Get best of the week

披着羊皮的狼:如何捉住精心掩饰自己是普通用户的黑客



图片:Unsplash

随着黑客活动的增长,产品和方法不断出现,使您能够确定相关的黑客,固定和分配方法。因此,黑客试图向前迈出一步,并保持尽可能低调。

今天,我们将讨论隐藏网络犯罪分子使用行为痕迹的策略,并讨论如何解决这些问题。


在调查APT小组的活动时,今年我们发现各种行业的APT攻击数量有所增加。如果去年有12个APT小组进入我们的视野,那么今年有27个小组成为研究的主题。这种趋势还与独特的网络事件的数量每季度不断增加相关(根据我们的数据,2019年第三季度记录的独特事件比第二季度多6%)。总检察长办公室的数据证实了这些结论:去年,IT犯罪数量与2018年相比几乎翻了一番,到年底仅达到270,000例注册案件,占俄罗斯所有注册犯罪总数的14%。不出所料,针对性攻击大行其道过大。在2019年期间,我们发现有针对性的攻击有所增加:在第三季度,它们的份额为65%(第二季度为59%,第一季度为47%)。

黑客攻击的背后几乎总是财务动机。攻击者最常见的是直接从公司帐户中窃取金钱。在其他情况下,他们窃取机密数据和文件以勒索或闯入公司的基础架构,并在黑市上出售对它们的访问权。同样,您不能注销普通的间谍活动,在这种情况下,攻击者对金钱不感兴趣,而对信息不感兴趣。通常,这种攻击的动机是竞争:黑客可以通过命令窃取商业秘密,破坏另一家公司的工作,并将其卷入丑闻。作为我们研究的一部分我们确定了在过去两年中攻击俄罗斯国有公司的10个APT团体,并指出他们的主要动机是间谍活动。此外,我们对IT和信息安全专家进行了一项有关其公司抵御APT攻击的准备情况的调查。第二位来自公共部门的受访者(45%)回答说,他的公司还没有为APT做准备,还有68%的受访者指出,他们的信息安全专家没有足够的资格来应对这种复杂的威胁。

我们的事件回顾分析和调查项目表明,许多转而使用网络事件检测方法的公司都发现了几个月甚至几年前发生的黑客入侵的痕迹(TaskMasters于去年被确定。,至少在其中一名受害者的基础设施中工作了八年)。这意味着犯罪分子长期以来一直控制着许多组织,但是组织本身并没有注意到他们的存在,以为他们实际上受到了保护。而且,经常发现,不仅有一个团体,而且还有几个团体“生活”在这些公司的基础架构中。

据我们估计,一套旨在从银行窃取钱财的攻击工具的成本为5.5万美元。网络间谍活动的成本要高得多,其最低预算为50万美元。

市场似乎提供了许多反黑客产品。但是入侵者如何渗透组织网络?我们将在今天的文章中考虑这个问题。

社会工程学


社会工程学是渗透基础设施的最常见方法之一。大型公司雇用了很多人,他们对信息安全规则的认识可能会有所不同-因此,一些员工更容易受到使用社交工程方法和网络钓鱼的攻击。并编制一个网络钓鱼邮件列表,足以在开源(OSINT)上进行搜索。

我们中的许多人在社交网络中都有帐户,其中一些发布了有关我们工作地点的信息。通常,员工的电子邮件是“名字的第一个字母+英语的姓氏”的组合,但略有不同。因此,黑客足以知道公司的电子地址格式和员工的全名,以便以90%的概率获得其电子邮件地址。您还可以在影子论坛或流行的即时通讯程序的相应渠道中购买数据,以及在下一个“消耗”数据库中查找。

Internet访问基础结构中的漏洞


Bloody Enterprise不仅有很多人,而且还有很多服务:远程访问服务,数据库,管理面板,网站。而且,它们越多,控制它们就越困难。因此,在某些情况下,由于配置错误,可以从外部访问该服务。如果黑客不断监视组织的外围,那么他会立即注意到基础架构中的此类“漏洞”,时间仅取决于他扫描外围的频率,从几分钟到一天。

在最坏的情况下,“裸”服务将具有一个已知的漏洞,这将使攻击者立即使用该漏洞利用并进入网络。并且,如果在配置服务时未更改标准密码,则黑客将通过选择登录名和密码的标准连接来更快地访问数据。

为什么越来越难以发现攻击




复杂的黑客攻击过程中的一个转折点是2010年Stuxnet蠕虫的出现,许多人将其称为第一种网络武器。长期以来,他在伊朗核计划网络中未被人注意,控制着铀浓缩和残疾人设备离心机的速度。多年来,他已经在其他计算机网络中被发现。利用零日漏洞,数字签名,通过USB设备的分发和共享打印机使蠕虫病毒很长时间都未被发现。

黑客开始团结起来。如果我们发现零散的黑客人数更多,那么在2010年代,有组织的网络犯罪就开始活跃增长。但是,犯罪数量开始迅速增加。同时,在本世纪初,企业主对组织的信息安全考虑不多,这使黑客几乎不受阻碍地窃取了数百万美元。在这十年的前半段,金融机构尚未为复杂的恶意软件(如Carberp和Carbanak)的出现做好准备。使用它们的攻击造成的损失约为10亿美元。

如今,存在用于检测黑客攻击和检测攻击者在基础架构中活动的解决方案。作为响应,黑客开发了变通办法,使它们尽可能长时间不会被发现。例如,他们使用陆上居住等技术。在此类攻击中,为了在节点上远程执行命令,使用了内置在OS和受信任程序中的机制。在Windows基础结构中,这些可以是Sysinternals套件中的PowerShell,WMI,实用程序。例如,PsExec实用程序已在IT管理员和网络犯罪分子中证明了自己实力

攻击者还使用水坑技术-他们侵入公司员工经常访问并使用并将恶意代码放入其中的行业站点或应用程序。用户启动应用程序或登录站点后,恶意软件将下载到其设备,攻击者通过该设备进入基础架构。这种方法已被TurlaWinnti等APT小组采用

一些黑客组织(例如Cobalt,Silent,TaskMasters)使用供应链攻击方法。攻击者会预先入侵目标组织合作伙伴的服务器,并已经从其邮箱中进行了网络钓鱼邮件。黑客不仅限于发送信件,还可以攻击感兴趣的组织所使用的软件开发人员,并在例如下一次更新中嵌入恶意代码。安装此更新的所有用户都感染其计算机。因此,NotPetya勒索软件病毒的恶意代码仅内置在计费程序的更新之一中。

但是,利用攻击者恶意软件的所有优点,防病毒沙箱可以检测到如果通过邮件发送。在这方面,攻击者发明了越来越复杂的代码混淆技术(例如,对其进行虚拟化)进行无文件攻击,并将反VM和反沙盒方法插入代码中。

不能排除攻击者可以在网络内完全没有恶意软件的情况下完成此举,从而使自己只能使用安全策略允许的工具。

如何在基础架构中捕获黑客:最佳实践和重大错误




防止不速之客进入您的基础架构的最简单方法是建立正确的防御线。这里可以区分三个主要组成部分:

  • 可靠的周长;
  • 知识渊博的用户;
  • 角色和密码策略。

孙子的《孙子兵法》书中有一个很好的陈述:“往前走,不要等待,没有准备就去进攻。”确保网络安全不应局限于周边和传统的保护手段。如我们的研究结果所示,当敌人已经在内部时,可以识别92%的威胁。

网络集团已经成功地学会了在他们感兴趣的组织的外围克服防御,而成功的定向攻击所占份额的趋势正在证明这一点。这是将关注点从防止对周边的攻击转移到及时检测网络内的入侵和响应的机会。

