В 2006 году Военно-воздушные силы США ввели термин APT для описания нового типа атак. Тогда впервые была проанализирована атака, которая послужила основой для выводов и разработки стратегии борьбы с угрозой. APT не является эксплойтом или трояном. Это парадигма атаки.
Основная цель атакующих — получить доступ к ценным
данным и сохранить его как можно дольше.
(Под ценными данными понимается интеллектуальная собственность компании)
Основные характеристики APT:
1 Атакует группа, состоящая из нескольких человек (их роли распределены в зависимости от уровня знаний).
2 Атаки направлены на конкретные компании или производственные сектора (они планируются индивидуально — в зависимости от преследуемых целей).
3 Атакующие стремятся к полному контролю над жертвой (и чаще всего получают его, использовав все свои силы и средства).
4 Атакующие возвращаются (победа в одной битве не означает победы в войне).
5 Атакующие тщательно маскируются (индивидуальный подход и скрытность лишают антивирусных вендоров информации о методах злоумышленников).
6 Продуманная социальная атака (перед ее проведением собираются все возможные данные о вашей компании и используемом ПО).
7 «Вход через соседскую калитку» (атакующие используют ваших доверенных адресатов, контрагентов и клиентов).
8 Слежка (операторы атакующих наблюдают за жертвой в режиме реального времени, собирая новую информацию).
Основные этапы ATP:
1 Сбор данных о жертве (Необходимо как можно лучше изучить компанию).
2 Вторжение (Вооруженные полученными данными, атакующие проникают во внутреннюю сеть, проводя социальную атаку).
3 Закрепление влияния (Полученная информация используется для взлома и установления полного контроля над жертвой).
4 Удержание влияния (Цель атакующих — как можно дольше оставаться незамеченными, сохраняя свои полномочия).
12 января 2010 года Google сообщила о первой открытой APT атаке, названной Aurora. Небольшая группа сотрудников смогла взломать компанию, получив письма от заслуживающих доверия адресатов, содержащие ссылку на сайт с Java-сценарием, который использовал уязвимость. Таким образом, на компьютер пользователя был установлен бэкдор, который полностью контролировал систему. Затем операторы постепенно получили контроль над другими внутренними ресурсами сети, используя также метод проникновения (pivoting), чтобы достичь своих целей.
Для достижения своих целей атакующие использовали системы конфигурационного управления, содержащие множество уязвимостей, что позволяло им скрыть свое присутствие на долгое время и при закреплении своих полномочий в сети жертвы. SCM-серверы оказались более стабильными, чем отдельные рабочие станции, и потому более подходящими для управления системой. Набор уязвимостей, содержащийся в системах конфигурационного управления, был достаточным для подчинения всей системы.
«NightDragon»
В ноябре 2009 года была обнаружена APT, нацеленная на нефтегазовую отрасль. Сначала была использована тактика внедрения SQL-кода для захвата внешних веб-серверов компаний и доступа к паролям пользователей.
Позже тактика атаки была изменена: были использованы утилиты gsecdump и Cain & Abel для взлома паролей и доступа к интрасети. Чтобы снизить риск обнаружения, была создана уникальная утилита zwShell на Delphi для генерации трояна, специально разработанного для этой кампании. Как обычно, управление жертвой осуществлялось посредством RAT.
APT, продолжавшаяся более пяти лет с 2006 года, была названа специалистами McAfee «Shady RAT». В 2009 году исследователи из Университета Торонто обнаружили две крупные сети кибершпионажа, названные GhostNet и ShadowNet, которые использовали троян Enfal. Удивительно, что Enfal был известен еще с 2002 года и был причастен к нескольким атакам. В то время, как McAfee детектировал их как Generic Downloader.x и Generic BackDoor.t, лишь 11 антивирусов из 34 могли обнаружить Enfal к 2008 году.
RAT продолжал эволюционировать, переставая оставлять следы при установке. Троянские следы удалялись, и обычное ПО для удаленного управления устанавливалось, не вызывая реакцию антивирусов.
Необходимо обратить внимание на следующие аспекты защиты:
1 Управление уязвимостями (Необходимо проводить сканирование внешнего и внутреннего периметров, не говоря уже о тестировании на проникновение).
2 Анализ трафика (Своевременный мониторинг угроз позволяет конструировать собственное описание, что дает возможность нейтрализовать уязвимости, заплаток на которые еще не выпущено).
3 Ловушки (Атакующие непременно будут исследовать вашу инфраструктуру. Есть шанс, что вы обнаружите злоумышленника с помощью honeypot и сможете своевременно изучить его тактику).
4 Контроль за антивирусным ПО (Недостаточно только следить за обновлением сигнатур: необходимо также анализировать настройки и работоспособность антивируса, изучать факты отключения защиты).
5 Контроль целостности (Это относится как к отдельным служебным файлам и компонентам, так и к конфигурационным файлам).
6 Контроль политик.
7 Регистрация событий и инцидент-менеджмент (Современные корпоративные сети имеют огромное количество источников событий, и эти события необходимо анализировать в автоматическом режиме).
8 Технические и программные средства (Вернемся к методологии APT… Что мешало ограничить размер POST-запроса? Почему динамический DNS не был заблокирован, запросы fast-flux не были обнаружены? Почему не были проанализированы хиты запросов на прокси-серверах, хотя они весьма показательны при вирусной активности?)
9 Осведомленность — наболевшая тема (И речь здесь не только о простых клерках: на удочку хорошо известных приемов, описанных еще в 90-е годы, до сих пор попадаются топ-менеджеры крупных компаний).
https://www.sberbank.com/promo/kandinsky/
