Почему стандартные методы и технологии не работают при отражении целенаправленных кибератак?
Зачастую такая защита оказывается неспособной предотвратить заранее подготовленные целенаправленные атаки на ИТ-среду, поэтому ниже разберем возможные причины низкой эффективности такой «базовой» стратегии.
Любая таргетированная атака обычно включает в себя несколько этапов. Эти этапы, в частности, описаны такими организациями, как Lockheed Martin и MITRE. Первое описание более обобщенно, второе более подробное. Мы будем ориентироваться на первое. Параллельно с описанием каждого этапа обсудим, каким образом атакующие могут обходить основные средства защиты на той или иной стадии атаки.
Разведка
На данном этапе злоумышленники проводят сбор сведений о сетевой инфраструктуре, бизнес-процессах и организационной структуре компании. С технической стороны это осуществляется с помощью сканирования и анализа информации, опубликованной на интернет-ресурсах, поиска уязвимостей в ПО жертвы, а также путем сбора информации в открытых источниках о структуре компании. Обычно на данных этапах активность атакующего так или иначе фиксируется средствами защиты сетевого периметра (такими как межсетевые экраны) и сетевыми устройствами (маршрутизаторами, шлюзами). Однако, как правило, в собранной ими телеметрии практически невозможно отделить действия атакующего от обычной сетевой активности из-за большого объема данных. Отследить и ограничить действия атакующего на данном этапе можно в первую очередь с помощью систем IDS/IPS (Intrusion Detection/ Prevention / обнаружения / предотвращения вторжений) с функцией поиска аномалий в сетевом трафике, развернутых на каналах выхода в интернет, а также продуктов класса Deception Network (позволяют создать ложные уязвимые подсети, состоящие из honeypot-систем). Последние, помимо обнаружения активности злоумышленника, позволяют потенциально сбить атакующих с толку.
Подготовка средств для атаки
На данном этапе атакующие готовят средства и инфраструктуру для доставки вредоносной нагрузки и управления ей. Это может быть подготовка инфраструктуры управляющих серверов, фишинговых сайтов, почтовых доменов, а также практических реализаций эксплойтов (в виде исполняемых вредоносных модулей) для обхода существующих средств защиты. Хотя непосредственно предотвратить данный этап атаки нельзя, наличие в системах безопасности информации из глобальных облачных баз данных об угрозах с репутациями URL, IP и файлов TI (Threat Intelligence feeds), потенциально может помочь обнаружить и заблокировать таргетированные атаки на основании потенциальной принадлежности файлов и входящих подключений к атакующей инфраструктуре. За счет большого числа источников данных и их обновлений почти в режиме реального времени облачные ресурсы в ряде случаев позволяют идентифицировать части атакующей инфраструктуры еще до начала активной фазы целенаправленной атаки.
Введение атакующих средств в целевую среду
На этом этапе, если необходимо, производится доставка части исполняемых средств атаки в целевую среду. Как правило, в качестве канала доставки используется электронная почта и вредоносные исполняемые файлы доставляются в виде фишинговых писем. Опционально совместно с этим может использоваться веб-канал для размещения вспомогательных фишинговых ресурсов, на которые могут вести ссылки из письма. Соответственно, одними из ключевых средств защиты от данного этапа таргетированной атаки являются шлюзы веб и Email, установленные в разрез каналов почтового и веб-трафика и производящие его комплексное сканирование с использованием упомянутых в предыдущем пункте TI feeds, а также песочниц (Sandbox) — устройств, позволяющих производить динамический анализ файлов и URL внутри виртуальных машин, эмулирующих системы в целевой среде. В облачных средах также помогает использование продуктов специализированной защиты — CASB (Cloud Access Security Broker – Защита доступа в облачные среды). Из-за частого отсутствия перечисленного функционала в простейших вариантах веб и почтовых прокси — внесение компонентов атакующего ПО в целевую среду происходит достаточно быстро и с высокой успешностью. В качестве примера атаки можно привести вариант атаки с использованием вредоносного ПО Purple Fox, которое было активно в 2020 году. В этих атаках активно применялись техники стеганографии для доставки вредоносных компонентов с внешних серверов. В данном случае активный вредоносный код скрывался внутри .jpg файла, скрытый с помощью Base64. Это позволяло успешно обходить большинство сетевых средств защиты, не обладающих инструментами глубокого статического и/или динамического анализа файлов.
Эксплуатация уязвимостей и получение доступа к ключевым активам
Эта фаза атаки в зависимости от ее вектора может проводиться как после введения атакующих средств, так и перед ним. Злоумышленник с помощью средств и информации, подготовленных на 1-2 этапе, пытается эксплуатировать уязвимости программного и аппаратного обеспечения для внедрения или распространения в целевой сети. По возможности также осуществляется попытка доступа к активам, содержащим, по мнению злоумышленника, наиболее ценную и критичную информацию. Минимально для борьбы с атакой на данном этапе необходимо, чтобы средства защиты, развернутые как на конечных устройствах (например, антивирусы), так и в сети (например, IPS), обладали компонентами, позволяющими обнаруживать попытки эксплуатации уязвимостей, а также позволяли бы вести реестр наиболее критичных активов для быстрого выявления их в сгенерированных событиях. Для улучшенной защиты конечных устройств, как правило, используются решения класса EDR (Endpoint Detection & Response — обнаружение и реагирование вредоносной активности на конечных точках), а для сети — решения по выявлению аномального поведения в сети (NTBA — Network Traffic Behavior Analysis). Решения подобного класса, как правило, обладают специальными наборами правил и инструментами, нацеленными именно на выявление подозрительного поведения и признаков таргетированных атак. Референсный набор таких признаков описан, например, в MITRE ATT&CK Matrix.
Дополнительно в качестве проактивных мер защиты на данной стадии рекомендуется использовать средства сканирования и оценки корпоративной среды на уязвимости (решения вида Vulnerability Assessment). Без описанных выше средств выявление уязвимостей и фактов их эксплуатации, как правило, достаточно затруднено и требует значительного количества ручной работы со стороны ответственного персонала. Из недавних примеров массовой эксплуатации уязвимостей можно привести CVE-2022-41352, нацеленную на компоненты почтового сервера в составе средств совместной работы Zimbra. Хотя производитель выпустил исправление для уязвимости, попытки атак после его выхода все еще были успешны из-за отсутствия контроля за уязвимостями в используемом ПО в пострадавших компаниях.
Закрепление и создание постоянных точек присутствия в целевой среде
На этой фазе злоумышленник старается организовать постоянное размещение частей вредоносного ПО на конечных системах в атакуемой среде. Как правило, эта техника используется в протяженных по времени атаках для сбора или ожидания появления информации, интересной атакующему. Поэтому размещение вредоносного ПО, как правило, стараются сделать наиболее скрытным во избежание раннего обнаружения. Например, в ходе серии атак Ghost Emperor для размещения руткита на уровне системных драйверов использовались компоненты известного свободно распространяемого ПО Сheat Engine. Это позволяло обойти защиту на уровне системы и развернутых антивирусных средств и одновременно получить привилегированные права доступа. Чтобы избежать обнаружения на этапе выполнения конечных целевых действий в Ghost Emperor, как и в большинстве современных сценариев атак, используются вполне легитимные системные утилиты для администрирования, как PsExec, PsList, ProcDump, CertUtil, BITSAdmin и т.п.
Одними из наиболее эффективных для обнаружения атаки на данном этапе также являются упомянутые раннее решения класса EDR, так как собираемый ими объем телеметрии и используемые для анализа технологии позволяют анализировать активность на конечных системах в достаточно широком диапазоне. Также полезными будут системы SIEM (Security Information & Event Management — управление информацией и событиями безопасности) с возможностью анализа отклонений в данных собранной в текущей момент телеметрии относительно исторических данных.
Создание каналов связи с внешними ресурсами атаки
После размещения и распространения компонентов атаки в конечной среде между ними и серверной инфраструктурой на стороне атакующих (command & control servers) устанавливается по возможности устойчивый канал управления и обмена данными. Хотя на данном этапе фактически проникновение в атакующих в инфраструктуру в большинстве случаев завершено, исполнение основных целей атаки и, соответственно, основного ущерба от нее все еще можно избежать. Для этого применяются средства сетевой защиты, интегрированные с глобальными источниками данных об угрозах, в которых информация о новых серверах управления атакующих появляется зачастую в течение нескольких часов после начала атаки. Учитывая, что на исполнение активных фаз атаки также требуется некоторое время, в ряде случаев это все еще позволяет предотвратить ее основные последствия. Примерами таких средств здесь являются IPS и NGFW c подключение к глобальным базам репутаций IP-адресов и доменных имен. Подобные средства защиты уже имеют немалое распространение в ИБ-инфраструктуре российских компаний, но зачастую эксплуатируются без использования таких баз репутаций. Часто причина — отсутствие понимания бизнес-необходимости приобретения подписки на такие базы. Достаточно интересный пример внешних ресурсов атакующих — инфраструктура Poseidon Group. Для соединения с серверами управления их вредоносное ПО использовало IP-адреса спутниковых каналов, используемых для связи с судами в море. Использование базы репутаций IP/URL, например в составе Kaspersky Security Network, позволило бы оперативно обнаружить подозрительные подключения к данным диапазонам IP.
Выполнение атакующими конечных целевых действий
На завершающем этапе атаки происходит исполнение ее целей: в большинстве случаев это извлечение критических данных и/или выведение из строя критичных компонентов инфраструктуры. Современные средства извлечения данных достаточно продвинуты и используют техники сокрытия своей активности от антивирусов, а также защищенные протоколы для обхода базовых сетевых средств защиты. Обнаружить и защититься от утечек данных можно с помощью средств защиты, развернутых в конечной точке совместно с SIEM в целях оперативного обнаружения отдельных атакованных активов и предотвращения распространения атаки. Дополнительно полезным может быть внедрение DLP-систем (Data Loss Prevention — предотвращение утечек данных), которые, помимо контроля обмена чувствительной информацией, могут в ряде случаев заблокировать ее утечку при направленной атаке.
Мы рассмотрели отдельные этапы таргетированной атаки вместе с возможными подходами к защите от них. Однако стоит учитывать, что для построения эффективной инфраструктуры безопасности корпоративной сети нужно не только внедрять разные средства защиты, но и принимать общеинтеграционные и организационные меры.
Под общеинтеграционными мерами мы понимаем объединение всех средств защиты в единую систему обмена данными об угрозах и реагирования на них. На данный момент центральной точкой в такой интеграции, как правило, выступает SIEM- или SOAR-система. Введение такой концепции обосновано тем, что для эффективного и своевременного реагирования на таргетированные атаки необходимо наличие единой точки для анализа обнаружений и данных телеметрии, собираемой со всей корпоративной среды. Кроме того, подобная интеграция должна позволять централизованно осуществлять превентивные действия по предотвращения атаки. Без подобной централизации из-за разрозненности средств управления разными, пусть даже продвинутыми, средствами защиты среднее время обнаружения и реагирования на угрозу (MTTD и MTTR) во многих случаях будет недопустимо большим для отражения большинства таргетированных атак. Дальнейшее развитие средств реагирования, по мнению многих аналитиков (например, известного аналитического агентства Gartner), — автоматизация (хотя бы частичная) процесса анализа событий и реагирования на них за счет интеллектуального анализа данных с помощью моделей, построенных на основе методов машинного обучения, и выдачи готовых гипотез о возможных атаках на инфраструктуру. Решения с таким функционалом предлагается относить в категорию XDR (Extended Detection & Response). Как правило, большинство производителей решений ИБ на данный момент по-своему определяют концепцию XDR, которая практически реализуется на основе интеграции нескольких продуктов из их портфеля.
С точки зрения организационных мер необходимо наличие квалифицированного персонала, управляющего защитной инфраструктурой и обслуживающего ее. Продвинутые решения безопасности, такие как SIEM/SOAR, работают с большими объемами телеметрии, на основе которой генерируются значительное количество событий. Поэтому, как правило, они эксплуатируются командой аналитиков (SOC — security operations center), анализирующих входной поток событий, а также создающих правила фильтрации и корреляции, позволяющее выделять реальные угрозы и возможные признаки направленных атак. Также предполагается, что процессы реагирования на угрозы со стороны SOC четко определены и документированы для обеспечения оперативной реакции.
Таким образом, эффективная защита от направленных атак предполагает наличие инфраструктуры, состоящей из хорошо интегрированных друг с другом средств защиты, а также квалифицированного персонала для работы с ней.
Илья Соколов,
эксперт решений по защите от сложных
угроз, «Лаборатория Касперского»
Опубликовано 28.01.2023