Мно­гие годы вни­мание кибер­прес­тупни­ков было нап­равле­но на цен­ные дан­ные обыч­ных поль­зовате­лей. Собирая «с миру по нит­ке», прес­тупни­ки выужи­вали пла­теж­ную информа­цию поль­зовате­лей с их компь­юте­ров при помощи бан­ков­ско­го вре­донос­ного прог­рам­мно­го обес­печения и тем самым кра­ли мил­лионы дол­ларов со сче­тов бан­ков и пла­теж­ных сис­тем. Одна­ко в нас­тоящее вре­мя фокус вни­мания кибер­прес­тупных групп замет­но смес­тился в сто­рону целенап­равлен­ных атак (Advanced Persistent Threat, APT) на кор­поратив­ные инфраструк­туры, в ходе которых так­же исполь­зует­ся спе­циали­зиро­ван­ная мал­варь.

От редакции

В янва­ре 2015 года исполни­лось ров­но пять лет с тех пор, как Денис начал писать в наш жур­нал. В пос­леднее вре­мя он вооб­ще разошел­ся, сде­лал нам сра­зу две кру­тей­шие темы номера под­ряд, а сей­час доз­рел аж до лич­ной колон­ки. А что­бы делать лич­ную колон­ку, надо либо быть Сте­паном Иль­иным, либо иметь дос­таточ­но хороших идей (минимум на пол­года), либо удов­летво­рять обо­им ука­зан­ным усло­виям сра­зу :). С идей­ками у Дениса все в поряд­ке, так что про­шу любить и жаловать нового колум­ниста! Пер­вая, эээ, колон­ка у него получи­лась раз­мером с полови­ну доб­рой статьи, но будем наде­ять­ся, что к сле­дующим выпус­кам он най­дет воз­можность ужать­ся :).

При­чины понят­ны: такие ата­ки очень эффектив­ны. Во‑пер­вых, ком­про­мета­ция кор­поратив­ной инфраструк­туры поз­воля­ет зло­умыш­ленни­ку получить дос­туп к цен­ным ресур­сам ком­пании. Нап­ример, на бан­ков­ских сче­тах орга­низа­ции хра­нят­ся куда боль­шие средс­тва, чем на сче­те сред­неста­тис­тичес­кого поль­зовате­ля онлайн‑бан­кинга. Кро­ме того, у прес­тупни­ка может ока­зать­ся дос­туп к акти­вам орга­низа­ции, утеч­ка которых, в свою оче­редь, может пос­тавить под угро­зу весь биз­нес.

Ка­залось бы, с рос­том мас­шта­бов инфраструк­туры и бюд­жетов на орга­низа­цию и под­дер­жку сис­тем управле­ния ее информа­цион­ной безопас­ностью дол­жна повышать­ся и ее защищен­ность. Одна­ко исто­рия демонс­три­рует мно­го при­меров, ког­да круп­ные ком­пании ощу­тили на себе пос­ледс­твия APT-атак. Кро­ме того, ряд инци­ден­тов, в которых фигури­руют APT-ата­ки, носит полити­чес­кий харак­тер, что говорит о рос­те активнос­ти груп­пировок, которые под­держи­вают­ся на пра­витель­ствен­ном уров­не. Дан­ный факт озна­чает, что тех­ники и средс­тва про­ник­новения в кор­поратив­ную и государс­твен­ную инфраструк­туру ста­новят­ся слож­нее, чего пока что нель­зя ска­зать о методах пре­вен­тивной защиты.

Тем не менее без дол­жно­го вни­мания оста­ется ряд тех­нологий, которые уже сей­час могут кар­диналь­ным обра­зом повысить защищен­ность кор­поратив­ной инфраструк­туры от тар­гетиро­ван­ных атак, вне зависи­мос­ти от средств и методов, которые исполь­зуют зло­умыш­ленни­ки. Для того что­бы понять прин­цип дан­ных тех­нологий и опи­сать их реали­зацию на кон­крет­ных при­мерах, необ­ходимо разоб­рать­ся, как устро­ены самые тех­нологи­чес­ки прод­винутые APT-угро­зы, которые были обна­руже­ны в 2014 году.

 

Связанные одной целью

Ко­неч­ная цель APT-ата­ки — получить дос­туп к цен­ной информа­ции. Каж­дый из опи­сан­ных ниже пред­ста­вите­лей дан­ного клас­са угроз дела­ет это по‑сво­ему.

