Среднестатистическая APT-атака, как правило, тщательно спланирована и длится от нескольких недель до нескольких месяцев. Злоумышленник, независимо от того, какие цели он преследует — украсть деньги, похитить конфиденциальные данные или нарушить стабильность бизнес-процессов, — действует в несколько этапов.
1. Проводит разведку
На этапе разведки злоумышленник детально изучает свою цель: собирает доступную информацию, оценивает, насколько крупной будет добыча, а также подсчитывает примерную стоимость взлома. В зависимости от поставленных задач он может фокусироваться на внутренних процессах компании, организационной структуре, пользователях, на производственном ПО или средствах защиты. Источником полезных сведений могут послужить для него сайты госзакупок, публичные пресс-релизы и новости, страницы сотрудников в соцсетях, комментарии в чатах. Не последнюю роль в разведке играет социальная инженерия: злоумышленник может вступить в коммуникацию с сотрудниками, партнерами или клиентами компании, чтобы выведать у них необходимую информацию.
Также злоумышленник может следить за исследованиями в области безопасности. Так, например, группировка Cobalt провела вредоносную рассылку, используя информацию об уязвимости нулевого дня CVE-2018-15982, — всего через 34 часа после ее публикации.
Разведка может длиться несколько месяцев или даже лет. Атакующий создает полноценную стратегию атаки, выбирает инструменты из числа доступных в даркнете (либо разрабатывает с нуля под конкретную задачу) и тестирует их на предмет обнаружения системами ИБ.
Пример
Атакующий планирует взлом государственного учреждения. Информация о средствах защиты, используемых в госсекторе, доступна в открытом виде на сайтах госзакупок. После ее изучения злоумышленник создает вредоносную программу, позволяющую обойти закупленные средства защиты.
2. Получает первичный доступ
Злоумышленник использует инструментарий и методы, подобранные на этапе разведки, для проникновения в инфраструктуру. Одновременно с этим он может провести ряд действий, которые отвлекут специалистов ИБ, потенциально ослабят их бдительность, а также позволят изучить существующие в компании процессы реагирования. Так, целевые атаки (и в частности APT) нередко маскируют под массовые: злоумышленник может организовать DDoS-атаку на корпоративный сайт или на другие веб-ресурсы компании, которые на самом деле не являются основной целью взлома.
Пример
Атакующий отправляет на электронную почту сотрудников организации письмо с поддельного домена, имитирующего реальный, и провоцирует их ввести в стороннюю форму свои учетные данные. Именно с подобной фишинговой уловки началась, например, атака на одну из крупнейших в мире криптовалютных бирж — гонконгскую Binance, которая в результате потеряла 41 млн $.
3. Закрепляется в инфраструктуре
Дальнейшие действия злоумышленника направлены на то, чтобы закрепиться в сети и обеспечить себе надежную связь с командным центром на время, пока он изучает сеть, ищет ключевые узлы и наблюдает за бизнес-процессами. После закрепления злоумышленнику не придется начинать атаку сначала, даже если какие-то рабочие станции будут перезагружены или если изменятся пароли.
Пример
Атакующий добавляет свое вредоносное программное обеспечение в список автозагрузки Windows — так оно будет повторно запускаться сразу же после перезагрузки операционной системы.
4. Перемещается внутри периметра
После закрепления злоумышленник использует техники перемещения внутри сети, чтобы расширить свое присутствие в инфраструктуре: получает доступ к удаленным системам или устанавливает другие вредоносные программы. Основная цель атакующего в этот момент — определить администраторов, их компьютеры, ключевые активы и данные. Часто этот этап снова включает в себя разведку: злоумышленник анализирует внутренние процессы, изучает функциональность атакуемых систем.
Пример
Атакующий осуществляет нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP).
5. Повышает привилегии
Как правило, рядовые сотрудники, чьи рабочие станции первыми оказываются под контролем атакующего, имеют ограниченный набор привилегий и не могут выполнять некоторые действия в сети. Для продолжения атаки злоумышленник с помощью различных техник получает права администратора — а значит, и повышенные привилегии. Если это возможно, он также получает контроль над дополнительными системами, которые содержат чувствительные данные.
Наиболее популярными техниками повышения привилегий, по оценкам экспертов Positive Technologies, являются внедрение вредоносного кода в память легитимного процесса, который запущен с максимальными правами; обход механизма User Access Control, который отвечает за управление учетными записями в Windows; эксплуатация уязвимостей в установленном программном обеспечении или операционной системе.
Пример
Злоумышленник использует для повышения привилегий известную уязвимость в операционной системе и публично доступный эксплойт.
6. Компрометирует систему и получает доступ к искомым данным
Повысив привилегии, злоумышленник получает доступ необходимого уровня (например, подключается к контроллеру домена) и фактически может контролировать все критически важные системы компании.
7. Проводит эксфильтрацию данных
Эксфильтрация данных — процесс вывода искомой информации за пределы периметра. Перед тем как выводить полученные данные, атакующий готовит их к отправке через скрытые каналы связи (зашифровывает, сжимает). Иногда во время этого этапа он снова предпринимает отвлекающие действия, чтобы запутать специалистов по ИБ.
Если целью злоумышленника были конкретные данные и он смог их вывести, то на этом атака заканчивается. Однако гораздо чаще атакующие остаются внутри сети в течение очень длительного периода времени, ожидая возможности для очередной атаки (по данным Ponemon Institute, средний срок скрытого пребывания злоумышленника в сети составляет 203 дня).
Вывод
Современные APT-группировки без труда обходят штатные средства защиты — антивирусы, системы обнаружения и предотвращения вторжений. Они уделяют значительное время разведке и часто создают уникальные инструменты для обхода конкретных систем защиты, которыми пользуются в компании-жертве. Это делает обнаружение атаки в момент проникновения в сеть практически невозможным — и крайне трудным на этапах закрепления и перемещения в инфраструктуре.
Часто ситуацию усугубляет неготовность организации к столкновению с подобными угрозами: низкий уровень осведомленности сотрудников, отсутствие мониторинга событий ИБ и управления уязвимостями, отсутствие выстроенных процессов реагирования на инциденты, плохая сегментация сети, слабый контроль за выполнением регламентов. Кроме того, компании часто концентрируют усилия только на защите периметра и не следят за происходящим внутри инфраструктуры — тогда как наши исследования доказывают, что даже защищенный периметр взламывается в 98% случаев.
Для того чтобы преодолеть эти сложности и иметь возможность обнаруживать атаки максимально оперативно, необходимо адаптироваться к современным реалиям и действовать комплексно: следить за соблюдением политик ИБ, выстраивать процессы реагирования и расследования инцидентов, обучать сотрудников, использовать передовые средства защиты. Наиболее эффективны решения, которые могут выявлять активность злоумышленников как на периметре, так и внутри сети, и глубоко анализировать сетевой трафик: они позволяют заметить аномальную активность в сети на ранних этапах, когда ущерб для критически важных систем минимален. Не менее важно, чтобы используемые решения поддерживали возможность ретроспективного анализа: он помогает выявить присутствие злоумышленников в инфраструктуре даже в случае, если в момент проведения атаки в базах знаний не было сигнатур или индикаторов компрометации для ее обнаружения.