.gif)
В этой статье рассказываем о методах, которые помогают киберпреступникам проскользнуть мимо ИБ-систем, и подходах к противодействию таким попыткам.
Эксперты делят методы противодействия обнаружению на две группы: скрытная доставка вредоносного ПО и скрытое присутствие. В первом случае главная цель злоумышленников – пройти через всевозможные фильтры и проверки, чтобы вредонос попал в целевую систему. Для этого необходимо спрятать опасный код или замаскировать его под легитимный.
Приходилось сталкиваться с различными оригинальными методами блокировки информационно-безопасностных систем. Например, использование скрытых каналов передачи данных, техник стеганографии или даже социальной инженерии для обхода систем защиты. Это подчеркивает необходимость постоянного совершенствования методов защиты и борьбы с киберугрозами.
Наиболее распространенные методы — это подделка идентификационных данных (spoofing), шифрование вредоносного кода для обхода систем, использующих эвристический анализ, например, применение различных методов обфускации и модификации вредоносного кода.
[В качестве целей киберпреступников] мы бы выделили сокрытие присутствия, отключение сервиса, нарушение корректной работы сервиса за счёт внешних воздействий, нарушение связи сервиса с центральным сервером, и в сочетании с отключением сервиса, самостоятельная связь с центральным сервером для имитации работоспособности сервиса.
Предлагаем следующую классификацию основных методов противодействия системам безопасности:
Следует упомянуть взлом системы централизованного управления EDR, AV, VM, что может привести к компрометации всей системы ИБ. Важно не только полагаться на системы защиты, но и проверять, могут ли они защитить сами себя. При этом собственная безопасность средства защиты зависит не только от встроенных в него механизмов, но и от среды функционирования. Не следует пренебрегать ее адекватной настройкой.
Когда файл попал на целевую систему, у злоумышленников появляется другая задача: сохранить присутствие и незаметно распространить влияние на инфраструктуру.
На этом этапе они собирают информацию об инфраструктуре и определяют целевые системы. На основе этих данных взломщики разрабатывают векторы атак, которые откроют им доступ к целевым системам, подбирают и разворачивают дополнительное вредоносное ПО, прокидывают каналы передачи данных за пределы периметра. Кроме того, создаются точки закрепления — при обнаружении вредоносной активности на одной скомпрометированной машине злоумышленники могут сохранить доступ к инфраструктуре. Это может продолжаться месяцами, особенно в случае атак, направленных на шпионаж или контроль над одним из компонентов комплекса предприятий.
Вывести из строя защитные систем непросто, если вообще возможно. Если не брать во внимание атаки типа DDoS, вариантов у злоумышленников особенно нет. В теории можно провести разведку, выяснить, например, какой именно антивирус использует потенциальная жертва атаки, и подготовить вредонос под конкретную ситуацию. Однако такая атака будет крайне дорогой и скорее всего неэффективной, системы защиты обычно тоже непрерывно развиваются и обновляются.
Чтобы обойти ограничения, связанные с сетевым доступом и ролевыми моделями, злоумышленникам приходится взламывать периметр безопасности не только снаружи внутрь, но и в обратном направлении. В противном случае не приходится говорить о двустороннем обмене данных.
Для этого они определяют допустимые каналы связи, протоколы, адреса подсетей, с которыми разрешено взаимодействие, права доступа, которыми наделены пользователи систем. Скрыть сетевую активность помогает проксирование и туннелирование трафика. Взломщики регулярно меняют адреса прокси-серверов и командных центров и следят за тем, чтобы эти адреса не определялись как вредоносные.
Отдельно стоит рассмотреть атаки на специфические инфраструктуры, особенно банки. Такие организации традиционно находятся под ударами самых разных злоумышленников: одни пытаются добраться до денег клиентов, другие охотятся за персональными данными, третьи стремятся взломать банкоматы и так далее.
В финансовых организациях часто используется специфическое ПО, каналы связи с «большим» интернетом тщательно контролируются — другими словами, даже не самыми простыми методами, которые работают против обычных компаний, доставить и применить зловред не получится.
В таких случаях злоумышленники часто применяют атаки на цепочку поставок, внедряя вредоносный код в легитимное ПО на каком-либо этапе его разработки или распространения. Это позволяет им обойти начальные этапы проверки и получить доступ к защищенному внутреннему периметру.
Впрочем, не обязательно разрабатывать технически сложную операцию, если можно найти слабое звено в виде сотрудника. Именно социальная инженерия остается главным методом для обмана пользователей и IT-персонала, который заставляет их самостоятельно отключать защитные механизмы или устанавливать вредоносные программы. В результате взломщики могут получить первоначальный доступ к системе и закрепиться в ней.
