Get best of the week

Um lobo em pele de cordeiro: como capturar um hacker que se disfarça cuidadosamente como um usuário comum



Imagem: Unsplash

Com o crescimento da atividade de hackers, produtos e métodos estão aparecendo, permitindo identificar métodos relevantes de hacking, correção e distribuição. Portanto, os hackers tentam estar um passo à frente e permanecem o mais discretos possível.

Hoje falaremos sobre táticas para ocultar os traços de nossas ações que os cibercriminosos usam e falaremos sobre como descobri-las.


Investigando as atividades dos grupos APT , este ano revelamos um aumento no número de ataques APT em vários setores. Se, no ano passado, 12 grupos de APT apareceram em nossa opinião, este ano 27 grupos se tornaram objeto de pesquisa. Essa tendência também se correlaciona com o aumento constante no número de incidentes cibernéticos exclusivos de trimestre para trimestre (de acordo com nossos dados, no terceiro trimestre de 2019, foram registrados 6% a mais de incidentes exclusivos do que no segundo). Essas conclusões são confirmadas pelos dados do Ministério Público: no ano passado, o número de crimes de TI quase dobrou em relação a 2018 e até o final do ano atingiu 270.000 casos registrados, ou seja, 14% do número total de todos os crimes registrados na Rússia. Como esperado, ataques direcionados prevaleceram significativamentesobre maciço. Durante 2019, observamos um aumento nos ataques direcionados: no terceiro trimestre, sua participação foi de 65% (contra 59% no segundo trimestre e 47% no primeiro).

Por trás de um ataque de hackers, quase sempre há motivação financeira. Na maioria das vezes, os atacantes roubam dinheiro diretamente das contas da empresa. Em outros casos, roubam dados e documentos confidenciais para extorsão ou invadem a infraestrutura das empresas e vendem acesso a eles no mercado negro. Além disso, você não pode anular a espionagem comum, na qual os atacantes não estão interessados ​​em dinheiro, mas em informações. Na maioria das vezes, a motivação para esse tipo de ataque é a concorrência: os hackers podem roubar segredos comerciais por ordem, interromper o trabalho de outra empresa e envolvê-lo em um escândalo. Como parte do nosso estudoIdentificamos 10 grupos de APT que atacaram empresas estatais na Rússia nos últimos dois anos e observamos que seu principal motivo era espionagem. Além disso, realizamos uma pesquisa com especialistas em TI e segurança da informação sobre a disponibilidade de suas empresas para resistir a ataques do APT. Cada segundo respondente do setor público (45%) respondeu que sua empresa não estava preparada para o APT e 68% notou que seus especialistas em segurança da informação não eram suficientemente qualificados para lidar com ameaças tão complexas.

Nossos projetos de análise retrospectiva e investigação de incidentes indicam que muitas empresas que adotaram a prática de detectar incidentes cibernéticos encontram vestígios de hacks ocorridos há vários meses ou mesmo anos (o TaskMasters foi identificado no ano passado., que estava na infraestrutura de uma das vítimas há pelo menos oito anos). Isso significa que os criminosos controlam muitas organizações há muito tempo, mas as próprias organizações não percebem sua presença, pensando que estão realmente protegidas. Além disso, muitas vezes acontece que não apenas um, mas vários grupos “vivem” na infraestrutura de tais empresas.

Segundo nossas estimativas , um conjunto de ferramentas para conduzir um ataque que visa roubar dinheiro de um banco pode custar US $ 55 mil. Uma campanha de espionagem cibernética é muito mais cara, seu orçamento mínimo é de 500 mil dólares.

Parece que o mercado oferece muitos produtos anti-hackers. Mas como os invasores penetram em uma rede de organizações? Vamos considerar esta questão no artigo de hoje.

Engenharia social


A engenharia social é uma das maneiras mais comuns de penetrar na infraestrutura. As grandes empresas empregam muitas pessoas; sua consciência das regras de segurança da informação pode ser diferente - por isso, é mais provável que alguns funcionários sejam atacados usando métodos de engenharia social e phishing. E para compilar uma lista para correspondência de phishing, basta realizar uma pesquisa em fontes abertas (OSINT).

Muitos de nós têm contas em redes sociais, alguns deles publicam informações sobre nosso local de trabalho. Na maioria das vezes, o e-mail de um funcionário é uma combinação da "primeira letra do primeiro nome + sobrenome em inglês" com pequenas variações. Portanto, é suficiente que o hacker saiba o formato do endereço eletrônico da empresa e o nome completo do funcionário para obter seu endereço de e-mail com 90% de probabilidade. Você também pode comprar dados em fóruns-sombra ou nos canais correspondentes de mensageiros instantâneos populares, além de encontrar no próximo "dreno" de bancos de dados.

Vulnerabilidades na infraestrutura de acesso à Internet


O Bloody Enterprise não é apenas um grande número de pessoas, mas também um grande número de serviços: serviços de acesso remoto, bancos de dados, painéis de administração, sites. E quanto mais deles, mais difícil é controlá-los. Portanto, há situações em que, devido a erros de configuração, o serviço se torna acessível a partir do exterior. Se um hacker monitora constantemente o perímetro da organização, quase imediatamente percebe esse "buraco" na infraestrutura, o tempo depende apenas da frequência com que ele varre o perímetro - de alguns minutos a um dia.

Na pior das hipóteses, um serviço “vazio” terá uma vulnerabilidade conhecida, que permitirá que um invasor use imediatamente a exploração e entre na rede. E se a senha padrão não tiver sido alterada durante a configuração do serviço, o hacker encontrará o acesso aos dados várias vezes mais rapidamente, selecionando a conexão padrão de login e senha.

Por que os ataques estão ficando mais difíceis de detectar




Um ponto de virada no processo de complicação de ataques de hackers foi o aparecimento do worm Stuxnet em 2010, que muitos chamam de primeira arma cibernética. Por um longo tempo, ele passou despercebido na rede do programa nuclear iraniano, controlou a velocidade das centrífugas para enriquecimento de urânio e equipamentos desabilitados. Ao longo dos anos, ele já foi encontrado em outras redes de computadores. Usando vulnerabilidades de dia zero, assinaturas digitais, distribuição via dispositivos USB e impressoras compartilhadas permitiram que o worm passasse despercebido por um longo tempo.

Os hackers começaram a se unir em grupos. Se no zero observamos mais hackers isolados, na década de 2010 começou um crescimento ativo no crime cibernético organizado. No entanto, o número de crimes começou a aumentar rapidamente. Ao mesmo tempo, no início da década, os empresários não pensavam muito na segurança das informações de sua organização, o que permitia que hackers roubassem milhões de dólares quase sem impedimentos. Na primeira metade da década, as instituições financeiras não estavam prontas para o surgimento de malware complexo, como Carberp e Carbanak . Como resultado dos ataques que os usaram, foram causados ​​aproximadamente US $ 1 bilhão em danos.

Hoje existem soluções para a detecção de hacks e a atividade de invasores na infraestrutura. Em resposta, os hackers desenvolvem soluções alternativas para não serem detectadas pelo maior tempo possível. Por exemplo, eles usam técnicas como viver fora da terra . Nesses ataques, para a execução remota de comandos nos nós, são usados ​​mecanismos incorporados ao SO e aos programas confiáveis. Na infraestrutura do Windows, esses podem ser utilitários do PowerShell, WMI, do pacote Sysinternals. Por exemplo, o utilitário PsExec se provou entre os administradores de TI e entre os cibercriminosos.

