1. Денис Безкоровайный, CISA, CISSP, CCSK
Infosecurity Russia 2013, 27.09.2013
Целевые атаки - "страшилки" вендоров
или реальная опасность?
2. С чего началась шумиха
27.09.13 2
http://intelreport.mandiant.com/
3. Определимся что такое
«целевая атака»?
Это атака группы лиц, направленная на
конкретную организацию, страну или
индустрию с целью кражи данных или
получения контроля над ресурсами.
27.09.13 3
4. Целевые атаки – почему их сложно
обнаружить?
Потому что они «заточены» под конкретно вашу
организацию:
Используются знания о ваших сотрудниках
Проверка вредоносного кода на ваших
защитных системах – антивирус не защитит
Используются уязвимости в ваших
приложениях и окружении
Ручное управление проведением атаки
Цель – ваши данные
27.09.13 4
5. Одновременная атака на 5 крупных компаний Южной
Кореи в марте 2013 уничтожила 48 700 компьютеров
27.09.13 5
6. Последствия
Часть бизнес-операций
остановилась
Банки: онлайн-банкинг, платежи и
банкоматы не работали.
Невозможно было оплатить товары
картами и снять деньги в банкоматах
Медиа и ТВ: не могли выводить в
эфир новые материалы, «легли»
сайты.
Потеря данных
Не все данные удалось восстановить
27.09.13 6
7. Проникновение через фишинговый email
Атакующий
Социальная
инженерия
Серверы
управления
(C&C)
Легитимные
серверы
обновлений
Удаление
файлов
Уничтожение
MBR
Уничтожение
MBR
Удаление
файлов
Unix/Linux
Windows машины
Организации-
жетрвы
В целевых атаках
электронная почта –
приоритетных вектор
27.09.13 7
8. Это была не просто сетевая атака…
27.09.13 8
http://news.cnet.com/8301-1009_3-57592771-83/cyberattack-on-south-korea-was-part-of-4-year-spying-
campaign/
9. Актуально и для России - Sanny attack
27.09.13 9
http://www.theregister.co.uk/2012/12/12/russian_cyberespionage_attack/
10. Спецоперации иностранных служб
против России
27.09.13 10
Then comes the Russian airline Aeroflot’s
who reservation and ticketing system were
targeted by NSA in order to spy on every email
conversation and in depth details of flight
schedule and ticketing details.
http://hackread.com/nsa-hacked-aljazeera-french-foreign-ministry-
russia-airline
Of the 231 offensive operations
conducted in 2011, the budget said,
nearly three-quarters were against
top-priority targets, which former
officials say includes adversaries
such as Iran, Russia, China and
North Korea and activities such as
nuclear proliferation. The document
provided few other details about the
operations.
http://articles.washingtonpost.com/2013-08-30/world/
41620705_1_computer-worm-former-u-s-officials-obama-
administration
11. Основные методы обнаружения
компонентов целевых атак
Песочница для исполняемых файлов и запуска
документов (поиск не обнаруживаемых
сигнатурами образцов)
Предотвратить заражение или хотя бы узнать про него
Сетевой анализ
(поиск аномалий, индикаторов)
Выявить активность после заражения
27.09.13 11
12. Что искать? Сетевая активность
Активность вредоносного ПО
загрузка, коммуникации с C&C
Активность атакующего
скан портов, brute force, загрузка спец. утилит
Вывод данных по открытым и скрытым
каналам
27.09.13 12
13. Индикаторы компрометации
Indicators of Compromise (IoC) – это
информация, которую можно использовать
для обнаружения потенциально
скомпрометированных систем, например:
IP адреса, домены
Паттерны в URL
Хеш-суммы файлов
Email адреса
X-Mailer
HTTPUserAgent
27.09.13 13
14. Анализ сетевого трафика
Большинство исследованных целевых атак
использовали известное до этого
вредоносного ПО
IP адреса С&C меняются часто
Известные паттерны сетевой активности меняются
реже (но тоже меняются)
Все эти атаки и кампании можно было бы
обнаружить по паттернам сетевого трафика:
GhostNet, Nitro, атака на RSA, Тaidoor, IXESHE,
Enfal (aka “Lurid”), Sykipot
27.09.13 14
15. Почему сложно обнаруживать трафик
C&C при целевых атаках
Прерывистый и малозаметный трафик
Полагаться на вендорские репутационные
механизмы IP/URL – недостаточно
для целевой атаки найдут «чистый» адрес
Серверы C&C внутри сети организации – нужен
локальный анализ и обнаружения
Нужна постоянно обновляемая информация об
атаках и методах коммуникации с C&C
Не все продукты используют известные
индикаторы компрометации
27.09.13 15
16. Какие вопросы нужно задать при анализе
сетевого трафика
Есть ли активность в нашей сети (C&C)?
Это просто «обычный» ботнет или целевая
атака?
Откуда атака началась? Какова ее цель?
Сразу остановить? Или наблюдать развитие?
27.09.13 16
17. Сетевой анализ - плюсы и минусы
Позволяет
выявлять атаки с
использованием
более-менее
типового
вредоносного ПО
Нужно постоянно
следить за
актуальностью
паттернов
обнаружения и
индикаторов
компрометации
Нужен весь
трафик для
анализа
27.09.13 17
18. Песочница – что нужно исследовать
Исполняемые файлы
агрессивный эвристический анализ
поведение – мониторинг сетевой активности и
коммуникаций, действия с ОС
Офисные файлы и документы
запуск в «реальной» программе просмотра
мониторинг активностей после открытия файла
27.09.13 18
19. Песочницы – плюсы и минусы
Позволяет
выявлять то, что
нельзя выявить
обычными
средствами
Целевая атака ждет
конкретную систему и
не сработает в
неподходящей среде
Должны полностью
повторять среду
атакуемой компании –
ОС, приложения и
версии
Ограничения
производительности
27.09.13 19
20. Мы нашли что-то подозрительное –
а что дальше?
Просто обнаружить угрозу – недостаточно
обнаруживается уже постфактум
Установить источник и причину
журналы событий
корреляция
Устранить последствия заражения
где еще могла произойти компрометация?
все подчистить или изолировать для дальнейшего
анализа
заблокировать коммуникации и центры управления
на своих средствах защиты
27.09.13 20
21. В итоге
Целевые атаки – потенциальная опасность
для российских компаний, неважно госсектор
или нет (пример с Кореей)
Почти всегда в таких атаках есть элемент
социальной инженерии
Не всегда целевая атака = продвинутая атака
Методы обнаружения могут включать
анализ сетевого трафика
песочницы для запуска исполняемых файлов и
документов
27.09.13 21
22. Мы строим защиту
лишь исходя из тех данных,
которые имеем сейчас,
но все может быть еще хуже
J
27.09.13 22
