👩🏻‍🏫 👩🏽‍🤝‍👩🏻 👇 ذئب في ملابس الأغنام: كيفية الإمساك بقرصنة يتنكر بعناية كمستخدم عادي 😣 🗾 🧑🏿‍🤝‍🧑🏼

صورة: Unsplash

مع نمو نشاط القراصنة ، تظهر المنتجات والأساليب التي تسمح لك بتحديد طرق القرصنة والإصلاح والتوزيع ذات الصلة. لذلك ، يحاول المتسللون أن يكونوا خطوة إلى الأمام ويبقون غير واضحين قدر الإمكان.

سنتحدث اليوم عن تكتيكات لإخفاء آثار أفعالنا التي يستخدمها مجرمو الإنترنت ، ونتحدث عن كيفية اكتشافها.

من خلال التحقيق في أنشطة مجموعات APT ، كشفنا هذا العام عن زيادة في عدد هجمات APT في مختلف الصناعات. إذا كانت وجهة نظرنا العام الماضي 12 مجموعة APT ، فقد أصبحت 27 مجموعة هذا العام موضوع البحث. ويرتبط هذا الاتجاه أيضًا بالزيادة المستمرة في عدد الحوادث السيبرانية الفريدة من ربع إلى ربع (وفقًا لبياناتنا ، في الربع الثالث من عام 2019 ، تم تسجيل 6٪ من الحوادث الفريدة أكثر من الربع الثاني). تم تأكيد هذه الاستنتاجات من خلال بيانات مكتب المدعي العام: في العام الماضي تضاعف عدد جرائم تكنولوجيا المعلومات تقريبًا مقارنة بعام 2018 وبحلول نهاية العام بلغ 270،000 حالة مسجلة فقط ، أي 14 ٪ من إجمالي عدد الجرائم المسجلة في روسيا. كما هو متوقع ، سادت الهجمات المستهدفة بشكل كبيرعلى مدى ضخم. خلال عام 2019 ، لاحظنا زيادة في الهجمات المستهدفة: في الربع الثالث ، كانت حصتها 65٪ (مقابل 59٪ في الربع الثاني و 47٪ في الربع الأول).

وراء هجوم القراصنة دائمًا ما يكون الدافع المالي. في معظم الأحيان ، يسرق المهاجمون الأموال مباشرة من حسابات الشركة. في حالات أخرى ، يسرقون البيانات والوثائق السرية للابتزاز أو اختراق البنية التحتية للشركات ويبيعون الوصول إليها في السوق السوداء. أيضا ، لا يمكنك شطب التجسس العادي ، حيث لا يهتم المهاجمون بالمال ، ولكن بالمعلومات. في معظم الأحيان ، الدافع لهذا النوع من الهجمات هو المنافسة: يمكن للمتسللين سرقة الأسرار التجارية عن طريق النظام ، وتعطيل عمل شركة أخرى ، وإشراكها في فضيحة. كجزء من دراستناحددنا 10 مجموعات APT هاجمت الشركات المملوكة للدولة في روسيا على مدى العامين الماضيين ولاحظنا أن دافعهم الرئيسي كان التجسس. بالإضافة إلى ذلك ، أجرينا مسحًا لخبراء تكنولوجيا المعلومات وأمن المعلومات حول مدى استعداد شركاتهم لمقاومة هجمات APT. أجاب كل ثاني مستجيب من القطاع العام (45٪) بأن شركته لم تكن جاهزة لـ APT ، وأشار 68٪ إلى أن خبراء أمن المعلومات لديهم غير مؤهلين للتعامل مع مثل هذه التهديدات المعقدة.

تشير مشاريعنا للتحليل بأثر رجعي والتحقيق في الحوادث إلى أن العديد من الشركات التي تحولت إلى ممارسة الكشف عن الحوادث السيبرانية تجد آثارًا للقرصنة التي حدثت منذ عدة أشهر أو حتى عدة سنوات مضت (تم تحديد TaskMasters العام الماضيالذي كان في البنية التحتية لأحد الضحايا لمدة ثماني سنوات على الأقل). وهذا يعني أن المجرمين يسيطرون منذ فترة طويلة على العديد من المنظمات ، لكن المنظمات نفسها لا تلاحظ وجودها ، معتقدة أنها محمية بالفعل. علاوة على ذلك ، غالبًا ما يتبين أنه ليس هناك مجموعة واحدة فقط ، بل عدة مجموعات "تعيش" في البنية التحتية لهذه الشركات.

وفقًا لتقديراتنا ، يمكن أن تكلف مجموعة من الأدوات لتنفيذ هجوم يهدف إلى سرقة الأموال من البنك من 55 ألف دولار أمريكي. حملة التجسس السيبراني أكثر تكلفة بكثير ، الحد الأدنى لميزانيتها هو 500 ألف دولار أمريكي.

يبدو أن السوق يقدم العديد من المنتجات المضادة للقرصنة. لكن كيف يخترق المتسللون شبكة من المنظمات؟ سننظر في هذه المشكلة في مقالة اليوم.

هندسة اجتماعية

تعد الهندسة الاجتماعية من أكثر الطرق شيوعًا لاختراق البنية التحتية. توظف الشركات الكبيرة الكثير من الأشخاص ، وقد يكون وعيهم بقواعد أمن المعلومات مختلفًا - ولهذا السبب ، من المرجح أن يتعرض بعض الموظفين للهجوم باستخدام أساليب الهندسة الاجتماعية والتصيد الاحتيالي. ولتجميع قائمة لمراسلات التصيد الاحتيالي ، يكفي إجراء بحث على المصادر المفتوحة (OSINT).

العديد منا لديهم حسابات في الشبكات الاجتماعية ، بعضهم ينشر معلومات حول مكان عملنا. غالبًا ما يكون البريد الإلكتروني للموظف عبارة عن مزيج من "الحرف الأول من الاسم الأول + الاسم الأخير باللغة الإنجليزية" مع اختلافات طفيفة. لذلك ، يكفي أن يعرف المخترق تنسيق عنوان الشركة الإلكتروني والاسم الكامل للموظف من أجل الحصول على عنوان بريده الإلكتروني باحتمال 90٪. يمكنك أيضًا شراء البيانات من منتديات الظل أو في القنوات المقابلة للمراسلة الفورية الشائعة ، وكذلك العثور عليها في "استنزاف" التالي من قواعد البيانات.

نقاط الضعف في البنية التحتية للوصول إلى الإنترنت

مؤسسة Bloody Enterprise ليست فقط عددًا كبيرًا من الأشخاص ، ولكن أيضًا عددًا كبيرًا من الخدمات: خدمات الوصول عن بُعد وقواعد البيانات ولوحات الإدارة والمواقع الإلكترونية. وكلما ازدادت صعوبة السيطرة عليهم. لذلك ، هناك حالات عندما ، بسبب أخطاء التكوين ، يصبح الوصول إلى الخدمة من الخارج. إذا كان أحد المتسللين يراقب باستمرار محيط المؤسسة ، فحينئذٍ سيلاحظ على الفور تقريبًا مثل هذه "الثقب" في البنية التحتية ، ويعتمد التوقيت فقط على عدد مرات مسح المحيط - من دقيقتين إلى يوم واحد.

في أسوأ السيناريوهات ، سيكون للخدمة "العارية" ثغرة معروفة ، مما سيسمح للمهاجمين باستخدام الاستغلال والدخول إلى الشبكة على الفور. وإذا لم يتم تغيير كلمة المرور القياسية عند تكوين الخدمة ، فسيجد المخترق الوصول إلى البيانات عدة مرات بشكل أسرع عن طريق تحديد الاتصال القياسي لتسجيل الدخول وكلمة المرور.

لماذا تزداد صعوبة اكتشاف الهجمات

كانت نقطة تحول في عملية تعقيد هجمات القراصنة هي ظهور دودة Stuxnet في عام 2010 ، والتي يطلق عليها الكثيرون السلاح الإلكتروني الأول. لفترة طويلة لم يلاحظه أحد في شبكة البرنامج النووي الإيراني ، وسيطر على سرعة أجهزة الطرد المركزي لتخصيب اليورانيوم والمعدات المعطلة. على مر السنين ، تم العثور عليه بالفعل في شبكات الكمبيوتر الأخرى. سمح استخدام ثغرات يوم الصفر والتوقيعات الرقمية والتوزيع عبر أجهزة USB والطابعات المشتركة للديدان بالكشف عنها لفترة طويلة.