Os invasores também usam a técnica de watering hole - eles invadem um site ou aplicativo do setor que os funcionários da empresa costumam visitar, usam e colocam códigos maliciosos neles. Depois que o usuário inicia o aplicativo ou efetua login no site, o malware é baixado no dispositivo através do qual o invasor entra na infraestrutura. Este método foi adotado por grupos APT como Turla , Winnti .

Alguns grupos de hackers, por exemplo, Cobalt, Silence, TaskMasters, usam o método de ataque da cadeia de suprimentos. Os invasores invadem antecipadamente os servidores de um parceiro da organização de destino e já realizam emails de phishing em suas caixas de correio. Os hackers não se limitam a enviar cartas, mas atacam desenvolvedores de software usados ​​por organizações de interesse e incorporam códigos maliciosos, por exemplo, na próxima atualização. Todos os usuários que instalam esta atualização infectam seus computadores. Portanto, o código malicioso do vírus NotPetya ransomware foi incorporado em apenas uma das atualizações do programa de contabilidade.

No entanto, com todas as vantagens de um malware atacante , um antivírus ou sandbox pode detectarse foi enviado por correio. Nesse sentido, os invasores inventam técnicas cada vez mais sofisticadas de ofuscação de código - por exemplo, virtualizando-a - realizam ataques sem arquivos e inserem métodos anti-VM e antisandbox no código.

Não se pode excluir que um invasor consiga ficar sem malware na rede, limitando-se às ferramentas permitidas pelas políticas de segurança.

Como capturar um hacker em infraestrutura: melhores práticas e grandes erros




A maneira mais fácil de impedir que um hóspede não convidado apareça na sua infraestrutura é criar a linha de defesa certa. Três componentes principais podem ser distinguidos aqui:

  • perímetro confiável;
  • usuários conhecedores;
  • políticas de função e senha.

Há uma excelente declaração do livro de Sun Tzu, “The Art of War”: “Vá em frente, onde você não está esperando, ataque onde você não está preparado”. Garantir a segurança cibernética não deve se limitar ao perímetro e aos meios tradicionais de proteção. Como os resultados do nosso estudo mostraram , 92% das ameaças são identificadas quando o inimigo já está dentro.

Os cibergrupos aprenderam com êxito a superar as defesas no perímetro das organizações de seu interesse, e isso é evidenciado pela tendência de aumento da participação de ataques direcionados bem - sucedidos . Esta é uma ocasião para mudar o foco da atenção, da prevenção de ataques ao perímetro para a detecção oportuna de comprometimentos e respostas dentro da rede.

Se o incidente ainda ocorrer, você precisará criar toda a cadeia de eventos que o hacker fez no caminho para o objetivo - a linha do tempo. Quando um incidente é detectado, muitos não sabem como reagir corretamente, entrar em pânico e cometer erros já nos estágios iniciais. A eliminação agitada das consequências do incidente começa, o que leva ao apagamento de seus artefatos. No entanto, poucas pessoas pensam imediatamente sobre os motivos de sua aparição e, quando a necessidade de encontrar a causa se torna aparente, a maioria dos traços já foi destruída - você precisa restaurar a imagem do que resta.

Ocorre que, no decorrer de um incidente, o hacker ainda permanece on-line e a vítima tenta "nocauteá-lo" com todos os meios disponíveis, sem perceber qual parte da infraestrutura e serviços que o invasor controla. Nesse caso, o hacker pode sair, batendo a porta com força: por exemplo, criptografando os nós sob controle.

Encontrar um hacker na infraestrutura de um hacker nem sempre é uma tarefa trivial. Com uma abordagem competente, ele pode permanecer na infraestrutura por um longo tempo. Por exemplo, o grupo TaskMasters que foi descobertoespecialistas do PT Expert Security Center em 2018, em algumas organizações durante anos ocultaram sua presença. Ao mesmo tempo, os hackers retornaram várias vezes à infraestrutura invadida, a fim de descarregar outra parte dos dados, após o que eles vazaram um buraco cavado, deixando vários pontos de acesso à rede interna. E toda vez que passavam despercebidos. Nesses casos, os hackers podem ser calculados pela atividade anormal da rede (que ocorreu principalmente à noite) por uma grande quantidade de tráfego para nós externos ou movimentos horizontais fora do padrão.

