Злоумышленники уже могут находиться в сети: что такое APT-угрозы и как защититься

В этой статье мы расскажем о концепции и этапах APT-атак (Advanced Persistent Threat), об их обнаружении и защите, а также приведем примеры таких атак.

Что такое АРТ-атака?

APT-атака является разновидностью целевой (целенаправленной, таргетированной) атаки. Целевые атаки отличаются от массовых атак тем, что направлены на конкретную компанию или целую отрасль.

Что характеризует APT-атаку? Она хорошо спланирована, сильно распределена во времени (от нескольких дней до нескольких лет) и включает несколько этапов, сочетая в себе комбинацию методов: социальной инженерии, эксплуатации уязвимостей, применения ВПО и т. д.

Как правило, проводится преступными группами – так называемыми APT-группировками, у которых есть деньги, технологии и знания.

Мотивы APT-группировок:

• Прямая финансовая выгода (кража денежных средств компании, особенно актуально для банковской отрасли).
• Получение ценных данных – конфиденциальных сведений или компрометирующих сообщений (например, для дальнейшей перепродажи или шантажа).
• Саботаж (остановка деятельности компании) и др.

После атак злоумышленники очень часто оставляют «бэкдоры» для повторного взлома. Эксперты FireEye опубликовали отчет, подтверждающий, что более половины компаний (64%) подвергаются повторной атаке в течение 19 месяцев после первой.

Как определить, что компания подверглась APT-атаке?

Как правило, крупные компании становятся объектами для APT-атак чаще, чем небольшие организации.

Некоторые признаки, указывающие на APT-атаку:

• Ненормальные соединения.

Постоянный аудит журналов сети поможет выявить аномалии в соединениях. Только благодаря осознанию «нормальной» сети можно выявить возможные аномалии. Например, сетевая активность, обнаруженная в нерабочие часы, может быть признаком атаки.

• Ненормальные протоколы.

Необходимо проверять протоколы, используемые в соединениях, особенно если это соединения из внутренней сети. Например, злоумышленники могут использовать протокол HTTPS для подключения к внешней стороне, но при проверке содержимого там обнаружатся только данные HTTP. Часто атакующие могут выбирать протокол исходя из списка разрешенных в компании, поэтому важно изучать соединения, даже если на первый взгляд они выглядят нормальными.

• Увеличенная активность электронной почты.

Можно проверять почтовые журналы, чтобы увидеть, есть ли странные всплески активности для отдельных пользователей. Аномальная активность должна быть исследована, так как может быть признаком фишинговой атаки.

• Неудачные и нерегулярные входы (логины).

В ходе продвижения по сети злоумышленники могут найти Active Directory, почтовый или файловый сервер и получить к ним доступ через эксплойт. Либо, если этот способ не применим – попытаться взломать учетные записи администраторов. Проверка неудачных и успешных попыток входа может выявить попытки злоумышленников перемещаться по сети.

• Предупреждения от систем безопасности.

Злоумышленники могут использовать для решения своих задач не только специально разработанный хакерский инструментарий, но и легитимные инструменты (например, средства удаленного доступа). Некоторые решения безопасности помечают эти, казалось бы, не вредоносные инструменты как подозрительные. Если нет веских причин для использования подобного инструмента, это может быть признаком горизонтального передвижения злоумышленника.

• Странные большие файлы.

Необходимо проверять неизвестные большие файлы, найденные в сети, так как они могут содержать ценные данные, подготовленные атакующими к отправке за пределы периметра. Злоумышленники хранят эти файлы в системах своих целей до этапа эксфильтрации, часто скрывая их «обычными» именами и типами файлов. ИТ-администраторы могут проверить это с помощью ПО для управления файлами.

Этапы целевой атаки APT

APT-атаки состоят из нескольких этапов – от разведки до окончательной эксфильтрации данных и последующих атак.

1. Разведка.

Злоумышленники начинают свою кампанию с разведки. Происходит сбор информации (поиск в открытых источниках, социальная инженерия для получения дополнительных данных, мониторинг данных о новых уязвимостях и т. п.). Ведется подготовка к взлому, подбор или даже разработка подходящих инструментов.

2. Проникновение в инфраструктуру.

Используя знания и инструменты, собранные на первом этапе, злоумышленник проникает в сеть компании – через эксплуатацию уязвимостей, социальную инженерию, с помощью разных техник обхода защиты. Далее он может использовать внутреннюю разведку, чтобы узнать, где именно оказался, инвентаризировать сеть и продумать пути закрепления в инфраструктуре.

