Целенаправленные атаки
Transcript of Целенаправленные атаки
Атака на персону:
Компрометация коллеги с целью занятия его должности
Кража имущества
Атака на компанию:
Кража производственных секретов
Переманивание клиентов
Махинации с платежами
Атака на государство
Кража военных секретов
Кража тактических и стратегических планов
Дискредитация важных персон
Разрушение стратегических объектов
…
………
ПРИМЕРЫ ИЗ ЖИЗНИ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Расширить сферу влияния
«Смотрите, они не могут решить эту проблему, а еще
экспертами себя назвали. То ли дело мы…»
«Мой коллега не справляется с работой, давайте его
заменим более подходящим человеком…»
Сэкономить
«Интересно, а как они сделали этот самолетик…»
«Если этот человек не сможет приехать вовремя на встречу,
мы выиграем тендер»
Украсть
«Давайте врежем свою трубочку в нефтепровод…»
«А почему бы нам не понизить стоимость этой компании, а
потом ее купить…»
МОТИВАЦИИ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Заранее спланированная атака, направленная
против конкретной персоны, коммерческой или
государственной организации.
У атаки как правило есть :
Заказчик
Профессиональный исполнитель
Координатор
Цели чётко определены:
Компрометация объекта атаки
Шпионаж
Хищение
ТАК ЧТО ЭТО ?
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Рынок услуг по организации целенаправленных атак
существовал всегда. Одним из древних упоминаний можно
считать клан ниндзя. Ниндзя выполняли роль наёмников,
которые предлагали себя в качестве шпионов, наёмных
убийц, диверсантов, политических провокаторов
и террористов большим и маленьким правителям
японской феодальной эпохи.
Зависимость от IT растет год от года. И сейчас мы все
зависим от IT:
Персоны
Компании
Государства
Мотивация людей не поменялась за последние 1000 лет.
Следовательно, должен существовать рынок по
осуществлению целенаправленных атак в IT.
СПРОС РОЖДАЕТ
ПРЕДЛОЖЕНИЕ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
По данным зарубежных агентств на российском рынке можно
купить:
Базовый криптер (для вставки злонамеренного кода в
безвредный файл): $10−30;
SOCKS-бот (для обхода файерволов): $100;
Заказ DDoS-атаки: $30−70 в сутки, $1 200 в месяц;
Спам по электронной почте: $10 за миллион писем;
Боты для ботнета: $200 за 2 000 ботов;
DDoS-ботнет: $700;
Исходный код ZeuS: $200−500;
Взлом учётной записи «Фейсбука» или «Твиттера»: $130;
Взлом учётной записи Gmail: $162.
Взлом корпоративного почтового ящика: $500;
….
ЧЕРНЫЙ РЫНОК
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
БОТНЕТ КАК КОММЕРЧЕСКИЙ
ПРОДУКТ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Например, банковский ботнет Citadel обладает всеми признаками
коммерческого продукта:
Продуктовая линейка, рассчитанная на разные целевые
аудитории: Минимальная, Расширенная , Полная, Буткит
Четкое описание и позиционирование каждого продукта,
входящего в продуктовую линейку.
Прайс-лист
Анонсы новых версий
Планы развития
ТЕНДЕНЦИИ РЫНКА
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
По данным исследования RAND National Security Research Division,
количество утилит для взлома через уязвимости выросло с 2006 по 2014 год
более чем в 33 раза.
ОСНОВНЫЕ
ХАРАКТЕРИСТИКИ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Нацеленные:
Рассчитаны на обход антивирусной защиты используемой
жертвой атаки.
Атака начинается в одной точке, но постепенно подбирается
к цели.
Адаптивные:
Анализ условий, в которых ПО запущено.
Постоянная меняющиеся методы атаки.
Управляется из командного центра.
Скрытые:
Растянутые по времени с отложенной активацией.
Сокрытие взаимодействия с командным центром.
Уничтожение следов работы.
ПРОМЕЖУТОЧНЫЙ ИТОГ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Целенаправленные атаки – это
реальность.
Осуществляются
профессионалами.
Если система безопасности
компании не оповещает вас о
проблеме, это не значит, что атаки
на вас нет.
Stuxnet был обнаружен 17 июня 2010 года на компьютерах
обычных пользователей и в промышленных системах, которые
управляли производственными процессами.