Mas e se não soubermos se há um hacker dentro da rede e quisermos nos proteger verificando a ausência de hackers? Para fazer isso, você precisa ter uma grande base de conhecimento sobre como um hacker pode agir: como penetrar, como ganhar uma posição, como se mover. Felizmente, essa base de conhecimento existe e é chamada ATT & CK , desenvolvida e suportada pela MITRE Corporation com base na análise de ataques reais do APT. A base é uma tabela visual de táticas que um hacker pode recorrer para atingir seu objetivo com sucesso. Ele estruturou o conhecimento sobre ataques direcionados e categorizou as ações dos atacantes. O banco de dados é atualizado constantemente por pesquisadores de todo o mundo, o que permite que especialistas em segurança da informação de todos os países falem o mesmo idioma. Além disso, o conhecimento das táticas permite que você identifique com sucesso os traços de hackers e se prepare com antecedência - para fortalecer pontos fracos, estabelecer maior controle sobre eles e responder rapidamente à aparência de um invasor.

Além disso, os crackers deixam rastros no tráfego de rede, o que significa que a tarefa de um especialista em segurança cibernética é detectar esses rastreamentos. resultados Nossos projetos-piloto mostraram que as soluções da classe NTA podem identificar efetivamente ameaças de vários graus de risco - desde violações dos regulamentos de SI até ataques direcionados complexos.

Detalhes técnicos sobre como capturar um hacker no tráfego de rede (um manual detalhado com capturas de tela) podem ser encontrados em nosso artigo Anti-Malware .

O que esperar no futuro: tendências de segurança cibernética


As notícias sobre vazamentos de dados nos últimos anos tornaram-se especialmente altas, inclusive porque os atacantes conseguem usar vazamentos dos últimos anos. Isso fornece a eles arquivos digitais mais completos de um grande número de usuários. Espera-se continuar esta tendência.

Em 2019, registramos mais de mil e meio ataques de hackers; Isso é 19% a mais do que em 2018. Em 81% dos ataques cibernéticos, as vítimas eram pessoas jurídicas. No final do ano, os cinco setores atacados com mais frequência incluíam instituições estatais, indústria, medicina, campo da ciência e educação e setor financeiro. O foco da indústria continuará no futuro.

A proporção de ataques direcionados está aumentando: em cada trimestre, observamos mais ataques direcionados do que no anterior. No primeiro trimestre de 2019, menos da metade dos ataques (47%) foram direcionados e, no final do ano, sua participação já era de 67%. Espere um maior crescimento dos ataques do APT .

Para conseguir responder a novas ameaças, as tecnologias de proteção também devem ser ativamente desenvolvidas. No entanto, não será possível atingir um alto nível de segurança com a ajuda de apenas ferramentas de contramedida e detecção de ataques. Recomendamos que as empresas realizem regularmente testes de penetração e treinamento de funcionários de SI como parte de equipes vermelhas - isso permitirá detectar e eliminar oportunamente possíveis vetores de ataque de recursos críticos e depurar interações de IS e de serviços de TI no caso de um ataque cibernético.

Nossa empresa desenvolveu um sistema de proteção de rede anti-APT para a organização , projetado para detectar e impedir ataques direcionados. Ele permite que você detecte rapidamente a presença de um invasor na rede e recrie a imagem completa do ataque para uma investigação detalhada. A detecção de atividades anormais na rede, a análise retrospectiva de arquivos e uma sandbox avançada podem reduzir o tempo de resposta a um incidente ou impedi-lo por completo.

Postado por Denis Kuvshinov, especialista líder da equipe de pesquisa sobre ameaças cibernéticas da Positive Technologies

More articles:


All Articles