Броня не спасла: как злоумышленники обходят системы защиты

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
В этой статье рассказываем о методах, которые помогают киберпреступникам проскользнуть мимо ИБ-систем, и подходах к противодействию таким попыткам.


Эксперты делят методы противодействия обнаружению на две группы: скрытная доставка вредоносного ПО и скрытое присутствие. В первом случае главная цель злоумышленников – пройти через всевозможные фильтры и проверки, чтобы вредонос попал в целевую систему. Для этого необходимо спрятать опасный код или замаскировать его под легитимный.

hswpjsv8wgzd6u6u3ash1idwf0g5y7by.png


Как обходят СЗИ

И главный метод для этой задачи — обфускация входящих данных и ПО в целом. Сокрытие, запутывание трафика и кода затрудняет сигнатурный анализ, на который полагаются многие антивирусные средства.

Использование полиморфного и метаморфного кода позволяет получать высоковариативную кодовую базу при неизменности выполняемой полезной нагрузки. Кроме того, атакующие часто используют технику разделения вредоносного кода на части, загружаемые в систему поэтапно, что также затрудняет анализ и определение функций ПО.

Приходилось сталкиваться с различными оригинальными методами блокировки информационно-безопасностных систем. Например, использование скрытых каналов передачи данных, техник стеганографии или даже социальной инженерии для обхода систем защиты. Это подчеркивает необходимость постоянного совершенствования методов защиты и борьбы с киберугрозами.

Вредоносный код можно упаковать специальной программой, чтобы его не обнаружили системы, работающие по базам хешей и контрольных сумм. Вредоносное ПО может постоянно случайным образом менять собственные параметры. Есть и принципиально другие подходы, например, сначала загрузить зловред, который ничего конкретного не делает, но может исследовать атакуемую систему и самостоятельно загрузить другие исполняемые части вредоноса.

Наиболее распространенные методы — это подделка идентификационных данных (spoofing), шифрование вредоносного кода для обхода систем, использующих эвристический анализ, например, применение различных методов обфускации и модификации вредоносного кода.

[В качестве целей киберпреступников] мы бы выделили сокрытие присутствия, отключение сервиса, нарушение корректной работы сервиса за счёт внешних воздействий, нарушение связи сервиса с центральным сервером, и в сочетании с отключением сервиса, самостоятельная связь с центральным сервером для имитации работоспособности сервиса.

Предлагаем следующую классификацию основных методов противодействия системам безопасности:
  1. Обфускация вредоносного программного обеспечения. Обфускация используется для обмана антивирусных инструментов, EDR- и других систем защиты, которые в значительной степени полагаются на цифровые подписи для интерпретации кода.
  2. Использование поддельных подписей кода. Хакеры используют сертификаты, выдавая своё ПО за легитимное. Сертификаты могут попадать к ним как в результате supply chain атак, так и после приобретения в даркнете.
  3. Шифрование. Злоумышленники могут напрямую настраивать атаки для обхода методов обнаружения, используемых в EDR, например, подделывая свои атаки или периодически изменяя свои методы.
  4. Нестандартные атаки. Хакеры могут изучать новые каналы связи или проникновения, которые еще не известны EDR-системам: новые протоколы связи или методы введения вредоносного кода. Они могут использовать уязвимости легитимных приложений или технику living-off-the-land (от англ. «питаться подножным кормом»), при которой злоумышленник «добывает» инструменты для достижения своей цели в атакованной системе, применяя компоненты операционной системы и легитимные инструменты, установленные самими администраторами.
Тяжелее всего средствами защиты обнаруживаются инъекции вредоносного ПО непосредственно в оперативную память. Регистры в компьютере постоянно перемещаются, и реализовать статистический анализ на программном уровне проблематично. Злоумышленники загружают в оперативную память свое ПО и заставляют компьютер исполнить его.

