Пути нейтрализации угроз класса APT. Часть 4

Предупрежден – значит, вооружен: методы обнаружения APT-угроз

Продукты «Лаборатории Касперского» способны сделать многое для минимизации возможных потерь предприятия. Специализированные защитные решения, предназначенные для предупреждения о целевых атаках, – это дополнительный уровень защиты организации. Подобные предупреждения не заменяют защитные решения, позволяющие нейтрализовать применяемые в ходе APT-атак вредоносные модули. Функция системы защиты от APT-атак – обеспечивать возможность управления IT-средой и давать администратору системы безопасности ценную информацию. Она значительно повышает эффективность многоуровневой системы безопасности предприятия в части защиты от APT-угроз.

В реализации любой целевой атаки можно различить последовательность определенных стандартных этапов. Кроме того, в подавляющем большинстве случаев злоумышленники применяют при проведении атак стандартные приемы. Это можно использовать как отправную точку, чтобы обеспечить своевременное предупреждение потенциальных жертв. В большинстве случаев уникальность APT-атаки не является следствием необычности примененных злоумышленниками модулей. APT – это эффективное соединение стандартных компонентов, которые надежно решают те задачи, которые ставят киберпреступники. Знание общих принципов, лежащих в основе действий злоумышленников, помогает успешно противостоять целевым атакам.

В настоящем документе мы опишем то, как «Лаборатория Касперского» видит высококачественное специализированное решение для защиты от APT-угроз. В качестве примера целевой атаки мы возьмем одну из наиболее известных сегодня APT-кампаний – Dark Hotel1. Эта тщательно проработанная серьезная атака, как и многие до нее (Careto, NetTraveler, Red October)2, была обнаружена экспертами «Лаборатории Касперского».

Стандартные этапы APT-атаки

Рис. 1. Этапы реализации APT-атаки

Любая целевая атака начинается с разведывательного этапа. На этом – предварительном – этапе злоумышленники, стоящие за APT-атакой, собирают информацию, например, о ключевых сотрудниках компании-жертвы, имеющих доступ к ценным данным, о том, какого рода электронные письма могут вызвать интерес этих людей. Кроме того, злоумышленники стараются, насколько возможно, получить представление об IT-инфраструктуре организации-жертвы и т.д. В большинстве случаев для выполнения такой предварительной работы применяются не технические средства, и ее практически невозможно обнаружить с помощью одного только ПО, каким бы оно ни было. Скорее, здесь можно говорить о мерах по противодействию шпионажу и об общем качестве работы департамента безопасности.

После предварительных шагов начинаются технические этапы атаки. Прежде всего, атакующим необходимо получить права для выполнения кода внутри периметра безопасности компании. На этом этапе активно используются эксплойты. Так называются небольшие фрагменты кода, которые позволяют эксплуатировать (т.е. использовать) уязвимости операционной системы или популярных программ на целевом компьютере. В случае успеха злоумышленники получают возможность выполнять собственный код, который загружает и запускает на выполнение главные модули.

Последний этап – главная цель всей атаки: скрытный сбор данных предприятия и их отправка злоумышленникам. Для этого необходимо, чтобы APT-модули распространились внутри периметра безопасности компании. Методы, которыми обеспечивается такое распространение, могут значительно различаться. Авторы некоторых целевых атак стремятся заразить как можно больше компьютеров внутри сети. Кроме компьютеров, на которых хранятся данные, интересующие злоумышленников, это могут быть вспомогательные машины, находящиеся в одном «шаге» от компьютеров, содержащих такие данные, или используемые для дальнейшего распространения по сети. Другие злоумышленники стараются ограничить активность в рамках APT-атаки только необходимыми устройствами, пытаясь таким образом уменьшить вероятность обнаружения.

Наконец, отметим, что разработчики вредоносных модулей стараются сделать свои программы устойчивыми к попыткам удаления. Вредоносные модули пытаются «пережить» попытки удаления и не требуют для своего восстановления повторения начальных этапов атаки. Все этапы, описанные в тексте и показанные на иллюстрации выше, имеют специфические признаки, позволяющие специализированным защитным решениям их обнаруживать.

Возможности Dark Hotel

Из широко распространенных приемов в Dark Hotel использовался стандартный адресный фишинг. Этот метод, вместе с watering hole (заражением популярных веб-сайтов), наиболее часто применяется в целевых атаках. В частности, в Dark Hotel реализован нестандартный метод заражения.

Рис. 2. Dark Hotel – атака за пределами периметра безопасности компании

В ходе предварительного – разведывательного – этапа атаки злоумышленники заранее узнают о прибытии гостей отеля, имеющих интересующую их информацию. Атаковать компьютеры постояльцев киберпреступникам позволяет уязвимость в IT-инфраструктуре отеля. Операция начинается со стартовой страницы, на которую попадает в браузере каждый гость, входящий в интернет через Wi-Fi гостиницы.

В отличие от адресного фишинга и метода watering hole, данная техника, применяемая в гостиницах, очевидно, требует длительной и далеко не дешевой подготовки на разведовательном этапе, однако собранные данные могут быть чрезвычайно ценными. Важно отметить, что в этом сценарии заражения жертва находится за пределами периметра безопасности компании. Для комплексной многоуровневой защиты от APT-угроз крайне важно помнить о подобном сценарии и одновременно устанавливать локальные защитные системы на устройства сотрудников, которые уведомит администратора системы безопасности (агент решения по защите от APT-угроз) и заблокируют выполнение вредоносных модулей.

Архитектура решения

На анализ объектов во входящем трафике необходимо время. В режиме блокирования специализированное решение для защиты от APT-угроз будет значительно задерживать загрузку файлов и почтовых вложений по протоколу HTTP. Поэтому мы считаем, что решение должно работать в режиме предупреждения. Администратор системы безопасности получает все необходимые данные через консоль управления. Роль ПО для защиты от APT-атак состоит в регистрации всех необходимых событий и обеспечении помощи в анализе инцидентов, но не в блокировании выполнения программ. За своевременное блокирование вредоносных модулей отвечает защита рабочих мест. Соответствующее решение «Лаборатории Касперского» для корпоративных клиентов называется Kaspersky Endpoint Security (KES)3.

Правильный выбор объема данных, получаемых администратором системы безопасности, чрезвычайно важен. Он должен быть достаточным для качественного анализа, но при этом бесконечные сообщения о потенциальных угрозах и ненужные данные не должны мешать работе специалиста по информационной безопасности.

Рис 3. Архитектура комплексного решения

В целом, система защиты от APT-угроз состоит из сетевых сенсоров, отвечающих за анализ трафика организации, за создание метаданных, описывающих содержимое трафика, и за выделение из трафика объектов для их дальнейшего исследования. Статистический детектор аномалий отвечает за эвристический функционал. Этот модуль обнаруживает отклонения от нормальной структуры сетевого трафика предприятия, если они есть. Модуль «песочницы» анализирует поведение выделенных из трафика объектов.

Администратор системы безопасности видит результаты работы всех модулей системы защиты от APT-угроз в консоли управления. В дополнение к этому централизованному решению, требующему для развертывания как минимум нескольких выделенных серверов, возможна параллельная установка агентов системы защиты от APT-угроз непосредственно на пользовательских рабочих станциях.

С помощью локальных агентов решение для защиты от APT-угроз может получать информацию о процессах, ответственных за появление подозрительного трафика. Благодаря этому администратор системы безопасности получает более точные сведения в предупреждениях. Наконец, агент позволяет решению для защиты от APT-угроз получать информацию об активности ПО, попадающего на компьютер не из сети, а с USB-накопителей и другими способами.

Точность работы защитного решения значительно возрастает при использовании облачной базы знаний. Подобный централизованный репозиторий, как правило, размещается на сайте вендора и предоставляет данные о репутации файлов, доменных имен и IP-адресах. Облако также позволяет отличить целевую атаку от массового заражения с помощью запросов в централизованную базу данных об уникальности обнаруженной подозрительной активности.

Мы убеждены, что только многоуровневая архитектура способна обеспечить достаточно высокий уровень защиты. В такой системе различные компоненты применяются для сбора данных о событиях на узлах IT-инфраструктуры, анализа сетевого трафика, в том числе с применением эвристических алгоритмов. Кроме того, используются преимущества облачных защитных сервисов, позволяющих быстрее получать информацию о новых угрозах и обеспечить более высокий уровень обнаружения вредоносного ПО. Специализированное решение для защиты от APT-угроз, которое предупреждает об атаках, и локально устанавливаемое решение, обеспечивающее защиту от вредоносного кода, дополняют друг друга.

Часто встречается подход, предусматривающий установку единого полнофункционального решения, состоящего из «песочницы» и сетевого сенсора. Однако использование нескольких сенсоров, собирающих данные для централизованного анализа, значительно эффективнее.

Главное преимущество раздельных сенсоров – более гибкая модель развертывания решения в инфраструктуре предприятия. В крупных компаниях необходимо организовать перехват трафика в нескольких точках. Это обусловлено различными причинами: преобразованием сетевых адресов (network address translation, NAT), в результате которого теряется часть данных в сетевых пакетах; наличием отделений с высоким уровнем автономности; доступностью части трафика только в определенных сегментах сети, и т.д. Установка комбинированного решения («песочница» плюс сетевой сенсор) в каждой необходимой точке неэффективно с финансовой точки зрения. Значительно эффективнее устанавливать в каждой из них «легкие» сенсоры.

Такие сенсоры изначально рассчитаны на то, чтобы передавать все данные на единую консоль управления. Некоторые комбинированные устройства, напротив, ориентированы на использование только собственного веб-интерфейса. Фактически, при использовании такой схемы требуется еще одно устройство для организации централизованного сбора данных.

Еще один аргумент в пользу размещения нескольких сенсоров вместо единого устройства – объем трафика. При использовании SPAN (Switch Port Analyzer) контроль целостности сетевых пакетов отсутствует. Распределение трафика по нескольким устройствам обеспечивает защиту от роста количества сбоев при увеличении потока данных.

Противодействие на этапе внедрения

Рассмотрим работу многоуровневого решения для защиты от APT-угроз на разных этапах проведения целевой атаки. В случае распространения с помощью адресного фишинга авторы Dark Hotel отправляют жертве электронное письмо, содержащее ссылку на эксплойт для уязвимости в Internet Explorer или эксплойт для ПО Adobe во вложении. Кроме того, возможен сценарий атаки с использованием документа Microsoft Word с внедренным в него Flash-эксплойтом (на момент обнаружения данной APT-атаки это был эксплойт нулевого дня).

Второй метод внедрения – добавление модулей Dark Hotel в архивы, распространяемые через одноранговые (torrent) сети. И наконец, третий вектор атаки, уже упомянутый выше, – это заражение компьютеров, принадлежащих гостям отелей. В данном случае пользователи перенаправлялись со стартовой страницы веб-сайта отеля с помощью внедренного в нее тега «iframe». В результате подобной подмены жертва видит стандартное предложение загрузить панель инструментов Google или обновление ПО Adobe. Если пользователь соглашается на установку, он получает зараженный файл.

Противодействие угрозе обеспечивает совместная работа «песочницы» и сетевых сенсоров. Файлы, выделенные из сетевого трафика, доставляются в «песочницу». В свою очередь, «песочница» сообщает, если проверенный файл содержал потенциально опасный код. В случае выполнения опасного кода «песочница» создает соответствующую запись в журнале и выводит данные об обнаруженной угрозе на информационную панель администратора системы безопасности. Администратор получает подробную информацию об активности файлов на компьютере и о действиях, которые защитное ПО расценивает как подозрительные. В случае заражения гостей отеля такие действия были бы заблокированы локально установленным решением для защиты рабочих мест.

Сетевой сенсор обнаруживает целевые атаки по IP-адресам и доменам, использованным при осуществлении тех или иных действий. Кроме того, во внимание принимается характер сетевого трафика: в некоторых случаях при проведении APT-атак применяются нестандартные протоколы. «Песочница» может использовать сетевой сенсор для контроля трафика подозрительных программ, запущенных в ней.

Кроме того, сетевой сенсор может обнаруживать целевые атаки по специфическим аномалиям трафика. Для этого защитное решение должно содержать поведенческие шаблоны высокого уровня, описывающие типичное поведение вредоносных программ. Признаками подозрительного поведения для таких шаблонов могут быть, в частности, внешние соединения с неизвестными доменами и т.д. Например, причиной поднять тревогу может является передача заметного объема данных на сервер, расположенный в стране, с которой до этого не было «сетевого взаимодействия» со стороны предприятия.

Противодействие на этапе эксплуатации уязвимостей

Если код эксплойта все же будет выполнен в ходе атаки, он будет впоследствии загружать на зараженный компьютер другие модули. На этом этапе могут сработать все перечисленные выше механизмы; кроме того, защита от APT-угроз может детектировать конкретные модули, примененные в ходе целевой атаки.

Например, интересный модуль Dark Hotel – подписанный цифровым сертификатом кейлоггер режима ядра. Программа, устанавливаемая как драйвер Windows, считывает клавиатурные нажатия непосредственно с контроллера клавиатуры на системной плате. Для обеспечения повторного запуска кейлоггера применяется стандартный прием – добавление ключа в ветвь HKCU реестра.

Поскольку «песочница» постоянно проверяет объекты (файлы и URL-адреса), поступающие с сетевого сенсора, и сообщает администратору системы безопасности о подозрительной активности, добавление характерного ключа реестра Windows не останется незамеченным.

Заключение

«Лаборатория Касперского» в течение многих лет ведет разработку «песочницы» в рамках внутренних технологических процессов компании. У нас уже есть огромная облачная репутационная база файлов и URL-адресов. Автономный вариант песочницы для установки на стороне заказчика – прямое продолжение долгосрочного проекта разработки, новый шаг в развитии «песочницы». Аппаратные ресурсы на рабочих местах, доступные для анализа активности программ, очень ограниченны по сравнению с выделенным специализированным аппаратным обеспечением автономной «песочницы» в системе защиты от APT-угроз. Крайне важно, чтобы анализ охватывал все необходимые события в масштабе сетевой инфраструктуры. Это становится возможным после добавления к «песочнице» сетевых сенсоров. А после добавления единой консоли управления становится возможным значительно более детальный анализ развития целевых атак.

При этом «Лаборатория Касперского» уже накопила обширный опыт анализа APT-угроз. Глобальный центр исследований и анализа угроз (GReAT) обладает уникальными экспертными знаниями в этой области.

Огромный объем уже имеющейся и обновляемой в режиме реального времени информации, получаемой с миллионов устройств и аккумулируемой в 4, позволяет получить ответ на вопрос, имеющий большое значение для заказчиков: является ли данный инцидент массовой эпидемией или это целевая атака на инфраструктуру конкретного предприятия? Эти данные могут быть получены из облачной сети безопасности (KSN) «Лаборатории Касперского»; они также могут предоставляться исключительно на стороне клиента в виде внутрикорпоративного облачного сервиса безопасности – Kaspersky Private Security Network (KPSN). Сочетание доказавшего свою эффективность механизма «песочницы», опыта в расследовании атак и огромного объема репутационных данных, накопленных в нашем собственном облачном сервисе, обеспечивает «Лаборатории Касперского» сильные позиции в разработке специализированного решения для защиты от APT-угроз. При этом мы глубоко убеждены, что такое решение должно рассматриваться лишь как один из уровней комплексной многоуровневой системы, обеспечивающей IT-безопасность организации. Даже имея мощную защиту от APT-угроз, компания не может позволить себе забывать о других уровнях безопасности, таких как эффективная защита рабочих мест, защита почты и т.д.

1 Подробную информацию можно найти здесь: https://securelist.ru/analysis/obzor/24321/apt-ataka-darkhotel/

2 Информацию об актуальных угрозах можно найти на сайте https://securelist.ru

3 Более подробную информацию о технологиях «Лаборатории Касперского» можно найти здесь: https://www.kaspersky.com/business-security/endpoint-advanced

4 Подробную информацию о технологиях «Лаборатории Касперского» можно найти на странице https://www.kaspersky.com/business-security/endpoint-advanced