Для внедрения в систему использовалось четыре уязвимости
«нулевого дня» (zero-day).
Специалисты считают, что Stuxnet был создан командой
профессионалов при финансовой поддержке суверенного
государства.
Вредоносной программе удалось несколько лет оставаться
незамеченной всеми антивирусными лабораториями, а мировой
общественности она стала известна во многом случайно.
Stuxnet был создан, чтобы контролировать производственные
процессы. Благодаря этому зловреду было задержано развитие
ядерной программы Ирана.
Атака – Stuxnet
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Duqu был обнаружен в начале сентября 2011 года. По
внутренней структуре очень похож на Stuxnet.
Duqu обладает модульной структурой:
Основной модуль – предназначен для обработки команд,
получаемых от операторов и передаваемых по протоколам
HTTP/HTTPS;
Шпионский модуль-кейлоггер;
Шпионский модуль (infostealer) – вариация шпионского
модуля без функций кейлоггера;
Модуль (reconnaissance) – сбор системной информации;
Модуль (lifespan extender) – увеличение количества дней,
оставшихся до завершения работы.
Предназначен для атаки на заранее выбранные цели.
Компания Symantec нашла подтверждения того, что было
атаковано минимум 6 компаний в 8 государствах.
Атака – Duqu
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Аврора – обнаружена в январе 2010 года.
Для внедрения в информационные системы использовалась
неизвестная (0day) уязвимость в Internet Explorer.
Атаке подверглись более 35 компаний, в том числе Google,
Adobe, Symantec.
В результате злоумышленники получили доступ к
информационным сетям атакованных компаний. Аврора
позволяет получить скрытый доступ к данным и осуществлять
их модификацию.
Предположительно, атака была осуществлена из Китая.
Атака – Операция Аврора
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
В феврале 2012 года в The Wall Street Journal было
опубликовано сообщение о том, что хакеры 10 лет похищали
информацию у компании Nortel.
Злоумышленники регулярно осуществляли доступ к
информационным системам Nortel, начиная с 2000 года. Доступ
осуществлялся путем взлома паролей.
В 2004 году взлом был замечен и предприняты меры для
решения инцидента. Но признаки присутствия хакеров в сетях
компании обнаруживались и позже – вплоть до 2009 года.
Предположительно, в результате атаки регулярно похищалась
конфиденциальная информация, среди которой были
технические документы, отчеты об исследованиях и
разработках, маркетинговые планы, переписка сотрудников.
Атака на Nortel
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
В марте 2011 года компания RSA (впоследствии RSA The
Security Division of EMC) объявила, что стала жертвой
целенаправленной атаки.
Для проведения атаки использовалась:
Уязвимость в Adobe Flash.
Методы социальной инженерии.
В результате атаки была украдена информация, позволяющая
скомпрометировать IT-инфраструктуру компаний, использующих
технологию SecureID.
В июне 2011 года RSA пришлось подтвердить, что как минимум
один ее клиент, компания Lockheed Martin, являющаяся
крупнейшим предприятием военно-промышленного комплекса
США, подверглась атаке, которая стала возможна по причине
компрометации технологии SecureID.
Атака на компанию RSA
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Red October – проявления обнаружены в октябре 2012.
Это платформа, которая используется для проведения целевых
атак на протяжении как минимум пяти лет. В ходе этой операции
по всему миру были атакованы сотни жертв. Атакованные
организации относятся к 8 категориям:
1. Правительственные структуры
2. Дипломатические ведомства/посольства
3. Исследовательские институты
4. Торговые и коммерческие структуры
5. Ядерные/энергетические исследования
6. Нефтяные и газовые компании
7. Аэрокосмическая отрасль
8. Военные ведомства и компании, связанные с вооружением
Атака – Red October
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Red October предназначен для:
Похищение широкого спектра документов с зараженного
компьютера а так же с USB накопителей подключаемых к нему.
Копирование информации с мобильных устройств: адресная
книга, контакты, история звонков, SMS сообщения, данные
календаря, история браузера.
Заражение мобильного устройства основным компонентом
бэкдора.
Запись всех вводимых данных с клавиатуры, снятие скриншотов
Сбор информации о файловой системе и сетевом окружении.
Сбор информации об установленных программах
Извлечение хешей аккаунтов Windows, вероятно, для их
последующего подбора-взлома.
Атака – Red October
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Основной модуль вредоносного комплекса выполняет функцию
'точки входа' в систему и позволяет загрузить дополнительные
модули для следующих стадий атаки. Обычно атакующие
несколько дней собирают информацию, определяют ключевые
системы и затем устанавливают дополнительные модули,
которые могут заражать другие компьютеры в сети с помощью
различных методов.
Платформа создана для выполнения 'задач', которые поступают
от серверов управления. Модули загружаются с сервера,
исполняются в памяти компьютера без создания файлов на
диске и 'исчезают' после выполнения работы.
Обнаружено более 1000 различных модулей.
Управление платформой осуществлялось с более чем 60
доменов, расположенных территориально в 39 странах мира.
Атака – Red October
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Шаг 1: Первичное поражение системы c использованием
уязвимостей в Web Browser, Outlook, Adobe Flash.
Шаг 2: Получение перманентного контроля над пораженным
компьютером, и загрузка на него дополнительных модулей: key
loggers, Trojan backdoors, password crackers
Шаг 3: Подавление антивирусной защиты, передача собранной
информации на сервера преступников и получение дальнейших
инструкций.
Шаг 4: Нахождение и поражение плохо защищённых серверов.
Шаг 5: Получение данных с зараженных серверов и ресурсов, к
которым удалось получить пароли, и передача полученных
данных по зашифрованным каналам на сервера преступников.
КАК УСТРОЕНА АТАКА
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Инсайдер. Сотрудник компании осознанно устанавливающий злонамеренное ПО в сети компании.
Социальная инженерия. Задача этого подхода состоит в том, чтобы тем или иным способом заставить пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт.
Технические приёмы:
«Атака нулевого дня». Это использование ранее неизвестных уязвимостей OS, Outlook, Web Browsers, Adobe Flash.
Сокрытие присутствия: Так называемые руткит-технологии. Осуществляется за счет подмены системных функций, благодаря которым зараженный файл не виден штатными средствами операционной системы.
Мутация кода. Разбавление кода зловреда «мусорными» инструкциями. В результате функционал ПО сохраняется, но значительно меняется его цифровой отпечаток.
СПОСОБЫ АТАК
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Какие данные чаще всего
похищают?
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
63%
63% компаний уверены,
что целенаправленная
атака на их компанию –
это вопрос времени
37%
23%
19%
13%
8%
Платежная информация (данные банковских карт и счетов) Персональные данные, клиентские базы
Коммерческая тайна, know-how
Конфиденциальная информация
Государственная тайна
Сканируется содержимое файла, и если находится
соответствие какого-либо участка кода просматриваемого
файла известной сигнатуре вируса в словаре, то файл
признается опасным.
Достоинства:
Позволяет определять конкретную атаку с высокой
точностью и малой долей ложных срабатываний.
Может быть использован как для сканирования содержимого
дисков, так и сетевого трафика.
Недостатки:
Беззащитны перед полиморфными вирусами и изменёнными
версиями того же вируса.
Требуют регулярного и оперативного обновления.
По данным Symantec, компания вынуждена обновлять
сигнатурную базу данных каждые 40 минут.
МЕТОДЫ ОБНАРУЖЕНИЯ –
СИГНАТУРНЫЙ АНАЛИЗ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Основан на анализе кода и предположении о том,
использование какого функционала OS можно считать
подозрительным.
Достоинства:
Не требует наличие предварительно составленных баз
сигнатур, следовательно, может определять неизвестные
ранее вирусы.
Недостатки:
Чрезмерная подозрительность эвристического
анализатора может вызывать ложные срабатывания.
Уровень обнаружения новых вредоносных программ
составляет не более 40-50 % от их числа.
Наличие простых методик обмана эвристического
анализатора.
МЕТОДЫ ОБНАРУЖЕНИЯ –
ЭВРИСТИЧЕСКИЙ АНАЛИЗ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Предназначен для обнаружения признаков руткитов, которые
часто используются в вирусах для сокрытия их от
антивирусов. Методы основаны на выявлении аномалий,
характерных для модифицированной руткитом системы:
сопоставление полученных из разных источников списков
объектов, сопоставление системных структур и кода с
доверенной моделью и поиск отклонений в них.
Достоинства.