Следует упомянуть взлом системы централизованного управления EDR, AV, VM, что может привести к компрометации всей системы ИБ. Важно не только полагаться на системы защиты, но и проверять, могут ли они защитить сами себя. При этом собственная безопасность средства защиты зависит не только от встроенных в него механизмов, но и от среды функционирования. Не следует пренебрегать ее адекватной настройкой.

Когда файл попал на целевую систему, у злоумышленников появляется другая задача: сохранить присутствие и незаметно распространить влияние на инфраструктуру.

На этом этапе они собирают информацию об инфраструктуре и определяют целевые системы. На основе этих данных взломщики разрабатывают векторы атак, которые откроют им доступ к целевым системам, подбирают и разворачивают дополнительное вредоносное ПО, прокидывают каналы передачи данных за пределы периметра. Кроме того, создаются точки закрепления — при обнаружении вредоносной активности на одной скомпрометированной машине злоумышленники могут сохранить доступ к инфраструктуре. Это может продолжаться месяцами, особенно в случае атак, направленных на шпионаж или контроль над одним из компонентов комплекса предприятий.

Вывод средств защиты из строя привлекает внимание, а позволить себе быть обнаруженными злоумышленники могут только в случае молниеносной атаки. Обычно это либо детально продуманные кампании, нацеленные на получение доступа к конкретным ресурсам, например, к базе данных, либо атаки с целью шифрования компонентов инфраструктуры и дальнейшего требования выкупа.

Вывести из строя защитные систем непросто, если вообще возможно. Если не брать во внимание атаки типа DDoS, вариантов у злоумышленников особенно нет. В теории можно провести разведку, выяснить, например, какой именно антивирус использует потенциальная жертва атаки, и подготовить вредонос под конкретную ситуацию. Однако такая атака будет крайне дорогой и скорее всего неэффективной, системы защиты обычно тоже непрерывно развиваются и обновляются.

Чтобы обойти ограничения, связанные с сетевым доступом и ролевыми моделями, злоумышленникам приходится взламывать периметр безопасности не только снаружи внутрь, но и в обратном направлении. В противном случае не приходится говорить о двустороннем обмене данных.

Для этого они определяют допустимые каналы связи, протоколы, адреса подсетей, с которыми разрешено взаимодействие, права доступа, которыми наделены пользователи систем. Скрыть сетевую активность помогает проксирование и туннелирование трафика. Взломщики регулярно меняют адреса прокси-серверов и командных центров и следят за тем, чтобы эти адреса не определялись как вредоносные.

Медленная поэтапная атака позволяет изучить инфраструктуру и средства защиты компании. Затем атака имитируется в тестовой среде, и если системы защиты не сработали, то метод применяется в боевой инфраструктуре. Тут, конечно, зловреды должны скрываться от обнаружения.

Построение ботнет-сети может занимать несколько месяцев, при этом потенциальная жертва не будет подозревать об уже идущей атаке. Целевая атака с заранее выясненными уязвимостями сети или инфраструктуры может в короткие сроки вывести все системы жертвы из строя.

Отдельно стоит рассмотреть атаки на специфические инфраструктуры, особенно банки. Такие организации традиционно находятся под ударами самых разных злоумышленников: одни пытаются добраться до денег клиентов, другие охотятся за персональными данными, третьи стремятся взломать банкоматы и так далее.

В финансовых организациях часто используется специфическое ПО, каналы связи с «большим» интернетом тщательно контролируются — другими словами, даже не самыми простыми методами, которые работают против обычных компаний, доставить и применить зловред не получится.

В таких случаях злоумышленники часто применяют атаки на цепочку поставок, внедряя вредоносный код в легитимное ПО на каком-либо этапе его разработки или распространения. Это позволяет им обойти начальные этапы проверки и получить доступ к защищенному внутреннему периметру.

Среди атак на банки чаще встречаются комплексные, направленные на нарушение связи между системами информационной безопасности банка и клиентами. Задача взлома — «легитимизировать» мошеннические транзакции тем или иным способом.

