Get best of the week

Un loup déguisé en mouton: comment attraper un pirate qui se déguise soigneusement en utilisateur ordinaire



Image: Unsplash

Avec la croissance de l'activité des hackers, des produits et des méthodes apparaissent qui vous permettent d'identifier les méthodes de piratage, de réparation et de distribution pertinentes. Par conséquent, les pirates essaient d'avoir une longueur d'avance et restent aussi discrets que possible.

Aujourd'hui, nous parlerons de tactiques pour cacher les traces de nos actions que les cybercriminels utilisent et discuterons de la façon de les comprendre.


En enquêtant sur les activités des groupes APT , cette année, nous avons révélé une augmentation du nombre d'attaques APT dans diverses industries. Si l'année dernière 12 groupes APT sont venus à notre avis, alors cette année 27 groupes sont devenus le sujet de recherche. Cette tendance est également en corrélation avec l'augmentation constante du nombre de cyberincidents uniques d'un trimestre à l'autre (selon nos données, au troisième trimestre 2019, 6% d'incidents uniques de plus ont été enregistrés qu'au deuxième). Ces conclusions sont confirmées par les données du bureau du procureur général: l'année dernière, le nombre de délits informatiques a presque doublé par rapport à 2018 et à la fin de l'année, il atteignait 270000 cas enregistrés seulement, soit 14% du nombre total de tous les délits enregistrés en Russie. Comme prévu, les attaques ciblées ont prévalu de manière significativetrop massif. Au cours de 2019, nous avons observé une augmentation des attaques ciblées: au troisième trimestre, leur part était de 65% (contre 59% au deuxième trimestre et 47% au premier).

Derrière une attaque de pirate se cache presque toujours une motivation financière. Le plus souvent, les attaquants volent de l'argent directement sur les comptes de l'entreprise. Dans d'autres cas, ils volent des données et des documents confidentiels pour extorsion ou pénètrent dans l'infrastructure des entreprises et en vendent l'accès sur le marché noir. De plus, vous ne pouvez pas annuler l'espionnage ordinaire, dans lequel les attaquants ne sont pas intéressés par l'argent, mais par les informations. Le plus souvent, la motivation de ce type d'attaque est la concurrence: les pirates peuvent voler des secrets commerciaux par ordre, perturber le travail d'une autre entreprise et l'impliquer dans un scandale. Dans le cadre de notre étudeNous avons identifié 10 groupes APT qui ont attaqué des entreprises publiques en Russie au cours des deux dernières années et avons noté que leur principal motif était l'espionnage. De plus, nous avons mené une enquête auprès des experts en informatique et en sécurité de l'information sur la volonté de leurs entreprises de résister aux attaques APT. Un répondant sur deux du secteur public (45%) a répondu que son entreprise n'était pas prête pour l'APT, et 68% ont noté que leurs spécialistes de la sécurité de l'information n'étaient pas suffisamment qualifiés pour faire face à des menaces aussi complexes.

Nos projets d'analyse rétrospective et d'enquête sur les incidents indiquent que de nombreuses entreprises qui sont passées à la pratique de la détection des cyberincidents trouvent des traces de piratage survenues il y a plusieurs mois, voire plusieurs années ( TaskMasters a été identifié l'année dernière, qui se trouvait dans l'infrastructure d'une des victimes depuis au moins huit ans). Cela signifie que les criminels contrôlent depuis longtemps de nombreuses organisations, mais les organisations elles-mêmes ne remarquent pas leur présence, pensant qu'elles sont réellement protégées. De plus, il s'avère souvent que non seulement un, mais plusieurs groupes «vivent» dans l'infrastructure de ces entreprises.

Selon nos estimations , un ensemble d'outils pour mener une attaque visant à voler de l'argent d'une banque peut coûter de 55 mille dollars américains. Une campagne de cyberespionnage coûte beaucoup plus cher, son budget minimum est de 500 mille dollars américains.

Il semblerait que le marché propose de nombreux produits anti-piratage. Mais comment les intrus pénètrent-ils dans un réseau d'organisations? Nous examinerons cette question dans l'article d'aujourd'hui.

Ingénierie sociale


L'ingénierie sociale est l'un des moyens les plus courants de pénétrer les infrastructures. Les grandes entreprises emploient beaucoup de personnes, leur connaissance des règles de sécurité de l'information peut être différente - de ce fait, certains employés sont plus susceptibles d'être attaqués à l'aide de méthodes d'ingénierie sociale et de phishing. Et pour compiler une liste de mailing de phishing, il suffit d'effectuer une recherche sur les sources ouvertes (OSINT).

Beaucoup d'entre nous ont des comptes sur les réseaux sociaux, certains publient des informations sur notre lieu de travail. Le plus souvent, l'e-mail d'un employé est une combinaison de «la première lettre du prénom + nom de famille en anglais» avec de légères variations. Par conséquent, il suffit que le pirate connaisse le format de l’adresse électronique de l’entreprise et le nom complet de l’employé pour obtenir son adresse e-mail avec une probabilité de 90%. Vous pouvez également acheter des données sur des forums virtuels ou sur les canaux correspondants des messageries instantanées populaires, ainsi que les trouver dans le prochain «drain» de bases de données.

Vulnérabilités dans l'infrastructure d'accès à Internet


Bloody Enterprise, ce n'est pas seulement un grand nombre de personnes, mais aussi un grand nombre de services: services d'accès à distance, bases de données, panneaux d'administration, sites Web. Et plus ils sont nombreux, plus il est difficile de les contrôler. Par conséquent, il existe des situations où, en raison d'erreurs de configuration, le service devient accessible de l'extérieur. Si un pirate surveille constamment le périmètre de l'organisation, il remarquera presque immédiatement un tel «trou» dans l'infrastructure, le moment ne dépend que de la fréquence à laquelle il scanne le périmètre - de quelques minutes à une journée.

Dans le pire des cas, un service «nu» aura une vulnérabilité connue, qui permettra à un attaquant d'utiliser immédiatement l'exploit et d'accéder au réseau. Et si le mot de passe standard n'a pas été modifié lors de la configuration du service, le pirate trouvera l'accès aux données plusieurs fois plus rapide en sélectionnant la connexion standard de login et mot de passe.

Pourquoi les attaques deviennent plus difficiles à repérer




Un tournant dans le processus de complication des attaques de pirates a été l'apparition du ver Stuxnet en 2010, que beaucoup appellent la première cyber-arme. Pendant longtemps, il est passé inaperçu dans le réseau du programme nucléaire iranien, a contrôlé la vitesse des centrifugeuses pour l'enrichissement de l'uranium et des équipements désactivés. Au fil des ans, il a déjà été trouvé dans d'autres réseaux informatiques. L'utilisation de vulnérabilités zero-day, de signatures numériques, de la distribution via des périphériques USB et des imprimantes partagées a permis au ver de rester longtemps non détecté.

Les pirates ont commencé à s'unir en groupes. Si dans le zéro, nous avons observé plus de hackers simples, alors dans les années 2010 a commencé une croissance active de la cybercriminalité organisée. Cependant, le nombre de délits a commencé à augmenter rapidement. Dans le même temps, au début de la décennie, les propriétaires d'entreprise ne pensaient pas beaucoup à la sécurité des informations de leur organisation, ce qui permettait aux pirates de voler des millions de dollars presque sans entrave. Au cours de la première moitié de la décennie, les institutions financières n'étaient pas prêtes pour l'émergence de logiciels malveillants complexes, tels que Carberp et Carbanak . À la suite des attaques les utilisant, environ 1 milliard de dollars de dégâts ont été causés.

Aujourd'hui, il existe des solutions pour détecter les hacks et pour détecter l'activité des attaquants dans l'infrastructure. En réponse, les pirates développent des solutions de contournement pour rester non détectés aussi longtemps que possible. Par exemple, ils utilisent des techniques telles que vivre hors de la terre . Dans de telles attaques, pour l'exécution à distance des commandes sur les nœuds, des mécanismes intégrés au système d'exploitation et des programmes approuvés sont utilisés. Dans l'infrastructure Windows, il peut s'agir des utilitaires PowerShell, WMI, de la suite Sysinternals. Par exemple, l'utilitaire PsExec a fait ses preuves tant auprès des administrateurs informatiques que chez les cybercriminels.

Les attaquants utilisent également la technique des points d'eau - ils piratent un site ou une application de l'industrie que les employés de l'entreprise visitent et utilisent souvent et y placent du code malveillant. Une fois que l'utilisateur a lancé l'application ou se connecte au site, un logiciel malveillant est téléchargé sur son appareil via lequel l'attaquant pénètre dans l'infrastructure. Cette méthode a été adoptée par des groupes APT tels que Turla , Winnti .

Certains groupes de pirates, par exemple Cobalt, Silence, TaskMasters, utilisent la méthode d'attaque de la chaîne d'approvisionnement. Les attaquants piratent à l'avance les serveurs d'un partenaire de l'organisation cible et effectuent déjà des mailings de phishing depuis ses boîtes mail. Les pirates ne se limitent pas à envoyer des lettres, mais attaquent les développeurs de logiciels utilisés par les organisations d'intérêt et incorporent du code malveillant, par exemple, dans la prochaine mise à jour. Tous les utilisateurs qui installent cette mise à jour infectent leurs ordinateurs. Ainsi, le code malveillant du virus rançongiciel NotPetya a été intégré à l'une des mises à jour du programme de comptabilité.

Cependant, avec tous les avantages d'un malware malveillant, un antivirus ou un sandbox peut détecters'il a été envoyé par courrier. À cet égard, les attaquants inventent des techniques d'obscurcissement de code de plus en plus sophistiquées - par exemple, en les virtualisant - exécutent des attaques sans fichier et insèrent des méthodes anti-VM et antisandbox dans le code.

Il ne peut être exclu qu'un attaquant parvienne à se passer du tout de malware dans le réseau, se limitant aux outils autorisés par les politiques de sécurité.

Comment attraper un hacker dans l'infrastructure: meilleures pratiques et erreurs majeures




Le moyen le plus simple d'empêcher un invité non invité d'apparaître dans votre infrastructure est de construire la bonne ligne de défense. On distingue ici trois composantes principales:

  • périmètre fiable;
  • utilisateurs avertis;
  • politiques de rôle et de mot de passe.

Il y a une excellente déclaration du livre de Sun Tzu "The Art of War": "Allez-y, où vous n'attendez pas, attaquez là où vous n'êtes pas préparé." La cybersécurité ne doit pas être limitée au périmètre et aux moyens de protection traditionnels. Comme les résultats de notre étude l' ont montré , 92% des menaces sont identifiées lorsque l'ennemi est déjà à l'intérieur.

Les cybergroupes ont réussi à surmonter la défense sur le périmètre des organisations qui les intéressent, comme en témoigne la tendance à l'augmentation du nombre d' attaques ciblées réussies . C'est l'occasion de déplacer le centre d'attention de la prévention des attaques sur le périmètre vers la détection en temps opportun des compromis et des réponses au sein du réseau.

Si l'incident s'est toujours produit, vous devez créer toute la chaîne d'événements que le pirate informatique a fait sur le chemin de son objectif - la chronologie. Lorsqu'un incident est détecté, beaucoup ne savent pas comment réagir correctement, paniquer et commettre des erreurs dès les premiers stades. L'élimination agitée des conséquences de l'incident commence, ce qui conduit à l'effacement de ses artefacts. Cependant, peu de gens pensent immédiatement aux raisons de son apparition, et au moment où le besoin de trouver la cause devient apparent, la plupart des traces ont déjà été détruites - vous devez restaurer l'image à partir de ce qui reste.

Il arrive que, au cours d'un incident, le pirate reste en ligne et la victime essaie de le «mettre KO» avec tous les moyens disponibles, sans se rendre compte de la partie de l'infrastructure et des services que l'attaquant contrôle. Dans ce cas, le pirate peut partir, claquant bruyamment la porte: par exemple, en chiffrant les nœuds sous contrôle.

Trouver un pirate informatique dans l'infrastructure d'un pirate informatique n'est pas toujours une tâche triviale. Avec une approche compétente, il peut rester longtemps dans l'infrastructure. Par exemple, le groupe TaskMasters découvertdes experts de PT Expert Security Center en 2018, dans certaines organisations pendant des années ont caché leur présence. Dans le même temps, les pirates sont revenus à plusieurs reprises sur l'infrastructure piratée afin de décharger une autre donnée, après quoi ils ont creusé un trou creusé, laissant plusieurs points d'accès au réseau interne. Et chaque fois, ils sont passés inaperçus. Dans de tels cas, les pirates pourraient être calculés par une activité réseau anormale (qui s'est principalement produite la nuit) par une grande quantité de trafic vers des nœuds externes ou des mouvements horizontaux non standard à l'intérieur.

Mais que se passe-t-il si nous ne savons pas s'il existe un pirate informatique à l'intérieur du réseau et que nous voulons nous protéger en vérifiant l'absence de piratage? Pour ce faire, vous devez disposer d'une large base de connaissances sur la façon dont un pirate peut agir: comment pénétrer, comment prendre pied, comment se déplacer. Heureusement, une telle base de connaissances existe et s'appelle ATT & CK , développée et prise en charge par MITRE Corporation basée sur l'analyse des attaques APT réelles. La base est une table visuelle de tactiques à laquelle un pirate peut recourir pour atteindre son objectif avec succès. Il a structuré les connaissances sur les attaques ciblées et catégorisé les actions des attaquants. La base de données est constamment mise à jour par des chercheurs du monde entier, ce qui permet aux experts en sécurité de l'information de tous les pays de parler la même langue. De plus, la connaissance de la tactique vous permet d'identifier avec succès les traces de piratage et de vous préparer à l'avance - pour renforcer les faiblesses, établir un contrôle accru sur celles-ci et réagir rapidement à l'apparition d'un attaquant.

De plus, les crackers laissent des traces dans le trafic réseau, ce qui signifie que la tâche d'un spécialiste de la cybersécurité est de détecter ces traces. résultats Nos projets pilotes ont montré que les solutions de classe NTA peuvent identifier efficacement les menaces à divers degrés de risque - des violations des réglementations SI aux attaques ciblées complexes.

Des détails techniques sur la façon d'attraper un pirate informatique dans le trafic réseau (un manuel détaillé avec des captures d'écran) peuvent être trouvés dans notre article Anti-Malware .

À quoi s'attendre à l'avenir: les tendances de la cybersécurité


Les informations sur les fuites de données au cours des dernières années sont devenues particulièrement bruyantes, notamment parce que les attaquants ont réussi à utiliser les fuites des années précédentes. Cela leur donne des fichiers numériques plus complets d'un grand nombre d'utilisateurs. Devrait poursuivre cette tendance.

En 2019, nous avons enregistré plus d'un millier et demi d'attaques de pirates informatiques; C'est 19% de plus qu'en 2018. Dans 81% des cyberattaques, les victimes étaient des personnes morales. À la fin de l'année, les cinq secteurs les plus fréquemment attaqués étaient les institutions publiques, l'industrie, la médecine, le domaine des sciences et de l'éducation et le secteur financier. L'accent mis sur l'industrie se poursuivra à l'avenir.

La proportion d'attaques ciblées augmente: dans chaque trimestre, nous avons observé plus d'attaques ciblées que dans le précédent. Au premier trimestre 2019, moins de la moitié des attaques (47%) étaient ciblées, et à la fin de l'année leur part était déjà de 67%. Attendez-vous à une nouvelle croissance des attaques APT .

Afin de pouvoir répondre aux nouvelles menaces, les technologies de protection doivent également être activement développées. Cependant, il ne sera pas possible d'atteindre un niveau de sécurité élevé à l'aide uniquement de contre-mesures et d'outils de détection d'attaque. Nous recommandons aux entreprises de mener régulièrement des tests de pénétration et de former les employés des SI dans le cadre d'une équipe rouge - cela permettra de détecter et d'éliminer en temps opportun les vecteurs d'attaque potentiels pour les ressources critiques et de déboguer les interactions des services SI et TI en cas de cyberattaque.

Notre entreprise a développé un système de protection réseau anti-APT pour l'organisation , conçu pour détecter et prévenir les attaques ciblées. Il vous permet de détecter rapidement la présence d'un attaquant sur le réseau et de recréer l'image complète de l'attaque pour une enquête détaillée. La détection d'une activité anormale sur le réseau, l'analyse rétrospective des fichiers et un bac à sable avancé peuvent réduire le temps de réponse à un incident ou l'empêcher complètement.

Publié par Denis Kuvshinov, spécialiste principal, équipe de recherche sur les cybermenaces en technologies positives

More articles:


All Articles