Piaskownica nie do zabawy

Najważniejszym zagrożeniem dla bezpieczeństwa IT w firmie jest obecność i aktywność złośliwego oprogramowania. Odpieranie podobnych ataków nie jest proste. Niekiedy jedynym skutecznym narzędziem staje się analiza aktywności w kontrolowanym środowisku.

Ataki przeciw firmom można podzielić na dwie zasadnicze grupy: ataki masowe, związane z typowymi kradzieżami pieniędzy klientów bankowości elektronicznej, oraz specjalnie przygotowywane ataki kierowane, APT (Advanced Persistent Threats) lub ATA (Advanced Targeted Attacks), niekiedy klasy militarnej. Najczęściej mamy do czynienia z masowymi atakami, w których głównym celem są użytkownicy systemów bankowości elektronicznej konkretnego banku, a nie pracownicy wybranej firmy.

Infekcja rozpoczyna się zazwyczaj od zwabienia użytkownika za pomocą technik socjotechnicznych, a w konsekwencji np. przekierowania jego przeglądarki do specjalnie przygotowanej strony, na której hostowane jest złośliwe oprogramowanie. Użytkownik zachęcony za pomocą wcześniejszych działań socjotechnicznych pobiera program, który zainstaluje kolejne składniki konia trojańskiego służącego do kradzieży pieniędzy z kont internetowych.

Zobacz również:

Możliwy jest też szereg bardziej wysublimowanych działań prowadzących do zainfekowania systemu użytkownika, polegający na wykorzystaniu najnowszych, często jeszcze nieopublikowanych podatności występujących w najbardziej popularnych aplikacjach użytkowników. Wtedy to niczego niespodziewający się użytkownik, otwierając spreparowany link, dokument lub załącznik pocztowy, staje się ofiarą ataku bez „konieczności” uruchamiania pliku wykonywalnego (exe). Zagrożenie to jest powszechne i znane, dzięki czemu rutynowe działania dostawców technologii bezpieczeństwa zaczynają przynosić coraz lepsze efekty.

Tomasz Niewdana, inżynier systemowy w firmie Fortinet, mówi: „W większości przypadków znamy najważniejsze symptomy i zachowania związane ze scenariuszem infekcji. Dysponujemy możliwością identyfikowania ruchu botnetowego, wykrywamy połączenia do podejrzanych i skompromitowanych adresów IP oraz URL, rozpoznajemy protokoły komunikacji z serwerem kontroli botnetu (C&C – Command and control center). Zauważamy także częste wykorzystywanie tej samej technologii przez napastników na poszczególnych etapach ataku. Nawet jeśli występuje w nich eksploit na nową nieznaną wcześniej podatność lub nowy sposób omijania tradycyjnych zabezpieczeń, takich jak antywirus czy IPS, to często kanał lub mechanizm komunikacji zostaje ten sam, a niekiedy nawet adresy IP, użyte rekordy DNS czy adresy URL stosowane do poszczególnych etapów ataku są identyczne. A to znacznie ułatwia detekcję potencjalnie nieznanego zagrożenia. Posiadamy centrum wykrywania FortiGuardLabs, które analizuje próbki malware'u. Przechwytujemy wiele podejrzanych plików i wcześniej niezidentyfikowanych zagrożeń, a ich sygnatury oraz inne charakterystyczne niebezpieczne wzorce zachowań w zautomatyzowany sposób trafiają do naszych sygnatur antywirusowych, baz filtrowania treści i innych list reputacji”.

Kierowany atak specjalny

Ataki kierowane APT/ATA przeciw firmom technologicznym mają inny cel – zamiast masowych kradzieży pieniędzy z systemów transakcyjnych złodzieje kradną z firmy lub instytucji informację. Atak taki rozpoczyna się od rozpoznania pracowników, np. przy wykorzystaniu informacji w sieciach społecznościowych, takich jak LinkedIn, GoldenLine czy Facebook, a następnie napastnicy opracowują specjalnie spreparowaną wiadomość e-mail lub korzystają z innych dróg, by uzyskać dostęp do firmowej infrastruktury od środka. Obecnie celem zaawansowanych ataków nie są same systemy informatyczne , ale klienci bądź pracownicy danej firmy.

Tomasz Niewdana wyjaśnia: „Pierwszym krokiem jest link kierujący do podstawionej strony albo załącznik w formacie PDF lub Microsoft Office zawierający eksploita. Po wykorzystaniu podatności w aplikacjach lub wtyczkach takich jak Java i Flash złośliwe oprogramowanie przejmuje kontrolę nad systemem na stacji roboczej i stopniowo rozszerza swój zasięg działania. Do tego celu używa się nieznanych dla ogółu eksploitów tzw. 0-day, cały proces infekcji jest niezauważalny dla użytkownika. Napastnicy wykorzystują również podrzucane pamięci USB. Droga infekcji jest kilkuetapowa i specjalnie opracowywana pod kątem konkretnych użytkowników. Scenariusze ataków przewidują również możliwość infekcji danego użytkownika poza zabezpieczonym środowiskiem korporacyjnym. Na przykład ktoś klika w link zawarty w wiadomości wysłanej na Facebooku przez znajomego, korzystając z firmowego komputera, będąc w zasięgu domowego lub hotelowego Wi-Fi. Wtedy większość sieciowych mechanizmów bezpieczeństwa, które znajdują się w firmie, jest po prostu omijana”.

Po udanym przejęciu kontroli nad systemem operacyjnym odbywa się zestawienie sesji komunikacji zwrotnej od zarażonego komputera do serwera botnetu. W odróżnieniu od pospolitych koni trojańskich takich jak ZeuS przy atakach kierowanych klasy enterprise lub militarnych komunikacja odbywa się za pomocą tuneli i żądań DNS, NTP, a nawet ICMP. Tych kanałów może być kilka, i to bardzo zróżnicowanych. Zadaniem komunikacji zwrotnej jest wysłanie w niezauważony sposób jak największej porcji danych. Sam atak jest nadzorowany przez cyberprzestępców i operacja kradzieży informacji z firmy ma pozostać niewidoczna tak długo, jak to możliwe.

Przy wykrywaniu podobnych ataków ważna jest dokładna analiza podejrzanych i niesklasyfikowanych wcześniej obiektów, z których korzystają użytkownicy. Przydatne jest także monitorowanie anomalii ruchu sieciowego. Dogłębnej analizy nie można skutecznie wykonać „w locie”, przy pobieraniu pliku z internetu, gdyż proces analizy nieznanych zagrożeń może zająć nawet kilka minut, a żaden użytkownik nie będzie miał tyle cierpliwości, czekając na otwarcie strony WWW. Ale w przypadku poczty elektronicznej takie opóźnienie można już zaakceptować. Wtedy wiadomość jest wstrzymywana na czas analizy treści, adresów URL czy załączników i znajdzie się w kolejce przychodzącej dopiero po jej pozytywnym rezultacie zakończenia.

Ważnym aspektem wielowarstwowej ochrony przed tego typu atakami jest możliwość pełnej integracji i zasilania samego sandboksa próbkami z takich urządzeń, jak: zapory sieciowe, system ochrony antyspamowej czy program antywirusowy na stacji końcowej użytkownika. Dzięki temu możemy wyłapywać nieznane zagrożenia na wielu warstwach komunikacji.


TOP 200