بدأ القراصنة في التوحد في مجموعات. إذا لاحظنا في الصفر المزيد من المتسللين الفرديين ، فقد بدأ في 2010s نموًا نشطًا في الجرائم الإلكترونية المنظمة. ومع ذلك ، بدأ عدد الجرائم في الزيادة بسرعة. في الوقت نفسه ، في بداية العقد ، لم يفكر أصحاب الأعمال كثيرًا في أمن المعلومات لمنظمتهم ، مما سمح للمتسللين بسرقة ملايين الدولارات دون عوائق تقريبًا. في النصف الأول من العقد ، لم تكن المؤسسات المالية جاهزة لظهور برامج ضارة معقدة ، مثل Carberp و Carbanak . ونتيجة للهجمات التي استخدمت فيها ، تسببت في أضرار بنحو مليار دولار.

اليوم هناك حلول للكشف عن الاختراق والكشف عن نشاط المهاجمين في البنية التحتية. واستجابة لذلك ، يقوم المخترقون بتطوير حلول بديلة حتى يتم اكتشافها لأطول فترة ممكنة. على سبيل المثال ، يستخدمون تقنيات مثل العيش خارج الأرض . في مثل هذه الهجمات ، من أجل التنفيذ عن بعد للأوامر على العقد ، يتم استخدام الآليات المضمنة في نظام التشغيل والبرامج الموثوقة. في البنية التحتية لـ Windows ، يمكن أن تكون هذه PowerShell ، WMI ، أدوات مساعدة من مجموعة Sysinternals. على سبيل المثال ، أثبتت الأداة المساعدة PsExec نفسها بين مسؤولي تكنولوجيا المعلومات وبين المجرمين الإلكترونيين.

يستخدم المهاجمون أيضًا تقنية حفرة الري - حيث يقومون باختراق موقع أو تطبيق صناعي غالبًا ما يقوم موظفو الشركة بزيارته واستخدامه ووضع كود ضار فيه. بعد أن يقوم المستخدم بتشغيل التطبيق أو تسجيل الدخول إلى الموقع ، يتم تنزيل البرامج الضارة على جهازه الذي يدخل من خلاله المهاجم البنية التحتية. تم اعتماد هذه الطريقة من قبل مجموعات APT مثل Turla ، Winnti .

تستخدم بعض مجموعات القراصنة ، على سبيل المثال Cobalt ، Silence ، TaskMasters ، طريقة هجوم سلسلة التوريد. يخترق المهاجمون مقدمًا خوادم شريك المنظمة المستهدفة ويقومون بالفعل برسائل التصيد الاحتيالي من صناديق البريد الخاصة به. لا يقتصر المخترقون على إرسال الرسائل ، ولكن مهاجمة مطوري البرامج التي تستخدمها المنظمات ذات الأهمية وتضمين كود ضار ، على سبيل المثال ، في التحديث التالي. يصيب كافة المستخدمين الذين يقومون بتثبيت هذا التحديث أجهزة الكمبيوتر الخاصة بهم. لذلك ، تم بناء الشفرة الخبيثة لفيروس NotPetya ransomware في واحد فقط من تحديثات برنامج المحاسبة.

ومع ذلك ، مع جميع مزايا البرامج الضارة للمهاجمين ، يمكن الكشف عن برامج مكافحة الفيروسات أو وضع الحمايةإذا تم إرسالها عبر البريد. في هذا الصدد ، يخترق المهاجمون تقنيات تشويش التعليمات البرمجية المعقدة بشكل متزايد - على سبيل المثال ، جعلها افتراضية - تنفذ هجمات خالية من الملفات وإدراج أساليب مكافحة VM و antandandbox في التعليمات البرمجية.

لا يمكن استبعاد أن يتمكن المهاجم من الاستغناء عن البرامج الضارة على الإطلاق داخل الشبكة ، ويقتصر على الأدوات التي تسمح بها سياسات الأمان.

كيفية الإمساك بالهاكر في البنية التحتية: أفضل الممارسات والأخطاء الكبرى

أسهل طريقة لمنع الضيف غير المدعو من الظهور في بنيتك الأساسية هي بناء خط الدفاع الصحيح. يمكن تمييز ثلاثة مكونات رئيسية هنا:

محيط موثوق به
المستخدمين المطلعين ؛
سياسات الدور وكلمة المرور.

