Расследование кибернападений

Расследование кибернападений

В последнее время в новостях о киберугрозах очень часто стала появляться тема APT, так что же это за аббревиатура? Рассмотрим подробно.

Киберпреступники могут быть уверены:

• Большинство компаний хранит свои важные данные во внутренних сетях. Патенты, инновационные проекты, информация о клиентах и ​​конфиденциальные данные - все это хранится на внутренних серверах компании.

• Интеллектуальная собственность очень ценная вещь, что делает ее главной целью для киберпреступников.

• Многие компании не принимают новейшие методов безопасности и не устанавливают последние исправления в продуктах безопасности, оставляя открытую дверь для киберпреступников.

• Вам не обязательно быть крупным государственным агентством или энергетической компанией, чтобы быть привлекательной целью. Каждая компания, независимо от ее размера, имеет конфиденциальные данные, которые могут быть украдены и перепроданы.

• Это растущий и прибыльный рынок.


1.JPG

 

Что такое APT?


APT (англ. Advanced Persistent Threats) сложные постоянные угрозы - это сложные атаки, состоящие из множества различных компонентов. Такие угрозы используют инструменты проникновения, такие как фишинг-сообщения, эксплойты, сетевые механизмы распространения, шпионское ПО, руткиты или буткиты, чтобы скрыть свое присутствие. APT разработаны с одной целью: получение скрытого доступа к конфиденциальной информации.

2.JPG


Почему продвинутые?


APT являются «продвинутыми», потому что инструменты, используемые в этих атаках, более сложны, чем те, которые обычно используются киберпреступниками. Они «настойчивы», потому что, как только в безопасности организации появляется брешь, она может оставаться в системе месяцами или даже годами. Фактически, согласно исследованию HP и Mandiant, средний объем времени, прежде чем компания обнаруживает брешь в системе данных, составляет 205 дней, в результате чего киберпреступники имеют доступ к конфиденциальным данным месяцами.


Найти и уничтожить


APT составляют всего 1% от всех имеющихся в мире угроз, но невероятно дороги для любой компании. Стоит ли тратить время на поиск преступников? Насколько сложно найти злоумышленника?


Не так быстро, как кажется


Хотя APT очень сложны для расследования, их организаторов все-таки можно обнаружить. Однако почти невозможно сказать с полной уверенностью, кто совершил нападение. Работа с угрозами, которую делают в «Лаборатории Касперского», очень трудоемкая, отнимает много времени и наполнена подводными камнями. ЛК проводит углубленный и тщательный анализ каждой исследуемой APT, чтобы узнать, как меняется ландшафт угроз, какие методы используются и как компании могут защитить себя. В конечном итоге данные, полученные от этих исследований, оказываются очень ценными и помогают защищать компании и их данные от этих передовых и разрушительных атак.


Что делает атрибуцию такой сложной?


Помимо проблемы обозначения неправильной группы, атрибуция имеет другие проблемы и ловушки, которые делают ее намного сложнее, чем может показаться на первый взгляд. Некоторые APT действительно озадачивают отсутствием четких индикаторов, указывающих в каком-либо одном направлении.


3.JPG


В других случаях, после успешных попыток кибератак, злоумышленники чувствуют безнаказанность и перестают быть осторожными, предоставляют больше данных, чем им нужно, или используют повторно инфраструктуру от предыдущих атак. Они могут даже оставить путь к IP-адресу или повторно использовать дескриптор, который содержит много личной информации. Наконец, важно отметить мотив установления авторства угрозы. Для некоторых неопытных производителей угроз (TI) громкие и непроверенные претензии могут в короткие сроки сделать пиар и наладить хорошие отношения с общественностью, но это не поможет сообществу разведывательных служб угроз, а лишь создаст новые проблемы. Обмен достоверной информацией об угрозах является важной частью сообщества TI, и важно, чтобы он был максимально точным и хорошо проверенным.

 

Как изучается АPT?


Изучение АPT – это сложный процесс, отнимающий много времени. Работа Лаборатории Касперского включает в себя аналитику большого количества метаданных и следование подсказкам.

В частности, рассматриваются следующие шаблоны:

• Языки, используемые в коде

• Время, когда вредоносная программа была скомпилирована

• Мотивация нападений

• Типы целей

• IP-адреса, используемые во время атаки

• Были ли отправлены данные после атаки

Все это формирует матрицу данных, которые могут использоваться для определения потенциальных участников угрозы и того, как они работают.

Временные метки

Временные метки являются цифровой записью, когда произошло определенное событие. Хотя временные метки можно легко изменить, многие образцы обычно включают оригинальное время, которое может дать понимание инструментария хакера на протяжении многих лет.

Имея достаточно большой набор связанных образцов, можно также создать временную шкалу рабочего дня хакерской кампании, что позволит Лаборатории Касперского определить общий часовой пояс для их операций.

 

Строки, пути отладки и метаданные


Даже самые безобидные строки, используемые для работы с обычными функциями бэкдора, могут указывать на авторов вредоносных программ. Наиболее очевидным является предпочтительный язык киберпреступнтка, где некоторые разговорные недочеты могут указывать на определённый регион.

Излюбленным индикатором исследователей угроз является путь отладки, строка, описывающая структуру папок, ведущую к файлам с момента разработки, которая пробивалась в окончательный двоичный файл. Пути отладки часто показывают имя пользователя или могут даже раскрывать внутренние соглашения об именах.

Фишинг-документы часто заполняются метаданными, которые иногда содержат оригинальные метки пользователя и непреднамеренную информацию из состояния сохранения, которое указывает на машину оригинального автора.


Инфраструктурные и серверные операции


Инфраструктура командования и управления может быть дорогостоящей и сложной в обслуживании, поэтому даже у хорошо обеспеченных ресурсов злоумышленники склонны повторно использовать инфраструктуру, позволяя ЛК видеть совместное использование одного и того же кластера угроз.

Бэкэнд-соединения - это те, которые происходят, когда злоумышленник извлекает данные с сервера фильтрации или электронной почты, подготавливает сервер промежуточного уровня или фишинга или проверяет скомпрометированный домен, чтобы обеспечить его доступность. Обычно злоумышленники используют анонимный сервис, например Tor, но иногда случаются ошибки, что позволяет Лаборатории Касперского просматривать окно.


Набор применяемых инструментов


4.JPG


Семейство вредоносных программ

Большинство продвинутых участников угрозы уделяют большое количество времени созданию своих наборов инструментов и разработке пользовательских бэкдоров и эксплойтов. Однако владение вредоносными программами не является статичным и право собственности может быть передано. Мы видим, что вредоносные программы совместно с другими участниками одного и того же кластера или исходного кода просачиваются и к другим участникам.


Повторное использование кода


Разработчики вредоносных программ часто используют повторно определенные фрагменты кода, которые хорошо работали в прошлом, что позволяет исследователям оттачивать конкретные черты киберпреступника.

Пароли


Даже продвинутые киберпреступники повторно используют одни и те же пароли. Лаборатория Касперского часто наблюдает, что в развернутых вредоносных программах с защищенными паролем ресурсами, сами же хакеры используют часто одни и те же пароли.

Уязвимость нулевого дня


Присутствие нулевого дня сразу же создает угрозу киберпреступника и говорит нам, что мы имеем дело с передовым и хорошо обеспеченным ресурсами злоумышленником. Многие продвинутые злоумышленники эксплуатируют разработчиков в доме, а некоторые участники угроз развязывают то, что кажется неограниченным предложением эксплойтов. Когда выясняется, что эксплойт с нулевым днем ​​выпускается в отдельных и несвязанных инцидентах в течение одного и того же таймфрейма, то этот вид совместного использования кода указывает на одного и того же хакера или группы участников.

Цели нападений


Важная часть информации об угрозах – это изучение выбранных цели и постановка ключевых вопросов. Какие геополитические конфликты в «реальном мире» могут мотивировать нападение? Возможно ли сопоставить кампанию APT с конкретной геополитической или региональной ситуацией? Однако, поскольку задача в значительной степени интерпретируется и может быть упрощена, ее следует использовать разумно.

16.03.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF