Как бороться с неизвестностью, или анатомия таргетированной атаки
В течение последних нескольких лет наиболее распространенными внешними угрозами становятся таргетированные атаки. Подробнее о стратегиях защиты читайте в нашей статье.
Выбрать раздел:
Главные отличия:
- Активность такой операции составляет от 100 дней.
- Процесс таргетированных атак адаптирован под особенности конкретной инфраструктуры и нацелен на преодоление механизмов безопасности.
- Таргетированные атаки выполняются группой чаще всего международных профессионалов. Они проводят предварительное исследование сотрудников, которые могут стать «входными воротами» в компанию.
Разновидность таргетированной атаки — APT (Advanced Persistent Threat). Это комбинации утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации атаки.
В 2023 году зафиксирован всплеск целенаправленных кибератак на государственные ИТ-системы многих арабских государств. Государственные учреждения Ближнего Востока особо привлекательны для киберпреступников: на них приходится 22% общего числа атак на организации, при этом 56% случаев — это атаки APT-группировок. Особенностью кибератак на Ближнем Востоке стало применение вайперов, которые уничтожают файлы на скомпрометированных устройствах.
Таргетированная атака проходит в четыре фазы:
1. Разведка и подготовка
Злоумышленник осуществляет сбор доступной информации, оценивает потенциальную выгоду и примерную стоимость взлома. Для этого он может использовать сайты государственных закупок, открытые пресс-релизы и новости, профили сотрудников в социальных сетях, а также комментарии в онлайн-чатах. Социальная инженерия играет важную роль в этом процессе, злоумышленник может устанавливать контакт с сотрудниками или клиентами компании, чтобы получить ценную информацию.
2. Получение доступа и закрепление внутри инфраструктуры
Злоумышленник закрепляется в сети и обеспечивает надежную связь с командным центром, ищет ключевые узлы и наблюдает за бизнес-процессами.
3. Повышение привилегий
Злоумышленник с помощью таких техник как внедрение вредоносного кода в память легитимного процесса, обход механизма User Access Control и эксплуатации уязвимостей получает повышенные привилегии – права администратора и контроль над дополнительными системами, которые содержат чувствительные данные.
4. Компрометация ИС
Злоумышленник получает доступ необходимого уровня (например, подключается к контроллеру домена) и контролирует все критически важные системы компании.
Злоумышленники используют различные инструменты, состоящие из трех компонентов:
1. Командный центр Command and Control Center (С&C)
Злоумышленники используют различные инструменты, состоящие из трех компонентов:
2. Инструменты проникновения
- Эксплойт — основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.
- Валидатор — вредоносный код применяется, в случаях первичного инфицирования, может собрать информацию о хосте и передать ее командному центру.
- Загрузчик модуля доставки Dropper — используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
- Модуль доставки Dropper — троянская программа, которая осуществляет доставку вредоносного модуля Payload на машину жертвы с последующим закреплением внутри операционной системы.
3. Тело вируса Payload
Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост, может состоять из нескольких функциональных дополнительных модулей, каждый из которых будет выполнять свою функцию:
- Клавиатурный шпион.
- Запись экрана.
- Удаленный доступ.
- Модуль распространения внутри инфраструктуры.
- Взаимодействие с командным центром и обновление.
Комплексная стратегия защиты включает четыре важных этапа:
1. Предотвращение
Например, защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений.
2. Обнаружение
- Динамический анализ объектов (песочница). Технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Особенность — противостояние техникам обхода.
- Анализ аномалий. Технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность. Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций.
3. Реагирование
В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, затруднив дальнейший анализ. Нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив он может вычистить следы атаки.
4. Прогнозирование
Этап прогнозирования включает:
- Оценка уровня защищенности. Аналитики безопасности получают доступ ко всей инфраструктуре и проводят аудит изнутри, не прибегая к моделированию атаки извне.
- Своевременная оценка уязвимостей. Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении.