Ты никогда не задумывался о том, почему хакеров, занимающихся кибер-шпионажем,
так трудно обнаружить? Эти так называемые "постоянные угрозы повышенной
сложности" (Advanced Persistent Threat или APT) характеризуются тем, что хакер
маскирует свою деятельность с помощью инструментов, которые уже есть на хосте,
на который направлена атака, действуя через широко используемые сетевые порты и
даже пряча свои командно-контрольные коммуникации (C&C) в комментариях HTML.
"Они не очень-то стараются прятаться, все происходит в поле нашего зрения", -
говорит Шон Брэкен, руководитель исследовательских работ в HBGary, который
занимается изучением этих атак в целях судебной экспертизы. "Это заставляет нас
задуматься о том, насколько они искушены в области поведенческой блокировки и
анализа, которыми пользуются организации".
Эти хакеры не делают ошибок, которые могли бы быть подозрительными и
заставить организацию принять меры, вместо этого они пытаются оставаться в
гармонии с системой, как бы слиться с ней. "Инструменты, которые они
устанавливают, устанавливаются так, чтобы не потревожить IPS. Они применяют
законные, известные API и особенно уделяют внимание тому, чтобы не делать
ничего, выходящего за рамки обычного".
Это означает использование инструментов администратора самой взламываемой
операционной системы и все более частое использование комментариев HTML для
управления. Существует, по крайне мере, три APT-группы, включая тех, кто стоит
за кампанией Shady RAT, которые применяют вышеописанную технику, дабы скрыть
свои C&C. "Вы не можете заблокировать все веб-сайты, содержащие комментарии", -
заявляет Брэкен.
Джо Стюарт, руководитель исследований вредоносного ПО в Dell SecureWorks
Counter Threat Unit, утверждает, что APT-хакеры используют закодированные
комментарии в веб-страницах уже в течение продолжительного времени. "Эта техника
применяется уже в течение нескольких лет и исследователи по безопасности,
следящие за деятельностью APT-хакеров, также знают об этом уже в течение
нескольких лет", - говорит Стюарт. "Это знание может быть полезным для
обнаружения трафика APT, однако только для определенного типа вредоносного ПО,
использующего определенные комментарии HTML и их соответствующие форматы".
Это работает следующим образом: хакеры взламывают веб-сервер где-то в
Интернете или сайт социальной сети, например, блог. Атакующий затем
помещает закодированные команды в виде скрытого комментария на этот сайт и RAT
(средство удаленного администрирования) регулярно проверяет эту страницу.
"Мы видели два сценария развития событий: хакер атакует веб-сервер и
взламывает его при помощи внедрения SQL-кода, например, а затем, прячет свои
комментарии на этом сервере", - заявляет Грег Хоглунд, генеральный директор
HBGary. RAT содержит закодированное DNS-имя, которое потом транслируется в
IP-адрес зараженного сайта. "Таким образом RAT осуществляет удаленное соединение
и забирает команды", - утверждает он.
Второй сценарий – это когда злоумышленники используют легальную социальную
сеть или приложение, такое как, например, Google BlogSpot, чтобы поместить свои
закодированные команды в комментарий HTML, рассказывает Хоглунд. Эти команды
часто являются командами управления, приказывающие, например, машине
подсоединиться к другой определенной машине в сети жертвы и оставить открытым
TCP соединение. Это снабжает хакера интерактивной связью с машиной и "таким
образом он получает доступ к командой строке", утверждает Хоглунд.
Они специально не скрывают даже средства удаленного доступа. "Они не должны
выглядеть так, как будто они хотят остаться незамеченными", - говорит Хоглунд.
"Злоумышленники хотят, чтобы они выглядели как часть обычного ПО".
Таким образом, при условии обнаружения комментариев HTML, можно вычислить, на
какой машине стоит RAT, утверждает он. В сети гораздо больше подобных "крыс",
чем мы себе представляем, комментирует Хоглунд.
