Наверняка ты читал о масштабных сетевых атаках, от которых пострадали банки, крупные предприятия, госучреждения и даже военные объекты. Кто их проводит? Почему они оказываются столь разрушительными? Можно ли от них защититься? На эти вопросы мы постараемся ответить в этой статье.
 

Появление и эволюция APT

Примерно с 2004 года команда реагирования на компьютерные инциденты в Lockheed Martin (LM-CIRT) стала использовать термин APT (Advanced Persistent Threat) в своих исследованиях. Так стали называть сложные атаки, выполняемые преимущественно на ИТ-инфраструктуру военных и государственных объектов. Как правило, в их проведении подозревали спецслужбы других стран и отряды «правительственных хакеров». Затем с легкой руки журналистов понятие APT расширилось до многоуровневых атак, целью которых может быть сеть любой организации или группа устройств с общими признаками. Даже сейчас термин APT остается неоднозначным. Его переводят как «развитая устойчивая угроза» или «сложная постоянная угроза», подразумевая то многоэтапный сценарий атаки, то используемые в ней инструменты, а то и вовсе мощные хакерские группы.

В Sophos тоже отмечают, что до сих пор нет единых критериев, позволяющих относить ту или иную атаку именно к APT. Успешные целенаправленные атаки зачастую выполняются с использованием старых наборов эксплоитов, поэтому 0day-уязвимости — не обязательный атрибут APT.

Другой часто выделяемый критерий APT — рассылка фишинговых писем для компрометации учетной записи рядового сотрудника компании. Затем она используется как точка входа в локальную сеть и плацдарм для перехода на следующий уровень — к компьютерам руководителей и серверам компании. Однако методы социального инжиниринга и так сверхпопулярны, поэтому было бы странно выделять их как маркер «сложной постоянной угрозы». На что же стоит ориентироваться?

 

Признаки APT

Анализируя отчеты разных специалистов по безопасности, я сформулировал для себя следующие критерии APT (буду рад, если ты уточнишь и дополнишь их в комментариях):

  • это всегда целенаправленная атака. Целью обычно выступает не конкретный человек или организация, а какой-то более общий сегмент (например, финансовые учреждения) или однородная группа людей (постояльцы отеля, болельщики на стадионе, пассажиры круизного лайнера);
  • это долговременная атака. Она может длиться не один месяц и продолжаться до победного конца или утраты целесообразности;
  • это хорошо финансируемая атака. Даже банальный DDoS — затратная процедура, если продолжается длительное время;
  • это многостадийная атака. В APT последовательно используется несколько векторов и разных техник. Сами по себе они могут быть примитивны, интересно именно их сочетание. Например, секретарше шлют фишинговые письма, чтобы скомпрометировать ее корпоративную учетку и через нее (как от доверенного лица) отправить зараженный документ на ноутбук шефа;
  • APT не останавливают отдельные инструменты безопасности (антивирус, файрвол, спам-фильтры, простые SIEM-системы), и она долго может оставаться незамеченной либо протекать под маской отдельных типовых инцидентов. Важнее то, что аномальное поведение сети или отдельных устройств сохраняется, хотя при рутинных проверках ничего подозрительного не находится;
  • в ходе APT часто (но не обязательно) используют продвинутые техники, эффективно маскирующие их компоненты от типовых систем защиты. Например, reverse shell для обхода МСЭ.

По данным Sophos, в APT используются следующие техники (перечислены в порядке убывания частоты применения): фишинг и социальный инжиниринг, DDoS и ботнеты, уязвимости нулевого дня и использующие их продвинутые зловреды, традиционные зловреды, скомпрометированные устройства, атаки инсайдеров, атаки уровня приложений.

 

Этапы APT

В любой атаке уровня APT можно выделить семь ключевых этапов (иногда сокращают до пяти, объединяя шаги):

  1. Пассивный сбор информации (идентификация и отбор целей из открытых источников).
  2. Первичное заражение (заманивание на фишинговые сайты, рассылка инфицированных документов).
  3. Доставка боевой нагрузки (drive-by-загрузки, использование уязвимостей в браузере и его плагинах).
  4. Активная фаза (повышение привилегий и обход защитных систем с целью получения дополнительных данных о системе и закрепления в ней основных вредоносных компонентов).
  5. Получение удаленного контроля (внедрение бэкдоров, кейлоггеров и установка обратных шеллов).
  6. Связь с управляющими серверами в ожидании дальнейших команд (обход файрволов, использование для передачи команд различных мессенджеров, клиентов соцсетей и популярных сетевых API).
  7. Достижение конечной цели (кража данных, выполнение незаконных финансовых транзакций, формирование ботнета, перехват контроля над АСУ ТП и так далее).

Злодей зиродей

Эффективность APT-атак существенно возрастает, когда используются уязвимости, для которых еще нет патча. К примеру, по данным специалистов компании 360 Core Security, в одной из недавних атак группа APT-C-06 использовала 0day-эксплоит CVE-2018-8174 для движка VBScript. Он затрагивает Internet Explorer в Windows 7–10 и серверных платформах любой разрядности, начиная с Windows Server 2012 R2.

Когда открывают фишинговую ссылку или документ MS Office c вредоносным элементом управления ActiveX, происходит сбой в работе VBScript, в результате чего подменяется тип объектов в памяти и права доступа к ним. Так у атакующего появляется возможность удаленно выполнить произвольный код в обход существующих систем защиты. Дополнительно APT-C-06 использовала одну из популярных техник обхода UAC.
Подробный анализ CVE-2018-8174 читай здесь.

Другая группа, APT37 (Reaper), использовала в своих атаках начала 2018 года эксплоит для уязвимости нулевого дня в Adobe Flash Player CVE-2018-4878. Она затрагивает версии до 28.0.0.161 и связана с некорректной обработкой указателя в SDK Primetime. Успешная атака приводит к выполнению произвольного кода через подмену объектов в памяти процесса флеш-проигрывателя.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

2 комментария

  1. Antek

    20.07.2018 at 19:47

    Неплохо было бы ещё упомянуть про APT28. Им приписывают атаку на украинские энергосистемы в 2016 и распространение NotPetya в 2017.

    • Андрей Васильков

      Андрей Васильков

      23.07.2018 at 09:10

      Antek, APT28 — действительно мощная группа, но в этой статье мы решили написать преимущественно об азиатских ̶и̶з̶-̶з̶а̶ ̶п̶о̶д̶п̶и̶с̶к̶и̶ ̶о̶ ̶н̶е̶р̶а̶з̶г̶л̶а̶ш̶е̶н̶и̶и̶ .

Оставить мнение

Check Also

Все по песочницам! Запускаем приложения в отдельных виртуалках с помощью AppVM

Если ты действительно заботишься о безопасности, то некоторые приложения есть смысл запуск…