Ataki z pierwszych stron gazet: dwa duże włamania, które można było wykryć
#1
[Obrazek: gettyimages-502197413.jpg?w=991&h=440&crop=1]
Włamanie do Sony pod koniec 2014 r. wstrząsnęło Hollywoodem i przez długie miesiące odzywało się echem na całym świecie. Ironiczne włamanie do Hacking Team, firmy produkującej wątpliwe moralnie oprogramowanie do monitoringu, pokazało, że nikt nie jest całkowicie odporny na atak – nawet ci, którzy specjalizują się we włamaniach do systemów.

Pierwsze pytania, które zwykło zadawać się po dużym włamaniu, to jak napastnik dostał się do systemu i czy można było temu zapobiec. Ale dziś zadajemy inne pytanie: kiedy napastnik był już w sieci, czy można było wykryć włamanie i je powstrzymać?

Oto dlaczego: zaawansowane ataki, takie jak te wymierzone w Sony i Hacking Team, są dziełem wysoko wykwalifikowanych napastników, którzy biorą na cel konkretną organizację. Środki zapobiegawcze blokują większość zagrożeń, ale zaawansowani specjaliści wiedzą, jak ominąć rozwiązania ochronne firmy. Im lepszymi zabezpieczeniami dysponuje firma, tym trudniej będzie dostać się do środka… ale większość znających się na rzeczy i zmotywowanych hakerów w końcu znajdzie jakiś sposób. Tu na scenę wkracza wykrywanie.

Myśl jak napastnik

Jeśli napastnik przełamie obronne mury firmy, trzeba jak najwcześniej wykryć ich obecność, żeby ograniczyć potencjalne szkody. Nie podano oficjalnie, kiedy dokładnie miał miejsce atak na Sony, ale z niektórych raportów wynika, że od włamania minął rok, zanim napastnicy sparaliżowali systemy firmy i zaczęli ujawniać smakowite informacje o jej wewnętrznym funkcjonowaniu. To mnóstwo czasu na wędrowanie po sieci i gromadzenie danych.

Jak zatem wykryć obecność napastników w sieci?

Myśląc jak oni. A żeby myśleć jak napastnicy, trzeba wiedzieć, jak pracują. Pozwoli to dostrzec charakterystyczne ślady i odróżnić ich od zwykłych użytkowników.

Zaawansowane ataki, zwane APT (Advanced Persistent Threat), różnią się w zależności od sytuacji i celów napastnika, ale ogólnie rzecz biorąc, przebiegają według pewnego schematu. Po wybraniu celu i przeprowadzeniu rekonesansu w celu zebrania informacji o firmie i o najlepszych sposobach na włamanie, napastnicy zwykle przeprowadzają atak w następujących fazach:

1. Zdobycie przyczółka. Pierwszym krokiem jest zainfekowania komputera w organizacji. Zwykle wykorzystuje się w tym celu luki w oprogramowaniu serwerów albo punktów końcowych, ewentualnie metody socjotechniczne, takie jak phishing (wyłudzanie informacji), spear-phishing (ukierunkowane wyłudzanie informacji), „watering hole” albo „man in the middle”.
2. Utrwalenie ataku. Podczas wstępnego kroku trzeba też wykonać jakieś czynności, które zapewnią napastnikowi nieskrępowany dostęp do systemu. Oznacza to instalację trwałego komponentu tworzącego „tylne drzwi”, przez które napastnik będzie mógł później ponownie dostać się do systemu.
3. Przeprowadzenie rekonesansu w sieci. Zgromadzenie informacji o wstępnie zainfekowanym systemie i o całej sieci w celu ustalenia, gdzie i jak przeprowadzić dalsze uderzenie.
4. Ruchy boczne. Uzyskanie dostępu do dalszych systemów, w zależności od celu ataku.

Etapy 2-4 powtarza się w miarę potrzeb, aby uzyskać dostęp do docelowych danych lub systemu.

5. Gromadzenie docelowych danych. Identyfikowanie i gromadzenie plików, poświadczeń, wiadomości e-mail oraz innych form przechwyconej komunikacji.
6. Ekstrakcja docelowych danych. Przesłanie kopii danych przez sieć do napastników.

Etapy 5 i 6 mogą składać się z wielu małych kroków rozłożonych w czasie. W niektórych przypadkach towarzyszy im sabotaż danych lub systemów.

7. Zacieranie śladów. Dowody, które pozwalają stwierdzić, co właściwie zrobiono i w jaki sposób, można łatwo zniszczyć poprzez usuwanie i modyfikowanie dzienników oraz czasów dostępu do plików. Może to się dziać przez cały czas trwania ataku, nie tylko w końcowej fazie.

W każdej fazie napastnicy używają różnych taktyk, technik i procedur, aby jak najdyskretniej osiągnąć swój cel. W połączeniu z wiedzą o tym, co dzieje się w sieci, znajomość tych narzędzi i technik pozwoli firmom wykrywać napastników w sieciach i powstrzymywać ich działania.

Podążaj za znakami

Napastnicy mogli buszować w systemach Sony przez cały rok, ale od początku zostawiali znaki świadczące o ich obecności. Może po prostu nikt nie wypatrywał tych znaków, a może je przegapiono.

Napastnicy próbowali zatrzeć za sobą ślady (etap 7) za pomocą dwóch narzędzi do podrabiania dzienników oraz czasów tworzenia i dostępu do plików – narzędzi, które można było wykryć jako podejrzane. Narzędzia te były używane przez cały czas trwania ataku, nie tylko pod koniec, więc wykrycie mogło nastąpić na długo przed powstaniem szkód, oszczędzając Sony i kierownictwu wstydu, złego PR-u, straconej produktywności i nie wiadomo ilu milionów dolarów.

W przypadku włamania do Hacking Team haker znany jako Phineas Fisher użył programu o nazwie nmap, znanego narzędzia do skanowania sieci, aby zgromadzić informacje o wewnętrznej sieci firmy i przygotować się do ataku (etap 3). Aktywność nmap w wewnętrznej sieci firmy powinna zostać oznaczona jako podejrzana. Do poruszania się wewnątrz sieci (etap 4) wykorzystał metody bazujące na wbudowanym narzędziu administracyjnym Windows, PowerShell, a także dobrze znane narzędzie psexec oferowane przez SysInternals. Również te techniki można było zidentyfikować, ponieważ sposób, w jaki z nich korzystano, musiał różnić się od działań legalnego użytkownika.

To tylko kilka przykładów na to, jak można powstrzymać napastników, wykorzystując wiedzę o używanych przez nich metodach. W praktyce F-Secure robi to w ramach nowej usługi Rapid Detection Service, którą właśnie uruchomiliśmy. Usługa wykorzystuje kombinację inteligencji ludzkiej i maszynowej do monitorowania tego, co dzieje się wewnątrz sieci firmy oraz do wykrywania podejrzanych działań. Jeśli wykryjemy włamanie, powiadomimy firmę w ciągu 30 minut, żeby dowiedziała się o nim od nas, a nie z prasy.

Pewien analityk F-Secure dobrze to podsumował: „Chodzi o to, aby uniemożliwić napastnikowi przejście od początkowego etapu włamania do ostatecznego celu”.

Bądź co bądź, włamania się zdarzają.

[Aby zobaczyć linki, zarejestruj się tutaj]

.

Źródło: F-Secure
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości