Интервью с Ильназом Гатауллиным (RED Security SOC): «Длительное присутствие хакеров в инфраструктуре компании – это не заслуга злоумышленников, а следствие низкого уровня ИБ»

В последние годы киберугрозы становятся всё более сложными и изощрёнными, а злоумышленники используют все новые методы для проникновения в корпоративные сети. Одновременно с этим организации совершенствуют системы защиты, но остаются уязвимости, которыми активно пользуются хакеры.

В этом интервью с Ильназом Гатауллиным, техническим руководителем центра мониторинга и реагирования на кибератаки RED Security SOC, мы обсудили основные тенденции в сфере киберугроз. Какие методы целенаправленных атак остаются наиболее эффективными? Почему злоумышленники все чаще компрометируют подрядчиков? Как изменился ландшафт DDoS-атак? Насколько быстро компании устраняют критические уязвимости? Эти и другие вопросы, касающиеся актуальных угроз и способов защиты, мы рассмотрели в ходе беседы.

Как изменились методы целенаправленных атак за последние годы?

В целом нельзя сказать, что методы целенаправленных атак за последние годы сильно изменились. Например, как способ первоначального проникновения в инфраструктуру по-прежнему очень актуален классический фишинг. Однако он стал более «умным», то есть более тонким и заточенным под конкретного сотрудника. Разумеется, есть уловки, которые повторяются из года в год – например, письма от имени ФСТЭК, ФСБ с вложенным файлом «приказа», с которым необходимо в срочном порядке ознакомиться, различные уведомления о долгах, счетах, которые на деле представляют собой вредоносное ПО. В целом, благодаря мероприятиям по повышению киберграмотности, сотрудники компаний иногда все-таки распознают атаку и пересылают такие письма в службу ИБ.

Но все чаще мы видим ИИ-сгенерированные письма, содержание которых указывает на то, что атаке предшествовал этап тщательной разведки, который делает письма уникальными, очень релевантными для конкретного сотрудника и, как следствие, очень правдоподобными. Такой фишинг остается очень эффективным.

Недавно мы рассказывали об атаках на промышленные предприятия, когда сотрудникам присылали письмо с просьбой дать обратную связь по одному из уволившихся коллег. Ссылка в письме вела на ресурс якобы для заполнения обратной связи – на самом деле, это была фишинговая страница, где просили ввести логин и пароль от корпоративной учетной записи. Там же запрашивался сразу и второй фактор аутентификации, и эти данные в моменте же использовались для взлома учетной записи.

Поэтому мы всегда повторяем, что любое письмо от внешнего отправителя с просьбой скачать файл ил перейти по какой-то ссылке, должно быть сначала направлено для проверки в SOC или службу ИБ организации.

Помимо совершенствования таких стандартных методов, как фишинг, стоит отметить и увеличение числа атак через подрядчиков. Несколько лет назад такой метод компрометации был относительной экзотикой для российских компаний, за последний же год число атак типа Trusted Relationship выросло в три раза.

Почему так происходит?

Прежде всего, подрядчики, как правило, защищены существенно хуже, чем их заказчики. Поэтому они являются легкой мишенью сами по себе, а кроме того, за счет сетевой связанности инфраструктур подрядчика и его клиентов в случае взлома хакеры получают доступ сразу в несколько организаций. То есть подрядчик – это еще и очень привлекательная цель для злоумышленников.

Кроме того, подрядчики по тем или иным причинам крайне медленно реагируют на уведомления о компрометации от центров мониторинга или даже НКЦКИ. Это дает злоумышленникам дополнительное время на развитие атак. Такие точки доступа в инфраструктуры компаний-подрядчиков и, соответственно, их клиентов, очень быстро выставляются на продажу в даркнет, где они пользуются высоким спросом.

И при этом в даркнете киберпреступники могут быстро собрать все, что необходимо для успешной атаки – точки доступа, часто – информацию об инфраструктуре, необходимые утилиты и вредоносное ПО, услуги дропов. Все это продается в формате сервисов и позволяет проводить серьезные атаки даже без особой технической квалификации. Такая доступность хакерского инструментария существенно увеличивает число группировок, которые способны причинить серьезный ущерб российским организациям.

Отмечаете ли вы какие-то изменения в ландшафте DDoS-атак?

Да, DDoS – это более технически простой вектор целенаправленных атак, и, возможно, во многом благодаря этому, в последние годы стал одним из ключевых инструментов политически мотивированных злоумышленников. Речь даже не о хакерах как таковых: люди, желающие нанести таким образом вред российским компаниям, просто ставят себе на компьютеры определенное приложение и фактически становятся частью добровольного ботнета, передавая ресурсы своих рабочих станций хакерам для ведения массированных DDoS-атак.

Но, конечно, помимо этого и сами компании играют на руку злоумышленникам, долгое время оставляя незакрытыми те или иные известные уязвимости на периметре.

Сколько времени, по вашему опыту, требуется компаниям для закрытия таких уязвимостей?

Все зависит от критичности уязвимости и уровня зрелости компании в части информационной безопасности – от нескольких недель до нескольких месяцев. Но средний срок, пожалуй, составляет около месяца. Это очень долго, учитывая, что в большинстве случаев эксплоиты для давно известных уязвимостей уже существуют, а для новых они могут появляться в течение недели.

Лучше всего процесс управления уязвимостями организован в организациях финансового сектора – причины, я думаю, понятны. Далее идут крупнейшие организации разных сфер деятельности. В них, как правило, высокий уровень зрелости ИБ, они выделяют человеческие и финансовые ресурсы на эту задачу, и для них риски внезапно стать жертвой взлома существенно ниже.

К наименее защищенным на сегодняшний день я бы отнес госучреждения и средний бизнес. Для них информационная безопасность – это совсем не приоритетное направление, которым занимаются по остаточному принципу. При этом те же государственные учреждения – интересный с точки зрения атакующих сегмент, это все еще один из «низко висящих фруктов» для компрометации.

И, как я уже говорил, злоумышленникам в этом смысле очень интересны подрядчики, имеющие доступ в различные более крупные и хорошо защищенные организации. Еще лет пять назад вектор Trusted Relationship в основном реализовывался таким образом: если киберпреступникам удавалось взломать небольшую подведомственную организацию, они искали точки связанности с инфраструктурой «материнского» ФОИВ. Сегодня атакующие находят информацию о взаимодействии различных компаний в открытых источниках, определяют круг наиболее интересных для себя подрядчиков, и попытки атаковать их получают высокий приоритет.

Какие отрасли чаще всего страдают от целенаправленных атак и почему?

По нашим данным, больше всего попыток таких атак приходится на финансовый сектор, оборонную промышленность и небольшие подрядные компании. Причины достаточно очевидны: быстрая монетизация атаки для тех, кто таким образом зарабатывает, и доступ к максимально чувствительной информации для тех, кто имеет политическую мотивацию для проведения кибератак.

Какие техники злоумышленники используют для обхода современных средств защиты?

Часто используют вполне легитимные утилиты, в частности, lolbas (Living Off the Land Binaries, Scripts and Libraries) и LoLBins (Living Off the Land Binaries) – бинарные файлы, предоставляемые операционной системой. Например, это утилита certutil для работы с сертификатами. У нее есть функциональность, которая позволяет скачивать любые файлы из интернета и считать их доверенными. Злоумышленник может воспользоваться ей и с определенными аргументами загрузить в систему вредоносную нагрузку.

Таких утилит огромное множество. Это и различные средства удаленного доступа, и AdFind, которая позволяет получать информацию о пользователях из Active Directory. В отличие от очень «шумных», легко заметных хакерских инструментов типа Mimikatz, эти утилиты являются легитимными, и потому не вызывают срабатываний средств защиты. Отчасти вредоносные действия с применением этих утилит могут выявляться с помощью эвристических методов, но при таком детектировании не происходит автоматической блокировки их активности – иначе ложные срабатывания могли бы серьезно мешать работе администраторов.

В целом практически любые действия по развитию атаки могут опираться на легитимные инструменты. Чтобы получить из оперативной памяти хэши паролей учетных записей из сервиса lsass (Local Security Authority Subsystem Service, можно воспользоваться диспетчером задач, также можно сдампить нужную информацию через системную библиотеку comsvcs.dll из состава Windows или использовать системный процесс, который используется для траблшутинга werfault.exe. Поэтому «шумные» хакерские утилиты, которые сразу детектируются базовыми средствами защиты, постепенно уходят в прошлое.

На этапе доставки полезной нагрузки часто встречается криптование вредоносного ПО, когда с целью избежать детектирования антивирусами злоумышленники меняют его хеш-сумму и запутывают автоматизированный анализ антивирусных средств.

Поэтому защищающаяся сторона сегодня не может опираться только на срабатывания средств защиты. Необходимо применять правила корреляции и профилирование использования утилит «двойного назначения», которые выявляют любые подозрительные события и позволяют анализировать и блокировать даже ту активность, которая прошла «ниже радаров» СЗИ.

Автоматизированная система всегда будет уступать человеку. Если на стороне атакующих человек, то после пары неудачных попыток проникнуть в инфраструктуру он найдет способ обойти логику СЗИ. И средство защиты даже отразит в логах факт подозрительного события, но, если злоумышленник не script kiddie, оно не будет автоматически заблокировано. Поэтому очень важно своевременно и регулярно изучать журналы СЗИ, анализировать логи и оперативно применять меры реагирования.

Как злоумышленникам удается скрывать свое присутствие в инфраструктуре на протяжении нескольких месяцев и даже лет?

Такие прецеденты – прямое следствие того, что компании не уделяют должного внимания информационной безопасности и слишком полагаются на технические средства защиты и их возможности по автоматической блокировке вредоносной активности. Это заблуждение и становится причиной того, что злоумышленник может годами иметь точку присутствия в компании, которая даже не подозревает о том, что была взломана.

Если у компании нет процесса мониторинга событий в инфраструктуре, злоумышленники могут вести себя довольно шумно, их все равно не обнаружат. Если они не совершают действий, заметных «невооруженным глазом», таких как, например, шифрование или удаление хостов, то в остальном у них даже не будет необходимости дополнительно скрываться. И такие компании узнают о факте компрометации уже после появления похищенной у них базы данных в интернете, из заявлений самих хакеров или после уничтожения части инфраструктуры. Так что в ряде случаев длительное незаметное присутствие хакеров в инфраструктуре компании – это не заслуга злоумышленников, а следствие низкого уровня ИБ в компании.

Бывают, конечно, и очень осторожные и профессиональные злоумышленники, которые проводят долгую разведку того, какие инструменты используют администраторы, как они перемещаются внутри сетей. И далее хакеры максимально мимикрируют под них, используют тот же набор легитимных инструментов, так же ведут себя в инфраструктуре. Выявление таких аномалий требует очень тщательного составления стандартного профиля действий администраторов и постоянного отслеживания аномалий. Он позволяет заблокировать действия злоумышленников еще на подступах к целевым системам. Но, даже если в компании нет процесса контроля аномалий, хотя бы мониторинг инцидентов должен быть выстроен: рано или поздно злоумышленник вынужден будет перейти к более «шумным» действиям, и мониторинг позволит детектировать его присутствие в инфраструктуре хотя бы на этом этапе.

И конечно, определяющим тут является то, какой объем инфраструктуры находится под мониторингом. Подход «подключить к SOC только критичные системы» просто не может работать, если заказчик хочет узнавать о взломе на ранних этапах. А это может быть очень важно – например, если злоумышленник имеет целью шифрование инфраструктуры.

Какую роль в атаках играет человеческий фактор? Какие методы социальной инженерии наиболее эффективны в целевых атаках на компании?

Человеческий фактор играет огромную роль. Возвращаясь к началу беседы, фишинг становится все более правдоподобным, и целевой фишинг особенно эффективен. По нашим оценкам, более 75% атак начинаются именно с таких уловок. Человеческий фактор все еще находится на первом месте среди причин успешных атак.

Наиболее эффективная социальная инженерия опирается на страх, жадность и срочность. Письма, связанные с зарплатами и премиями, сотрудники компаний всегда очень активно открывают – как и те, где получателю угрожают какими-то регуляторными мерами или штрафами за отсутствие ответа, направленного в короткие сроки.

Как государственные и коммерческие компании отличаются по целям атакующих?

В государственных структурах, равно как и на промышленных предприятиях, в научно-исследовательских организациях, целью злоумышленников чаще всего является незаметный шпионаж. Как правило, их атакуют прогосударственные группировки, которые выделяются, в том числе, тем, что тоже действуют в определенные «рабочие часы». В таких кейсах активность киберпреступников достаточно незаметна, и взломанная организация редко вынуждена иметь дело с уничтожением или шифрованием инфраструктуры.

Коммерческие компании атакуют с целью прямого заработка – часто посредством программ-вымогателей, иногда с помощью вывода финансовых средств. Эти атаки более заметны, но в целом: как я говорил ранее, меры выявления атак на ранних стадиях с помощью процессов мониторинга сегодня актуальны для обеих этих групп.