2021/04/19 08:45:14

Искусство маскировки:
вендоры ИБ против хакеров. Игра началась

Ксения Кириллова, менеджер по продуктовому маркетингу Positive Technologies

Содержание

Мы в Positive Technologies уже несколько лет проводим The Standoff[1] — битву между командами атакующих и защитников. В основе киберполигона лежит физическая имитация современного города — для демонстрации бизнес-рисков мы, как из LEGO, создали миниатюрный мегаполис с его инфраструктурой. Здесь есть поезда размером меньше ладони и аэропорт, который поместится на крышке ноутбука. Но кое-что в этой имитации абсолютно реально: все информационные системы, которые работают в городе. Вот банк со своей электронной почтой и файловым хранилищем, а вот завод с системой автоматизированного управления технологическим процессом, а еще есть вышка сотовой связи и система управления сигналами светофоров.

Ко всему этому богатству подключены наши продукты. Они напоминают око Саурона, только следят не за горсткой хоббитов с кольцом, а за тем, что команда атакующих пытается поломать. И, знаете, так хочется одобрительно захохотать, когда заглядываешь в песочницу[2][3], смотришь видеозапись проверки файла, который перемещался по информационным системам компаний в городе,— а там на рабочем столе открывается Excel-таблица, в которой неведомый тебе «хакер» пишет в первой же ячейке матерное слово. «Я знаю, что ты за мной следишь», — как будто говорит он.

В реальной жизни все происходит примерно так же — только безобидный Excel-файл перестает быть безобидным, и последствия затрагивают не виртуальную инфраструктуру, а настоящие организации. Может произойти что угодно: в самом простом случае все файлы в сети компании окажутся зашифрованы, а на рабочих столах появятся картинки с номером криптокошелька и суммой выкупа за восстановление данных.

Шифровальщики-вымогатели вообще переживают настоящий бум[4]: по нашим наблюдениям, их задействовали в каждой второй атаке с применением вредоносных программ — а это, на минуточку, самый распространенный тип атак. Чтобы оценить последствия, достаточно регулярно читать прессу, где имена пострадавших одно громче другого: Norsk Hydro[5], Garmin[6], Konica Minolta[7], EVRAZ…[8] Еще оглушительнее — суммы убытков.

Я знаю, что ты попытаешься следить за мной. Но вот сможешь ли?

Есть много классов защитных средств, выявляющих атаки с применением вредоносных программ, а значит, файлов. Классика жанра: антивирусы, шлюзы безопасности, системы обнаружения или предотвращения вторжений и так далее. Но все это про самую базу — нельзя говорить об информационной безопасности в крупной компании, где нет антивируса.

«Черные шляпы»[9] — стремительные ребята. Теми из них, кто не ангажирован политически, движет страсть к наживе. Каждый, кто хочет построить карьеру и зарабатывать много денег, старается развиваться, и хакеры — не исключение. Чем быстрее ты расширяешь набор рабочих навыков и совершенствуешь инструменты, которыми пользуешься, тем выше шансы на успех. В каждой компании есть шлюз или антивирус? Что ж, у злоумышленника появляется задача научиться их обходить. Для целенаправленных атак, доля которых от общего числа атак составляет 80%[10], решение такой задачи — малая инвестиция с большим потенциальным выхлопом.Витрина данных НОТА ВИЗОР для налогового мониторинга

Почему атакующим относительно легко обходить такие средства защиты? Дело в том, что подход с проверкой файлов статически, без их запуска, в целом несовершенен. Когда мы анализировали статистику того, что выявила наша песочница PT Sandbox на The Standoff, мы обнаружили следующее: из 8609 вредоносных файлов 36% не детектировались антивирусами[11]. Это больше трети. Опасная лотерея для любителей рисковать своим бизнесом.

Допустим, все эти шлюзы, IDS/IPS и антивирусы уже пройдены. Что дальше? Следующий рубеж для хакеров — пресловутые песочницы.

Как работают песочницы

Мы создаем в них имитацию реального компьютера, но в безопасной виртуальной среде, отгороженной от остальной инфраструктуры. Затем запускаем там файл и смотрим, что он натворит. И принимаем решение, пропускать его или нет. Например, если с виду безобидный PDF-файл на этой имитации компьютера открылся и зашифровал вокруг себя все живое, его нужно заблокировать и не пускать в реальную сеть компании — эту технологию взяли на вооружение многие вендоры ИБ-решений.

Иными словами, песочницы крайне полезны. Если есть хоть малейшая вероятность, что компания станет жертвой целевой атаки, ей стоит задуматься о покупке такого продукта. Осталось только разобраться, какой из десятков предлагаемых выбрать.

Гонка вооружений: хакеры против вендоров ИБ

По мере того как песочницы становились все более эффективным средством борьбы с кибератаками, разработчики вредоносного ПО развивали техники их обхода. Атакующие внедряют в свои инструменты специальные механизмы[12], позволяющие понять, не оказались ли они в виртуальной среде песочницы: они проверяют размер жесткого диска и оперативной памяти, ищут типичные для виртуальных машин процессы и файлы и даже анализируют движения курсора мыши.

Более того, мы встречали вредоносные программы, которые интересуются[13], не попали ли в песочницу определенного вендора. Что-то вроде: «Ау, вендор Х, не ты ли сейчас поймал меня? Кажется, лучше мне посидеть здесь тихо и сделать вид, что я безопасен! Просто пропусти меня, и все услышат про мою жертву в новостях».

Решение проблемы напрашивается само собой: песочница нужна, но она должна уметь маскироваться так, чтобы мастера маскировки ей завидовали.

Бутафория или максимальная реалистичность

Если в ходе атаки злоумышленник эксплуатирует уязвимость программы на компьютере сотрудника, важно, в какой именно программе песочница откроет опасный файл. Что, если он эксплуатирует уязвимость в Foxit Reader, который — о боже! — стоит у всей бухгалтерии или юристов много лет, а в песочнице есть только Adobe Acrobat Reader?

Прежде чем атаковать компанию, злоумышленники могут несколько месяцев (а то и лет) проводить разведку и выяснять, что их ждет в корпоративной сети. Для них не составит труда разузнать, чем на самом деле пользуются сотрудники. Если в виртуальной среде песочницы будут не те приложения, что на рабочих компьютерах, велика вероятность, что угроза просочится через нее незамеченной. Что с этим делать? В идеале — давать пользователю возможность воспроизводить в песочнице свой собственный ИТ-ландшафт[14].

Предложение на рынке в этом плане до последнего времени было удивительно скудным. Как правило, вы могли рассчитывать на популярную операционную систему, относительно свежий базовый офисный пакет и пресловутый Adobe Acrobat Reader. Мы в Positive Technologies позволяем расширить этот набор. На наш взгляд, возможность настраивать свою защиту и ставить в виртуальную среду то ПО, которое используют сотрудники, должна быть доступна из коробки (мы предлагаем ее с момента запуска[15] продукта), ведь в песочнице ради песочницы нет смысла.

Защищаться от обхода тоже нужно активно — мы распознаем больше двух десятков самых распространенных уловок для песочниц: например, проверку размеров жесткого диска, оперативной памяти, количества ядер, поиск характерных для виртуальной среды файлов и процессов и прочее.

Также песочница должна быстро адаптироваться — атаку нужно уметь выявлять уже в тот момент, когда только появляется очередной хакерский инструмент или уязвимость. К слову, об уязвимостях. По нашим данным, от появления публичной информации о баге до момента, когда кто-то из хакерских группировок им воспользуется, может пройти всего несколько часов. Наложим это на среднюю скорость патч-менеджмента в крупных компаниях и получим взрывоопасное комбо — особенно если отделы ИТ и ИБ «не дружат» между собой[16]. Некоторые уязвимости в компаниях могут не закрывать месяцами. В 2020 году мы обнаружили критически опасную уязвимость в ПО Citrix[17], угрожавшую 80 тысячам компаний в 158 странах, и оповестили об этом вендора, а через вендора — весь мир. Спустя полтора месяца мы решили оценить, насколько успешно компании справились с закрытием бреши. Результат[18] оказался плачевным — каждая пятая организация к тому моменту так и не установила необходимый патч.

Если ваши отделы ИБ и IT действительно не дружат между собой, а форсировать обновления в силу ряда причин сложно, поставьте в песочницу те же версии приложений, которыми пользуетесь. Будь они хоть трижды дырявыми, атаку на эти дыры можно будет отследить. Даже без дружбы можно оставаться в безопасности.

Стакан должен быть полон: знания из коробки

Приобретая ИБ-продукты, компании планируют получить готовый понятный инструмент. Если решение окажется слишком сложным, придется выделить специалиста для его освоения и настройки — или даже нанять нового. Бизнес обычно не готов на такие траты сверх стоимости продукта. Не менее важен и вопрос экспертных знаний в продукте: в 2021 году вендоры не могут позволить себе перегружать клиента, требуя от него сначала потратить время и ресурсы на внедрение, а потом еще и на наработку собственной экспертизы.

Мы исторически несем в свои продукты — не только в PT Sandbox — свежую экспертизу «с полей». В Positive Technologies есть PT Expert Security Center[19], который занимается мониторингом, реагированием на инциденты и расследованиями кибератак. Мы проводим исследования деятельности действующих хакерских группировок в России и мире. Все эти знания регулярно перегоняются в правила, которые мы добавляем в продукты, чтобы обеспечить качественное детектирование угроз и пресечь попытки эксплуатации уязвимостей. Наличие экспертизы в продукте — тот фактор, который стоит учитывать при выборе систем защиты.

Песочные замки

Резюмируя все вышесказанное и возвращаясь к нашей битве, желание одобрительно захохотать, глядя на матерное слово в Excel-таблице, на самом деле было вызвано еще и тем, что шутника мы обнаружили.

Злоумышленник всегда предполагает, что мы за ним следим или пытаемся следить. Отлично, если нам удается его засечь. Еще лучше, если он даже не заметит, что попался. В любом противостоянии — что в искусственном городе, что в реальной компании — важно быть на шаг впереди соперника. Это то, что должна приносить реальная информационная безопасность. Как следствие, компания исключит бизнес-риски и сохранит свои деньги, репутацию и нервы сотрудников.

Примечания

  1. Standoff
  2. PT Sandbox Песочница для риск-ориентированной защиты
  3. Специальная виртуальная среда, предназначенная для анализа поведения файлов.
  4. Новый пик шифровальщиков
  5. How a ransomware attack cost one firm £45m
  6. Incident Of The Week: Garmin Pays $10 Million To Ransomware Hackers Who Rendered Systems Useless
  7. Technology giant Konica Minolta hit by a ransomware attack
  8. Steel miner and manufacturer EVRAZ hit by a Ransomware Attack
  9. Киберпреступники, хакеры, использующие уязвимости систем в своих целях.
  10. Актуальные киберугрозы: IV квартал 2020 года
  11. «Улов» на The Standoff: о многообразии пойманных троянов
  12. Обнаружение и обход песочниц. Как изменилось вредоносное ПО за 10 лет
  13. Турецкие фокусы с червями, крысами… и фрилансером
  14. Кастомизация песочниц: почему это нужно вам прямо сейчас
  15. Positive Technologies представила песочницу для выявления целевых и массовых атак с применением вредоносного ПО
  16. Positive Technologies: разногласия между отделами ИТ и ИБ сказываются на безопасности бизнеса
  17. Каждая пятая компания не устранила уязвимость в ПО Citrix, позволяющую за минуту проникнуть во внутреннюю сеть
  18. Каждая пятая компания не устранила уязвимость в ПО Citrix, позволяющую за минуту проникнуть во внутреннюю сеть
  19. Услуги PT Expert Security Center