Ciche zagrożenia

Każdy rok można nazwać rokiem czegoś nowego w cyberbezpieczeńtwie. Obecny, 2017 rok można ochrzcić mianem roku ataków bezplikowych, określanych również jako ataki ciche lub non-malware.

Skuteczne zainfekowanie wybranego celu jest dzisiaj tylko kwestią zaangażowania odpowiednich zasobów. Natomiast to, jak długo taka infekcja pozostanie nie zauważona w firmowej sieci, zależy od skuteczności mechanizmów wykrywania. Większość organizacji stosuje na brzegu sieci tradycyjne, nierzadko przestarzałe zabezpieczenia, które nie sprawdzają się w walce z nowoczesnymi atakami. Przykładowo, jak bronić się przed tymi cichymi atakami, które zostawiają bardzo mało śladów i przez to są trudniejsze do wykrycia? Potrafią one przeniknąć przez zabezpieczenia sieci, stwarzając duże zagrożenie dla firm. W takim ataku, jak mówi definicja, haker wykorzystuje istniejące oprogramowanie i dozwolone protokoły do zrealizowania swoich wrogich działań. W ten sposób może, np. zdalnie przejąć kontrolę nad komputerem, bez pobierania podejrzanych plików, które są łatwe wykrywane przez zabezpieczenia IT.

Metody infekcji stosowane w szkodliwym oprogramowaniu będą się stale rozwijać – jest to reakcja na wprowadzanie coraz bardziej zaawansowanych technik bezpieczeństwa. Nowe techniki szyfrowania, płatności kryptowalutami czy mechanizmy dostarczania kodu oznaczają, że tradycyjne rozwiązania bezpieczeństwa, które wykrywają zagrożenia, analizując przychodzące pliki, obecnie już nie wystarczają do skutecznej ochrony. Dlatego dzisiaj atakujący szukają sposobów, żeby zredukować liczbę używanych plików, które mogłyby zostać wykryte. To powoduje, że nie możemy już dłużej polegać wyłącznie na oprogramowaniu antywirusowym.

Zobacz również:

Ostatnie badania potwierdzają te obawy – rośnie liczba ataków „bezplikowych”, które nie pozostawiają śladów. Część ekspertów określa je mianem cichego zagrożenia. Są one bardziej złożone niż typowe zagrożenia, jak ransomware. Ciche zagrożenie ma bowiem inny cel. Atakujący chce wykraść wartości niematerialne, dane osobowe czy informacje dotyczące firmowej strategii. Określenie “ciche” wzięło się stąd, że te ataki zostawiają bardzo niewiele śladów swojego działania i przez długi okres mogą pozostawać w stanie “uśpienia”. Niestety wiele firm jest przeświadczonych, że brak śladów zagrożenia jest równoznaczny z brakiem zagrożenia. To pozwala atakującym przed długi czas działać, mimo braku uprawnień dostępu.

Skuteczny jak cyberprzestępca

Atakujący mają szeroką wiedzą o tym, jakie techniki stosują producenci antywirusów. Nie jest więc zaskoczeniem, że potrafią znaleźć sposoby, jak unikać takich zabezpieczeń. Tworząc ataki, w których nie wykorzystuje się plików wykonywalnych czy innych, zostawiających ślady w systemie plików, można pozostawać niezauważonym. Podobne efekty można osiągnąć, ukrywając szkodliwy kod w plikach uchodzących za nieszkodliwe, np. dokumentach PDF lub MS Word. Jest pewne, że ciche techniki ataków zajmą ważne miejsce w arsenale technik wykorzystywanych przez cyberprzestępców. Już teraz odpowiednie próbki kodu i podatności można kupić w Darknecie.

W cichych atakach stosuje się szeroki zestaw technik i taktyk, aby spenetrować systemy ofiary. Przyjrzyjmy się przykładowi:

  1. Użytkownik otwiera stronę internetową, prawdopodobnie zwabiony tam przez fałszywą wiadomość e-mail (phishing).
  2. Na tej stronie uruchamia się Flash. Ta technologia jest popularnym wektorem ataków, ponieważ zawiera niekończącą się ilość podatności.
  3. Flash uruchomia PowerShell – narzędzie systemu operacyjnego, które jest w prawie każdej maszynie z Windows. Następie przesyła do niego polecenia w trybie tekstowym. Wszystkie te operacje odbywają się w pamięci operacyjnej, żadnych plików.
  4. PowerShell łączy się z ukrytym serwer C&C (Command and Control), z którego pobiera kolejne skrypty PowerShella. Służą one do uzyskania dostępu do wrażliwych danych, a następnie przesyłają je do atakującego. W takim rodzaju ataku szkodliwe oprogramowanie nie jest zapisywane na dysku.

Dzisiejsze antywirusy nie są skuteczne w zwalczaniu tego rodzaju zagrożeń. Co więcej, stosowane zabezpieczenia mogą stwarzać fałszywe poczucie bezpieczeństwa. Kiedy dojdzie do ataku, którego objawy są oczywiste, np. ransomware, łatwo można wykazać, że zabezpieczenia są nieskuteczne. W przypadku cichych ataków często nie ma żadnych objawów i nawet przez wiele miesięcy mogą one pozostawać niewykryte.

Zabezpieczenia na przyszłość

Jeśli faktyczne przypadki ataków to za mało, to w końcu regulacje prawne skłonią firmy do wdrażania skutecznych zabezpieczeń przed nowoczesnymi atakami, także przed tymi cichymi. Potrzebny jest również zestaw najlepszy praktyk uwzględniających fakt, że antywirusy już nie wystarczają. Jeśli atak wykorzystuje pliki, statyczne środki bezpieczeństwa mogą go zatrzymać. Jednakże, jak pokazuje historia, antywirusy nie zawsze zapewnią ochronę, jaką powinny.

Przykładowo, ostatni atak NotPetya pokazał, że tylko 10 na 61 programów antywirusowych powstrzymało go. Dlatego zaawansowana strategia ochrony urządzeń końcowych powinna obejmować zarówno mechanizmy bazujące na sygnaturach, jak i analizę behawioralną. Organizacje muszą zrozumieć, że nie da się zapobiec wszystkim atakom. Warto jednak zainwestować w rozwiązania wykorzystujące analizę behawioralną, które potrafią wykryć ataki pozostawiające niewiele śladów. Nie ma bowiem większego sensu budowa wielowarstwowych zabezpieczeń, jeśli w każdej warstwie działają narzędzia wykorzystujące podobne techniki. Większą część budżetu można śmiało przeznaczyć na ochronę urządzeń końcowych.


TOP 200