Advanced Persistent Threat – а был ли мальчик?
Сегодня мы поговорим о типе атак, про который неохотно рассказывают службы безопасности, и о котором складывают самые громкие заголовки, так как он приносит самые большие убытки.
Для тех, кто в теме: техническая информация во 2 части статьи.
Чаcть первая – APT
Advanced Persistent Threat (APT) — это атака, при которой неавторизованный пользователь получает доступ к системе или сети и остается без обнаружения длительное время. APT особенно опасны для предприятий, поскольку хакеры имеют постоянный доступ к конфиденциальным данным компании. Такие угрозы обычно не наносят ущерба корпоративным сетям или локальным машинам, их цель - кража данных путем сложных постоянных угроз.
Усовершенствованные постоянные угрозы обычно проходят в несколько этапов: взлом сети, предотвращение обнаружения, построение плана атаки, выявление слабых мест. Далее происходит кража данных и их отправка на сторонние сервера.
Как работает APT?
APT происходит с течением времени и обычно выполняется в несколько этапов, а именно:
1. Злоумышленник проникает в сеть. Это может быть сделано с помощью фишингового электронного письма, вредоносного вложения или уязвимости приложения и обычно включает размещение вредоносного ПО где-то в сети.
2. Вредоносное программное обеспечение исследует уязвимости или обменивается данными с внешними серверами управления и контроля (C&C) для получения дальнейших инструкций или дополнительного кода.
3. Вредоносное ПО часто устанавливает дополнительные точки взлома, чтобы гарантировать продолжение атаки, если определенная точка входа или уязвимость будет закрыта или усилена.
4. Как только киберпреступник определяет, что успешно установил доступ к сети, он приступает к работе. Она может включать сбор имен учетных записей и паролей, кражу конфиденциальных файлов или удаление данных.
5. Промежуточный сервер используется вредоносным ПО для сбора данных. Затем эти данные под контролем злоумышленника передаются на внешний сервер. На этом этапе полное нарушение безопасности сети уже произошло, но злоумышленник сделает все возможное, чтобы замести следы и удалить все доказательства, чтобы вернуться, повторяя процесс снова и снова.
Что отличает расширенные постоянные угрозы (APT) от других атак?
Продвинутые постоянные угрозы, как правило, сложны и многогранны, что делает их более осознанными, чем условно-ориентированные угрозы, которые наносят ущерб цифровому миру в более широком масштабе. Например, согласно отчету NETSCOUT, в 2017 году только 16 % предприятий, государственных учреждений и образовательных организаций столкнулись с APT.
по теме
Итак, что же все же отличает APT угрозы?
Цели:
Если APT-атака представляет собой сложную, высокоорганизованную и хорошо финансируемую атаку, предназначенную для обхода строгой защиты, то цели атаки должны быть чрезвычайно важны, чтобы сделать ее стоящей для злоумышленника.
· Базы данных личной информации.
· Интеллектуальная собственность.
· Секретная информация.
· Постоянное общение между важными целями.
· Саботаж.
Методы:
Наиболее распространенные угрозы, с которыми мы сталкиваемся, чаще всего автоматизированы и ведут себя последовательно, они ищут одни и те же слабые места. И, несмотря на то что они часто перепрофилируются на проникновение в новые организации и системы, им, как правило, не хватает тщательного анализа, планирования и оркестровки, которые используются в APT.
APT-атаки, в свою очередь, связаны с тратой большого количества времени на исследование цели и поиск слабых мест. Только после этого разрабатывается индивидуальный план преодоления мер безопасности (уклонение от механизмов обнаружения) и достижения конечной цели.
Их методы включают:
· Передовые способы наблюдения и сбора разведданных.
Владение как открытыми, так и проприетарными инструментами вторжения. Они могут включать коммерческое программное обеспечение для тестирования на проникновение, а также программное обеспечение, приобретенное на торговых площадках даркнета. Они также часто разрабатывают свой собственный код с нуля или модифицируют существующий код по мере необходимости. Такая адаптация может иметь решающее значение для проникновения в организации с сильной защитой.
· Ориентацию на несколько точек в организации как на начальном этапе проникновения, так и на уровне атаки.
· Средства обнаружения уклонения.
Злоумышленники используют методы запутывания и хитрые приемы, например, бесфайловые вредоносные программы. Это помогает обойти механизмы мониторинга и обнаружения, развернутые целевыми организациями. Компании часто полагаются на сигнатуры для распознавания вредоносной активности, а это означает, что методы атаки, которые могут скрывать сигнатуры или иметь ранее невидимые сигнатуры, часто могут не пройти. Оставаться скрытым в течение длительного периода времени – решающий параметр для APT, поэтому злоумышленники прилагают значительные усилия для уклонения.
Одна из сложностей АРТ – сочетание нескольких подходов: социальной инженерии, использования уязвимостей программного обеспечения, развертывания руткитов, туннелирования DNS и широкого спектра других подходов. Некоторые из отдельных стратегий, используемых в APT, могут показаться не слишком продвинутыми, но планирование, масштаб и согласованность атаки делает их сложными.
Ресурсы:
Изощренность и длительность таких атак делают их развертывание невероятно дорогостоящим. Для начала нужна большая команда высококвалифицированных хакеров. Такие хакеры, как правило, могут зарабатывать большие деньги работая на законные предприятия. Поэтому организациям, стоящим за этими атаками, могут потребоваться значительные ресурсы, если они хотят заманить хакеров в незаконную деятельность.
Но APT требуется больше, чем просто люди и время. Злоумышленникам, возможно, придется платить за офисы, инфраструктуру, хостинг и многое другое. Цена только на инструменты может быть колоссальной.
Одна попытка APT-атаки может легко обойтись в сотни тысяч долларов. Не у всех есть деньги, необходимые для взлома государственных структур или предприятий, поэтому мы сужаем круг вопросов, кто действительно может запускать такие типы атак.
Как происходит уклонение от обнаружения?
Одной из основных задач APT является уклонение от обнаружения. Если цель становится подозрительной, ее безопасность могут усилить, что значительно затруднит проникновение. Защита может обнаружить злоумышленника в середине атаки и остановить его, что сведет на нет месяцы работы.
Поэтому злоумышленники разрабатывают свои методы уклонения от обнаружения. Они изучают сеть и ее средства, проверяют способы обойти их, не поднимая тревогу. Вот некоторые из наиболее распространенных способов, которыми они скрывают свою атаку:
· Фрагментация пакетов – злоумышленники могут передавать пакеты данных, объединяя их в менее подозрительные протоколы пакетов, что позволяет им обходить брандмауэры и системы обнаружения вторжений. Пакеты восстанавливаются после того, как они прошли через механизмы безопасности.
· Стеганография – сокрытие данных или вредоносных программ в изображениях и других, казалось бы, обыденных файлах.
· Уклонение от PHP – изменение порядка символов для встраивания бэкдоров в код веб-сайтов или веб-приложений.
· Изучение активности мыши – выполняя поиск щелчков или других действий, вредоносное ПО может определить, было ли оно открыто в целевой операционной среде или в виртуализированных системах. То есть выполняется ли она в системе анализа вредоносных программ, антивирусной песочнице или человеком-оператором, что позволяет вредоносной программе действовать соответствующим образом.
· Обфускация источника атаки – скрывая источник атаки или создавая впечатление, будто она исходит из ложного места, злоумышленник может помочь скрыть свою личность и намерения.
· Использование других атак в качестве дымовой завесы – APT-атаке намного проще проскочить мимо службы безопасности, если ее отвлекает что-то еще. Злоумышленники часто запускают DDoS-атаки и другие нападения на свои цели исключительно для того, чтобы группа безопасности не заметила, что на самом деле происходит.