Anatomia zaawansowanych ataków

Większość naruszeń bezpieczeństwa w firmowej infrastrukturze dotyczy pospolitego złośliwego oprogramowania przeznaczonego do atakowania użytkowników końcowych. Największe straty powodują jednak długotrwałe ataki klasy APT, za którymi stoi człowiek.

Zaawansowane ataki są kilkuetapowym skomplikowanym przedsięwzięciem, w którym włamywacze muszą poznać szczegóły działania atakowanej firmy, jej systemy IT, a także pracujących tam ludzi. Działania rozpoczynają się od rozpoznania, a kończą się na zacieraniu śladów.

Etap 1 – Rozpoznanie celu i działania przygotowawcze

Przed rozpoczęciem ataku włamywacze muszą dokładnie poznać firmę, przeciw której będą prowadzić działania. Ponieważ w pewnej części ataków powszechnie stosuje się socjotechnikę oraz techniki takie jak phishing, włamywacze muszą uzyskać informacje o pracownikach, do których będą wysyłać sfałszowane wiadomości. Pierwszym źródłem informacji są zazwyczaj sieci społecznościowe, a dokładniej – prywatne profile pracowników. W ten sposób napastnicy mogą dowiedzieć się, z kim dana osoba współpracuje, jaki jest przybliżony zakres kompetencji, a niekiedy nawet zdobyć listę projektów, nad którymi właśnie pracuje. Na podstawie takich informacji włamywacz planuje przeprowadzenie ataku od pierwszego przełamania zabezpieczeń aż do osiągnięcia głównego celu.

Zobacz również:

- Widoczne ślady

Nikłe – połączenia do firmowej strony WWW, przeglądanie profili firmowych oraz prywatnych w sieciach społecznościowych, przeszukiwanie informacji o firmie za pomocą wyszukiwarek. Niekiedy telefony z pytaniami do różnych pracowników.

- Obrona

Szkolenia w dziedzinie obrony przed socjotechniką, a także podniesienie świadomości korzystania przez pracowników z sieci społecznościowych. Przygotowanie zrozumiałych zaleceń dla pracowników oraz regularny monitoring aktywności w sieciach społecznościowych.

Etap 2 – Desant do firmowej sieci

Po przygotowaniu kampanii phishingowej lub dostarczeniu w inny sposób kodu z eksploitem włamywacze oczekują na efekt jego działania. Po instalacji złośliwego oprogramowania napastnicy uzyskują dostęp do zasobów w lokalnej sieci przedsiębiorstwa. Po uchwyceniu przyczółków rozpoznają zasoby, do których mają dostęp, i wykorzystują istniejący poziom uprawnień do rozpoznania możliwości rozwinięcia ataku na pozostałe maszyny, segmenty sieci i systemy uwierzytelnienia. Niekiedy atak jest tak dobrze przygotowany, że napastnicy od razu dostają się do docelowej stacji roboczej, gdzie znajdują się pożądane informacje lub systemy, które chcą zaatakować. Zazwyczaj jednak atakują najsłabiej bronione lub najlepiej dostępne segmenty sieci, skąd poprowadzą dalsze działania.

- Widoczne ślady

Pojedyncze zdarzenia – przesłanie wiadomości e-mail z załącznikiem lub linkiem, pojedyncze połączenia, podejrzana aktywność procesu lub kilku procesów na jednej stacji roboczej, połączenia SSL kierowane do serwerów niezwiązanych z normalną pracą stacji roboczej, pobieranie niewielkich plików, obecność w pamięci RAM nieznanego złośliwego oprogramowania, nieznaczne modyfikacje systemu operacyjnego, zgłoszenia użytkowników dotyczące problemu z pracą oprogramowania, zarejestrowane połączenia do stron o niejasnej reputacji, zgłoszenia przekierowań do stron instalujących złośliwe oprogramowanie.

- Obrona

Wprowadzenie narzędzi detekcji złośliwego oprogramowania za pomocą analizy behawioralnej w testowym środowisku, systemy detekcji intruzów oraz prewencji sieciowej, klasyfikacja i blokowanie niepożądanego ruchu internetowego, zerowe zaufanie do obiektów z zewnątrz, monitoring całego ruchu włącznie z inspekcją SSL, blokowanie wykonania obcego kodu, narzędzia podnoszące poziom bezpieczeństwa przeglądarek internetowych, zbieranie logów ze wszystkich urządzeń i systemów oraz późniejsza ich analiza.

Etap 3 – Natarcie poziome

Przejęcie kontroli nad jedną stacją roboczą lub jednym serwerem otwiera przed włamywaczem szerokie możliwości działania. Rozpoczyna on rozpoznawać połączenia sieciowe, dostępne zasoby, posiadane uprawnienia oraz możliwości dalszego ataku. Na tym etapie, nazywanym atakami poziomymi, przejmuje kontrolę nad kolejnymi komputerami w firmie, wykorzystując podatności, luki w założeniach polityki bezpieczeństwa teleinformatycznego w organizacji, niedopatrzenia administratorów, a także socjotechnikę.

Stopniowe przejmowanie kontroli nad zasobami będzie tym łatwiejsze, im mniej jest kontrolowany ruch. W wielu przedsiębiorstwach kontrola ruchu między stacjami roboczymi praktycznie nie istnieje, połączenia między stacjami a serwerami są słabo pilnowane, niekiedy nie ma nawet podziału na strefy. Korzystając ze słabej obrony przed połączeniami w obrębie firmy, napastnicy przejmują kontrolę nad najważniejszymi systemami. Aby minimalizować ryzyko wykrycia ataku, niektóre działania są podejmowane bardzo powoli, wieloetapowo, czasami w niestandardowy sposób, za pomocą skomplikowanych tuneli lub specjalnego złośliwego oprogramowania. W tym czasie napastnicy często modyfikują lub wyłączają systemy logowania zdarzeń, by administratorzy nie mogli zarejestrować podejmowanych działań.

- Widoczne ślady

Niestandardowe połączenia między segmentami sieci, rozciągnięte w czasie drobne zdarzenia, które wskazują na ataki prowadzone od środka firmy, raporty użycia uprawnień niezwiązane z aktywnością użytkowników, dostęp do obiektów, z których w danym profilu działania użytkownicy nie korzystają w tym samym czasie, zmiany w systemach uwierzytelnienia, pojawiające się okresowo braki w logach na jednej lub kilku maszynach.

- Obrona

Segmentacja sieci razem z inspekcją ruchu między tymi segmentami, restrykcje komunikacji między komputerami w firmie, systemy zbierania i analizy logów, systemy korelacji zdarzeń, profilowania i analizy aktywności użytkowników, zarządzanie zmianą konfiguracji maszyn w firmie, centralne dwuskładnikowe uwierzytelnienie z audytem użycia uprawnień oraz kontrolą aktywności kont o wysokich uprawnieniach.

Etap 4 – pełna kontrola terytorium

Kolejne kroki doprowadziły do tego, że napastnicy mają kontrolę nad całą najważniejszą infrastrukturą IT. Najczęściej dysponują dostępem na poziomie administracyjnym do wszystkich najważniejszych systemów operacyjnych i aplikacji, potrafią omijać firmowe zabezpieczenia lub je wyłączyć. Mają istotną wiedzę na temat zasobów i danych, jakie mogą ukraść, oraz systemów, które mogą atakować.

Jeśli głównym celem jest sabotaż infrastruktury, napastnikom wystarczą minimalne przywileje niezbędne do realizacji zadania. Być może nie muszą przejmować kontroli nad wszystkimi zasobami, gdy wystarczy jeden przeskok ze stacji roboczej prosto do atakowanego obiektu.

- Widoczne ślady

Nikłe, gdyż napastnik zazwyczaj szybko uzyskuje kontrolę nad wieloma systemami i usuwa wszelkie ślady.

