WTF is APT? Продвинутые атаки, хитрости и методы защиты. Ч.1.

Канал ShadowRun не раз рассказывал о масштабных сетевых атаках, от которых пострадали банки, крупные предприятия, госучреждения и даже военные объекты. Кто их проводит? Почему они оказываются столь разрушительными? Можно ли от них защититься? На эти вопросы мы постараемся ответить в этой статье.

Поехали:

Появление и эволюция APT

Примерно с 2004 года команда реагирования на компьютерные инциденты в Lockheed Martin (LM-CIRT) стала использовать термин APT (Advanced Persistent Threat) в своих исследованиях. Так стали называть сложные атаки, выполняемые преимущественно на ИТ-инфраструктуру военных и государственных объектов. Как правило, в их проведении подозревали спецслужбы других стран и отряды «правительственных хакеров». Затем с легкой руки журналистов понятие APT расширилось до многоуровневых атак, целью которых может быть сеть любой организации или группа устройств с общими признаками. Даже сейчас термин APT остается неоднозначным. Его переводят как «развитая устойчивая угроза» или «сложная постоянная угроза», подразумевая то многоэтапный сценарий атаки, то используемые в ней инструменты, а то и вовсе мощные хакерские группы.

В Sophos тоже отмечают, что до сих пор нет единых критериев, позволяющих относить ту или иную атаку именно к APT. Успешные целенаправленные атаки зачастую выполняются с использованием старых наборов эксплоитов, поэтому 0day-уязвимости — не обязательный атрибут APT.

Другой часто выделяемый критерий APT — рассылка фишинговых писем для компрометации учетной записи рядового сотрудника компании. Затем она используется как точка входа в локальную сеть и плацдарм для перехода на следующий уровень — к компьютерам руководителей и серверам компании. Однако методы социального инжиниринга и так сверхпопулярны, поэтому было бы странно выделять их как маркер «сложной постоянной угрозы». На что же стоит ориентироваться?

Признаки APT

Анализируя отчеты разных специалистов по безопасности, мы сформулировали для себя следующие критерии APT:

• это всегда целенаправленная атака. Целью обычно выступает не конкретный человек или организация, а какой-то более общий сегмент (например, финансовые учреждения) или однородная группа людей (постояльцы отеля, болельщики на стадионе, пассажиры круизного лайнера);
• это долговременная атака. Она может длиться не один месяц и продолжаться до победного конца или утраты целесообразности;
• это хорошо финансируемая атака. Даже банальный DDoS — затратная процедура, если продолжается длительное время;
• это многостадийная атака. В APT последовательно используется несколько векторов и разных техник. Сами по себе они могут быть примитивны, интересно именно их сочетание. Например, секретарше шлют фишинговые письма, чтобы скомпрометировать ее корпоративную учетку и через нее (как от доверенного лица) отправить зараженный документ на ноутбук шефа;
• APT не останавливают отдельные инструменты безопасности (антивирус, файрвол, спам-фильтры, простые SIEM-системы), и она долго может оставаться незамеченной либо протекать под маской отдельных типовых инцидентов. Важнее то, что аномальное поведение сети или отдельных устройств сохраняется, хотя при рутинных проверках ничего подозрительного не находится;
• в ходе APT часто (но не обязательно) используют продвинутые техники, эффективно маскирующие их компоненты от типовых систем защиты. Например, reverse shell для обхода МСЭ.

По данным Sophos, в APT используются следующие техники (перечислены в порядке убывания частоты применения): фишинг и социальный инжиниринг, DDoS и ботнеты, уязвимости нулевого дня и использующие их продвинутые зловреды, традиционные зловреды, скомпрометированные устройства, атаки инсайдеров, атаки уровня приложений.

