Эксперты WatchGuard’s Threat Lab в своем регулярном отчете Internet Security Insights Q1 2021 отметили следующий тренд: большая часть, а именно 73,6% обнаруженных атак вредоносным ПО, является APT-атаками. Зловред либо использует уязвимость нулевого дня в целевом ПО, либо является новым вариантом известного ранее вредоносного ПО, также не распознаваемого сигнатурными методами.
Среди наиболее часто встречающихся сэмплов – привычные шифровальщики типа Zmutzy (или Nibiru), которые, попадая через фишинговый e-mail, загружаются на ПК жертвы и при открытии устанавливают вымогательское ПО. Есть и несколько более интересных вариантов:
-
XML.JSLoader – безфайловый вирус, использующий ошибку проверки ввода при запуске PowerShell и применяемый для загрузки троянов или для снимка экрана жертвы.
-
Linux.Ngioweb.B – вирус, нацеленный на IoT-устройства. Кстати, в прошлом квартале на его месте в топ-10 был аналогичный вирус для IoT-устройств – New Moon.
Новое или качественно измененное вредоносное ПО не поддается детектированию через сигнатуры. Подобный зловред можно обнаружить в системе только через поведенческий анализ его действий. Например, если документ Word после запуска пытается изменить ключи реестра, не имеющие никакого отношения к программе MS Office Word, например, устанавливающие прокси-сервер для Интернет-соединений, – это поведение процесса крайне подозрительно и требует тщательного анализа, желательно с предварительной блокировкой действий до проведения расследования.
«Инструменты и используемые каналы атаки на конкретную организацию постоянно меняются, в связи с этим экспертам по кибербезопасности бывает очень тяжело выявить базовый перечень техник, используемых злоумышленниками, – комментирует руководитель отдела прикладных систем группы компаний Angara Никита Аршинов. – Например, по данным международного агентства по кибербезопасности, китайские хакеры активно используют брешь в сервисе Microsoft DNS – CVE-2020-1350, которая входит в топ-25 общемировых уязвимостей. Получение контроля над доменом создает условия для дальнейшего распространения угроз внутри атакуемой компании».
За последние годы было проведено немало успешных атак на цепочки поставок, продолжает Никита Аршинов. В качестве наиболее ярких примеров он приводит ShadowPad, ExPetr и бэкдор в CCleaner.
По его словам, в январе была детектирована масштабная атака на цепочку поставок с использованием утилиты, предназначенной для обновления BIOS, UEFI и другого ПО на ноутбуках и настольных компьютерах. Злоумышленники, организовавшие операцию ShadowHammer, добавили в утилиту бэкдор, а затем распространили скомпрометированную программу среди пользователей через официальные каналы. Атака была направлена на неопределенную группу пользователей, идентифицированных по MAC-адресам сетевых адаптеров, отмечает Никита Аршинов.
Такие активности можно детектировать на разных уровнях поведения ПО. Для этого необходимо применить совокупно следующие механизмы:
-
Анализ сетевого трафика для построения модели сетевого взаимодействия по протоколам DNS, HTTP/S, ICAP, SMTP, в том числе анализ трафика на уровне самих узлов средствами EDR решений или средствами поиска сетевых аномалий. Дальнейший поиск отклонений и аномальных ситуаций. Данный анализ происходит в реальном времени с блокировкой подозрительного трафика для предотвращения атак. Или же осуществить сбор данных о сетевом трафике без активного противодействия для поиска аномалий и проведения анализа на большом объеме данных. Применяется только для детектирования атак и последующего расследования происшествий.
-
Технологии «песочниц» для анализа поведения ПО, которые скачиваются пользователями или проходят в сетевом трафике, используя механизм File/URL-filtration. Данный механизм поможет, например, обнаружить кейлоггеры, которые очень часто добавляют ключ в ветвь HKCU-реестра.
-
Поведенческий анализ пользовательских компьютеров – перехват системных функций и обращений к ресурсам компьютеров и поиск аномалий в функционировании пользовательских приложений и операционной системы средствам EDR-решений. Они включают в себя проактивные механизмы защиты – блокирование подозрительных операций и изоляция потенциально вредоносных приложений. Например, запуск вредоносного файла, содержащего эксплойт для уязвимости в Internet Explorer или эксплойт для ПО Adobe.
-
Сбор данных об активности приложений и операционной системы на рабочих станциях без активного противодействия для дальнейшей работы с большим объемом данных для осуществления процесса Threat-Hunting.
Необходимо всегда помнить, что APT-атаки распределены по времени, используют разные векторы атак и точки вторжения в инфраструктуру. При этом чем больше используется различных средств и методов защиты, тем выше шанс своевременно обнаружить и предотвратить атаку. Снижение рисков успешных APT-атак достигается действиями по нескольким направлениям.
Группа компаний Angara предлагает экспертные услуги по каждому из них:
-
Анализ поведения подозрительного ПО как до его попадания на ПК, так и его активности в операционной системе жертвы. Эксперты группы компаний Anagar спроектируют наиболее эффективную архитектуру системы защиты инфраструктуры, включая Sandbox и схему направления внешнего трафика на систему защиты, а также интегрируют в информационную среду средства защиты рабочих станций EDR (также на основании поведенческого анализа ПО).
-
Выстраивание процесса управления уязвимостями и обновлениями. Анализ защищенности – это непрерывный процесс, который требует как периодического сканирования систем, так и контроля за устранением обнаруженных уязвимостей, своевременной установкой программных коррекций и приведением настроек ПО и ОС в безопасное состояние. Эксперты группы компаний Angara реализуют любой из этапов работ по управлению уязвимостями, а также помогут выстроить процесс управления уязвимостями в непрерывном исполнении.
-
Создание системы ложных целей для злоумышленника: cистемы класса Honeypot или Deception создают реалистичный набор целей для злоумышленника, не связанный с реальной инфраструктурой. Эксперты группы компаний Angara работают с лучшими представителями данного класса решений и создадут на их базе беспрецедентный эшелон защиты вашей инфраструктуры от целевых атак.
Все указанные решения интегрируются с Центром киберустойчивости Angara Cyber Resilience Center (ACRC) для анализа инцидентов ИБ, обогащения событий данными и проведения расследований.