Содержание статьи Признаки APT Современные APT Защита Наверняка ты читал о масштабных сетевых атаках, от которых пострадали банки, крупные предприятия, госучреждения и даже военные объекты. Кто их проводит? Почему они оказываются столь разрушительными? Можно ли от них защититься? На эти вопросы мы постараемся ответить в этой статье. Появление и эволюция APT Примерно с 2004 года команда реагирования на компьютерные инциденты в Lockheed Martin (LM-CIRT) стала использовать термин APT (Advanced Persistent Threat) в своих исследованиях. Так стали называть сложные атаки, выполняемые преимущественно на ИТ-инфраструктуру военных и государственных объектов. Как правило, в их проведении подозревали спецслужбы других стран и отряды «правительственных хакеров». Затем с легкой руки журналистов понятие APT расширилось до многоуровневых атак, целью которых может быть сеть любой организации или группа устройств с общими признаками. Даже сейчас термин APT остается неоднозначным. Его переводят как «развитая устойчивая угроза» или «сложная постоянная угроза», подразумевая то многоэтапный сценарий атаки, то используемые в ней инструменты, а то и вовсе мощные хакерские группы. В Sophos тоже отмечают, что до сих пор нет единых критериев, позволяющих относить ту или иную атаку именно к APT. Успешные целенаправленные атаки зачастую выполняются с использованием старых наборов эксплоитов, поэтому 0day-уязвимости — не обязательный атрибут APT. Другой часто выделяемый критерий APT — рассылка фишинговых писем для компрометации учетной записи рядового сотрудника компании. Затем она используется как точка входа в локальную сеть и плацдарм для перехода на следующий уровень — к компьютерам руководителей и серверам компании. Однако методы социального инжиниринга и так сверхпопулярны, поэтому было бы странно выделять их как маркер «сложной постоянной угрозы». На что же стоит ориентироваться? Признаки APT Анализируя отчеты разных специалистов по безопасности, я сформулировал для себя следующие критерии APT (буду рад, если ты уточнишь и дополнишь их в комментариях): это всегда целенаправленная атака. Целью обычно выступает не конкретный человек или организация, а какой-то более общий сегмент (например, финансовые учреждения) или однородная группа людей (постояльцы отеля, болельщики на стадионе, пассажиры круизного лайнера); это долговременная атака. Она может длиться не один месяц и продолжаться до победного конца или утраты целесообразности; это хорошо финансируемая атака. Даже банальный DDoS — затратная процедура, если продолжается длительное время; это многостадийная атака. В APT последовательно используется несколько векторов и разных техник. Сами по себе они могут быть примитивны, интересно именно их сочетание. Например, секретарше шлют фишинговые письма, чтобы скомпрометировать ее корпоративную учетку и через нее (как от доверенного лица) отправить зараженный документ на ноутбук шефа; APT не останавливают отдельные инструменты безопасности (антивирус, файрвол, спам-фильтры, простые SIEM-системы), и она долго может оставаться незамеченной либо протекать под маской отдельных типовых инцидентов. Важнее то, что аномальное поведение сети или отдельных устройств сохраняется, хотя при рутинных проверках ничего подозрительного не находится; в ходе APT часто (но не обязательно) используют продвинутые техники, эффективно маскирующие их компоненты от типовых систем защиты. Например, reverse shell для обхода МСЭ. По данным Sophos, в APT используются следующие техники (перечислены в порядке убывания частоты применения): фишинг и социальный инжиниринг, DDoS и ботнеты, уязвимости нулевого дня и использующие их продвинутые зловреды, традиционные зловреды, скомпрометированные устройства, атаки инсайдеров, атаки уровня приложений. Этапы APT В любой атаке уровня APT можно выделить семь ключевых этапов (иногда сокращают до пяти, объединяя шаги): Пассивный сбор информации (идентификация и отбор целей из открытых источников). Первичное заражение (заманивание на фишинговые сайты, рассылка инфицированных документов). Доставка боевой нагрузки (drive-by-загрузки, использование уязвимостей в браузере и его плагинах). Активная фаза (повышение привилегий и обход защитных систем с целью получения дополнительных данных о системе и закрепления в ней основных вредоносных компонентов). Получение удаленного контроля (внедрение бэкдоров, кейлоггеров и установка обратных шеллов). Связь с управляющими серверами в ожидании дальнейших команд (обход файрволов, использование для передачи команд различных мессенджеров, клиентов соцсетей и популярных сетевых API). Достижение конечной цели (кража данных, выполнение незаконных финансовых транзакций, формирование ботнета, перехват контроля над АСУ ТП и так далее). Злодей зиродей Эффективность APT-атак существенно возрастает, когда используются уязвимости, для которых еще нет патча. К примеру, по данным специалистов компании 360 Core Security, в одной из недавних атак группа APT-C-06 использовала 0day-эксплоит CVE-2018-8174 для движка VBScript. Он затрагивает Internet Explorer в Windows 7–10 и серверных платформах любой разрядности, начиная с Windows Server 2012 R2. Когда открывают фишинговую ссылку или документ MS Office c вредоносным элементом управления ActiveX, происходит сбой в работе VBScript, в результате чего подменяется тип объектов в памяти и права доступа к ним. Так у атакующего появляется возможность удаленно выполнить произвольный код в обход существующих систем защиты. Дополнительно APT-C-06 использовала одну из популярных техник обхода UAC. Подробный анализ CVE-2018-8174 читай здесь. Другая группа, APT37 (Reaper), использовала в своих атаках начала 2018 года эксплоит для уязвимости нулевого дня в Adobe Flash Player CVE-2018-4878. Она затрагивает версии до 28.0.0.161 и связана с некорректной обработкой указателя в SDK Primetime. Успешная атака приводит к выполнению произвольного кода через подмену объектов в памяти процесса флеш-проигрывателя. Источник новости - google.com