Блог Ovodov CyberSecurity

Современная кибератака: Как защититься и какие инструменты использовать. Подготовительный этап злоумышленника. Часть 2.

Действия злоумышленника до компрометации сети жертвы в основном разворачиваются за пределами поля зрения последней, что значительно усложняет их обнаружение. Злоумышленники исследуют свою жертву, используя информацию, доступную в открытых источниках, и используют в своих интересах отношения организации с подрядчиками и сторонними организациями, чтобы любым способом получить доступ к инфраструктуре жертвы. 
Вышесказанное свидетельствует о том, что первым двум этапам жизненного цикла кибератаки (kill chain) необходимо уделять не менее пристальное внимание, как и остальным. Напомним, что kill chain состоит из следующих этапов:
  • разведка и сбор данных,
  • выбор способа атаки,
  • доставка,
  • эксплуатация,
  • закрепление,
  • исполнение команд,
  • достижение цели.
Как мы выяснили в предыдущей статье, матрицы MITRE ATT&CK предназначены для детализации и описания тактик, применяемых злоумышленниками на каждом этапе kill chain. На подготовительном этапе атаки злоумышленники согласно kill chain осуществляет действия описанные в двух разделах матрицы Enterprise: 
  1. разведка, суть которой заключается в получении информации о жертве активными и пассивными методами
  2. разработка ресурсов, которая необходима для подготовки инфраструктуры и инструментов для проведения кибератаки. 
Вышеописанные категории включают следующие TTPs (Tactics, Techniques and Procedures):
Разведка (Reconnaissance)
1. Активное сканирование (Active Scanning) – сбор информации об инфраструктуре жертвы активным методом, то есть через сетевой трафик, в отличие от других форм разведки, не предполагающих прямого взаимодействия с инфраструктурой жертвы. Активное сканирование включает: 
  • Сканирование диапазонов IP-адресов (Scanning IP Blocks) для определения наиболее активно использующихся IP-адресов и получения подробной информации о хостах, которым назначены эти адреса. Сканирование может варьироваться от простого эхо-запроса (запросы и ответы ICMP) до более тонкого сканирования, которое позволяет выявить используемое программное обеспечение/версии сервисов с помощью баннеров или других сетевых артефактов. 
  • Cканирование уязвимостей (Vulnerability Scanning) для проверки соответствия конфигурации целевого хоста/приложения (например, программного обеспечения и версии) цели конкретного эксплойта, а также сбора информации о запущенном программном обеспечении и номерах версий с помощью баннеров сервера, прослушиваемых портов или других сетевых артефактов.
2. Сбор информации о хостах жертвы (Gather Victim Host Information), которая может быть получена различными способами, например, напрямую с помощью активного сканирования или фишинга. Злоумышленники также могут взломать сайты и включить вредоносный контент для сбора информации о посетителях. Информация о хостах может включать такую информацию, как: имя хоста, IP-адрес, функциональные возможности, особенности конфигурации. В конечном итоге злоумышленник собирает информацию о следующих компонентах инфраструктуры жертвы: 
  • аппаратном обеспечении (Hardware),
  • программном обеспечении (Software),
  • прошивке (Firmware),
  • конфигурации клиента (Client Configurations).
3. Сбор информации, удостоверяющей жертву (Gather Victim Identity Information), которая может содержать различные детали, включая личные данные (например, имена сотрудников, адреса электронной почты и т. д.), а также конфиденциальные данные. Полученная злоумышленником информация должна включать:
  • учетные данные (Credentials),
  • адреса электронной почты (Email Addresses),
  • имена сотрудников (Employee Names).
4. Сбор информации о сети жертвы (Gather Victim Network Information), которая может включать множество деталей о сетевых компонентах инфраструктуры жертвы, в том числе административные данные (например, диапазоны IP-адресов, доменные имена и т. д.). На данном этапе злоумышленник приходит к четкому пониманию топологии сети жертвы и знает информацию о:
  • свойствах домена (Domain Properties), включая полную информацию о домене (имя, регистратор и т. д.) и регистранте (адреса электронной почты и телефонные номера);
  • DNS, включая зарегистрированные серверы имен, а также записи, описывающие адресацию для поддоменов, почтовых серверов и других хостов;
  • сетевых доверительных зависимостях (Network Trust Dependencies), в частности о сторонних организациях/доменах (например, поставщики услуг, подрядчики и т. д.), которые имеют (и потенциально повышают) доступ к сети жертвы;
  • топологии сети (Network Topology), включая физическое и/или логическое расположение как внешней, так и внутренней сетевой инфраструктуры, совместно со сведениями о сетевых устройствах (шлюзы, маршрутизаторы и т. п.) и многим другим.
  • IP-адресах (IP Addresses), которые могут позволить злоумышленнику получить сведения о размере атакуемой организации, физическом местоположении, интернет-провайдере и размещении общедоступной инфраструктуры жертвы;
  • устройствах сетевой безопасности (Network Security Appliances), включая информацию о наличии и особенностях развернутых средств защиты.
5. Сбор информации об организации жертвы  (Gather Victim Org Information), включая названия подразделений/отделов, особенности бизнес-операций, а также роли и обязанности ключевых сотрудников. На данном этапе злоумышленник сосредоточен на:
  • деловых отношения (Business Relationships), включая отношения со сторонними организациями для выявления информации, которая может раскрыть цепочки поставок и пути доставки аппаратных и программных ресурсов жертвы;
  • определении физического местоположения (Determine Physical Locations), в частности местонахождение ключевых ресурсов и инфраструктуры, чтобы среди прочего определить, в какой правовой юрисдикции действует жертва;
  • определении бизнес-темпа (Identify Business Tempo), включая режим работы, время/дату покупки и доставки аппаратных и программных средств жертве;
  • определении роли (Identify Roles), включая информацию о бизнес-ролях и идентифицирующую информацию для ключевого персонала, а также данные/ресурсы, к которым у них есть доступ.
6. Фишинг для получения информации  (Phishing for Information) для сбора данных от жертвы, а не выполнения вредоносного кода и заражения вредоносным ПО. Другими словами, это попытка обманом получить от жертвы конфиденциальную информацию, учетные данные или другую полезную информацию посредством:
  • сервисов целевого фишинга (Spearphishing Service), в том числе с помощью различных социальных сетей, личной почты и других служб, не контролируемые целевой организацией;
  • вложений целевого фишинга (Spearphishing Attachment), включающих прикрепленный к электронному письму файл с тем посылом, что получатель заполнит информацию и вернет файл;
  • ссылки целевого фишинга (Spearphishing Link), добавляемые в электронные письма и сопровождаемые текстом социальной инженерии, чтобы убедить жертву активно щелкнуть по ней или перейти в браузере.
7. Поиск в закрытых источниках (Search Closed Sources), включая информацию о жертве из частных источников, баз данных, платных подписок и, если потребуется, темной стороны интернета. В основном злоумышленник сосредоточен на данных, которые можно приобрести следующим образом:
  • у поставщиков данных киберразведки (Threat Intel Vendors), которые могут предлагать платные каналы или порталы, предлагающие больше данных, чем сообщается в публичных источниках;
  • покупка технических данных (Purchase Technical Data) в надежных частных источниках и базах данных (платные подписки на каналы баз данных сканирования или другие службы агрегирования данных) для сбора различных технических деталей, включая, помимо прочего, контактную информацию сотрудников, учетные данные или особенности инфраструктуры жертвы.
8. Поиск в открытых технических базах данных  (Search Open Technical Databases), включая информацию из онлайн баз данных и репозиториев, оставляемую при регистрации доменов/сертификатов, а также из общедоступных коллекций сетевых данных/артефактов, собранных из трафика и/или сканирования. На данном этапе злоумышленник использует следующие ресурсы:
  • WHOIS для получения информации о зарегистрированном домене, такую ​​как назначенные диапазоны IP-адресов, контактную информацию и имена DNS-серверов;
  • DNS/пассивный DNS, включая зарегистрированные серверы имен, а также записи, описывающие адресацию для поддоменов, почтовых серверов и других хостов, более того, злоумышленники могут искать чувствительные данные из DNS путем поиска неправильных конфигураций/утечек DNS, которые раскрывают информацию о внутренних сетях;
  • цифровые сертификаты (Digital Certificates), выдаваемые центром сертификации и содержащие информацию о зарегистрированной организации, а также доменах, которые используют сертификат;
  • сети доставки контента (CDNs), отвечающие за балансировку нагрузи и позволяющие организациям настраивать доставку контента в зависимости от географического региона отправителя запроса;
  • публичные базы данных (Scan Databases) или онлайн-сервисы, которые публикуют результаты интернет-сканирования/опросов, часто собирая такую ​​информацию, как активные IP-адреса, имена хостов, открытые порты, сертификаты и даже баннеры сервисов. 
9. Поиск по открытым веб-сайтам/доменам  (Search Open Websites/Domains) для выявления чувствительной информации о жертве с помощью:
  • социальных медиа (Social Media),
  • поисковых систем (Search Engines).
10. Поиск на сайтах, принадлежащих жертве (Search Victim-Owned Websites), для выявления информации о названиях отделов/подразделений, физическом местонахождении и данных о ключевых сотрудниках (имена, роли и контактную информацию).
Разработка ресурсов (Resource Development)
1. Подготовка инфраструктуры (Acquire Infrastructure). В данный процесс может входить покупка или аренда инфраструктуры, в роли которой могут выступать физические или облачные серверы, домены и сторонние веб-службы. Использование одного из следующих инфраструктурных решений или их совместное использование позволяет злоумышленнику подготовиться к кибератаке:
  • домены (Domains),
  • DNS-сервер (DNS Server),
  • виртуальный частный сервер (Virtual Private Server),
  • сервер (Server),
  • ботнет (Botnet),
  • веб-сервисы (Web Services).
2. Компрометация аккаунтов  (Compromise Accounts). Для операций, включающих социальную инженерию, может иметь значение использование онлайн-образа сотрудника организации и доверенного лица. Вместо того, чтобы создавать учетные записи, злоумышленники могут скомпрометировать существующие. Использование существующего аккаунта может вызвать определенный уровень доверия у потенциальной жертвы. Основное внимание злоумышленник уделяет следующим учетным записям:
  • аккаунты в социальных сетях (Social Media Accounts),
  • учетные записи электронной почты (Email Accounts).
3. Компрометация инфраструктуры  (Compromise Infrastructure). Прежде чем скомпрометировать инфраструктуру жертвы, злоумышленники могут получить доступ к сторонней инфраструктуре, которую можно использовать во время кибератаки. Инфраструктурные решения включают физические или облачные серверы, домены и сторонние веб-службы. Вместо того, чтобы покупать или арендовать инфраструктуру, злоумышленник может использовать ее на других этапах жизненного цикла кибератаки. Кроме того, злоумышленники могут взломать множество машин, чтобы сформировать ботнет. В любом случае, злоумышленник  может скомпрометировать такие компоненты инфраструктуры, как:
  • домены (Domains),
  • DNS-сервер (DNS Server),
  • виртуальный частный сервер (Virtual Private Server),
  • сервер (Server),
  • ботнет (Botnet),
  • веб-сервисы (Web Services).
4 . Развитие возможностей (Develop Capabilities). Как правило, это процесс определения требований к разработке и созданию решений для поддержки своих операций, таких как:
  • вредоносное ПО (Malware),
  • сертификаты подписи кода (Code Signing Certificates),
  • цифровые сертификаты (Digital Certificates),
  • эксплойты (Exploits).
5. Создание учетных записей (Establish Accounts). Злоумышленники могут создавать учетные записи, которые будут использоваться для создания образа в дальнейших операциях. Кроме того, злоумышленнику необходимо войти в доверие, которое подразумевает развитие общественной информации, присутствия, истории и соответствующей принадлежности. Эта разработка может быть применена к социальным сетям, веб-сайтам или другой общедоступной информации, на которую можно ссылаться и проверять на законность в ходе операции с использованием этого персонажа или личности. В ходе данного этапа злоумышленник создает следующие учетные записи:
  • аккаунты в социальных сетях (Social Media Accounts),
  • учетные записи электронной почты (Email Accounts).
6. Получение возможностей  (Obtain Capabilities). Вместо того, чтобы развивать собственные возможности внутри целевой организации, злоумышленники могут воспользоваться следующими средствами в отношении жертвы:
  • вредоносным ПО (Malware),
  • инструментами (Tool),
  • сертификатами подписи кода (Code Signing Certificates),
  • цифровыми сертификатами (Digital Certificates),
  • эксплойтами (Exploits),
  • уязвимостями (Vulnerabilities).
Приведенная структура фиксирует TTPs, используемые злоумышленником для выбора цели, получения информации и запуска остальных этапов kill chain. Здесь важно разделять APT-атаку (целенаправленную кибератаку) и традиционную (массовую) кибератаку, ведь очевидно, что для первого вида в том или ином виде характерны вышеописанные шаги подготовки к кибератаке. 
Что касается традиционной кибератаки, то этап подготовки злоумышленника, как правило, сводится к пассивной и активной разведке, включающей: 
  • поиск информации в открытых источниках о сотрудниках и компонентах инфраструктуры жертвы; 
  • поиск точек входа в корпоративную сеть жертвы; 
  • определение сервисов, запущенных на каждом хосте и их версий, а также используемых средств защиты. 
Под точками входа в корпоративную инфраструктуру при этом можно понимать следующее: 
  • корпоративные ресурсы на сетевом периметре; 
  • рабочие станции, компьютеры личного пользования или мобильные устройства сотрудников, используемые для входа в корпоративную инфраструктуру; 
  • учетные данные сотрудников к различным корпоративным и личным ресурсам.
С другой стороны, абсолютно неважно какой кибератаке может подвергнуться ваша организация, ведь ее можно предотвратить или минимизировать на подготовительной стадии. Злоумышленники могут и будут оставлять следы своей деятельности в ходе подготовительного этапа кибератаки. 
Целью специалистов по информационной безопасности является выявление данных следов, недопущение успешного проведения вышеописанных операций и подавление кибератаки на этапе подготовки и тестирования.
На основе вышесказанного напрашивается только один вывод - как в случае APT-атаки, так и в случае массовой кибератаки, злоумышленник выполняет совокупность операций перед кибератакой, успех которых формирует общий успех кибероперации. 
Понимание применяемых злоумышленником TTPs минимизирует возможность успешной кибератаки и обеспечивает специалистов по информационной безопасности более широким контекстом относительно действий злоумышленника.
В следующей статье рассмотрим, какие инструменты использует злоумышленник в ходе подготовки к кибератаке, и с помощью каких средств и методов можно на ранней стадии минимизировать последствия кибератаки и обнаружить нелегитимную активность со стороны злоумышленника.

Кибератака ИБ