29.03.2016, 16:14
Najnowszy Raport o zagrożeniach przygotowany przez F-Secure Labs omawia zeszłoroczny krajobraz zagrożeń, przedstawia najważniejsze incydenty i oferuje czytelnikom nowe narzędzie analityczne, które pomaga zrozumieć, jak współczesne zagrożenia cyfrowe naruszają bezpieczeństwo systemów.
![[Obrazek: threatreport.png?w=674&h=400&crop=1]](https://fsecurebusiness.files.wordpress.com/2016/03/threatreport.png?w=674&h=400&crop=1)
Dziś opublikowano raport opracowany przez F-Secure Labs. Raport omawia szeroką gamę problemów z bezpieczeństwem cyfrowym i wykorzystuje dane zgromadzone przez F-Secure w 2015 roku, aby przeanalizować zasoby, który napastnicy używali – i nadal używają – do naruszania bezpieczeństwa użytkowników indywidualnych i firm.
Podczas gdy pierwsza połowa raportu opisuje ogólny krajobraz zagrożeń, w drugiej pokazano, że niektóre z najbardziej rozpowszechnionych zagrożeń minionego roku (w tym oprogramowanie wymuszające okup i pakiety exploitów) były tylko częścią ataków. Wbrew dość powszechnej opinii, cyberataki to nie tylko wirusy komputerowe. Współcześni hakerzy wykorzystują różne zasoby w ramach ataków wielofazowych, w których każda faza pozwala przenikać coraz głębiej do systemów i sieci ofiar.
![[Obrazek: chain-of-compromise.png]](https://safeandsavvypl.files.wordpress.com/2016/03/chain-of-compromise.png)
W raporcie zaprezentowano model ukierunkowany na użytkownika – nazywany Łańcuchem Zagrożenia (Chain of Compromise, CoC) – aby pokazać, jak ataki dzielą się na fazy i jak każda z faz wpływa na potencjalne cele. Poszczególne fazy nie są powiązane z konkretnym typem ataku ani ofiary, co odróżnia CoC od modeli zwykle stosowanych do analizy konkretnych zagrożeń.
Jest to ważna zaleta modelu CoC. Każdy, kto jest potencjalnym celem, może wykorzystać go, aby dowiedzieć się, jak zagrożenia cyfrowe prowadzą do incydentów, czy będzie to infekcja robakiem, czy naruszenie bezpieczeństwa danych. W raporcie pokazano to na konkretnych przykładach, m.in. użyto CoC, żeby wyjaśnić, jak Diukowie – grupa APT przeprowadzająca kampanie cyberszpiegowskie – używali ataków ukierunkowanych do „zmiękczania” swoich celów.
Powyższy film pokazuje, jak Diukowie używają spear-phishingu, aby zainicjować atak, wtargnąć do systemów i zainfekować cele oprogramowaniem CosmicDuke przeznaczonym do wykradania informacji.
Według Erki Koivunena, doradcy ds. bezpieczeństwa cyfrowego w F-Secure, atak rozpoczyna się od „zarzucenia przynęty”.
W tym przypadku odbiorca otrzymuje sfabrykowaną wiadomość e-mail (na marginesie, jest to trik często używany przez cyberprzestępców). Sfałszowane informacje o nadawcy w polu „Od” pozwalają zmylić ofiarę, która myśli, że otrzymała wiadomość osoby innej niż ta, która wysłała ją w rzeczywistości.
To jeden ze sposobów, na które napastnicy, tacy jak Diukowie, realizują fazę „incepcji”. Kiedy odbiorca otworzy wiadomość („chwyci przynętę”), naraża się na atak – jest to pierwszy krok na drodze do infekcji. Teraz napastnik musi tylko przekonać odbiorcę, żeby otworzył przed nim drzwi.
Napastnicy używający ukierunkowanych wiadomości e-mail, mierzą w konkretne cele, co ułatwia im stworzenie treści dopasowanej do zainteresowań odbiorcy, jego pracy lub czegokolwiek innego, co sprawia, że treść jest atrakcyjna dla potencjalnej ofiary. Właśnie na tym polega socjotechnika: napastnicy chcą skłonić cele do podjęcia działań, tak jak dostawcy reklam cyfrowych starają się tworzyć wiadomości, które zachęcają klientów do kliknięcia w internetową reklamę.
Pokazano to w filmie. Zarówno temat wiadomości, jak i początek załączonego dokumentu sygnalizują odbiorcom, że materiały dotyczą unijnych sankcji nałożonych na Rosję w związku z sytuacją na Ukrainie. Informacje tego rodzaju są interesujące dla szerokiej gamy osób związanych z polityką lub sprawami międzynarodowymi — czyli tych, które biorą na cel Diukowie. Podobną taktykę obserwowaliśmy wielokrotnie w bardziej uniwersalnych atakach.
Stwierdzenie, że dostęp do informacji jest ograniczony (w prawym górnym rogu załącznika) uzasadnia, czemu treść jest ukryta i czemu trzeba włączyć makra, żeby ją przeczytać. Ponadto perspektywa obejrzenia poufnych materiałów bywa nieodpartą pokusą dla osób, które zwykle nie mają dostępu do wrażliwych informacji.
Osoby, które nie wiedzą, jak działają exploity i makrotrojany (więcej informacji na ten temat można znaleźć w raporcie o zagrożeniach), prawdopodobnie nie uświadamiają sobie, że właśnie tego potrzebują napastnicy, żeby zainfekować ich systemy. Jak pokazano na filmie, włączenie makr nie tylko pozwala na przeczytanie reszty dokumentu – umożliwia również Diukom dostęp do systemu (zauważmy uruchomiony proces .tmp). Wykonanie złośliwego kodu ukrytego w dokumencie rozpoczyna fazę „ingerencji” i pozwala napastnikowi swobodnie przejść do fazy „infekcji”.
Po zakończeniu fazy infekcji napastnik może podjąć kroki, które pogarszają skutki włamania (choć nie pokazano tego na filmie). CosmicDuke ma komponenty utrwalające, które pozwalają mu pozostać na dłużej w systemie. Napastnik może też dodawać nowe funkcje, aby głębiej spenetrować system, a nawet rozprzestrzeniać złośliwe oprogramowanie przez sieć lub sieci.
Zatem w jakiej sytuacji stawia to zaatakowanych?
Według raportu o zagrożeniach złośliwe makra wracają na scenę, więc firmy powinny poinstruować pracowników, żeby traktowali prośby o włączenie makr jak dzwonek alarmowy.
„Napastnicy liczą na to, że znajdą pracowników mających złe nawyki, a włączenie makr można porównać do opuszczenia gardy — mówi Erka. — Jeśli firmy nie chcą, żeby ludzie włączali makra z rozpędu, administratorzy IT powinni wyeliminować użycie makr wewnątrz przedsiębiorstwa, bo wówczas otrzymanie dokumentu z makrami będzie nietypowym zdarzeniem. Jeśli nie da się wyeliminować makr, administratorzy powinni wyłączyć wszystkie z wyjątkiem podpisanych, aby upewnić się, że nie pochodzą z niezaufanego źródła”.
Z
Źródło: F-Secure
Dziś opublikowano raport opracowany przez F-Secure Labs. Raport omawia szeroką gamę problemów z bezpieczeństwem cyfrowym i wykorzystuje dane zgromadzone przez F-Secure w 2015 roku, aby przeanalizować zasoby, który napastnicy używali – i nadal używają – do naruszania bezpieczeństwa użytkowników indywidualnych i firm.
Podczas gdy pierwsza połowa raportu opisuje ogólny krajobraz zagrożeń, w drugiej pokazano, że niektóre z najbardziej rozpowszechnionych zagrożeń minionego roku (w tym oprogramowanie wymuszające okup i pakiety exploitów) były tylko częścią ataków. Wbrew dość powszechnej opinii, cyberataki to nie tylko wirusy komputerowe. Współcześni hakerzy wykorzystują różne zasoby w ramach ataków wielofazowych, w których każda faza pozwala przenikać coraz głębiej do systemów i sieci ofiar.
W raporcie zaprezentowano model ukierunkowany na użytkownika – nazywany Łańcuchem Zagrożenia (Chain of Compromise, CoC) – aby pokazać, jak ataki dzielą się na fazy i jak każda z faz wpływa na potencjalne cele. Poszczególne fazy nie są powiązane z konkretnym typem ataku ani ofiary, co odróżnia CoC od modeli zwykle stosowanych do analizy konkretnych zagrożeń.
Jest to ważna zaleta modelu CoC. Każdy, kto jest potencjalnym celem, może wykorzystać go, aby dowiedzieć się, jak zagrożenia cyfrowe prowadzą do incydentów, czy będzie to infekcja robakiem, czy naruszenie bezpieczeństwa danych. W raporcie pokazano to na konkretnych przykładach, m.in. użyto CoC, żeby wyjaśnić, jak Diukowie – grupa APT przeprowadzająca kampanie cyberszpiegowskie – używali ataków ukierunkowanych do „zmiękczania” swoich celów.
Powyższy film pokazuje, jak Diukowie używają spear-phishingu, aby zainicjować atak, wtargnąć do systemów i zainfekować cele oprogramowaniem CosmicDuke przeznaczonym do wykradania informacji.
Według Erki Koivunena, doradcy ds. bezpieczeństwa cyfrowego w F-Secure, atak rozpoczyna się od „zarzucenia przynęty”.
W tym przypadku odbiorca otrzymuje sfabrykowaną wiadomość e-mail (na marginesie, jest to trik często używany przez cyberprzestępców). Sfałszowane informacje o nadawcy w polu „Od” pozwalają zmylić ofiarę, która myśli, że otrzymała wiadomość osoby innej niż ta, która wysłała ją w rzeczywistości.
To jeden ze sposobów, na które napastnicy, tacy jak Diukowie, realizują fazę „incepcji”. Kiedy odbiorca otworzy wiadomość („chwyci przynętę”), naraża się na atak – jest to pierwszy krok na drodze do infekcji. Teraz napastnik musi tylko przekonać odbiorcę, żeby otworzył przed nim drzwi.
Cytat:„Wabiki są projektowane tak, żeby przykuwały uwagę”, mówi Erka.Wiadomość e-mail zawiera załącznik przygotowany tak, żeby był atrakcyjny dla zamierzonych odbiorców. W tym przypadku załącznik jest wabikiem stworzonym po to, aby odciągnąć uwagę odbiorcy od rzeczywistego celu dokumentu – uruchomienia złośliwego kodu w docelowym systemie.
Napastnicy używający ukierunkowanych wiadomości e-mail, mierzą w konkretne cele, co ułatwia im stworzenie treści dopasowanej do zainteresowań odbiorcy, jego pracy lub czegokolwiek innego, co sprawia, że treść jest atrakcyjna dla potencjalnej ofiary. Właśnie na tym polega socjotechnika: napastnicy chcą skłonić cele do podjęcia działań, tak jak dostawcy reklam cyfrowych starają się tworzyć wiadomości, które zachęcają klientów do kliknięcia w internetową reklamę.
Pokazano to w filmie. Zarówno temat wiadomości, jak i początek załączonego dokumentu sygnalizują odbiorcom, że materiały dotyczą unijnych sankcji nałożonych na Rosję w związku z sytuacją na Ukrainie. Informacje tego rodzaju są interesujące dla szerokiej gamy osób związanych z polityką lub sprawami międzynarodowymi — czyli tych, które biorą na cel Diukowie. Podobną taktykę obserwowaliśmy wielokrotnie w bardziej uniwersalnych atakach.