3. Закрепление и распространение в инфраструктуре.

На этом этапе злоумышленник обеспечивает себе связь с командным центром, перемещается по сети в поисках доступов к целевым системам или машинам, а также повышает свои привилегии в сети.

4. Достижение цели и эксфильтрация.

Злоумышленник решает свою главную задачу – получает конкретные данные, нарушает бизнес-процессы и т. д. Наконец, злоумышленник переводит данные (или денежные средства) за пределы компании.

6. Последующие атаки.

Если злоумышленник оставил бэкдор, то сможет вернуться к компании и атаковать ее еще раз в любое время.

Примеры APT-атак

Приведем несколько примеров атак APT:

• Атаки Deep Panda – группировка, вероятно, из Китая провела атаку на Отдел по управлению персоналом при правительстве США, скомпрометировав более 4 миллионов записей, которые могли содержать подробности о сотрудниках спецслужб.
• Атаки GhostNet – группировка из Китая (согласно исследованиям Information Warfare Monitor) провела атаку с помощью фишинговых писем, сосредоточившись на получении доступа к сетям правительственных министерств и посольств. Были скомпрометированы компьютеры в более чем 100 странах, превратив их камеры и микрофоны в устройства наблюдения.
• Атаки Stuxnet – предположительно, червь, разработанный Израилем и США, для атаки на ядерную программу Ирана. Данное ВПО могло нарушать работу машин в иранской ядерной программе без ведома операторов.

Как защитить компанию от APT-атак

В целевых атаках злоумышленники используют комбинацию различных методов и инструментов, поэтому и подход к защите от них должен быть максимально комплексным. Ниже перечислен ряд мер, которые могут помочь с выстраиванием защиты от сложных атак, включая APT.

1. Важно обучение персонала.

Сотрудники компании – самая уязвимая ее точка. Именно поэтому фишинг до сих пор является одним из наиболее популярных и эффективных методов атак. Необходимо проводить регулярное обучение и проверять его эффективность, повышать осведомленность персонала в вопросах информационной безопасности. Кроме того, ваши ИБ-специалисты должны иметь достаточную квалификацию и поддерживать актуальность собственных знаний, поскольку злоумышленники очень быстро развивают свои тактики, техники и инструментарий.

2. Выстраивание процессов реагирования и расследования.

Сотрудникам ИБ необходимо четко понимать, как действовать в случае возникновения угрозы. Устранение угроз должно быть максимально оперативным, пока компании не нанесен ущерб. Не во всех организациях есть компетенции по расследованиям – в этом случае можно привлечь сторонних экспертов, которые не только грамотно проведут расследование, но и смогут дать рекомендации по исправлению недостатков защиты.

3. Внедрение новейших технологий.

Скорость развития инструментов и тактик злоумышленников настолько высока, что рассчитывать только на предотвращение бессмысленно – нельзя заблокировать абсолютно все. Эффективнее переориентировать подход к защите от сложных атак с предотвращения на раннее обнаружение. При подобном раскладе компания сможет выявить атаку на самых ранних этапах.

Чем прозрачнее для вас происходящее в вашей сети, тем легче будет найти атаку и минимизировать риски. Защита на периметре будет бессильна, если хакер сумел проникнуть в инфраструктуру, но, если у вас есть понимание того, какая активность есть в вашей внутренней сети, вы найдете и устраните угрозу.

Решение Anti APT

APT – одна из самых сложных атак, от которой «быстро очиститься» не получится. Поэтому важно заниматься профилактикой и ранним выявлением угроз. Против целевых атак вам поможет расширенная защита от наших партнеров Positive Technologies, чьи инновационные решения позволяют выявлять, верифицировать и нейтрализовать бизнес-риски компаний, возникающие в IT-инфраструктурах.

Комплексное решение PT Anti-APT предназначено для выявления и предотвращения целевых атак. Оно быстро обнаруживает присутствие злоумышленника в сети и воссоздает полную картину атаки для детального расследования.

С помощью PT Anti-APT вы сможете увидеть, что происходит внутри вашей сети, и обнаружить взломы на самых ранних стадиях. Решение включает в себя систему глубокого анализа сетевого трафика PT Network Attack Discovery и песочницу PT Sandbox с возможностью гибкой кастомизации виртуальных сред.

Оставьте заявку на бесплатный пилот PT Anti-APT, чтобы обеспечить свой бизнес надежной защитой.