Инструменты обнаружения скрытой активности развиваются постоянно — в этой гонке разработчикам пока удается обгонять злоумышленников. Песочницы нового поколения создаются с учётом известных техник обхода и препятствуют определению того, что вредонос запущен в песочнице. Растет скорость анализа по сигнатурам и другим признакам: зачастую от первого запуска вредоносного ПО до регистрации в базах антивирусов проходит буквально несколько минут.
Это цикличный процесс: разработчики выводят на рынок продукты ИБ, злоумышленники их изучают, находят изъяны и бреши в средствах защиты, происходят инциденты ИБ, команды ИБ собирают уроки и артефакты, исследуют проблемы, работают совместно с разработчиками таких систем, которые в свою очередь придумывают новые способы детектирования ВПО и методы защиты от него и т.д.
Реальный результат дает эшелонированная оборона, которая включает множество средств безопасности – и системы мониторинга, и межсетевые экраны, и EDR-системы. При этом современные решения контролируют практически все возможные критические точки входа как для злоумышленника, так и для пользователя. И если для пользователя вход в почту не составит проблем, то злоумышленнику придется тщательно подбираться, чтобы его не заблокировали и не узнали об угрозе инцидента.
Чтобы обнаруживать вредоносную активность, необходимо регистрировать все события и регулярно проводить инвентаризацию активов. Только так компания сможет знать, где и что происходит в инфраструктуре, контролировать все свои системы, хосты, знать об их уязвимостях. Наконец, для проверки систем безопасности и инфраструктуры рекомендуется организовать непрерывный анализ защищенности активов и привлекать независимых исследователей через платформы Bug Bounty.
Эксперты делят методы противодействия обнаружению на две группы: скрытная доставка вредоносного ПО и скрытое присутствие. В первом случае главная цель злоумышленников – пройти через всевозможные фильтры и проверки, чтобы вредонос попал в целевую систему. Для этого необходимо спрятать опасный код или замаскировать его под легитимный.
Как обходят СЗИ
И главный метод для этой задачи — обфускация входящих данных и ПО в целом. Сокрытие, запутывание трафика и кода затрудняет сигнатурный анализ, на который полагаются многие антивирусные средства.Приходилось сталкиваться с различными оригинальными методами блокировки информационно-безопасностных систем. Например, использование скрытых каналов передачи данных, техник стеганографии или даже социальной инженерии для обхода систем защиты. Это подчеркивает необходимость постоянного совершенствования методов защиты и борьбы с киберугрозами.
Наиболее распространенные методы — это подделка идентификационных данных (spoofing), шифрование вредоносного кода для обхода систем, использующих эвристический анализ, например, применение различных методов обфускации и модификации вредоносного кода.
[В качестве целей киберпреступников] мы бы выделили сокрытие присутствия, отключение сервиса, нарушение корректной работы сервиса за счёт внешних воздействий, нарушение связи сервиса с центральным сервером, и в сочетании с отключением сервиса, самостоятельная связь с центральным сервером для имитации работоспособности сервиса.
Предлагаем следующую классификацию основных методов противодействия системам безопасности:
- Обфускация вредоносного программного обеспечения. Обфускация используется для обмана антивирусных инструментов, EDR- и других систем защиты, которые в значительной степени полагаются на цифровые подписи для интерпретации кода.
- Использование поддельных подписей кода. Хакеры используют сертификаты, выдавая своё ПО за легитимное. Сертификаты могут попадать к ним как в результате supply chain атак, так и после приобретения в даркнете.
- Шифрование. Злоумышленники могут напрямую настраивать атаки для обхода методов обнаружения, используемых в EDR, например, подделывая свои атаки или периодически изменяя свои методы.
- Нестандартные атаки. Хакеры могут изучать новые каналы связи или проникновения, которые еще не известны EDR-системам: новые протоколы связи или методы введения вредоносного кода. Они могут использовать уязвимости легитимных приложений или технику living-off-the-land (от англ. «питаться подножным кормом»), при которой злоумышленник «добывает» инструменты для достижения своей цели в атакованной системе, применяя компоненты операционной системы и легитимные инструменты, установленные самими администраторами.
Следует упомянуть взлом системы централизованного управления EDR, AV, VM, что может привести к компрометации всей системы ИБ. Важно не только полагаться на системы защиты, но и проверять, могут ли они защитить сами себя. При этом собственная безопасность средства защиты зависит не только от встроенных в него механизмов, но и от среды функционирования. Не следует пренебрегать ее адекватной настройкой.
Когда файл попал на целевую систему, у злоумышленников появляется другая задача: сохранить присутствие и незаметно распространить влияние на инфраструктуру.
