Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Ataki APT

Data publikacji: 26-08-2021 Autor: Ireneusz Tarnowski
Rys.1. „Łańcuch śmierci”...

Istnieje klasa ataków przeprowadzanych na znaczące cele, które realizowane są w sposób strategiczny, taktycznie zaplanowane i wdrażane przez długi czas – miesiące, a nawet lata. Są to ataki planowane z wyprzedzeniem, przygotowaną infrastrukturą oraz narzędziami. Te ataki to Advanced Persistent Threat (APT).

 

Dzisiejsze cyberataki to wyrafinowane, strategiczne, wszechstronne i zautomatyzowane działania, potencjalnie inicjowane przez osoby szukające informacji do wykradzenia. Zorganizowane mogą być przez grupę przestępczą lub nawet agencję rządową. Celem takiego ataku są ważne organizacje i ich systemy komputerowe zawierające cenne, ściśle tajne dane mogące obejmować patenty, tajemnice wojskowe i wrażliwe informacje finansowe. Intencją ataku APT może być nie tylko kradzież danych, ale także sabotowanie infrastruktury firmy, a nawet całego państwa. Strategia ataków APT obejmuje użycie zaawansowanych narzędzi, które utrzymują cyberprzestępców w ukryciu i stwarzają możliwości dotarcia do wrażliwych zasobów. Skradzione dane mogą być dalej wykorzystywane do szpiegostwa i wymuszeń. Atak APT wymaga znacznie więcej zasobów finansowych i ludzkich niż standardowy atak cybernetyczny. Zwykle ma wsparcie finansowe dużej organizacji przestępczej lub agencji rządowej.

 

> Istota APT

Definicyjnie ataki APT są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom. Mają one dokładnie określone wytyczne – uszkodzenie bądź kradzież poufnych danych lub przeniknięcie do infrastruktury ofiary w celu prowadzenia bieżącego monitoringu organizacji i przepływu informacji wewnętrznych. Aby lepiej zrozumieć ich naturę, wyjaśnijmy, czym się charakteryzują:

Advanced (zaawansowany) – hakerzy stojący za cyberatakiem mają do dyspozycji pełne spektrum narzędzi oraz technik wywiadowczych. Mogą one obejmować oprogramowanie komercyjne oraz otwarte technologie (open source). Wykorzystują znane i nieznane techniki włamań komputerowych, a także łączą techniki informatyczne z tradycyjnymi operacjami wywiadowczymi (często są to ataki opracowane lub zlecone przez państwowe agencje wywiadowcze). Podczas gdy poszczególne komponenty ataku mogą nie być uważane za szczególnie „zaawansowane” (np. komponenty szkodliwego oprogramowania generowane z powszechnie dostępnych narzędzi, jak Metasploit lub wykorzystanie łatwo dostępnych materiałów dotyczących exploitów), to ich operatorzy zazwyczaj, po uzyskaniu dostępu, wykorzystują bardziej zaawansowane narzędzia zgodnie z wymaganiami. Często łączą wiele metod, narzędzi i technik, aby dotrzeć do celu, przejąć go oraz zachować do niego dostęp. Atakujący wykazują także skupienie na bezpieczeństwie operacyjnym prowadzonego ataku, co również odróżnia ich od „mniej zaawansowanych” napastników.

Persistent (trwały) – hakerzy mają określony cel. Nie szukają wszelkich możliwych informacji, nie eksfiltrują wszystkich dostępnych systemów, nie poszukują korzyści finansowych. Wybór ofiary odbywa się poprzez stały monitoring przeciwnika i interakcję, tak aby osiągnąć zdefiniowane cele strategiczne. To oznacza, że nie mamy tu do czynienia z nawałem ciągłych ataków i kolejnych prób ze złośliwym oprogramowaniem. W rzeczywistości stosowane jest podejście „nisko i wolno” (ang. low and slow), które zazwyczaj jest bardziej skuteczne. Jeśli operator ataku utraci dostęp do zdobytego systemu, zwykle próbuje go odzyskać i najczęściej kończy się to dla niego powodzeniem. Jednym z taktycznych celów operatora jest utrzymanie długoterminowego dostępu do zdobytego systemu. I to jest jeden z podstawowych wyznaczników ataku APT, w przeciwieństwie do klasycznych zagrożeń, które potrzebują dostępu tylko do wykonania określonego pojedynczego zadania.

Threat (zagrożenie) – atakujący stanowią zagrożenie, ponieważ mają zarówno możliwości, jak i determinację. Ataki APT są zawsze bardzo dobrze skoordynowane, prowadzone przez zespoły ludzkie, a nie przez bezmyślne zautomatyzowane boty. Hakerzy mają określony cel, są wykwalifikowani, zmotywowani, zorganizowani i dobrze finansowani.

 

> Atak komputerowy

By zrozumieć, jak przebiega atak komputerowy, a co za tym idzie, móc we właściwy sposób zareagować na niego, należy przeanalizować jego proces w każdej fazie istnienia. Poszczególne ogniwa ataku komputerowego tworzą łańcuch przyczynowo-skutkowy), tzw. zabójczy łańcuch (ang. Cyber Kill Chain). Określenie to, jak i nazwy faz składowych łańcucha wywodzą się z terminologii wojskowej. Skuteczny atak (którego skutkiem może być przejęcie systemu lub kradzież danych) jest łańcuchem zdarzeń – od początkowej fazy rozpoznania, która ma na celu poznanie ofiary, przez włamanie, dwustronny przepływ danych w sieci komputerowej, wykorzystanie podatności, po zainfekowanie systemu i przejęcie nad nim kontroli. Możemy przeanalizować każde z tych zdarzeń, zdobyć wiedzę na temat ataku i wykorzystać ją, by przerwać ten łańcuch tak wcześnie, jak to tylko możliwe. Im głębiej analizujemy te zdarzenia, tym więcej uczymy się od autorów ataku. Właściwe rozpoznanie ataku staje się kluczem do obrony.

W modelu ataku komputerowego wyróżnione zostały następujące fazy:

 

  1. Rozpoznanie (ang. reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad).
  2. Uzbrojenie (ang. weaponization) – przygotowanie narzędzi ataku, takich jak konie trojańskie, eksploity wraz z danymi. Zazwyczaj jest to zbiór narzędzi automatyzujących uzbrojenie. Umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office).
  3. Dostarczenie (ang. delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB).
  4. Włamanie (ang. exploitation) – po dostarczeniu „narzędzi ataku” do komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika.
  5. Instalacja (ang. installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (ang. backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku.
  6. Kontrola (ang. command and control, C2) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj przejęty komputer łączy się na zewnątrz z komputerem kontrolującym poprzez specjalnie utworzony kanał komunikacyjny.
  7. Akcja (ang. actions on objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać przejęty komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.


Każda z tych faz powinna zostać przeanalizowana, dzięki czemu broniący się może ustalić, jakie podjąć działania. Mogą one przybrać różny charakter. Przede wszystkim nastąpi wykrycie ataku. I nie chodzi o to, że odbędzie się to bardzo wcześnie z punktu widzenia faz modelu, tylko raczej o to, że takie wykrycie może nastąpić w każdej fazie ataku, począwszy od prowadzonych przez atakującego działań rozpoznawczych, kończąc na realizacji tego, co określane jest jako „akcja”, a co w praktyce oznacza realizację przez atakującego docelowego zadania, czyli najbardziej destrukcyjnego dla zaatakowanej organizacji.

Niestety tak przedstawiony schemat łańcucha ataku wprowadza w błąd potencjalnego obrońcę. Problemem jest właściwe przedstawienie skali czasu. Otóż cały atak można podzielić na etapy przygotowań (rekonesans oraz uzbrojenie), etap wtargnięcia (dostarczenie, włamanie, instalacja) oraz etap aktywnego włamania (kontrola oraz akcja). Czas przygotowań do ataku stanowią godziny rekonesansu, a nawet miesiące badania ofiary. Po nim następuje wtargnięcie, rozumiane jako wejście do atakowanej infrastruktury. Może ono trwać maksymalnie kilka sekund. Ten etap jest najlepiej skoordynowanym i przeprowadzonym elementem całego ataku. Im lepsze było przygotowanie, tym szybsze i skuteczniejsze (czyli trudniejsze do wykrycia) jest wtargnięcie. Po udanym spenetrowaniu atakowanej infrastruktury, jeżeli atak nie został zauważony, następuje jego ukrycie i swoiste trwanie intruza w infrastrukturze ofiary. Ten etap rozciąga się tak długo jak to możliwe – nawet do kilku miesięcy. Jeżeli atak przejdzie przez wszystkie fazy, oznacza to, że ofiara nie była w stanie w żaden sposób zauważyć, iż była przedmiotem ataku. Może być to spowodowane bardzo dobrym przygotowaniem atakującego, jednak równie często niewykrycie ataku wynika z braku przygotowania ofiary (nieskuteczna polityka bezpieczeństwa, brak odpowiedniego monitoringu, narzędzi, procedur ochronnych).

Rys. 1 pokazuje skalę czasu w ataku komputerowym. Analizując go, można dostrzec, jak duże znaczenie ma wykrycie najwcześniejszych objawów ataków. Czas przygotowań atakującego jest długi i należy go właściwie wykorzystać, gdyż przełamanie zabezpieczeń trwa na tyle krótko, że można nie zdążyć właściwie zareagować. Chcąc się dobrze bronić, trzeba móc wykrywać rekonesans przestępczy, a znacznie lepiej jest uniemożliwić (a właściwie znacznie utrudnić) przeprowadzenie przygotowania do ataku. W tym celu warto przyjąć właściwą politykę w warstwie sieciowej, jak również politykę związaną z ochroną informacji o własnej infrastrukturze informatycznej i fizycznej.

 

[...]

 

Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"