Get best of the week

Serigala berbulu domba: cara menangkap hacker yang dengan hati-hati menyamar sebagai pengguna biasa



Gambar: Unsplash

Dengan tumbuhnya aktivitas peretas, muncul produk dan metode yang memungkinkan Anda mengidentifikasi metode peretasan, perbaikan, dan distribusi yang relevan. Karena itu, peretas berusaha selangkah lebih maju dan tetap tidak semenolok mungkin.

Hari ini kita akan berbicara tentang taktik untuk menyembunyikan jejak tindakan kita yang digunakan penjahat dunia maya, dan berbicara tentang bagaimana cara mengatasinya.


Menyelidiki kegiatan kelompok APT , tahun ini kami mengungkap peningkatan jumlah serangan APT di berbagai industri. Jika tahun lalu 12 kelompok APT masuk ke dalam pandangan kami, maka tahun ini 27 kelompok menjadi subjek penelitian. Tren ini juga berkorelasi dengan peningkatan konstan dalam jumlah insiden cyber unik dari kuartal ke kuartal (menurut data kami, pada kuartal ketiga 2019, 6% insiden unik lebih banyak dicatat daripada yang kedua). Kesimpulan ini dikonfirmasi oleh data Kantor Kejaksaan Agung: tahun lalu jumlah kejahatan TI hampir dua kali lipat dibandingkan dengan tahun 2018 dan pada akhir tahun hanya mencapai 270.000 kasus terdaftar, yaitu 14% dari total jumlah semua kejahatan terdaftar di Rusia. Seperti yang diharapkan, serangan bertarget menang secara signifikanlebih besar. Selama 2019, kami mengamati peningkatan serangan yang ditargetkan: pada kuartal ketiga, bagian mereka adalah 65% (terhadap 59% di kuartal kedua dan 47% di yang pertama).

Di balik serangan hacker hampir selalu ada motivasi finansial. Paling sering, penyerang mencuri uang langsung dari akun perusahaan. Dalam kasus lain, mereka mencuri data dan dokumen rahasia untuk pemerasan atau mendobrak infrastruktur perusahaan dan menjual akses kepada mereka di pasar gelap. Juga, Anda tidak dapat menghapus spionase biasa, di mana penyerang tidak tertarik pada uang, tetapi pada informasi. Paling sering, motivasi untuk jenis serangan ini adalah kompetisi: peretas dapat mencuri rahasia dagang berdasarkan pesanan, mengganggu pekerjaan perusahaan lain, dan melibatkannya dalam skandal. Sebagai bagian dari penelitian kamiKami mengidentifikasi 10 kelompok APT yang menyerang perusahaan milik negara di Rusia selama dua tahun terakhir dan mencatat bahwa motif utama mereka adalah spionase. Selain itu, kami melakukan survei terhadap pakar keamanan informasi dan TI tentang kesiapan perusahaan mereka untuk melawan serangan APT. Setiap detik responden dari sektor publik (45%) menjawab bahwa perusahaannya tidak siap untuk APT, dan 68% mencatat bahwa spesialis keamanan informasi mereka tidak cukup berkualitas untuk menghadapi ancaman yang kompleks tersebut.

Proyek kami untuk analisis retrospektif dan investigasi insiden menunjukkan bahwa banyak perusahaan yang telah beralih ke praktik mendeteksi insiden cyber menemukan jejak peretasan yang terjadi beberapa bulan atau bahkan beberapa tahun yang lalu ( TaskMasters diidentifikasi tahun lalu, yang ada di infrastruktur salah satu korban selama setidaknya delapan tahun). Ini berarti bahwa penjahat telah lama mengendalikan banyak organisasi, tetapi organisasi itu sendiri tidak memperhatikan keberadaan mereka, berpikir bahwa mereka sebenarnya dilindungi. Selain itu, sering kali ternyata bukan hanya satu, tetapi beberapa kelompok "hidup" dalam infrastruktur perusahaan tersebut.

Menurut perkiraan kami , satu set alat untuk melakukan serangan yang bertujuan mencuri uang dari bank dapat berharga 55 ribu dolar AS. Kampanye mata-mata maya jauh lebih mahal, anggaran minimumnya adalah 500 ribu dolar AS.

Tampaknya pasar menawarkan banyak produk anti-peretasan. Tetapi bagaimana penyusup menembus jaringan organisasi? Kami akan mempertimbangkan masalah ini di artikel hari ini.