В числе комплексных приемов, например, — отвлечь DDoS-атакой отдел ИБ банка, в это же время совершить тонкий взлом системы биллинга, или перегрузить системы мониторинга банков, в попытках перевести их в аварийные (оффлайн) режимы. И, конечно, атаки с помощью «инсайдеров». Обычно именно они являются причиной громких утечек.

Впрочем, не обязательно разрабатывать технически сложную операцию, если можно найти слабое звено в виде сотрудника. Именно социальная инженерия остается главным методом для обмана пользователей и IT-персонала, который заставляет их самостоятельно отключать защитные механизмы или устанавливать вредоносные программы. В результате взломщики могут получить первоначальный доступ к системе и закрепиться в ней.

Все методы блокировки ИБ систем базируются на социальной инженерии, а не на каком-то умном вредоносном программном обеспечении. Я сталкивался с тем, что сам пользователь так хотел добраться до какого-то файла, что делал это без особых усилий со стороны хакеров.

Инструменты обнаружения скрытой активности развиваются постоянно — в этой гонке разработчикам пока удается обгонять злоумышленников. Песочницы нового поколения создаются с учётом известных техник обхода и препятствуют определению того, что вредонос запущен в песочнице. Растет скорость анализа по сигнатурам и другим признакам: зачастую от первого запуска вредоносного ПО до регистрации в базах антивирусов проходит буквально несколько минут.

Если раньше защита могла ограничиваться конечными точками, например, конкретными рабочими станциями или серверами, то сейчас становится популярнее комплексный подход: осуществляется анализ данных, поступающих от множества компонентов инфраструктуры, эти данные сопоставляются, и выявление угроз происходит на более высоком уровне.

Это цикличный процесс: разработчики выводят на рынок продукты ИБ, злоумышленники их изучают, находят изъяны и бреши в средствах защиты, происходят инциденты ИБ, команды ИБ собирают уроки и артефакты, исследуют проблемы, работают совместно с разработчиками таких систем, которые в свою очередь придумывают новые способы детектирования ВПО и методы защиты от него и т.д.

Реальный результат дает эшелонированная оборона, которая включает множество средств безопасности – и системы мониторинга, и межсетевые экраны, и EDR-системы. При этом современные решения контролируют практически все возможные критические точки входа как для злоумышленника, так и для пользователя. И если для пользователя вход в почту не составит проблем, то злоумышленнику придется тщательно подбираться, чтобы его не заблокировали и не узнали об угрозе инцидента.

Стоит отметить, что идеи и подходы из одной области защиты могут применяться в совершенно других.

Например, чтобы сделать подбор пароля коммерчески невыгодным часто используется замедление проверки пары логин-пароль после нескольких неправильных попыток. Сейчас пользователи стали массово применять голосовых помощников, которые своим поведением почти не отличаются от владельца телефона. И описанный выше подход неожиданно получил применение против фишинга и мошенничества. Мы ожидаем, что в скором будущем стоимость спама и фишинговых атак по телефону для злоумышленников резко вырастет.

Заключение

Очевидно, что битва меча и щита никогда не завершится. Поэтому специалисты рекомендуют придерживаться принципа «запрещено все, что не разрешено». Это значит оставлять пользователям только необходимые порты, запрещать обратные сессии, блокировать установку стороннего ПО и подключение внешних носителей.

Чтобы обнаруживать вредоносную активность, необходимо регистрировать все события и регулярно проводить инвентаризацию активов. Только так компания сможет знать, где и что происходит в инфраструктуре, контролировать все свои системы, хосты, знать об их уязвимостях. Наконец, для проверки систем безопасности и инфраструктуры рекомендуется организовать непрерывный анализ защищенности активов и привлекать независимых исследователей через платформы Bug Bounty.



 
  • Теги
    вредоносное по иб-система киберпреступники обход систем защиты
  • Сверху Снизу