Jak wygląda włamanie do sieci

Przedstawiamy metody i scenariusz działania cyberprzestępców na całej drodze od pierwszego przełamania zabezpieczeń aż do przejęcia kontroli nad infrastrukturą firmy.

Każdy atak można podzielić na kolejne etapy. Działania rozpoczynają się od rozpoznania celu, przygotowania narzędzi, a następnie uzyskania dostępu do firmowej sieci, jej penetracja, ruchy poziome, które umożlwiają przejęcie kontroli nad istotnymi zasobami, a następnie kradzież danych lub inne czynności zaplanowane przez napastnika.

Jak przestępcy docierają do firmy

Nowym obszarem, którego nie było w tej skali jeszcze 10 lat temu, są sieci społecznościowe oraz inne usługi online. Napastnicy rozpoznają cel i z powodzeniem wykorzystują socjotechnikę oraz grę na emocjach ofiary. Założenia socjotechniczne opierają się niezmiennie na tych samych zasadach, jednak zmienił się wektor ataku – napastnicy używają zaawansowanego złośliwego oprogramowania, które obchodzi zabezpieczenia antywirusowe.

Zobacz również:

Numerem jeden w kategorii metod uzyskiwania nieautoryzowanego dostępu do sieci jest phishing. Phishing polega na podszywaniu się pod pewne osoby i wysyłaniu wiarygodnie wyglądającego maila z załączonym złośliwym oprogramowaniem lub linkiem do niego. Im większą liczbą informacji dysponuje atakujący, tym bardziej wiarygodna będzie jego przynęta.

Inną techniką stosowaną przez hakerów jest atak typu drive-by. Cyberprzestępcy włamują się na strony internetowe i instalują na nich złośliwy kod JavaScript, dość często znajduje się on w osobnej ramce IFRAME. Skrypt ten następnie przekierowuje użytkowników do innej strony zawierającej złośliwe oprogramowanie, które instaluje się w tle na urządzeniu odwiedzającego. Oprogramowanie to instaluje kolejne składniki, by ostatecznie osiągnąć pełną kontrolę nad stacją roboczą ofiary.

Niezwykle efektywną techniką jest malvertising. Ten atak jest odmianą ataku typu drive-by i koncentruje się na sieciach reklamowych. Zainfekowanie jednej reklamy skutkuje rozsianiem działań atakującego na wiele różnych, niezależnych stron. Metoda ta jest niezwykle precyzyjna, gdyż dzisiejsze sieci reklamowe umożliwiają serwowanie kreacji reklamowych z wielką precyzją. W ten sposób napastnik wybiera konkretny cel, minimalizując obecność poza nim, co zmniejsza ryzyko niepowodzenia.

Na koniec – ataki mobilne. Większość metod ataków na smartfony czy tablety jest podobna do wcześniej wymienionych. Jednak w tym przypadku cyberprzestępcy mają dodatkowe drogi dotarcia, takie jak sms-y czy aplikacje mobilne. Obecnie zabezpieczenia smartfonów są o wiele słabsze niż stacji roboczych, ponadto świadomość użytkowników smartfonów w zakresie bezpieczeństwa jest na znacznie niższym poziomie w porównaniu do systemów stacjonarnych. Włamanie na smartfona przy zastosowaniu odrobiny socjotechniki może być prostsze niż na stację roboczą.

Krok pierwszy: uzyskanie dostępu do sieci

Większość stosowanych dziś metod ataku nie zmieniła się w ciągu ostatnich lat. Włamywacze łamią słabe hasła, podszywają się pod różne osoby i instytucje, wykorzystują podatności różnych aplikacji, podsyłają złośliwe oprogramowanie. Postęp technologiczny umożliwił jednak bardzo działanie w ukryciu i zdalne sterowanie całym atakiem. Mimo nowoczesnych zabezpieczeń firmy nadal są zagrożone, gdyż złodzieje korzystają ze zdobyczy technologicznych równie często, co z dopracowanej socjotechniki. Nie omijają przy tym sieci społecznościowych i potrafią dotrzeć bezpośrednio do pracowników danej firmy.

Krok drugi: penetracja sieci

Kiedy włamywacz uzyska kontrolę nad urządzeniem użytkownika i włamie się do sieci, musi jedynie zainstalować kolejne oprogramowanie, które pozwoli mu osiągnąć główny cel – dostęp do danych. Zazwyczaj dane te nie znajdują się na stacjach roboczych. Można je znaleźć na serwerach lub w bazach danych. Po uchwyceniu przyczółka w firmowej sieci napastnik uzyskuje kolejno dostęp do różnych systemów za pomocą złośliwego oprogramowania – ten etap włamania to penetracja oraz ruchy poziome.

Krok trzeci: rozpoznanie kluczowych elementów

Po uzyskaniu dostępu do firmowych zasobów napastnik przystępuje do rozpoznania najważniejszych obiektów w sieci. Po dokładnej analizie listy następuje określenie działań priorytetowych oraz głównego celu ataku – napastnik posiada już listę zasobów, określa kolejność kradzieży danych (lub innych działań przestępczych), ustala efekty i ryzyko każdej z tych operacji.

Anthony Giandomenico starszy strateg bezpieczeństwa laboratoriów FortiGuard w firmie Fortinet mówi: „Im dłużej włamywacze penetrują sieć, tym lepiej poznają procedury i przepływ informacji w firmie. Przykładem takiego działania jest atak grupy Carbanak. W tym wypadku cyberprzestępcy namierzyli komputery administratorów sieci, by uzyskać podgląd monitoringu w banku. Dzięki temu mogli dokładnie poznać procedury działania kasjerów, które następnie odtworzyli do dokonania nielegalnych transferów pieniężnych”.

Krok czwarty: kradzież danych lub blokada systemów

Gdy włamywacz posiada już dostęp do systemów atakowanej firmy, wybrał cel i metodę działania, rozpoczyna główne działanie. Zazwyczaj jest nim kradzież danych lub blokada firmowych zasobów w celu uzyskania okupu. Na tym etapie infrastruktura firmy jest już dokładnie spenetrowana i nie pozostawia dla włamywacza zbyt wielu tajemnic. Napastnik kradnie potrzebne mu firmowe informacje, blokuje komputery, niszczy dane, wymuszając zapłacenie okupu za ich odtworzenie.

Penetracja sieci krok po kroku

Ta część ataku rozpoczyna się od pierwszego przełamania zabezpieczeń i kończy się, gdy napastnik decyduje się na wyprowadzenie danych z firmy. Schemat działania włamywacza może być następujący:

  1. Zainstaluje dodatkowe oprogramowanie umożliwiające dalszą penetrację sieci.
  2. Zmapuje sieć, by zlokalizować serwery, których poszukuje.
  3. Spróbuje uzyskać dostęp do usług katalogowych i systemów uwierzytelnienia (takich jak Active Directory), w których przechowywane są nazwy użytkowników i hasła.
  4. Gdy znajdzie interesujące go dane, skopiuje je na serwer przejściowy. Idealne serwery do tego celu to te, które działają bez przerwy i są podłączone do Internetu.
  5. Dane będą powoli przesyłane na docelowe serwery atakującego, które często umieszczone są w chmurze, by utrudnić ich zablokowanie.

Jak utrudnić życie włamywaczowi

Obrona przed podobnym atakiem powinna zakładać utrudnianie działania napastnikowi na każdym etapie. Strategią, która przynosi pozytywne efekty w walce z podobnymi włamaniami jest podział sieci na poszczególne strefy funkcjonalne i kontrola ruchu na ich styku.

Anthony Giandomenico mówi: "W walce z włamaniami do sieci niezwykle ważna staje się jej segmentacja. Po pierwsze pozwala ona zredukować skutki włamania poprzez izolowanie od siebie poszczególnych obszarów. Ponadto segmentacja sieci umożliwia umieszczenie najbardziej istotnych danych w specjalnej, dodatkowo chronionej strefie. Sieci są zbyt duże i rozbudowane, by chronić i monitorować wszystko, co się w nich znajduje. Należy więc określić najważniejsze dane, odizolować je i zwiększyć wysiłki w kontroli punktów dostępu do sieci".