Rekayasa sosial


Rekayasa sosial adalah salah satu cara paling umum untuk menembus infrastruktur. Perusahaan besar mempekerjakan banyak orang, kesadaran mereka akan peraturan keamanan informasi bisa berbeda - karena ini, beberapa karyawan lebih mungkin diserang menggunakan metode rekayasa sosial dan phishing. Dan untuk mengkompilasi daftar untuk pengiriman surat phising, cukup untuk melakukan pencarian pada sumber terbuka (OSINT).

Banyak dari kita memiliki akun di jejaring sosial, beberapa di antaranya memposting informasi tentang tempat kerja kita. Paling sering, email karyawan adalah kombinasi dari "huruf pertama dari nama depan + nama belakang dalam bahasa Inggris" dengan sedikit variasi. Oleh karena itu, cukup bagi peretas untuk mengetahui format alamat elektronik perusahaan dan nama lengkap karyawan untuk mendapatkan alamat emailnya dengan probabilitas 90%. Anda juga dapat membeli data di forum bayangan atau di saluran yang sesuai dengan pengirim pesan instan populer, serta menemukan di "saluran" database berikutnya.

Kerentanan dalam Infrastruktur Akses Internet


Bloody Enterprise tidak hanya sejumlah besar orang, tetapi juga sejumlah besar layanan: layanan akses jarak jauh, basis data, panel administrasi, situs web. Dan semakin banyak dari mereka, semakin sulit untuk mengendalikan mereka. Oleh karena itu, ada situasi ketika, karena kesalahan konfigurasi, layanan menjadi dapat diakses dari luar. Jika seorang hacker terus-menerus memonitor perimeter organisasi, maka ia akan segera melihat "lubang" dalam infrastruktur, waktunya hanya tergantung pada seberapa sering ia memindai perimeter, dari beberapa menit hingga sehari.

Dalam skenario terburuk, layanan "telanjang" akan memiliki kerentanan yang diketahui, yang akan memungkinkan penyerang untuk segera menggunakan exploit dan masuk ke jaringan. Dan jika kata sandi standar belum diubah ketika mengkonfigurasi layanan, peretas akan menemukan akses ke data beberapa kali lebih cepat dengan memilih koneksi standar login dan kata sandi.

Mengapa serangan semakin sulit dikenali




Titik balik dalam proses mempersulit serangan hacker adalah kemunculan worm Stuxnet pada 2010, yang oleh banyak orang disebut sebagai senjata cyber pertama. Untuk waktu yang lama ia tidak diperhatikan dalam jaringan program nuklir Iran, mengendalikan kecepatan sentrifugal untuk pengayaan uranium dan peralatan yang dinonaktifkan. Selama bertahun-tahun, ia sudah ditemukan di jaringan komputer lain. Menggunakan kerentanan nol hari, tanda tangan digital, distribusi melalui perangkat USB dan printer bersama memungkinkan worm tidak terdeteksi untuk waktu yang lama.

Peretas mulai bersatu dalam kelompok. Jika di nol kita melihat lebih banyak peretas tunggal, maka pada 2010-an mulai pertumbuhan aktif dalam kejahatan cyber terorganisir. Namun, jumlah kejahatan mulai meningkat dengan cepat. Pada saat yang sama, pada awal dekade, pemilik bisnis tidak terlalu memikirkan keamanan informasi organisasi mereka, yang memungkinkan para peretas untuk mencuri jutaan dolar yang hampir tanpa hambatan. Pada paruh pertama dekade ini, lembaga keuangan tidak siap untuk munculnya malware yang kompleks, seperti Carberp dan Carbanak . Sebagai akibat dari serangan yang menggunakan mereka, sekitar $ 1 miliar kerusakan disebabkan.

Saat ini ada solusi untuk mendeteksi peretasan dan untuk mendeteksi aktivitas penyerang di infrastruktur. Sebagai tanggapan, peretas mengembangkan solusi untuk tidak terdeteksi selama mungkin. Misalnya, mereka menggunakan teknik seperti hidup di luar negeri . Dalam serangan seperti itu, untuk eksekusi perintah secara jarak jauh pada node, digunakan mekanisme ke dalam OS dan program tepercaya. Dalam infrastruktur Windows, ini bisa berupa utilitas PowerShell, WMI, dari suite Sysinternals. Sebagai contoh, utilitas PsExec telah membuktikan dirinya di antara administrator TI dan di antara penjahat cyber.

Penyerang juga menggunakan teknik lubang air - mereka meretas situs industri atau aplikasi yang sering dikunjungi karyawan perusahaan dan menggunakan serta menempatkan kode berbahaya di dalamnya. Setelah pengguna meluncurkan aplikasi atau log ke situs, malware diunduh ke perangkatnya melalui mana penyerang memasuki infrastruktur. Metode ini telah diadopsi oleh kelompok APT seperti Turla , Winnti .

Beberapa kelompok peretas, misalnya Cobalt, Silence, TaskMasters, menggunakan metode serangan rantai pasokan. Penyerang meretas terlebih dahulu server dari mitra organisasi target dan sudah melakukan pengiriman phishing dari kotak suratnya. Peretas tidak terbatas pada mengirim surat, tetapi menyerang pengembang perangkat lunak yang digunakan oleh organisasi yang berkepentingan, dan menanamkan kode jahat, misalnya, dalam pembaruan berikutnya. Semua pengguna yang menginstal pembaruan ini menginfeksi komputer mereka. Jadi, kode jahat dari virus ransomware NotPetya dibangun menjadi hanya salah satu pembaruan dari program akuntansi.

Namun, dengan semua keunggulan malware penyerang , antivirus atau kotak pasir dapat mendeteksijika dikirim melalui surat. Dalam hal ini, penyerang menemukan teknik kebingungan kode yang semakin canggih - misalnya, virtualisasi - melakukan serangan bebas file dan memasukkan metode anti-VM dan antisandbox ke dalam kode.

Tidak dapat disangkal bahwa penyerang dapat melakukan tanpa malware sama sekali dalam jaringan, membatasi dirinya pada alat yang diizinkan oleh kebijakan keamanan.

Cara menangkap peretas di infrastruktur: praktik terbaik dan kesalahan besar




Cara termudah untuk mencegah tamu tak diundang muncul di infrastruktur Anda adalah membangun garis pertahanan yang tepat. Tiga komponen utama dapat dibedakan di sini:

  • perimeter andal;
  • pengguna yang berpengetahuan luas;
  • kebijakan peran dan kata sandi.

Ada pernyataan yang sangat bagus dari buku Sun Tzu "The Art of War": "Maju, di mana Anda tidak menunggu, serang di mana Anda tidak siap." Memastikan keamanan siber tidak harus terbatas pada perimeter dan cara perlindungan tradisional. Seperti hasil penelitian kami menunjukkan , 92% dari ancaman diidentifikasi ketika musuh sudah di dalam.

Cybergroup telah berhasil belajar untuk mengatasi pertahanan pada batas organisasi yang menarik bagi mereka, dan ini dibuktikan oleh tren peningkatan pangsa serangan yang ditargetkan . Ini adalah kesempatan untuk mengalihkan fokus perhatian dari mencegah serangan pada perimeter ke deteksi tepat waktu kompromi dan respons dalam jaringan.

Jika insiden itu masih terjadi, Anda perlu membangun seluruh rantai peristiwa yang dibuat peretas dalam perjalanan ke tujuannya - timeline. Ketika sebuah insiden terdeteksi, banyak yang tidak tahu bagaimana harus bereaksi dengan benar, panik dan sudah melakukan kesalahan pada tahap awal. Penghapusan sibuk konsekuensi dari insiden dimulai, yang mengarah pada penghapusan artefaknya. Namun, beberapa orang segera memikirkan alasan kemunculannya, dan pada saat kebutuhan untuk menemukan penyebabnya menjadi jelas, sebagian besar jejak telah dihancurkan - Anda harus mengembalikan gambar dari yang tersisa.

Itu terjadi bahwa dalam suatu peristiwa peretas masih tetap online dan korban mencoba untuk “melumpuhkannya” dengan semua cara yang tersedia, tanpa memahami bagian infrastruktur dan layanan apa yang dikendalikan oleh penyerang. Dalam hal ini, peretas dapat pergi, dengan keras membanting pintu: misalnya, dengan mengenkripsi node yang terkendali.

Menemukan seorang hacker dalam infrastruktur hacker tidak selalu merupakan tugas yang sepele. Dengan pendekatan yang kompeten, ia dapat tetap berada di infrastruktur untuk waktu yang lama. Misalnya, grup TaskMasters yang ditemukanpara ahli PT Expert Security Center pada tahun 2018, di beberapa organisasi selama bertahun-tahun menyembunyikan keberadaan mereka. Pada saat yang sama, peretas kembali beberapa kali ke infrastruktur yang diretas untuk membongkar sepotong data, setelah itu mereka mengisi lubang gali, meninggalkan beberapa titik akses ke jaringan internal. Dan setiap kali mereka luput dari perhatian. Dalam kasus seperti itu, peretas dapat dihitung dengan aktivitas jaringan yang tidak normal (yang terutama terjadi pada malam hari) oleh sejumlah besar lalu lintas ke node eksternal atau gerakan horizontal non-standar di dalamnya.

Tetapi bagaimana jika kita tidak tahu apakah ada hacker di dalam jaringan dan ingin melindungi diri kita sendiri dengan memeriksa tidak adanya peretasan? Untuk melakukan ini, Anda harus memiliki basis pengetahuan yang luas tentang bagaimana seorang hacker dapat bertindak: bagaimana menembus, bagaimana mendapatkan pijakan, bagaimana bergerak. Untungnya, basis pengetahuan seperti itu ada dan disebut ATT & CK , dikembangkan dan didukung oleh MITER Corporation berdasarkan analisis serangan APT nyata. Basis adalah tabel visual taktik yang dapat digunakan peretas untuk berhasil mencapai tujuannya. Itu terstruktur pengetahuan tentang serangan yang ditargetkan dan dikategorikan tindakan penyerang. Basis data ini terus diperbarui oleh para peneliti dari seluruh dunia, yang memungkinkan para pakar keamanan informasi dari semua negara untuk berbicara dalam bahasa yang sama. Selain itu, pengetahuan tentang taktik memungkinkan Anda untuk berhasil mengidentifikasi tanda-tanda peretasan dan mempersiapkan diri di muka - untuk memperkuat kelemahan, membangun kontrol lebih besar terhadap mereka dan dengan cepat menanggapi penampilan seorang penyerang.

Selain itu, cracker meninggalkan jejak dalam lalu lintas jaringan, yang berarti bahwa tugas seorang spesialis keamanan siber adalah untuk mendeteksi jejak-jejak ini. hasil Proyek percontohan kami telah menunjukkan bahwa solusi kelas NTA dapat secara efektif mengidentifikasi ancaman dengan berbagai tingkat risiko - mulai dari pelanggaran regulasi IS hingga serangan kompleks yang ditargetkan.

Rincian teknis tentang cara menangkap peretas di lalu lintas jaringan (manual terperinci dengan tangkapan layar) dapat ditemukan di artikel Anti-Malware kami .

Apa yang diharapkan di masa depan: tren keamanan dunia maya


Berita tentang kebocoran data dalam beberapa tahun terakhir telah menjadi sangat keras, termasuk karena penyerang berhasil menggunakan kebocoran beberapa tahun terakhir. Ini memberi mereka file digital yang lebih lengkap dari sejumlah besar pengguna. Diharapkan untuk melanjutkan tren ini.

Pada 2019, kami mencatat lebih dari satu setengah ribu serangan hacker; Ini 19% lebih tinggi dari tahun 2018. Dalam 81% serangan dunia maya, para korban adalah badan hukum. Pada akhir tahun, lima sektor yang paling sering diserang termasuk institusi negara, industri, kedokteran, bidang sains dan pendidikan, dan sektor keuangan. Fokus industri akan berlanjut di masa depan.

Proporsi serangan yang ditargetkan meningkat: di setiap kuartal kami mengamati lebih banyak serangan yang ditargetkan daripada yang sebelumnya. Pada kuartal pertama 2019, kurang dari setengah serangan (47%) menjadi target, dan pada akhir tahun bagian mereka sudah 67%. Harapkan pertumbuhan serangan APT lebih lanjut .

Untuk mengelola menanggapi ancaman baru, teknologi perlindungan juga harus dikembangkan secara aktif. Namun, tidak mungkin untuk mencapai tingkat keamanan yang tinggi dengan bantuan hanya tindakan pencegahan dan alat deteksi serangan. Kami merekomendasikan bahwa perusahaan secara teratur melakukan pengujian penetrasi dan pelatihan karyawan IS sebagai bagian dari tim merah - ini akan memungkinkan untuk mendeteksi dan secara tepat waktu menghilangkan vektor serangan potensial untuk sumber daya penting dan untuk men-debug interaksi layanan IS dan IT dalam hal terjadi serangan cyber.

Perusahaan kami telah mengembangkan sistem perlindungan jaringan anti-APT untuk organisasi , yang dirancang untuk mendeteksi dan mencegah serangan yang ditargetkan. Ini memungkinkan Anda untuk dengan cepat mendeteksi keberadaan penyerang di jaringan dan membuat ulang gambar lengkap serangan untuk penyelidikan terperinci. Deteksi aktivitas abnormal pada jaringan, analisis retrospektif file dan kotak pasir canggih dapat mengurangi waktu respons terhadap suatu kejadian atau mencegahnya sama sekali.

Diposting oleh Denis Kuvshinov, Spesialis Utama, Tim Teknologi Positif Cyber ​​Cyber ​​Ancaman

More articles:


All Articles