Целенаправленные атаки

ЦЕЛЕНАПРАВЛЕННЫЕ

АТАКИ Андрей Арефьев

Менеджер по развитию продуктов

компании InfoWatch

Атака на персону:

Компрометация коллеги с целью занятия его должности

Кража имущества

Атака на компанию:

Кража производственных секретов

Переманивание клиентов

Махинации с платежами

Атака на государство

Кража военных секретов

Кража тактических и стратегических планов

Дискредитация важных персон

Разрушение стратегических объектов

…

………

ПРИМЕРЫ ИЗ ЖИЗНИ

ЦЕЛЕНАПРАВЛЕННЫЕ АТАКИ

Расширить сферу влияния

«Смотрите, они не могут решить эту проблему, а еще

экспертами себя назвали. То ли дело мы…»

«Мой коллега не справляется с работой, давайте его

заменим более подходящим человеком…»

Сэкономить

«Интересно, а как они сделали этот самолетик…»

«Если этот человек не сможет приехать вовремя на встречу,

мы выиграем тендер»

Украсть

«Давайте врежем свою трубочку в нефтепровод…»

«А почему бы нам не понизить стоимость этой компании, а

потом ее купить…»

МОТИВАЦИИ


Заранее спланированная атака, направленная

против конкретной персоны, коммерческой или

государственной организации.

У атаки как правило есть :

Заказчик

Профессиональный исполнитель

Координатор

Цели чётко определены:

Компрометация объекта атаки

Шпионаж

Хищение

ТАК ЧТО ЭТО ?


Рынок услуг по организации целенаправленных атак

существовал всегда. Одним из древних упоминаний можно

считать клан ниндзя. Ниндзя выполняли роль наёмников,

которые предлагали себя в качестве шпионов, наёмных

убийц, диверсантов, политических провокаторов

и террористов большим и маленьким правителям

японской феодальной эпохи.

Зависимость от IT растет год от года. И сейчас мы все

зависим от IT:

Персоны

Компании

Государства

Мотивация людей не поменялась за последние 1000 лет.

Следовательно, должен существовать рынок по

осуществлению целенаправленных атак в IT.

СПРОС РОЖДАЕТ

ПРЕДЛОЖЕНИЕ


По данным зарубежных агентств на российском рынке можно

купить:

Базовый криптер (для вставки злонамеренного кода в

безвредный файл): $10−30;

SOCKS-бот (для обхода файерволов): $100;

Заказ DDoS-атаки: $30−70 в сутки, $1 200 в месяц;

Спам по электронной почте: $10 за миллион писем;

Боты для ботнета: $200 за 2 000 ботов;

DDoS-ботнет: $700;

Исходный код ZeuS: $200−500;

Взлом учётной записи «Фейсбука» или «Твиттера»: $130;

Взлом учётной записи Gmail: $162.

Взлом корпоративного почтового ящика: $500;

….

ЧЕРНЫЙ РЫНОК


БОТНЕТ КАК КОММЕРЧЕСКИЙ

ПРОДУКТ


Например, банковский ботнет Citadel обладает всеми признаками

коммерческого продукта:

Продуктовая линейка, рассчитанная на разные целевые

аудитории: Минимальная, Расширенная , Полная, Буткит

Четкое описание и позиционирование каждого продукта,

входящего в продуктовую линейку.

Прайс-лист

Анонсы новых версий

Планы развития

ТЕНДЕНЦИИ РЫНКА


По данным исследования RAND National Security Research Division,

количество утилит для взлома через уязвимости выросло с 2006 по 2014 год

более чем в 33 раза.

ИЗМЕНЕНИЕ ХАРАКТЕРА АТАК


ОСНОВНЫЕ

ХАРАКТЕРИСТИКИ


Нацеленные:

Рассчитаны на обход антивирусной защиты используемой

жертвой атаки.

Атака начинается в одной точке, но постепенно подбирается

к цели.

Адаптивные:

Анализ условий, в которых ПО запущено.

Постоянная меняющиеся методы атаки.

Управляется из командного центра.

Скрытые:

Растянутые по времени с отложенной активацией.

Сокрытие взаимодействия с командным центром.

Уничтожение следов работы.

ПРОМЕЖУТОЧНЫЙ ИТОГ


Целенаправленные атаки – это

реальность.

Осуществляются

профессионалами.

Если система безопасности

компании не оповещает вас о

проблеме, это не значит, что атаки

на вас нет.

Stuxnet был обнаружен 17 июня 2010 года на компьютерах

обычных пользователей и в промышленных системах, которые

управляли производственными процессами.

Для внедрения в систему использовалось четыре уязвимости

«нулевого дня» (zero-day).

Специалисты считают, что Stuxnet был создан командой

профессионалов при финансовой поддержке суверенного

государства.

Вредоносной программе удалось несколько лет оставаться

незамеченной всеми антивирусными лабораториями, а мировой

общественности она стала известна во многом случайно.

Stuxnet был создан, чтобы контролировать производственные

процессы. Благодаря этому зловреду было задержано развитие

ядерной программы Ирана.

Атака – Stuxnet


Duqu был обнаружен в начале сентября 2011 года. По

внутренней структуре очень похож на Stuxnet.

Duqu обладает модульной структурой:

Основной модуль – предназначен для обработки команд,

получаемых от операторов и передаваемых по протоколам

HTTP/HTTPS;

Шпионский модуль-кейлоггер;

Шпионский модуль (infostealer) – вариация шпионского

модуля без функций кейлоггера;

Модуль (reconnaissance) – сбор системной информации;

Модуль (lifespan extender) – увеличение количества дней,

оставшихся до завершения работы.

Предназначен для атаки на заранее выбранные цели.

Компания Symantec нашла подтверждения того, что было

атаковано минимум 6 компаний в 8 государствах.

Атака – Duqu


Аврора – обнаружена в январе 2010 года.

Для внедрения в информационные системы использовалась

неизвестная (0day) уязвимость в Internet Explorer.

Атаке подверглись более 35 компаний, в том числе Google,

Adobe, Symantec.

В результате злоумышленники получили доступ к

информационным сетям атакованных компаний. Аврора

позволяет получить скрытый доступ к данным и осуществлять

их модификацию.

Предположительно, атака была осуществлена из Китая.

Атака – Операция Аврора


В феврале 2012 года в The Wall Street Journal было

опубликовано сообщение о том, что хакеры 10 лет похищали

информацию у компании Nortel.

Злоумышленники регулярно осуществляли доступ к

информационным системам Nortel, начиная с 2000 года. Доступ

осуществлялся путем взлома паролей.

В 2004 году взлом был замечен и предприняты меры для

решения инцидента. Но признаки присутствия хакеров в сетях

компании обнаруживались и позже – вплоть до 2009 года.

Предположительно, в результате атаки регулярно похищалась

конфиденциальная информация, среди которой были

технические документы, отчеты об исследованиях и

разработках, маркетинговые планы, переписка сотрудников.

Атака на Nortel


В марте 2011 года компания RSA (впоследствии RSA The

Security Division of EMC) объявила, что стала жертвой

целенаправленной атаки.

Для проведения атаки использовалась:

Уязвимость в Adobe Flash.

Методы социальной инженерии.

В результате атаки была украдена информация, позволяющая

скомпрометировать IT-инфраструктуру компаний, использующих

технологию SecureID.

В июне 2011 года RSA пришлось подтвердить, что как минимум

один ее клиент, компания Lockheed Martin, являющаяся

крупнейшим предприятием военно-промышленного комплекса

США, подверглась атаке, которая стала возможна по причине

компрометации технологии SecureID.

Атака на компанию RSA


Red October – проявления обнаружены в октябре 2012.

Это платформа, которая используется для проведения целевых

атак на протяжении как минимум пяти лет. В ходе этой операции

по всему миру были атакованы сотни жертв. Атакованные

организации относятся к 8 категориям:

1. Правительственные структуры

2. Дипломатические ведомства/посольства

3. Исследовательские институты

4. Торговые и коммерческие структуры

5. Ядерные/энергетические исследования

6. Нефтяные и газовые компании

7. Аэрокосмическая отрасль

8. Военные ведомства и компании, связанные с вооружением

Атака – Red October


Red October предназначен для:

Похищение широкого спектра документов с зараженного

компьютера а так же с USB накопителей подключаемых к нему.

Копирование информации с мобильных устройств: адресная

книга, контакты, история звонков, SMS сообщения, данные

календаря, история браузера.

Заражение мобильного устройства основным компонентом

бэкдора.