Этапы APT

В любой атаке уровня APT можно выделить семь ключевых этапов (иногда сокращают до пяти, объединяя шаги):

1. Пассивный сбор информации (идентификация и отбор целей из открытых источников).
2. Первичное заражение (заманивание на фишинговые сайты, рассылка инфицированных документов).
3. Доставка боевой нагрузки (drive-by-загрузки, использование уязвимостей в браузере и его плагинах).
4. Активная фаза (повышение привилегий и обход защитных систем с целью получения дополнительных данных о системе и закрепления в ней основных вредоносных компонентов).
5. Получение удаленного контроля (внедрение бэкдоров, кейлоггеров и установка обратных шеллов).
6. Связь с управляющими серверами в ожидании дальнейших команд (обход файрволов, использование для передачи команд различных мессенджеров, клиентов соцсетей и популярных сетевых API).
7. Достижение конечной цели (кража данных, выполнение незаконных финансовых транзакций, формирование ботнета, перехват контроля над АСУ ТП и так далее).

Злодей зиродей

Эффективность APT-атак существенно возрастает, когда используются уязвимости, для которых еще нет патча. К примеру, по данным специалистов компании 360 Core Security, в одной из недавних атак группа APT-C-06 использовала 0day-эксплоит CVE-2018-8174 для движка VBScript. Он затрагивает Internet Explorer в Windows 7–10 и серверных платформах любой разрядности, начиная с Windows Server 2012 R2.

Когда открывают фишинговую ссылку или документ MS Office c вредоносным элементом управления ActiveX, происходит сбой в работе VBScript, в результате чего подменяется тип объектов в памяти и права доступа к ним. Так у атакующего появляется возможность удаленно выполнить произвольный код в обход существующих систем защиты. Дополнительно APT-C-06 использовала одну из популярных техник обхода UAC. Подробный анализ CVE-2018-8174 читай здесь.

Другая группа, APT37 (Reaper), использовала в своих атаках начала 2018 года эксплоит для уязвимости нулевого дня в Adobe Flash Player CVE-2018-4878. Она затрагивает версии до 28.0.0.161 и связана с некорректной обработкой указателя в SDK Primetime. Успешная атака приводит к выполнению произвольного кода через подмену объектов в памяти процесса флеш-проигрывателя.

Современные APT

Глобальная исследовательская и аналитическая группа «Лаборатории Касперского» (GReAT) подготовила свежий отчет APT Trends Report Q2 2018. Основные выводы из него я бы сформулировал так:

• сейчас APT-группировки наращивают свою активность, и по числу атак доминируют азиатские;
• наиболее мощная атака среди недавно зарегистрированных — VPNFilter. Вероятно, за ней стоит группа APT28 (aka Sofacy, Black Energy и еще over 9000 названий);
• ранее обнаруженные APT-группы никуда не исчезли, а период затишья не говорит о прекращении их деятельности. Они могут выполнять небольшие операции, которые незаметны в глобальном масштабе, или же просто меняют формат и подбирают инструменты для новых атак. К примеру, вновь пробудилась группа APT27 (также известная как Emissary Panda и LuckyMouse);
• общие компоненты, используемые в сетевых атаках разных APT-групп, позволяют утверждать о тесных взаимосвязях между ними. Например, ScarCruft и Darkhotel в своих атаках применяли один и тот же сайт для распространения эксплоитов, один из которых был 0day;
• прослеживается явная связь между событиями мирового масштаба (зимние Олимпийские игры, переговоры по Северной Корее и саммит в Сингапуре) и векторами новых атак.

В конце 2017 года IDC Connect и Malwarebytes провели опрос среди руководителей (CIO, CTO и CSO) 200+ крупных (у 25% из них штат насчитывал свыше 5000 сотрудников) американских организаций. Они относились к разным отраслям (разработка ПО, строительство, здравоохранение, финансовые услуги). Из опрошенных 80% утверждали, что за прошлый год их компании пострадали от APT один или несколько раз.

Однако если ты обнаружил признаки сложной постоянной угрозы в своей сети, то это еще не означает, что она и была целью. При spear phishing копья (особенно азиатские) часто оказываются недостаточно острыми. Целились в кого-то, а зацепили тебя.

На этом на сегодня всё, бегущие в тенях. В следующей части данной статьи мы рассмотрим с вами APT-группы (основные, но далеко не все) и немного методов защиты от APT. Оставайтесь с нами.