 

Epic Turla

Ле­том 2014 года анти­вирус­ные экспер­ты опуб­ликова­ли ана­лиз круп­номас­штаб­ной кам­пании кибер­шпи­она­жа, которой прис­воили наз­вание Epic Turla. В резуль­тате этой кам­пании заражен­ными ока­зались сот­ни компь­юте­ров в более чем 45 стра­нах мира, при­над­лежали они, в час­тнос­ти, государс­твен­ным учрежде­ниям, посоль­ствам, воен­ным, иссле­дова­тель­ским цен­трам и фар­мацев­тичес­ким ком­пани­ям.
Ата­ки, про­водив­шиеся в рам­ках дан­ной кам­пании, мож­но раз­делить на нес­коль­ко групп в зависи­мос­ти от век­тора пер­вично­го зараже­ния компь­юте­ра:

  • це­левые рас­сылки фишин­говых писем, содер­жащих PDF-экс­плой­ты;
  • ата­ки с при­мене­нием соци­аль­ной инже­нерии с целью убе­дить поль­зовате­ля запус­тить вре­донос­ный уста­нов­щик с рас­ширени­ем SCR;
  • ата­ки типа watering hole с при­мене­нием экс­плой­тов для Flash, Java и Internet Explorer вер­сий 6, 7, 8. Watering hole — это ата­ка, осно­ван­ная на исполь­зовании популяр­ного сре­ди потен­циаль­ных жертв веб‑ресур­са, который ском­про­мети­рован зло­умыш­ленни­ками и прис­пособ­лен ими для раз­дачи вре­донос­ного кода.
Сле­дующий этап пос­ле зараже­ния жер­твы — это зак­репле­ние во взло­ман­ной сис­теме. Зло­умыш­ленни­ки добива­ются это­го с помощью экс­плой­тов для повыше­ния при­виле­гий и запус­ка бэк­дора в сис­теме с пра­вами адми­нис­тра­тора. Пос­ле зараже­ния компь­юте­ра жер­твы зло­умыш­ленни­ки заг­ружа­ют на него нес­коль­ко инс­тру­мен­тов, которые реали­зуют тре­тий этап ата­ки — сбор цен­ной информа­ции. Нап­ример, файл C:\Documents and Settings\All users\Start Menu\Programs\Startup\winsvclg.exe, который на самом деле явля­ется кей­лог­гером. Резюми­руя все опи­сан­ные дей­ствия, сце­нарий ата­ки в ходе опе­рации Epic Turla мож­но упростить до трех эта­пов: зараже­ние — зак­репле­ние — сбор цен­ных дан­ных.
Сценарий атаки в ходе операции Epic Turla
Сце­нарий ата­ки в ходе опе­рации Epic Turla
 

APT-атака Darkhotel

Дру­гая, не менее инте­рес­ная ата­ка, получив­шая наз­вание Darkhotel, была нацеле­на на пос­тояль­цев гос­тинич­ных сетей и биз­нес‑цен­тров. Пос­тояль­цы, которые под­клю­чались к Wi-Fi-сети гос­тиниц, получа­ли пред­ложение уста­новить обновле­ния для популяр­ных прог­рам­мных про­дук­тов. Дан­ные обновле­ния содер­жали бэк­дор Darkhotel. Таким обра­зом, этап зараже­ния, в ходе которо­го про­изво­дит­ся как изби­ратель­ное зараже­ние жертв в гос­тиницах, так и неиз­биратель­ное рас­простра­нение вре­донос­ного кода в P2P-фай­лооб­менни­ках, перехо­дил в этап зак­репле­ния.

Сценарий APT-атаки Darkhotel
Сце­нарий APT-ата­ки Darkhotel

На эта­пе сбо­ра цен­ных дан­ных заг­ружались вре­донос­ные ком­понен­ты, которые реали­зовы­вали ту или иную задачу, нап­ример изби­ратель­ный инфектор фай­лов (igfxext.exe) или модуль кра­жи дан­ных (DmaUp3.exe).

 

Regin

Regin пред­став­ляет собой плат­форму для кибера­так, которую нападав­шие раз­верты­вали на сто­роне жер­твы, что­бы получить кон­троль над ней. Он име­ет модуль­ную архи­тек­туру и нес­коль­ко ста­дий раз­верты­вания сво­их ком­понен­тов.

Стадии развертывания компонентов платформы Regin
Ста­дии раз­верты­вания ком­понен­тов плат­формы Regin

Сле­дует отме­тить, что на чет­вертой ста­дии (Stage 4) про­изво­дит­ся заг­рузка DLL-биб­лиоте­ки —основно­го фун­кци­она­ла плат­формы, который дей­ству­ет в поль­зователь­ском режиме.

 

Запретить «по умолчанию»

Про­ана­лизи­ровав опи­сан­ные APT-угро­зы, мож­но выделить общие харак­терис­тики в сце­нари­ях атак. Рас­смот­рим каж­дый этап сце­нария «зараже­ние — зак­репле­ние — сбор дан­ных».