- Obrona

Segmentacja uprawnień, wprowadzenie zasady minimalnych przywilejów, podział ról pracowników, centralizacja zarządzania tożsamością, dwuskładnikowe uwierzytelnienie, narzędzia audytu aktywności kont uprzywilejowanych, zbieranie wszystkich zdarzeń użycia przywilejów do systemów znajdujących się poza zasięgiem uprawnień administratorów w firmowej sieci.

Zniszczenia w wybranym czasie

Jeśli głównym celem ataku było działanie dywersyjne i zablokowanie infrastruktury atakowanego przedsiębiorstwa, hakerzy dokonują zniszczeń w odpowiednio dobranym czasie. W takich przypadkach infiltracja firmowego IT oraz instalacja wszystkich niezbędnych narzędzi może nastąpić z wyprzedzeniem. Gdy nadejdzie zaplanowana wcześniej chwila, złośliwe oprogramowanie zaczyna działać i powoduje szkody: niszczy dane, przerywa pracę komputerów, a nawet powoduje zniszczenia materialne przez naruszenie parametrów procesów technicznych kontrolowanych przez atakowane systemy komputerowe.

Podobną serię dobrze zaplanowanych ataków obserwowaliśmy 23 grudnia 2015 r. na Ukrainie, gdy komputerowi włamywacze zablokowali infrastrukturę firm z sektora energetycznego, powodując kilkugodzinne przerwy w dostawie energii elektrycznej w połowie domów w regionie Iwano-Frankiwsk (dawniej: Stanisławów). Cyberterroryści posłużyli się złośliwym oprogramowaniem BlackEnergy, które załadowało komponent KillDisk i zablokowało pracę komputerów.

Etap 5 – eksfiltracja danych lub sabotaż komputerowy

Gdy włamywacze opanują niezbędną infrastrukturę, rozpoczynają pozyskiwanie i transfer danych. Sprawność i szybkość tego procederu zależy od stosowanych zabezpieczeń. Jeśli w organizacji kontrola ruchu jest na bardzo niskim poziomie, włamywacze mogą zaryzykować szybką eksfiltrację (transfer na zewnątrz), w której pakiety danych często w postaci nieprzetworzonej są transferowane na zewnątrz jako duże zaszyfrowane paczki. W wielu przypadkach proces ten odbywa się jednak w bardzo dobrze zorganizowany sposób, a przy tym powoli, żeby uniknąć szybkiego wykrycia. Włamywacze czasami korzystają z doświadczeń wojskowych i sprawnie posługują się dywersją, by odwrócić uwagę od głównego ataku. Celowo wywołany atak odmowy obsługi kierowany przeciw innej części infrastruktury firmowej powoduje istotne obciążenie działu IT i odwraca uwagę od głównych działań włamywaczy. Pracownicy pod wpływem stresu spowodowanego celowo wywołanym zagrożeniem mogą nie zauważyć prowadzonej w tym czasie kradzieży danych.

- Widoczne ślady

Wychodzące połączenia sieciowe, które nie wynikają z normalnej aktywności systemów i użytkowników, szyfrowane połączenia do nieznanych dotąd serwisów, nieautoryzowane użycie przywilejów, nietypowy dostęp do firmowych zasobów, tworzone tymczasowe zaszyfrowane lub skompresowane pliki, postępujące anomalie w ruchu sieciowym.

- Obrona

Restrykcje w wychodzącym i przychodzącym ruchu internetowym, narzędzia do obrony przed utratą danych, brak bezpośredniego połączenia (wymaganie użycia proxy z uwierzytelnieniem), inspekcja ruchu SSL, analiza statystyczna ruchu infrastruktury firmowej, korelacja zdarzeń z różnych systemów, zarządzanie zmianą konfiguracji, polityka wykonywania kopii bezpieczeństwa oraz utrzymanie ciągłości działania, narzędzia do szybkiego odtwarzania poawaryjnego.

