Анатомия таргетированной атаки.Часть 2

Вениамин
Левцов

Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"

Николай
Демидов

Технический эксперт “Лаборатории Касперского"

Что же представляет из себя таргетированная атака?

Целевая атака всегда продумывается и создается под жертву, являясь некой операцией, а не просто разовым действием. В основе таргетированной атаки лежит кропотливый сбор информации об инфраструктуре жертвы, она призвана преодолеть установленные на предприятии механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). За этой операцией, как правило, стоит организованная группа профессиональных киберпреступников, порой международная, вооруженная изощренными техническими средствами. Стратегия злоумышленников при таргетированной атаке обычно делится на четыре фазы.

Фактически при целевой атаке происходит вооруженная схватка между людьми: киберпреступники нападают, а специалисты компании-жертвы отражают хорошо подготовленное нападение.

Таргетированная атака включает в себя четыре основные фазы, показанные на рис. 1.

Далее мы опишем детальное развитие атаки, следуя четырем ее фазам с реальными примерами, и рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии.

Подготовка

Основные задачи начальной фазы атаки, подтверждающие ее определение как целевой:

• поиск и определение цели с последующим сбором детальной информации по выявлению слабых мест;
• анализ собранной информации, разработка стратегии по достижению результата с дополнением ее созданием инструментов.

Более детально первая фаза описана в первой части цикла статей.

Проникновение

Фаза "Проникновение" по совокупности применяемых методов и техник является одной из самых сложных в реализации. Зачастую инженеры безопасности затрудняются с ответом, когда их просят перечислить применяемые средства и методы проникновения в инфраструктуру. Давайте сформулируем ответ вместе, для этого вначале приведем наименование основных технических средств с описанием их основных функций:

• Эксплойт (Exploit).

Вредоносный код, эксплуатирующий уязвимости в хорошо известном и распространенном ПО. Эксплойты являются основным инструментом проникновения в инфраструктуру. Средствами доставки для них чаще всего являются электронная почта, компрометированные Web-сайты и USB-устройства (флешки, внешние диски и т.д.). Проникнув на корпоративный компьютер жертвы, эксплойт запускает средство доставки основного вредоносного ПО, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или Dropper.

• Валидатор.

Программа, предназначенная для сбора информации с зараженного хоста. Выполняет фильтрацию информации об учетных записях пользователей, установленном ПО, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:

• загрузка Dropper – приступить к выполнению целевой атаки;
• самоуничтожение – в случаях, когда компьютер и данные на нем не представляют ценности для целевой атаки;
• ожидание – решение откладывается, режим "сна".

Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае, если он перехватывается средствами защиты или специалистами по безопасности, это не создает для киберпреступников угрозы утечки какой-либо информации об атаке или атакующих.

Благодаря таким качествам может применяться в случаях, когда:

• риск обнаружения стандартными средствами защиты велик, для исключения возможной утечки применяемых техник в целевой атаке;
• производится целевая почтовая рассылка.

Средства доставки: электронная почта, скомпрометированные Web-сайты, в редких случаях USB-устройства.

• Загрузчик (Downloader)

Загрузчик используется для быстрого заражения с применением фишинга через вложения в письмах либо с фишинговых Web-сайтов. При запуске выкачивает основной модуль Payload либо Dropper.

• Dropper.

Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на машину жертвы с последующим закреплением внутри операционной системы. Как правило, для этого применяется скрытая автозагрузка.

Эта программа:

• определяет активные процессы в операционной системе, выбирая наиболее выгодный с точки зрения привилегий, и инжектирует собственный код в код активного процесса непосредственно в оперативной памяти, что позволяет ему получить все уровни доступа к ресурсам операционной системы, не вызывая подозрений у средств защиты;
• загружает тело основного модуля Payload;
• выполняет частичную дешифрацию и запуск основного модуля.

Средствами доставки могут являться электронная почта, скомпрометированные Web-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).

• Основной модуль Payload.

Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи (рис. 2).