Запись всех вводимых данных с клавиатуры, снятие скриншотов

Сбор информации о файловой системе и сетевом окружении.

Сбор информации об установленных программах

Извлечение хешей аккаунтов Windows, вероятно, для их

последующего подбора-взлома.



Основной модуль вредоносного комплекса выполняет функцию

'точки входа' в систему и позволяет загрузить дополнительные

модули для следующих стадий атаки. Обычно атакующие

несколько дней собирают информацию, определяют ключевые

системы и затем устанавливают дополнительные модули,

которые могут заражать другие компьютеры в сети с помощью

различных методов.

Платформа создана для выполнения 'задач', которые поступают

от серверов управления. Модули загружаются с сервера,

исполняются в памяти компьютера без создания файлов на

диске и 'исчезают' после выполнения работы.

Обнаружено более 1000 различных модулей.

Управление платформой осуществлялось с более чем 60

доменов, расположенных территориально в 39 странах мира.



Шаг 1: Первичное поражение системы c использованием

уязвимостей в Web Browser, Outlook, Adobe Flash.

Шаг 2: Получение перманентного контроля над пораженным

компьютером, и загрузка на него дополнительных модулей: key

loggers, Trojan backdoors, password crackers

Шаг 3: Подавление антивирусной защиты, передача собранной

информации на сервера преступников и получение дальнейших

инструкций.

Шаг 4: Нахождение и поражение плохо защищённых серверов.

Шаг 5: Получение данных с зараженных серверов и ресурсов, к

которым удалось получить пароли, и передача полученных

данных по зашифрованным каналам на сервера преступников.

КАК УСТРОЕНА АТАКА


Инсайдер. Сотрудник компании осознанно устанавливающий злонамеренное ПО в сети компании.

Социальная инженерия. Задача этого подхода состоит в том, чтобы тем или иным способом заставить пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт.

Технические приёмы:

«Атака нулевого дня». Это использование ранее неизвестных уязвимостей OS, Outlook, Web Browsers, Adobe Flash.

Сокрытие присутствия: Так называемые руткит-технологии. Осуществляется за счет подмены системных функций, благодаря которым зараженный файл не виден штатными средствами операционной системы.

Мутация кода. Разбавление кода зловреда «мусорными» инструкциями. В результате функционал ПО сохраняется, но значительно меняется его цифровой отпечаток.

СПОСОБЫ АТАК


Какие данные чаще всего

похищают?


63%

63% компаний уверены,

что целенаправленная

атака на их компанию –

это вопрос времени

37%

23%

19%

13%

8%

Платежная информация (данные банковских карт и счетов) Персональные данные, клиентские базы

Коммерческая тайна, know-how

Конфиденциальная информация

Государственная тайна

Сканируется содержимое файла, и если находится

соответствие какого-либо участка кода просматриваемого

файла известной сигнатуре вируса в словаре, то файл

признается опасным.

Достоинства:

Позволяет определять конкретную атаку с высокой

точностью и малой долей ложных срабатываний.

Может быть использован как для сканирования содержимого

дисков, так и сетевого трафика.

Недостатки:

Беззащитны перед полиморфными вирусами и изменёнными

версиями того же вируса.

Требуют регулярного и оперативного обновления.

По данным Symantec, компания вынуждена обновлять

сигнатурную базу данных каждые 40 минут.

МЕТОДЫ ОБНАРУЖЕНИЯ –

СИГНАТУРНЫЙ АНАЛИЗ


Основан на анализе кода и предположении о том,

использование какого функционала OS можно считать

подозрительным.


Не требует наличие предварительно составленных баз

сигнатур, следовательно, может определять неизвестные

ранее вирусы.


Чрезмерная подозрительность эвристического

анализатора может вызывать ложные срабатывания.

Уровень обнаружения новых вредоносных программ

составляет не более 40-50 % от их числа.

Наличие простых методик обмана эвристического

анализатора.


ЭВРИСТИЧЕСКИЙ АНАЛИЗ


Предназначен для обнаружения признаков руткитов, которые

часто используются в вирусах для сокрытия их от

антивирусов. Методы основаны на выявлении аномалий,

характерных для модифицированной руткитом системы:

сопоставление полученных из разных источников списков

объектов, сопоставление системных структур и кода с

доверенной моделью и поиск отклонений в них.

Достоинства.

Позволяет обнаруживать признаки заражения системы.