Stwierdzenie, że dostęp do informacji jest ograniczony (w prawym górnym rogu załącznika) uzasadnia, czemu treść jest ukryta i czemu trzeba włączyć makra, żeby ją przeczytać. Ponadto perspektywa obejrzenia poufnych materiałów bywa nieodpartą pokusą dla osób, które zwykle nie mają dostępu do wrażliwych informacji.
Osoby, które nie wiedzą, jak działają exploity i makrotrojany (więcej informacji na ten temat można znaleźć w raporcie o zagrożeniach), prawdopodobnie nie uświadamiają sobie, że właśnie tego potrzebują napastnicy, żeby zainfekować ich systemy. Jak pokazano na filmie, włączenie makr nie tylko pozwala na przeczytanie reszty dokumentu – umożliwia również Diukom dostęp do systemu (zauważmy uruchomiony proces .tmp). Wykonanie złośliwego kodu ukrytego w dokumencie rozpoczyna fazę „ingerencji” i pozwala napastnikowi swobodnie przejść do fazy „infekcji”.
Cytat:Jak mówi Erka, „Kiedy exploit uaktywni się, jest właściwie po zawodach”.Kiedy odbiorca narazi się na atak, a napastnik uzyska dostęp do systemu, dochodzi do infekcji CosmicDuke’iem. Jak pokazano na filmie, proces .tmp zaczyna się wykonywać, kiedy użytkownik przegląda dokument. CosmicDuke to zasadniczo program do wykradania informacji, choć zawiera też inne komponenty, które dają mu dodatkowe możliwości. Kradnie informacje na wiele sposobów, m.in. rejestrując naciśnięcia klawiszy, robiąc zrzuty ekranowe i eksportując klucze deszyfrujące.
Po zakończeniu fazy infekcji napastnik może podjąć kroki, które pogarszają skutki włamania (choć nie pokazano tego na filmie). CosmicDuke ma komponenty utrwalające, które pozwalają mu pozostać na dłużej w systemie. Napastnik może też dodawać nowe funkcje, aby głębiej spenetrować system, a nawet rozprzestrzeniać złośliwe oprogramowanie przez sieć lub sieci.
Zatem w jakiej sytuacji stawia to zaatakowanych?
Cytat:„Jeśli nic z tym nie zrobią, będą mieli kłopoty”, mówi Erka.Firmy powinny uświadamiać te problemy pracownikom. Przedsiębiorstwa to lukratywne cele ukierunkowanych kampanii phishingowych, więc administratorzy IT i kierownictwo muszą przygotować personel na tego rodzaju maile pochodzące od grup APT, cyberprzestępców i innych napastników.
Według raportu o zagrożeniach złośliwe makra wracają na scenę, więc firmy powinny poinstruować pracowników, żeby traktowali prośby o włączenie makr jak dzwonek alarmowy.
„Napastnicy liczą na to, że znajdą pracowników mających złe nawyki, a włączenie makr można porównać do opuszczenia gardy — mówi Erka. — Jeśli firmy nie chcą, żeby ludzie włączali makra z rozpędu, administratorzy IT powinni wyeliminować użycie makr wewnątrz przedsiębiorstwa, bo wówczas otrzymanie dokumentu z makrami będzie nietypowym zdarzeniem. Jeśli nie da się wyeliminować makr, administratorzy powinni wyłączyć wszystkie z wyjątkiem podpisanych, aby upewnić się, że nie pochodzą z niezaufanego źródła”.
Z
[Aby zobaczyć linki, zarejestruj się tutaj]
linku można pobrać raport o zagrożeniach, aby dowiedzieć się więcej o najbardziej dokuczliwych zagrożeniach 2015 roku.Źródło: F-Secure
Niewątpliwie jednak najważniejszy jest dobrze skonstruowany "wabik"...co niestety wciąż świadczy o tym, że to użytkownicy odgrywają kluczową rolę.