Позволяет обнаруживать признаки заражения системы.
Недостатки:
Наличие методов обмана антируткита.
Из-за использования сложных технических приемов анализа
возможны конфликты с другими реализациями антируткита,
что как правило приводит к синему экрану.
МЕТОДЫ ОБНАРУЖЕНИЯ –
АНТИРУТКИТ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
NGFW – Firewall нового поколения. Комбинирует возможности Firewall-ов первых поколений с сигнатурным и эвристическим анализом, контролем SSL-соединений, а также репутацией сайтов.
Достоинства.
Позволяет обнаруживать попытки заражения системы на ранних стадиях.
Недостатки:
Требует изменения сетевой инфраструктуры.
Значительно снижает производительность сети.
Большое количество ложных срабатываний.
70 миллионов имен, адресов электронной почты и телефонных номеров клиентов американского ритейлера Target (Target Corp. TGT:US) скомпрометированы в ходе атаки на инфраструктуру компании. Компьютерные системы безопасности американского ритейлера Target отреагировали на хакерское нападение и выдавали предупреждение об атаке, однако компания была не в состоянии оперативно отреагировать на сигнал тревоги.
МЕТОДЫ ОБНАРУЖЕНИЯ -
NGFW
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Предназначен для анализа поведения приложения путем
запуска приложения в виртуальной среде.
Достоинства:
Позволяет выявлять ранее не известное вредоносное ПО.
Недостатки:
Может требовать привлечения аналитиков для вынесения
вердикта.
Вредоносное ПО в состоянии детектировать, что оно
запущено в виртуальной среде, и адаптировать свое
поведение соответствующим образом.
МЕТОДЫ ОБНАРУЖЕНИЯ –
ПЕСОЧНИЦА
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Предназначен для защиты рабочей станции путем разрешения
или запрета запуска приложений. Режим работы White/Black
List, а также список приложений определяется
администратором.
Достоинства:
Простые в использовании и позволяющие усложнить жизнь
инсайдерам.
Недостатки:
Не в состоянии противодействовать хакерским методам
атак.
В режиме White List возможности пользователей очень
сильно ограничиваются, что может создавать проблемы в
повседневной работе.
МЕТОДЫ ЗАЩИТЫ – ЗАПРЕТ
ЗАПУСКА ПРИЛОЖЕНИЙ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
ПОЧЕМУ ТРАДИЦИОННЫЕ МЕТОДЫ
НЕ РАБОТАЮТ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
1 • У традиционных способов
обнаружения есть слабые стороны
2 • Атакующий изучает жертву и
выбирает подходящий инструмент
3 • Целенаправленная атака скрыта и
растянута по времени
ПРИМЕР ИЗ ЖИЗНИ
ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ
Интернет-магазин, торгующий автозапчастями
Проблема, с которой обратились:
Много нереализованных заказов (отказов).
Отток клиентов периодический.
Период оттока зависит от смены работы
менеджеров.
Что было:
Сотрудник компании установил ПО,
которое регулярно скачивало базу заказов
и передавало на внешний сервер.
Сообщники сотрудника обзванивали
клиентов, сделавших заказ в интернет-
магазине, и предлагали те же запчасти по
более низким ценам.
Подход InfoWatch: ДИНАМИЧЕСКОЕ ОБНАРУЖЕНИЕ АТАК
ОБНАРУЖЕНИЕ ЗАМЫСЛА ПРОТИВНИКА ПОСЛЕ КАЖДОГО
ХОДА НА ОСНОВЕ ЕГО ПРЕДЫДУЩИХ ДЕЙСТВИЙ
мониторинг изменений состояния систем, входящих в ИТ-
инфраструктуру
анализ изменений состояния систем и поиск в них аномалий;
если система атакована, в изменениях появляются аномалии
классификация и выявление признаков атаки
Есть ли решение?
Агент Периодически собирает и передает в Экспертную
Облачную систему продукта информацию о состоянии
компьютеров корпоративной сети (данные
обезличиваются).
Экспертная Облачная система
Система облачного хранения и анализа Big Data,
предназначена для классификации ПО, поиска
вредоносного ПО и выявления целенаправленных атак.
Информационная панель
Информация о работе решения с возможностью
формирования отчетов по итогам анализа.
Архитектура решения
InfoWatch Targeted Attack Detector