Наличие методов обмана антируткита.

Из-за использования сложных технических приемов анализа

возможны конфликты с другими реализациями антируткита,

что как правило приводит к синему экрану.


АНТИРУТКИТ


NGFW – Firewall нового поколения. Комбинирует возможности Firewall-ов первых поколений с сигнатурным и эвристическим анализом, контролем SSL-соединений, а также репутацией сайтов.

Достоинства.

Позволяет обнаруживать попытки заражения системы на ранних стадиях.


Требует изменения сетевой инфраструктуры.

Значительно снижает производительность сети.

Большое количество ложных срабатываний.

70 миллионов имен, адресов электронной почты и телефонных номеров клиентов американского ритейлера Target (Target Corp. TGT:US) скомпрометированы в ходе атаки на инфраструктуру компании. Компьютерные системы безопасности американского ритейлера Target отреагировали на хакерское нападение и выдавали предупреждение об атаке, однако компания была не в состоянии оперативно отреагировать на сигнал тревоги.

МЕТОДЫ ОБНАРУЖЕНИЯ -

NGFW


Предназначен для анализа поведения приложения путем

запуска приложения в виртуальной среде.


Позволяет выявлять ранее не известное вредоносное ПО.


Может требовать привлечения аналитиков для вынесения

вердикта.

Вредоносное ПО в состоянии детектировать, что оно

запущено в виртуальной среде, и адаптировать свое

поведение соответствующим образом.


ПЕСОЧНИЦА


Предназначен для защиты рабочей станции путем разрешения

или запрета запуска приложений. Режим работы White/Black

List, а также список приложений определяется

администратором.


Простые в использовании и позволяющие усложнить жизнь

инсайдерам.


Не в состоянии противодействовать хакерским методам

атак.

В режиме White List возможности пользователей очень

сильно ограничиваются, что может создавать проблемы в

повседневной работе.

МЕТОДЫ ЗАЩИТЫ – ЗАПРЕТ

ЗАПУСКА ПРИЛОЖЕНИЙ


ПОЧЕМУ ТРАДИЦИОННЫЕ МЕТОДЫ

НЕ РАБОТАЮТ


1 • У традиционных способов

обнаружения есть слабые стороны

2 • Атакующий изучает жертву и

выбирает подходящий инструмент

3 • Целенаправленная атака скрыта и

растянута по времени

ПРИМЕР ИЗ ЖИЗНИ


Интернет-магазин, торгующий автозапчастями

Проблема, с которой обратились:

Много нереализованных заказов (отказов).

Отток клиентов периодический.

Период оттока зависит от смены работы

менеджеров.

Что было:

Сотрудник компании установил ПО,

которое регулярно скачивало базу заказов

и передавало на внешний сервер.

Сообщники сотрудника обзванивали

клиентов, сделавших заказ в интернет-

магазине, и предлагали те же запчасти по

более низким ценам.

Подход InfoWatch: ДИНАМИЧЕСКОЕ ОБНАРУЖЕНИЕ АТАК

ОБНАРУЖЕНИЕ ЗАМЫСЛА ПРОТИВНИКА ПОСЛЕ КАЖДОГО

ХОДА НА ОСНОВЕ ЕГО ПРЕДЫДУЩИХ ДЕЙСТВИЙ

мониторинг изменений состояния систем, входящих в ИТ-

инфраструктуру

анализ изменений состояния систем и поиск в них аномалий;

если система атакована, в изменениях появляются аномалии

классификация и выявление признаков атаки

Есть ли решение?

Агент Периодически собирает и передает в Экспертную

Облачную систему продукта информацию о состоянии

компьютеров корпоративной сети (данные

обезличиваются).

Экспертная Облачная система

Система облачного хранения и анализа Big Data,

предназначена для классификации ПО, поиска

вредоносного ПО и выявления целенаправленных атак.

Информационная панель

Информация о работе решения с возможностью

формирования отчетов по итогам анализа.

Архитектура решения

InfoWatch Targeted Attack Detector

InfoWatch Targeted Attack

Detector

Агенты Экспертная облачная система

Информационная панель

Как это работает?

Экспертная облачная система

InfoWatch Targeted Attack Detector

Спасибо за внимание!

InfoWatch

www.infowatch.ru

+7 495 22 900 22

Software

Целенаправленные атаки