Целенаправленные атаки – обнаружение и защита

02 июня 2014


Николай Петров
CISSP, директор по развитию бизнеса ЗАО "ДиалогНаука"

Издание «Information Security» №2 за май 2014 год
www.itsec.ru

История атак нулевого дня

В последние годы увеличилось число компаний, ставших жертвами атак APT (advanced persistent threat). APT – это целенаправленная сетевая атака, при которой атакующий получает неавторизованный доступ в сеть и остается необнаруженным в течение длительного времени. Термин APT был введен U.S. Air Force в 2006 г. При таких атаках злоумышленники используют методы социальной инженерии и собственные инструменты для эксплуатации уязвимостей нулевого дня.

Ниже представлены примеры таких атак.

Знаменитая операция "Аврора" произошла в 2009 г. Была использована уязвимость нулевого дня в браузере Microsoft Internet Explorer. Злоумышленники устанавливали зашифрованные соединения с серверами управления, находящимися в Иллинойсе, Техасе и на Тайване, и получили неавторизованный доступ к серверам Google. Атака получила продолжение, пострадали десятки известных компаний, таких как Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, Morgan Stanley, Dow Chemical. В результате атаки пострадал имидж вышеуказанных компаний.

Кросс-платформенный червь Stuxnet был обнаружен в июле 2010 г. компанией "ВирусБлокАда". Предполагается, что он был разработан США и Израилем для атаки на иранский ядерный проект. Атака продолжалась 9 месяцев и за это время были отмечены три модификации червя. Для получения доступа и последующего контроля компьютера жертвы червь использовал уязвимости нулевого дня и руткиты для Windows и Siemens PLC. После инсталляции с USB-флеш три раза, червь себя удалял. Хочется отметить, что ни одна из иранских систем не имела прямого соединения с Интернетом. Атака, начавшаяся с трех USB-флеш-дисков, инфицировала 12 тыс. компьютеров в пяти иранских организациях. Stuxnet считается первой широко известной и успешной атакой на системы АСУ ТП.

В результате атаки, обнаруженной в июне 2011 г., в Citigroup были украдены 360 тыс. идентификаторов кредитных карт, из которых 3400 были использованы для кражи более $2,7 млн.

В марте 2012 г. в Global Payments были украдены 7 млн идентификаторов кредитных карт. Инцидент получил широкую огласку, поэтому Visa и MasterCard были вынуждены временно приостановить обслуживание Global Payments. В финансовой отчетности за 2012 г. компания указала ущерб в размере $85 млн.

Flame был обнаружен специалистами "Лаборатории Касперского" в мае 2012 г. Предполагается, что это ПО разработано США и Израилем для замедления иранской ядерной программы. Червь распространялся через сеть и USB флеш-драйвы, записывал экраны, нажатия клавиатуры, сетевой трафик, включая Skype. В апреле 2012 г. Flame вынудил Иран изолировать свои нефтяные терминалы от сети Интернет. Червь также поддерживал команду самоуничтожения – kill, и после обнаружения и публикаций в прессе эта команда была активирована. В результате Flame везде сам себя удалил.

Атака на NY Times была обнаружена в январе 2013 г. Расследование показало, что она началась на следующий день после публикации статьи о причастности к коррупции премьер-министра Китая Вэнь Цзябао – 24 октября 2012 г. Злоумышленники использовали 45 вариантов вредоносного ПО. Только один из них был обнаружен антивирусом Symantec и помещен в карантин. Атакующие получили доступ к файлам и электронной почте сотрудников NY Times, включая редакторов шанхайского бюро.

Все эти атаки, а также множество других, включая наиболее известные, такие как Beebus, Red October, NetTra-veler, имеют одно общее свойство: они не обнаруживаются традиционными средствами защиты (системы IDS/IPS, межсетевые экраны следующего поколения (NGFW), шлюзы Wеб-безопасности (secure Web gateways), антивирусное ПО).

Почему это происходит?

Традиционные средства защиты анализируют сигнатуры для обнаружения известных атак и уязвимостей. Однако эти средства не обнаруживают атаки при использовании злоумышленниками неизвестных уязвимостей.

Ситуация не улучшается, если традиционные средства защиты используют анализ аномалий. Например, некоторые IDS/IPS-решения, анализирующие сетевые аномалии, могут обнаруживать такие атаки. Они собирают трафик посредством протоколов NetFlow, sFlow, cFlow с сетевых устройств и сравнивают его с "обычным" сетевым трафиком, имевшим место в течение дня, недели, месяца. Однако решения на основе анализа аномалий подвержены ошибкам false positives и false negatives. False positives – ошибка, при которой нормальный трафик принимается за атаку, и, наоборот, false negatives – ошибка, при которой атака воспринимается как нормальный трафик.

Анатомия целенаправленной атаки

Несмотря на то что при проведении целенаправленных атак методы эксплуатации уязвимостей различаются, сами атаки включают в себя одинаковые этапы. Эти этапы следующие:

  1. Эксплуатация уязвимости.
  2. Загрузка вредоносного кода.
  3. Связь с сервером управления.
  4. Дальнейшее распространение атаки.
  5. Передача конфиденциальной информации.

Давайте разберем их более подробно.

Эксплуатация уязвимости обычно происходит через Web-браузер, когда пользователь, попадая на сайт злоумышленника, активирует эксплойт с помощью JavaScript или, например, просмотра JPG-картинки. Возможна атака с помощью сообщения электронной почты, когда передается гиперссылка, ведущая на сайт злоумышленника, или вложение, например файл Microsoft Excel или PDF. Если пользователь кликнет мышью по гиперссылке или файлу вложения, открывается Web-браузер или другое приложение Adobe Reader, Microsoft Excel. Гиперссылка может использовать скрытый адрес, закодированный с помощью кодировки base 64. После его раскодирования компьютер жертвы устанавливает соединение с сервером атакующего, откуда загружается вредоносное ПО.

Устанавливаются соединение с сервером управления и загрузка дополнительного вредоносного кода. После этого вредоносное ПО устанавливает шифрованное соединение с сервером управления, например с помощью SSL. Могут использоваться и свои собственные методы шифрования. Это позволяет злоумышленнику обходить традиционную защиту, предлагаемую МЭ и системами обнаружения вторжений, которые не могут идентифицировать команды и данные, передаваемые в зашифрованном виде.

Как правило, зараженный компьютер не содержит данные, необходимые атакующему. Поэтому атака распространяется на компьютеры IТ-администраторов, файловые серверы и серверы баз данных.

Передача большого объема данных или данных в открытом виде обнаруживается системами IDS/IPS и DLP. Чтобы затруднить обнаружение, злоумышленники передают данные порциями по 50–100 Мбайт в зашифрованном виде, например, используют разбиение данных с помощью архиватора RAR, защищая архивы с помощью пароля.

Нельзя быть уверенным, что в информационной инфраструктуре вашей компании отсутствует вредоносное ПО. "Все согласны с тем, что целенаправленные атаки обходят традиционные средства защиты и остаются необнаруженными в течение длительного времени. Угроза реальна. Ваши сети скомпрометированы независимо от того, знаете вы об этом или нет" – из отчета Gartner за 2012 г.

Почему это важно?

Если компания недостаточно защищена от целенаправленных атак, то это приведет к таким последствиям:

1. Потеря конкурентного преимущества. Если злоумышленники получат доступ к вашим ноу-хау, базам клиентов, патентам, стратегическим планам – это существенно ухудшит ваше конкурентное положение.

2. Ответственность за несоблюдение законодательных требований. Ответственность предусмотрена российскими и зарубежными требованиями стандартов и законодательства. Например, такими, как защита ПДн, КВО, требования ЦБ РФ, стандарты PCI DSS, SoX и т.д.

3. Ущерб репутации. Доверие со стороны клиентов важно во всех бизнес-областях. В среднем ущерб репутации оценивается от нескольких до $200 млн.

4. Остановка бизнес-процессов. После успешной атаки не так просто восстановить системы в доверенное состояние, если они не допускают перерывов в работе, как, например, система биллинга в телекоммуникационных компаниях или процессинг кредитных карт. Представьте, что ваши системы повреждены и требуются часы или дни для восстановления.

Решение

Возможность защититься от описанных выше атак появилась еще в 2006 г. Именно с этого года компания FireEye, мировой лидер в защите от целенаправленных атак, поставляет оборудование. Успехи компании не раз освещались в таких изданиях, как Forbes, Businessweek, The Wall Street Journal. Компания помогает защищаться от целенаправленных атак, использующих уязвимости нулевого дня. Результат независимого исследования показывает средний ROI при внедрении решения FireEye в размере $16 517 тыс.! Какая же технология при этом используется?

Выше мы подробно разобрали этапы целенаправленной атаки. Поэтому, чтобы успешно противостоять таким атакам, решение должно уметь обнаруживать и блокировать вредоносную активность на каждом этапе. Ниже представлен алгоритм работы системы.

Шаг 1: система анализирует входящий и исходящий трафик, проверяя наличие известных атак, установление соединений с серверами управления. Если известная атака или связь с сервером управления обнаружена, система блокирует соединение.

Шаг 2: для атак нулевого дня система помещает файлы или Web-страницу в виртуальную среду для анализа.

Шаг 3: в виртуальной среде запускаются различные версии операционной системы Microsoft Windows и приложений Microsoft Office, Microsoft Internet Explorer, Adobe Reader и т.п. С их помощью обрабатываются подозрительные файлы и Web-ссылки. При обнаружении атаки – например, создания нового сервиса Windows, изменения в корневом разделе файловой системы, атаки heap spray, попытки установления соединения с сервером управления – виртуальная машина перезапускается.

Шаг 4: если подтверждается атака нулевого дня, система записывает последующие действия вредоносного ПО. На основе полученных данных система формирует новый профиль защиты для блокирования ставшей уже известной атаки.

Шаг 5: новый профиль защиты передается на другие устройства FireEye, которые находятся в сети организации.

Ключевые характеристики решения:

  • выявление вредоносного кода, который не могут обнаружить антивирусы, МЭ, системы IDS/IPS и другие средства защиты;
  • контроль всех каналов распространения вредоносного ПО: Web, e-mail, HDD, CD, DVD, USB и др.;
  • отсутствие ложных срабатываний;
  • собственная система виртуализации для выявления признаков вредоносной активности, при этом файлы из вашей сети не передаются для анализа в облако;
  • наличие централизованной системы управления;
  • выявление вредоносного кода, который уже присутствует в сети компании.

Решения FireEye применяют более 25% компаний из Fortune 100.

"Причина, по которой мы используем FireEye, состоит в том, что традиционные средства защиты – МЭ, антивирусы, системы IDS/IPS – основаны на сигнатурах и поэтому не могут предотвратить атаки, использующие уязвимости нулевого дня", – признал Джерри Арчер, старший вице-президент Sallie Mae (Sallie Mae – финансовая корпорация, предоставившая более $180 млрд займа более 10 млн человек).

629
;