нацеленность на заказные работы, шпионаж в интересах конкурентов, последующая крупная монетизация, хактивизм, деструктивные действия | Самостоятельно разработанные инструменты, приобретенные 0-day-уязвимости |
Кибервойска / Прогосударственные группировки | Кибершпионаж, полный захват инфраструктуры для возможности контроля и применения любых действий и подходов, хактивизм | Самостоятельно найденные 0-day-уязвимости, разработанные и внедренные «закладки» |
От кого спасет антивирус
Автоматизированные системы (то же, что и автоматизированные сканеры) пытаются эксплуатировать классические web-уязвимости. В целом при соблюдении базовых принципов ИБ-защиты и наличии стандартного набора СЗИ они не страшны. Но если в организации есть незащищенный RDP с учеткой типа «admin:admin», то, скорее всего, автоматизированная система сможет получить доступ к такому хосту.
Киберхулиганы (как правило, одиночки) – это начинающие хакеры, которые осваивают базовый инструментарий. В их арсенал входят различные Open Source средства (вспомним хотя бы Kali Linux). Противостоять им могут базовые средства защиты, но при условии, что они настроены корректно и нет очевидных незащищенных серверов. Словом, все как с автоматизированными системами. То есть они действуют по принципу «быстро глянуть, а что есть у вас на периметре». Если ваши администраторы или подрядчики допустили оплошность, то эти вредители ее заметят сразу. Таких «мамкиных хацкеров» очень много и кому-нибудь из них обязательно повезет наткнуться на открытый сервер или сервис.
WAF и Sandbox уже не помогут
С киберкриминалом посложнее. Это организованные группировки, которые в первую очередь нацелены на монетизацию совей атаки, будь то шифрование с последующим выкупом и установка майнеров или прямой вывод средств, например, из банков.
Их основная цель – обойти базовые средства защиты (песочницы, антивирусы, firewall, WAF). К тому же они хорошо знают, как устроена кибербезопасносноть в организациях, потому что чаще всего сами когда-то там работали (а, может, и работают до сих пор). Кроме того, у них достаточно денег, чтобы просто купить доступы в интересующую их организацию. Зачем тратить время на поиск точки входа, когда все уже сделано какими-нибудь автоматизированными системами? Они также часто покупают известное ВПО, но умеют его кастомизировать. Еще в запасе у киберкриминала всегда есть несколько приемов из социальной инженерии. Например, в 2020 году они умело использовали актуальную тему COVID-19, чтобы заразить компьютеры корпоративных пользователей и уже оттуда получать доступ в инфраструктуру. И здесь злоумышленников становится невозможно детектировать без мониторинга, потому что вся их техника заточена обходить базовые средства защиты.
Словом, в случае с киберкриминалом базовыми СЗИ уже не обойтись. Требуется внедрение процессов мониторинга инцидентов ИБ и процессов патч-менеджмента, а также базовый мониторинг СЗИ и инфраструктуры. Мы не говорим про что-то сверхъестественное, ведь пока такие злоумышленники не научились обходить SOC. Достаточно настроить 20-30-40 сценариев для выявления типовых инцидентов.
Когда нужна форензика
Кибернаемники используют те же техники обхода, что и предыдущие злоумышленники, но делают это намного более профессионально. Они эксплуатируют 0-day-уязвимости на этапе проникновения и перемещения в инфраструктуре, практически не оставляют следов на хостах, применяют ВПО, исполняемое в оперативной памяти, и используют легитимные сервисы, заметая следы после перезагрузки оборудования. В итоге обнаружить признаки их присутствия без профессиональных форензеров практически невозможно.
Самой технически подкованной категорией являются проправительственные кибергруппировки. Согласитесь, когда твой заказчик государство, нельзя ударить в грязь лицом. Такие злоумышленники могут позволить себе потратить время на самостоятельный поиск уязвимостей для целевой атаки и разработку собственного ВПО.
Для противостояния таким хакерам будет недостаточно просто собирать логи с СЗИ, критичных серверов и систем. Необходимы максимальный охват инфраструктуры, сегментация сети, контроль терминальных серверов, контроль привилегированных пользователей, продвинутый мониторинг с применением дополнительных компонентов (NTA и EDR для контроля сетевого трафика и всего того, что происходит на хостах). Словом, полный набор!
Обнаружить злодеев, которые тщательно заметают свои следы и используют многокомпонентные атаки, помогает выстраивание Kill Chain из отдельных, возможно, не очень значимых инцидентов, а также технологии Threat Hunting и Silent Detected на этапе выявления инцидентов.
ВЫВОД
Раз действия злоумышленников ставятся все более хитро… сложносочиненными, то и нам нельзя отставать от них и делить их только на профессионалов и любителей. Пока мы только начали применять новых подход к определению врага. Не исключено, что через пару лет уровней станет уже не 5, а намного больше. Может, и космические инопланетные кибергруппировки когда-нибудь появятся в этом списке.
А вы согласны с нашей классификацией?
Автор: Станислав Скусов, пресэйл-архитектор Solar JSOC