Etap 6 – unikanie wykrycia, odparcie obrony i utrzymanie przewagi

Długotrwały atak komputerowy prowadzony z ukrycia przeciw zaawansowanym technologicznie firmom jest operacją obarczoną wysokim ryzykiem porażki. Napastnik musi zachować nie tylko dostęp do firmy, ale także kontrolę nad przejętą wcześniej infrastrukturą. W praktyce oznacza to konieczność unikania alarmów oprogramowania antywirusowego i systemów detekcji intruzów, ale także usuwania zapisów w logach, które mogłyby naprowadzić dział IT na ślad włamania. Część systemów obrony włamywacze potrafią wyłączyć, inne mogą przekonfigurować, by istotne dla nich zdarzenia nie były wykrywane i raportowane.

Przetrwanie we wrogim środowisku atakowanej firmy wymaga także pozostawienia rezerwowych metod wznowienia dostępu na wypadek skutecznej odpowiedzi na zagrożenie przygotowanej przez IT szturmowanej organizacji. Zazwyczaj włamywacze przygotowują rezerwowe kanały dostępu, korzystając z doskonałej znajomości systemów uwierzytelnienia, gdzie mogą powstawać dodatkowe konta, wyspy uwierzytelnień odcięte od uprawnień firmowych administratorów, a także specjalnie przygotowane konie trojańskie, które będą czekać na ponowne użycie.

- Widoczne ślady

Obecność w systemie binariów nieznanego pochodzenia, modyfikacja ustawień systemu operacyjnego, zmiany w systemach uwierzytelnienia, podmiana firmware'u różnych urządzeń, zmiany BIOSu komputerów, kart graficznych i sieciowych, zmiany w konfiguracji oprogramowania antywirusowego, zapór sieciowych lub innych systemów bezpieczeństwa, niewyjaśnione pojedyncze połączenia wychodzące, połączenia wychodzące z urządzeń, które generować ich nie powinny, uruchamianie normalnie wyłączonych portów i urządzeń.

- Obrona

Regularnie prowadzone dokładne audyty zgodności oraz integralności systemów i aplikacji, centralne zarządzanie zmianą konfiguracji systemów operacyjnych i aplikacji, kontrola firmware'u urządzeń, wdrożona i regularnie testowana polityka zachowania ciągłości działania.

Etap 7 – zacieranie śladów

Specjalizowane ataki mogą być prowadzone przez bardzo długi czas. Doświadczenie wszystkich dużych ataków dowodzi jednak, że każda taka operacja kiedyś się kończy. Napastnicy, jeśli spodziewają się wykrycia, przygotowują się także na taką ewentualność i instalują narzędzia, które pomogą w zacieraniu wszelkich śladów prowadzących do prawdziwych sprawców. Jedną z metod jest skierowanie podejrzeń na kogoś innego lub spowodowanie rozległych zniszczeń, mających na celu utrudnienie odtworzenia kompromitujących informacji. Napastnicy zarządzają przejętą infrastrukturą za pomocą wielu serwerów przesiadkowych rozlokowanych w różnych krajach, odsuwają od siebie podejrzenia, instalując serwery w takich krajach, jak: Chiny, Rosja, Ukraina, lub korzystają z masowego hostingu w platformach chmurowych. Często korzystają również z sieci Tor oraz wielokrotnego klasycznego tunelowania połączeń. Przy komunikacji potrafią używać komunikatów umieszczanych we wpisach sieci społecznościowych (np. na Twitterze).

- Widoczne ślady

Połączenia do serwisów lub sieci społecznościowych, połączenia do sieci Tor oraz Freenet, klasyczne sieci peer-to-peer, nieznane połączenia szyfrowane, otwieranie do zapisu starych plików lub obszarów dysku, których zapisywanie odbywa się rzadko

- Obrona

Kontrola połączeń w tym pełna inspekcja ruchu SSL, wymuszane restrykcje połączeń, wykrywanie i blokowanie połączeń charakterystycznych dla serwisów przesiadkowych, anonimizujących lub tuneli, posiadanie i wdrożenie procedury zachowania ciągłości działania na wypadek rozległych zniszczeń spowodowanych aktywnością cyberprzestępców.

***RAMKA***

****KONIEC RAMKI***