Тело модуля содержит многоуровневое шифрование, призванное защитить как разработки и технологии киберпреступников, так и детектирование самой атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, которые обеспечивают гарантированный запуск модуля в подходящей для него среде и не допускают его запуск, если среда не удовлетворяет требованиям. Среди неподходящих для модуля условий можно назвать:

• поведенческий анализ в песочнице (Sandbox);
• эмуляторные техники в случаях, когда антиэмуляторные механизмы не срабатывают;
• наличие отладчика и любого другого средства работы вирусного аналитика;
• наличие средств мониторинга системы и сетевого трафика;
• наличие неизвестного антивируса, не попадающего под используемые техники обхода.

Это общий перечень средств, но далеко не обязательно все они применяются в одной атаке. В каждом конкретном случае хакеры будут использовать свой, уникальный набор инструментов. Он может состоять из одного Dropper'а с основным модулем Payload.

Перейдем к применяемым техникам обхода стандартных средств защиты, таких как Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.

Обход стандартных средств защиты

Применяемые стандартные решения ИБ на сегодняшний день обладают богатым функционалом, обеспечивающим высокий уровень контроля и фильтрации данных. Этот факт вынуждает киберпреступников изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы. Тем самым сильно усложняя им задачу.

Опишем наиболее известные применяемые приемы:

• Обфускация кода. Запутывание кода на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа антивирусом.

• Шифрование. Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.

•Инжектирование процесса. Техника по динамическому внедрению собственного кода в чужой процесс. Позволяет использовать все привилегии легитимного процесса в своих целях, не обращая на себя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

• определение дескриптора нужного процесса;
• создание нового потока в виртуальном пространстве процесса.

• Mimikatz. Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде.

• Руткит. Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлогер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают в системы свои драйверы и службы (они также являются "невидимыми"). Руткит также может быть использован как средство доставки, способное выгрузить все необходимое хакеру после заражения машины.

• Обход эмулятора. Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.

• Обход поведенческого анализа. Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код "засыпает" на некоторое время, чтобы предотвратить обнаружение.

Не стоит забывать о присутствии уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Иногда в компаниях не реализован процесс сканирования и квалификации уязвимостей, что оставляет хакерам шансы для их эксплуатации.

Эксплуатация уязвимостей

Уязвимость эксплуатируется посредством внедрения кода в уже запущенную ОС или программу, т.о. изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять недекларированные функции, зачастую с правами администратора. Эксплуатация уязвимостей является одним из любимых методов проникновения у киберпреступников.

Уязвимости ПО можно разделить на два типа:

1. Известные – имеющие стандартно классифицированное CVE (Common Vulnerabilities and Exposures) описание и готовые исправления в обновлениях разработчика. CVE – открытая база известных уязвимостей.

2. Неизвестные, или уязвимости нулевого дня – не устраненные и еще не обнаруженные разработчиками и исследователями угрозы. Такого рода угрозы являются неплохим заработком для черных исследователей, зарабатывающих на продаже выявленных уязвимостей на хакерских рынках.

Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру:

• Переполнение буфера (Buffer Overflow).

Может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии или предварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.

• USB-устройства в сочетании с уязвимостью и методом социальной инженерии.

Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.

Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.

• Целевой фишинг (Spear Phishing) в сочетании с социальной инженерией.

Применяемые санитарные средства контроля корпоративной почты, такие как антиспам и антивирус, являются стандартом. Большинство пользователей доверяет входящей корреспонденции, предполагая, что она прошла контроль и безопасна. К сожалению, это не относится к социальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.

Например, сотрудник в банке может получить электронное письмо с вложением, допустим, от регулятора отрасли или от имени важных контрагентов (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный e-mail, видоизменив один символ) с именным обращением к нему лично и с подписью лица, с которым он общается по работе. В приложении к письму будет прикреплен файл с подходящим рабочим названием, которое не вызовет никаких подозрений. Но на самом деле письмо будет поддельным, и при открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментом с вытекающими последствиями развития атаки.

Разновидности использования почты как точки входа:

• подделка/имитация адреса отправителя;
• опасное вложение (различные документы и изображения с вшитым эксплойтом);
• ссылка на HTML-страницу с заранее размещенным инструментом проникновения.

Комбинированные техники

В каждой таргетированной атаке применяется уникальная комбинация утилит, механизмов эксплуатации уязвимостей нулевого дня и вредоносного ПО, специально созданных под конкретную цель. Комбинирование позволяет добиться высочайшего результата, объединив, к примеру, целевой фишинг с вредоносным ПО либо размещенный загрузчик, эксплуатирующий уязвимость на подменном Web-сайте.

Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. При этом часть инструментов по проникновению могут сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в белые списки систем безопасности. Для наглядности приведем несколько примеров таких программ:

• продукты удаленного администрирования, RDP, VNC;
• программы переключения языков клавиатуры, имеющие возможность легитимно использовать логирование клавиатуры;
• сетевые сканеры и т.д.

Инвентаризация сети

По завершении уклонения от обнаружения и выполнении тестов на соответствие операционной среде Payload принимает решение по активации основных функциональных модулей. Устанавливая шифрованное соединение с командными центрами, сообщает о своем активном статусе. На этой стадии киберпреступники переходят в ручной режим работы, используя консольный терминал подконтрольной машины. Им необходимо быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться. Первоочередным по важности является поднятие уровня доступа до привилегированного, а также информация о топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое легальное ПО, например Netscan.

Распространение

После изучения топологии сети выполняется отбор ключевых рабочих станций и серверов с точки зрения поставленных в целевой атаке задач. На этом шаге хакеры работают под легитимными административными правами, и все их действия абсолютно прозрачны с точки зрения систем контроля безопасности. Вся работа строится на использовании стандартных средств удаленного доступа RDP.

Шаг 1. Закрепление внутри инфраструктуры

Под закреплением понимается работа, направленная на организацию гарантированного доступа в инфраструктуру жертвы. Так как первичная точка проникновения, как правило, является компьютером сотрудника с фиксированным рабочим графиком, это накладывает ряд ограничений по доступу к инфраструктуре в нерабочие часы.

Если смотреть со стороны самих компаний, то статистика "Лаборатории Касперского" говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) и потеря важных деловых контактов или бизнес-возможностей (34%).

Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак:

• Duqu 2.0

В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn – известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Pay-load. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.

• Carbanak

Закрепление происходило методом копирования Payload в системную папку %system 32 %\ com с именем svchost.exe с назначением файлу следующих атрибутов: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.

Шаг 2. Распространение

Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются серверы с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки Persistent. На таком уровне для заражения достаточно подключиться к выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.

Шаг 3. Обновление

Случается, что определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля, например такой функцией может являться запись звука с внешнего микрофона. Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть использована при необходимости.

Шаг 4. Поиск ключевой информации и методов достижения целей

Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью является шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.

Приведем пример из Car-banak:

Ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело в том, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов, ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.

Достижение целей

Шаг 1. Выполнение вредоносных действий

В ключевой финальной фазе атаки киберпреступники имеют наивысший уровень проникновения и распространения в инфраструктуре жертвы. Они способны совершить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз:

1. Хищение ключевой информации. Чаще всего компании сталкиваются с хищением информации. Это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж. Реже целью может быть получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.

Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающим реальное. Обычно это выглядит как активная шифрованная сессия, где Web-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).

2. Изменение данных. На примере целевой атаки Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.

А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств на подконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.

3. Манипуляции с бизнес-процессами и шантаж. Наглядный пример произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. В результате были похищены тысячи файлов и документов, финансовых данных, а также к киберпре-ступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышли из строя, а на экранах рабочих станций отображалась фраза: "Мы завладели вашими секретами". Все данные на жестких дисках рабочих компьютеров были стерты, кибер-преступники грозились опубликовать информацию, если компания не подчинится их требованиям.

Уничтожение данных – другой, нечасто встречающийся пример развития целевой атаки. В августе 2012 г. порядка 30 000 ПК, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя, а данные на них стерты. Киберпреступники преследовали две цели: первая – хищение закрытой информации, вторая – полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив от сети Интернет филиалы и заказчиков.

Шаг 2. Сокрытие следов

На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.

Шаг 3. Точка возврата

На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.

В завершение статьи еще раз подчеркнем три основных отличия целевой атаки

• Адресность.
• Скрытность.
• Результативность.

В третьей части цикла статей "Анатомия целевой атаки" мы рассмотрим актуальные способы по профилактике и противодействию процессу, именуемому целевой атакой.