На этом этапе они собирают информацию об инфраструктуре и определяют целевые системы. На основе этих данных взломщики разрабатывают векторы атак, которые откроют им доступ к целевым системам, подбирают и разворачивают дополнительное вредоносное ПО, прокидывают каналы передачи данных за пределы периметра. Кроме того, создаются точки закрепления — при обнаружении вредоносной активности на одной скомпрометированной машине злоумышленники могут сохранить доступ к инфраструктуре. Это может продолжаться месяцами, особенно в случае атак, направленных на шпионаж или контроль над одним из компонентов комплекса предприятий.
Вывести из строя защитные систем непросто, если вообще возможно. Если не брать во внимание атаки типа DDoS, вариантов у злоумышленников особенно нет. В теории можно провести разведку, выяснить, например, какой именно антивирус использует потенциальная жертва атаки, и подготовить вредонос под конкретную ситуацию. Однако такая атака будет крайне дорогой и скорее всего неэффективной, системы защиты обычно тоже непрерывно развиваются и обновляются.
Чтобы обойти ограничения, связанные с сетевым доступом и ролевыми моделями, злоумышленникам приходится взламывать периметр безопасности не только снаружи внутрь, но и в обратном направлении. В противном случае не приходится говорить о двустороннем обмене данных.
Для этого они определяют допустимые каналы связи, протоколы, адреса подсетей, с которыми разрешено взаимодействие, права доступа, которыми наделены пользователи систем. Скрыть сетевую активность помогает проксирование и туннелирование трафика. Взломщики регулярно меняют адреса прокси-серверов и командных центров и следят за тем, чтобы эти адреса не определялись как вредоносные.
Отдельно стоит рассмотреть атаки на специфические инфраструктуры, особенно банки. Такие организации традиционно находятся под ударами самых разных злоумышленников: одни пытаются добраться до денег клиентов, другие охотятся за персональными данными, третьи стремятся взломать банкоматы и так далее.
В финансовых организациях часто используется специфическое ПО, каналы связи с «большим» интернетом тщательно контролируются — другими словами, даже не самыми простыми методами, которые работают против обычных компаний, доставить и применить зловред не получится.
В таких случаях злоумышленники часто применяют атаки на цепочку поставок, внедряя вредоносный код в легитимное ПО на каком-либо этапе его разработки или распространения. Это позволяет им обойти начальные этапы проверки и получить доступ к защищенному внутреннему периметру.
Впрочем, не обязательно разрабатывать технически сложную операцию, если можно найти слабое звено в виде сотрудника. Именно социальная инженерия остается главным методом для обмана пользователей и IT-персонала, который заставляет их самостоятельно отключать защитные механизмы или устанавливать вредоносные программы. В результате взломщики могут получить первоначальный доступ к системе и закрепиться в ней.
Инструменты обнаружения скрытой активности развиваются постоянно — в этой гонке разработчикам пока удается обгонять злоумышленников. Песочницы нового поколения создаются с учётом известных техник обхода и препятствуют определению того, что вредонос запущен в песочнице. Растет скорость анализа по сигнатурам и другим признакам: зачастую от первого запуска вредоносного ПО до регистрации в базах антивирусов проходит буквально несколько минут.
Это цикличный процесс: разработчики выводят на рынок продукты ИБ, злоумышленники их изучают, находят изъяны и бреши в средствах защиты, происходят инциденты ИБ, команды ИБ собирают уроки и артефакты, исследуют проблемы, работают совместно с разработчиками таких систем, которые в свою очередь придумывают новые способы детектирования ВПО и методы защиты от него и т.д.
Реальный результат дает эшелонированная оборона, которая включает множество средств безопасности – и системы мониторинга, и межсетевые экраны, и EDR-системы. При этом современные решения контролируют практически все возможные критические точки входа как для злоумышленника, так и для пользователя. И если для пользователя вход в почту не составит проблем, то злоумышленнику придется тщательно подбираться, чтобы его не заблокировали и не узнали об угрозе инцидента.
Заключение
Очевидно, что битва меча и щита никогда не завершится. Поэтому специалисты рекомендуют придерживаться принципа «запрещено все, что не разрешено». Это значит оставлять пользователям только необходимые порты, запрещать обратные сессии, блокировать установку стороннего ПО и подключение внешних носителей.Чтобы обнаруживать вредоносную активность, необходимо регистрировать все события и регулярно проводить инвентаризацию активов. Только так компания сможет знать, где и что происходит в инфраструктуре, контролировать все свои системы, хосты, знать об их уязвимостях. Наконец, для проверки систем безопасности и инфраструктуры рекомендуется организовать непрерывный анализ защищенности активов и привлекать независимых исследователей через платформы Bug Bounty.
