Броня не спасла: как злоумышленники обходят системы защиты

В новой статье рассказываем о методах, которые помогают киберпреступникам проскользнуть мимо ИБ-систем, и подходах к противодействию таким попыткам.

Эксперты делят методы противодействия обнаружению на две группы: скрытная доставка вредоносного ПО и скрытое присутствие. В первом случае главная цель злоумышленников – пройти через всевозможные фильтры и проверки, чтобы вредонос попал в целевую систему. Для этого необходимо спрятать опасный код или замаскировать его под легитимный.

Как обходят СЗИ

И главный метод для этой задачи — обфускация входящих данных и ПО в целом. Сокрытие, запутывание трафика и кода затрудняет сигнатурный анализ, на который полагаются многие антивирусные средства.

Сергей Белов

Руководитель группы исследований безопасности банковских систем, Positive Technologies

Использование полиморфного и метаморфного кода позволяет получать высоковариативную кодовую базу при неизменности выполняемой полезной нагрузки. Кроме того, атакующие часто используют технику разделения вредоносного кода на части, загружаемые в систему поэтапно, что также затрудняет анализ и определение функций ПО.

Екатерина Старостина

Директор по развитию бизнеса, Вебмониторэкс

Лично я сталкивалась с различными оригинальными методами блокировки информационно-безопасностных систем. Например, использование скрытых каналов передачи данных, техник стеганографии или даже социальной инженерии для обхода систем защиты. Это подчеркивает необходимость постоянного совершенствования методов защиты и борьбы с киберугрозами.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ в компании «Газинформсервис»

Вредоносный код можно упаковать специальной программой, чтобы его не обнаружили системы, работающие по базам хешей и контрольных сумм. Вредоносное ПО может постоянно случайным образом менять собственные параметры. Есть и принципиально другие подходы, например, сначала загрузить зловред, который ничего конкретного не делает, но может исследовать атакуемую систему и самостоятельно загрузить другие исполняемые части вредоноса.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

Наиболее распространенные методы — это подделка идентификационных данных (spoofing), шифрование вредоносного кода для обхода систем, использующих эвристический анализ, например, применение различных методов обфускации и модификации вредоносного кода.

[В качестве целей киберпреступников] я бы выделил сокрытие присутствия, отключение сервиса, нарушение корректной работы сервиса за счёт внешних воздействий, нарушение связи сервиса с центральным сервером, и в сочетании с отключением сервиса, самостоятельная связь с центральным сервером для имитации работоспособности сервиса.

В свою очередь Иван Мыськив, начальник отдела центра информационной безопасности «Диджитал Дизайн», предлагает следующую классификацию основных методов противодействия системам безопасности:

1. Обфускация вредоносного программного обеспечения. Обфускация используется для обмана антивирусных инструментов, EDR- и других систем защиты, которые в значительной степени полагаются на цифровые подписи для интерпретации кода.
2. Использование поддельных подписей кода. Хакеры используют сертификаты, выдавая своё ПО за легитимное. Сертификаты могут попадать к ним как в результате supply chain атак, так и после приобретения в даркнете.
3. Шифрование. Злоумышленники могут напрямую настраивать атаки для обхода методов обнаружения, используемых в EDR, например, подделывая свои атаки или периодически изменяя свои методы.
4. Нестандартные атаки. Хакеры могут изучать новые каналы связи или проникновения, которые еще не известны EDR-системам: новые протоколы связи или методы введения вредоносного кода. Они могут использовать уязвимости легитимных приложений или технику living-off-the-land (от англ. «питаться подножным кормом»), при которой злоумышленник «добывает» инструменты для достижения своей цели в атакованной системе, применяя компоненты операционной системы и легитимные инструменты, установленные самими администраторами.

Роман Аксенов

Специалист по анализу защищенности компании Simplity

Тяжелее всего средствами защиты обнаруживаются инъекции вредоносного ПО непосредственно в оперативную память. Регистры в компьютере постоянно перемещаются, и реализовать статистический анализ на программном уровне проблематично. Злоумышленники загружают в оперативную память свое ПО и заставляют компьютер исполнить его.

Иван Мыськив

Начальник отдела центра информационной безопасности «Диджитал Дизайн»

Следует упомянуть взлом системы централизованного управления EDR, AV, VM, что может привести к компрометации всей системы ИБ. Важно не только полагаться на системы защиты, но и проверять, могут ли они защитить сами себя. При этом собственная безопасность средства защиты зависит не только от встроенных в него механизмов, но и от среды функционирования. Не следует пренебрегать ее адекватной настройкой.

Когда файл попал на целевую систему, у злоумышленников появляется другая задача: сохранить присутствие и незаметно распространить влияние на инфраструктуру.

На этом этапе они собирают информацию об инфраструктуре и определяют целевые системы. На основе этих данных взломщики разрабатывают векторы атак, которые откроют им доступ к целевым системам, подбирают и разворачивают дополнительное вредоносное ПО, прокидывают каналы передачи данных за пределы периметра. Кроме того, создаются точки закрепления — при обнаружении вредоносной активности на одной скомпрометированной машине злоумышленники могут сохранить доступ к инфраструктуре. Это может продолжаться месяцами, особенно в случае атак, направленных на шпионаж или контроль над одним из компонентов комплекса предприятий.

Дмитрий Зубарев

Старший специалист по анализу защищенности «Уральского центра систем безопасности»

Вывод средств защиты из строя привлекает внимание, а позволить себе быть обнаруженными злоумышленники могут только в случае молниеносной атаки. Обычно это либо детально продуманные кампании, нацеленные на получение доступа к конкретным ресурсам, например, к базе данных, либо атаки с целью шифрования компонентов инфраструктуры и дальнейшего требования выкупа.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ в компании «Газинформсервис»

Вывести из строя защитные систем непросто, если вообще возможно. Если не брать во внимание атаки типа DDoS, вариантов у злоумышленников особенно нет. В теории можно провести разведку, выяснить, например, какой именно антивирус использует потенциальная жертва атаки, и подготовить вредонос под конкретную ситуацию. Однако такая атака будет крайне дорогой и скорее всего неэффективной, системы защиты обычно тоже непрерывно развиваются и обновляются.

Чтобы обойти ограничения, связанные с сетевым доступом и ролевыми моделями, злоумышленникам приходится взламывать периметр безопасности не только снаружи внутрь, но и в обратном направлении. В противном случае не приходится говорить о двустороннем обмене данных.

Для этого они определяют допустимые каналы связи, протоколы, адреса подсетей, с которыми разрешено взаимодействие, права доступа, которыми наделены пользователи систем. Скрыть сетевую активность помогает проксирование и туннелирование трафика. Взломщики регулярно меняют адреса прокси-серверов и командных центров и следят за тем, чтобы эти адреса не определялись как вредоносные.

Андрей Голубев

Владелец продукта в компании PRO32

Медленная поэтапная атака позволяет изучить инфраструктуру и средства защиты компании. Затем атака имитируется в тестовой среде, и если системы защиты не сработали, то метод применяется в боевой инфраструктуре. Тут, конечно, зловреды должны скрываться от обнаружения.

Сергей Саблин

Менеджер по развитию бизнеса в Axoft

Построение ботнет-сети может занимать несколько месяцев, при этом потенциальная жертва не будет подозревать об уже идущей атаке. Целевая атака с заранее выясненными уязвимостями сети или инфраструктуры может в короткие сроки вывести все системы жертвы из строя.

Отдельно стоит рассмотреть атаки на специфические инфраструктуры, особенно банки. Такие организации традиционно находятся под ударами самых разных злоумышленников: одни пытаются добраться до денег клиентов, другие охотятся за персональными данными, третьи стремятся взломать банкоматы и так далее.

В финансовых организациях часто используется специфическое ПО, каналы связи с «большим» интернетом тщательно контролируются — другими словами, даже не самыми простыми методами, которые работают против обычных компаний, доставить и применить зловред не получится.

В таких случаях злоумышленники часто применяют атаки на цепочку поставок, внедряя вредоносный код в легитимное ПО на каком-либо этапе его разработки или распространения. Это позволяет им обойти начальные этапы проверки и получить доступ к защищенному внутреннему периметру.

Андрей Голубев

Владелец продукта компании PRO32

Среди атак на банки чаще встречаются комплексные, направленные на нарушение связи между системами информационной безопасности банка и клиентами. Задача взлома — «легитимизировать» мошеннические транзакции тем или иным способом.

В числе комплексных приемов, например, — отвлечь DDoS-атакой отдел ИБ банка, в это же время совершить тонкий взлом системы биллинга, или перегрузить системы мониторинга банков, в попытках перевести их в аварийные (оффлайн) режимы. И, конечно, атаки с помощью «инсайдеров». Обычно именно они являются причиной громких утечек.

Впрочем, не обязательно разрабатывать технически сложную операцию, если можно найти слабое звено в виде сотрудника. Именно социальная инженерия остается главным методом для обмана пользователей и IT-персонала, который заставляет их самостоятельно отключать защитные механизмы или устанавливать вредоносные программы. В результате взломщики могут получить первоначальный доступ к системе и закрепиться в ней.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ в компании «Газинформсервис»

В моей практике все методы блокировки ИБ систем базировались на социальной инженерии, а не на каком-то умном вредоносном программном обеспечении. Я сталкивался с тем, что сам пользователь так хотел добраться до какого-то файла, что делал это без особых усилий со стороны хакеров.

Инструменты обнаружения скрытой активности развиваются постоянно — в этой гонке разработчикам пока удается обгонять злоумышленников. Песочницы нового поколения создаются с учётом известных техник обхода и препятствуют определению того, что вредонос запущен в песочнице. Растет скорость анализа по сигнатурам и другим признакам: зачастую от первого запуска вредоносного ПО до регистрации в базах антивирусов проходит буквально несколько минут.

Дмитрий Зубарев

Старший специалист по анализу защищенности «Уральского центра систем безопасности»

Если раньше защита могла ограничиваться конечными точками, например, конкретными рабочими станциями или серверами, то сейчас становится популярнее комплексный подход: осуществляется анализ данных, поступающих от множества компонентов инфраструктуры, эти данные сопоставляются, и выявление угроз происходит на более высоком уровне.

Алексей Морозков

Руководитель группы Центра управления кибербезопасностью ICL Services

Это цикличный процесс: разработчики выводят на рынок продукты ИБ, злоумышленники их изучают, находят изъяны и бреши в средствах защиты, происходят инциденты ИБ, команды ИБ собирают уроки и артефакты, исследуют проблемы, работают совместно с разработчиками таких систем, которые в свою очередь придумывают новые способы детектирования ВПО и методы защиты от него и т.д.

Реальный результат дает эшелонированная оборона, которая включает множество средств безопасности – и системы мониторинга, и межсетевые экраны, и EDR-системы. При этом современные решения контролируют практически все возможные критические точки входа как для злоумышленника, так и для пользователя. И если для пользователя вход в почту не составит проблем, то злоумышленнику придется тщательно подбираться, чтобы его не заблокировали и не узнали об угрозе инцидента.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Стоит отметить, что идеи и подходы из одной области защиты могут применяться в совершенно других.

Например, чтобы сделать подбор пароля коммерчески невыгодным часто используется замедление проверки пары логин-пароль после нескольких неправильных попыток. Сейчас пользователи стали массово применять голосовых помощников, которые своим поведением почти не отличаются от владельца телефона. И описанный выше подход неожиданно получил применение против фишинга и мошенничества. Мы ожидаем, что в скором будущем стоимость спама и фишинговых атак по телефону для злоумышленников резко вырастет.

Заключение

Очевидно, что битва меча и щита никогда не завершится. Поэтому специалисты рекомендуют придерживаться принципа «запрещено все, что не разрешено». Это значит оставлять пользователям только необходимые порты, запрещать обратные сессии, блокировать установку стороннего ПО и подключение внешних носителей.

Чтобы обнаруживать вредоносную активность, необходимо регистрировать все события и регулярно проводить инвентаризацию активов. Только так компания сможет знать, где и что происходит в инфраструктуре, контролировать все свои системы, хосты, знать об их уязвимостях. Наконец, для проверки систем безопасности и инфраструктуры рекомендуется организовать непрерывный анализ защищенности активов и привлекать независимых исследователей через платформы Bug Bounty.