На эта­пе зараже­ния, как пра­вило, зло­умыш­ленни­ки исполь­зуют раз­личные тех­ники дос­тавки вре­донос­ного кода до опе­раци­онной сис­темы жер­твы: ата­ки типа drive-by-download; рас­сылка элек­трон­ных писем, содер­жащих экс­плойт; дос­тавка вре­донос­ного кода пос­редс­твом соци­аль­ной инже­нерии и дру­гие. Конеч­ная цель дан­ных атак — дос­тавить так называ­емую полез­ную наг­рузку (payload) в опе­раци­онную сис­тему жер­твы и запус­тить ее. Полез­ная наг­рузка пред­став­ляет собой исполня­емый (.exe) файл или биб­лиоте­ку (.dll), содер­жащие вре­донос­ный код.

По­пыт­кам прес­тупни­ков про­экс­плу­ати­ровать уяз­вимость в прог­рам­мном обес­печении на сто­роне жер­твы и, как резуль­тат, заг­рузить вре­донос­ный код доволь­но успешно про­тивос­тоят спе­циаль­ные тех­нологии. Одна из таких тех­нологий, нап­ример, защита от экс­плой­тов, которая сле­дит за поведе­нием прик­ладно­го ПО и при ано­мали­ях в их поведе­нии (которые обя­затель­но появ­ляют­ся в про­цес­се экс­плу­ата­ции уяз­вимос­ти) бьет тре­вогу. Одна­ко даже в том слу­чае, если зло­дей каким‑либо обра­зом (нап­ример, исполь­зуя соци­аль­ную инже­нерию и про­воци­руя поль­зовате­ля отклю­чить анти­вирус­ный про­дукт) дос­тавил полез­ную наг­рузку на сто­рону жер­твы, куда более эффектив­ной может ока­зать­ся тех­нология Default Deny.

На­чать вре­донос­ные дей­ствия в сис­теме сра­ботав­ший исполня­емый код может четырь­мя спо­соба­ми:

  1. Заг­рузка / извле­чение из себя исполня­емо­го фай­ла и его запуск.
  2. Заг­рузка / извле­чение из себя модуля (DLL, OCX) и инстал­ляция его в сис­теме.
  3. Про­дол­жение выпол­нения вре­донос­ных дей­ствий в текущем потоке, при усло­вии, что весь необ­ходимый вре­донос­ный фун­кци­онал содер­жится в экс­плой­те.
  4. Заг­рузка / рас­шифров­ка из себя исполня­емо­го кода и внед­рение его в дру­гой про­цесс.

Кон­цепция «зап­рета по умол­чанию» не нова, но при этом по‑преж­нему оста­ется эффектив­ным средс­твом борь­бы с неиз­вес­тны­ми угро­зами, которы­ми явля­ются APT-ата­ки. Так, в слу­чае дос­тавки на сто­рону жер­твы вре­донос­ного exe-фай­ла или DLL-биб­лиоте­ки тех­нология Default Deny не допус­тит их исполне­ния в опе­раци­онной сис­теме по той при­чине, что дан­ные exe-фай­лы или динами­чес­кие биб­лиоте­ки не содер­жатся в белом спис­ке раз­решен­ных при­ложе­ний. Таким обра­зом, Default Deny исклю­чит все вари­анты дей­ствия исполня­емо­го кода, кро­ме пун­кта 3 — про­дол­жения выпол­нения вре­донос­ных дей­ствий в текущем потоке. Одна­ко он отлично опре­деля­ется тра­дици­онны­ми анти­вирус­ными тех­нологи­ями и опи­сан­ной выше Automatic Exploit Prevention.

Эффективность Default Deny на этапе заражения
Эф­фектив­ность Default Deny на эта­пе зараже­ния

Сле­дующие эта­пы ата­ки — ста­дия зак­репле­ния и сбо­ра информа­ции в опе­раци­онной сис­теме, резуль­татом которой может быть эска­лация при­виле­гий, уста­нов­ка бэк­дора и допол­нитель­ных модулей. Как пра­вило, в этом слу­чае исполь­зуют­ся исполня­емые фай­лы и динами­чес­кие биб­лиоте­ки, а зна­чит, если они не содер­жатся в доверен­ной сре­де Default Deny раз­решен­ных для исполне­ния прог­рамм, то тех­нология не допус­тит их запуск.

Доверенная среда Default Deny
До­верен­ная сре­да Default Deny

Прог­рам­мные решения, которые активно при­меня­ют тех­нологию Default Deny как на сто­роне кор­поратив­ной инфраструк­туры, так и на сто­роне конеч­ных устрой­ств поль­зовате­ля, не допус­кают исполне­ния вре­донос­ного прог­рам­мно­го обес­печения, которое активно при­меня­ется зло­умыш­ленни­ками при про­веде­нии APT-атак. Таким обра­зом, орга­низа­ция и под­держа­ние доверен­ной сре­ды средс­тва­ми тех­нологии Default Deny ста­новит­ся серь­езным пре­пятс­тви­ем на пути тар­гетиро­ван­ных атак и пред­став­ляет собой адек­ватное средс­тво пре­вен­тивной защиты от неиз­вес­тных угроз.

Оставить мнение