如果事件仍然发生,则需要构建黑客在实现其目标的过程中所做的整个事件链-时间轴。当检测到事件时,许多人不知道如何在早期阶段就做出正确反应,恐慌和犯错。开始忙于消除事件的后果,从而消除了事件的后果。但是,很少有人立即考虑其出现的原因,并且当找到原因的必要性变得明显时,大多数痕迹已经被破坏了-您必须从残留的图像中恢复图像。

碰巧的是,在发生事件的过程中,黑客仍然保持在线状态,受害者试图通过所有可用手段“将其击倒”,而不了解攻击者控制的基础设施和服务的哪一部分。在这种情况下,黑客可以离开,大声砸门:例如,通过加密受控制的节点。

在黑客的基础架构中找到黑客并不总是一件容易的事。通过有效的方法,他可以在基础架构中停留很长时间。例如,发现的TaskMasters组PT专家安全中心的专家于2018年在一些组织中隐藏了多年。同时,黑客多次返回被入侵的基础架构,以卸载另一段数据,此后,他们填补了一个挖洞,将多个访问点留给了内部网络。而且每次他们都不为人所知。在这种情况下,可以通过异常的网络活动(主要发生在夜间),大量的外部节点流量或内部的非标准水平移动来计算黑客。

但是,如果我们不知道网络内部是否存在黑客并想通过检查是否存在黑客来保护自己,该怎么办?为此,您需要具有大量有关黑客如何采取行动的知识:如何渗透,如何立足,如何行动。幸运的是,存在这样一个知识库,称为ATT&CK,由MITER Corporation根据对实际APT攻击的分析开发和支持。该基础是可视化的战术表,黑客可以使用该战术表来成功实现其目标。它组织了有关定向攻击的知识,并对攻击者的行为进行了分类。来自世界各地的研究人员会不断更新数据库,这使来自所有国家/地区的信息安全专家都可以使用相同的语言。此外,战术知识使您能够成功地识别出黑客入侵的迹象并提前进行准备-加强弱点,加强对弱点的控制,并快速响应攻击者的出现。

此外,破解者会在网络流量中留下痕迹,这意味着网络安全专家的任务是检测这些痕迹。结果 我们的试点项目表明,NTA类解决方案可以有效地识别各种风险程度的威胁-从违反IS法规到复杂的针对性攻击。

有关如何在网络流量中捕获黑客的技术详细信息(带有屏幕截图的详细手册),请参见我们的反恶意软件文章

未来期望:网络安全趋势


近年来有关数据泄漏的新闻变得特别响亮,包括因为攻击者设法利用了过去几年的泄漏。这为他们提供了大量用户的更完整的数字文件。有望继续这一趋势。

在2019年,我们记录了超过一半的黑客攻击;这比2018年增加了19%。在81%的网络攻击中,受害者是法人。到年底,受攻击最频繁的五个部门包括国家机构,工业,医学,科学和教育领域以及金融部门。业界将继续关注未来。

针对性攻击的比例正在增长:在每个季度中,我们观察到的针对性攻击都比上一季度要多。在2019年第一季度,不到一半的攻击(47%)被定为目标,到今年年底,它们的份额已经达​​到67%。期望APT攻击进一步发展

为了应对新威胁,还必须积极开发保护技术。但是,仅靠对策和攻击检测工具将无法实现高级别的安全性。我们建议公司作为红色团队的一部分,定期对IS员工进行渗透测试和培训-这将检测并及时消除关键资源的潜在攻击媒介,并在发生网络攻击时调试IS和IT服务的交互。

我们公司已为组织开发了防APT网络保护系统,旨在检测和防止目标攻击。它使您可以快速检测到网络上存在攻击者,并重新创建攻击的全貌以进行详细调查。检测网络上的异常活动,对文件进行回顾性分析以及使用高级沙箱可以减少对事件的响应时间或完全防止事件发生。

正技术网络威胁研究团队首席专家Denis Kuvshinov 发布

More articles:


All Articles