هناك بيان ممتاز من كتاب Sun Tzu "فن الحرب": "تقدم إلى الأمام ، حيث لا تنتظر ، هاجم حيث لم تكن مستعدًا". يجب ألا يقتصر ضمان الأمن السيبراني على المحيط ووسائل الحماية التقليدية. كما أظهرت نتائج دراستنا ، تم تحديد 92 ٪ من التهديدات عندما يكون العدو في الداخل بالفعل.

تعلمت Cybergroups بنجاح التغلب على الدفاع في محيط المنظمات التي تهمها ، ويتجلى ذلك في الاتجاه نحو زيادة نسبة الهجمات المستهدفة الناجحة . هذه مناسبة لتحويل تركيز الانتباه من منع الهجمات على المحيط إلى الكشف في الوقت المناسب عن الحلول الوسط والاستجابة داخل الشبكة.

إذا استمر الحادث ، فأنت بحاجة إلى بناء سلسلة كاملة من الأحداث التي قام بها المخترق في طريقه إلى هدفه - الجدول الزمني. عندما يتم اكتشاف حادثة ، لا يعرف الكثير كيفية التصرف بشكل صحيح ، والذعر ، وارتكاب الأخطاء بالفعل في المراحل المبكرة. يبدأ القضاء المحموم لعواقب الحادث ، مما يؤدي إلى محو آثاره. ومع ذلك ، قلة من الناس يفكرون على الفور في أسباب ظهوره ، وبحلول الوقت الذي تصبح فيه الحاجة إلى العثور على السبب واضحة ، تكون معظم الآثار قد تم تدميرها بالفعل - يجب عليك استعادة الصورة مما تبقى.

يحدث أنه أثناء وقوع الحادث ، لا يزال القراصنة على الإنترنت ويحاول الضحية "ضربه" بكل الوسائل المتاحة ، دون فهم أي جزء من البنية التحتية والخدمات التي يتحكم بها المهاجم. في هذه الحالة ، يمكن أن يخرج المخترق ، ويضرب الباب بصوت مرتفع: على سبيل المثال ، عن طريق تشفير العقد تحت السيطرة.

إن العثور على مخترق في البنية التحتية للمخترق ليس دائمًا مهمة تافهة. من خلال نهج كفؤ ، يمكنه البقاء في البنية التحتية لفترة طويلة. على سبيل المثال ، مجموعة TaskMasters التي تم اكتشافهاخبراء من مركز PT Expert Security في 2018 ، في بعض المنظمات أخفى وجودهم لسنوات. في الوقت نفسه ، عاد القراصنة عدة مرات إلى البنية التحتية المخترقة من أجل تفريغ جزء آخر من البيانات ، وبعد ذلك قاموا بسكب حفرة محفورة ، تاركين عدة نقاط وصول إلى الشبكة الداخلية. وفي كل مرة يذهبون دون أن يلاحظهم أحد. في مثل هذه الحالات ، يمكن حساب المخترقين من خلال نشاط الشبكة غير الطبيعي (الذي حدث بشكل أساسي في الليل) من خلال كمية كبيرة من الحركة إلى العقد الخارجية أو الحركات الأفقية غير القياسية في الداخل.

ولكن ماذا لو كنا لا نعرف ما إذا كان هناك مخترق داخل الشبكة ونريد أن نحمي أنفسنا عن طريق التحقق من عدم وجود قرصنة؟ للقيام بذلك ، تحتاج إلى أن يكون لديك قاعدة معارف كبيرة حول كيفية تصرف المخترق: كيفية الاختراق ، وكيفية الحصول على موطئ قدم ، وكيفية التحرك. لحسن الحظ ، توجد قاعدة المعرفة هذه وتسمى ATT & CK ، التي طورتها ودعمتها شركة MITER Corporation بناءً على تحليل هجمات APT الحقيقية. القاعدة هي جدول مرئي من التكتيكات التي يمكن أن يلجأ إليها القراصنة من أجل تحقيق هدفه بنجاح. لقد بنى المعرفة حول الهجمات المستهدفة وصنف أفعال المهاجمين. يتم تحديث قاعدة البيانات باستمرار من قبل باحثين من جميع أنحاء العالم ، مما يسمح لخبراء أمن المعلومات من جميع البلدان بالتحدث بنفس اللغة. بالإضافة إلى ذلك ، تتيح لك معرفة التكتيكات التعرف بنجاح على علامات القرصنة والاستعداد مقدمًا - لتقوية نقاط الضعف ، وزيادة السيطرة عليها والاستجابة بسرعة لظهور المهاجم.

بالإضافة إلى ذلك ، تترك البسكويت آثارًا في حركة مرور الشبكة ، مما يعني أن مهمة أخصائي الأمن السيبراني هي اكتشاف هذه الآثار. النتائج لقد أظهرت مشاريعنا التجريبية أن حلول فئة NTA يمكن أن تحدد بشكل فعال التهديدات بدرجات متفاوتة من المخاطر - من انتهاكات أنظمة IS إلى الهجمات المستهدفة المعقدة.

يمكن العثور على التفاصيل الفنية حول كيفية القبض على مخترق في حركة مرور الشبكة (دليل مفصل مع لقطات الشاشة) في مقالنا لمكافحة البرامج الضارة .

ما يمكن توقعه في المستقبل: اتجاهات الأمن السيبراني

أصبحت أخبار تسرب البيانات في السنوات الأخيرة صاخبة بشكل خاص ، بما في ذلك لأن المهاجمين تمكنوا من استخدام تسريبات السنوات الماضية. وهذا يمنحهم ملفات رقمية أكثر اكتمالاً لعدد كبير من المستخدمين. من المتوقع أن يستمر هذا الاتجاه.

في عام 2019 ، سجلنا أكثر من ألف ونصف هجوم للقراصنة. وهذا يزيد بنسبة 19٪ عن عام 2018. في 81٪ من الهجمات الإلكترونية ، كان الضحايا كيانات قانونية. في نهاية العام ، كانت القطاعات الخمسة الأكثر تعرضًا للهجوم تشمل مؤسسات الدولة والصناعة والطب ومجال العلوم والتعليم والقطاع المالي. سيستمر تركيز الصناعة في المستقبل.

نسبة الهجمات المستهدفة آخذة في الازدياد: في كل ربع سنة لاحظنا هجمات مستهدفة أكثر من الربع السابق. في الربع الأول من عام 2019 ، تم استهداف أقل من نصف الهجمات (47٪) ، وفي نهاية العام كانت حصتها بالفعل 67٪. نتوقع زيادة نمو هجمات APT .

من أجل إدارة الاستجابة للتهديدات الجديدة ، يجب أيضًا تطوير تقنيات الحماية بنشاط. ومع ذلك ، لن يكون من الممكن تحقيق مستوى عالٍ من الأمان بمساعدة أدوات مضادة وكشف للهجوم فقط. نوصي الشركات بإجراء اختبارات الاختراق وتدريب موظفي IS بانتظام كجزء من العمل الجماعي الأحمر - وهذا سيسمح باكتشاف موجهات الهجوم المحتملة وإزالتها في الوقت المناسب للموارد الحرجة وتصحيح تفاعلات خدمات IS وتكنولوجيا المعلومات في حالة حدوث هجوم عبر الإنترنت.

قامت شركتنا بتطوير نظام حماية شبكة مكافحة APT للمؤسسة ، مصمم لكشف ومنع الهجمات المستهدفة. يسمح لك باكتشاف وجود مهاجم على الشبكة بسرعة وإعادة إنشاء الصورة الكاملة للهجوم لإجراء تحقيق مفصل. يمكن أن يقلل اكتشاف النشاط غير الطبيعي على الشبكة والتحليل بأثر رجعي للملفات ووضع الحماية المتقدم من وقت الاستجابة للحادث أو منعه تمامًا.

أرسلت بواسطة دينيس Kuvshinov، الرائدة المتخصصة، تقنيات إيجابي سايبر التهديد فريق الأبحاث

ذئب في ملابس الأغنام: كيفية الإمساك بقرصنة يتنكر بعناية كمستخدم عادي

هندسة اجتماعية

نقاط الضعف في البنية التحتية للوصول إلى الإنترنت

لماذا تزداد صعوبة اكتشاف الهجمات

كيفية الإمساك بالهاكر في البنية التحتية: أفضل الممارسات والأخطاء الكبرى

ما يمكن توقعه في المستقبل: اتجاهات الأمن السيبراني

More articles: