Hedefli saldırılar. Sıfır gün tehditleri ve hedefli saldırılar

29.03.2013, Cum, 13:03, Moskova saati

Gelişmiş kalıcı tehditlerde (APT) kullanılan kötü amaçlı yazılımlar sürekli olarak gelişmektedir. Artık genellikle iş istasyonlarını ve çıkarılabilir medyayı takip ederek ağlara gizlice sızabiliyorlar. Günümüzde işyerleri giderek mobil hale geldikçe ve kurumsal BT güvenlik altyapısının kontrolü dışına çıktıkça, sorun daha da yoğunlaşıyor.

Böyle bir tehdidin örneği, İran enerji sektörüne saldıran ve şu anda Orta Doğu'ya yayılan yeni bir siber savaş silahı olan Alev solucanıdır. Kaspersky Lab uzmanları tarafından keşfedilen Flame1 kötü amaçlı yazılımı "tüm zamanların en karmaşık tehditlerinden biri" olarak biliniyor. Alev virüsünün aslında İran'ın nükleer programını sabote etmesi planlansa da güvenlik uzmanlarının aklını hâlâ meşgul ediyor. Gerçek şu ki virüs artık hedef altyapının ötesine yayılarak dünya çapındaki kurumsal sistemlere bulaşıyor.

Bunun öncülü, İran'ın uranyum zenginleştirme santrifüjlerini kontrol eden denetleyici kontrol ve veri toplama (SCADA) sistemlerini etkilemek ve bozmak için özel olarak tasarlanmış Stuxnet virüsüydü. Bu kötü niyetli programın başarısı, yaratıcılarının beklentilerini aştı: ekipman, kendi kendini yok etme yönünde kontrolsüz bir çalışma moduna geçti. Ne yazık ki Stuxnet İran hedeflerinin ötesine de yayılarak bulaşmaya başladı. SCADA sistemleri Almanya'da ve ardından dünyanın diğer ülkelerinde.

Hem Flame hem de Stuxnet karmaşık hedefli tehditlerdir. Bunlar hükümetler, teröristler ve iyi finanse edilen siber suç örgütleri tarafından kontrol edilen askeri operasyonlara yönelik yeni nesil silahlardır. Faaliyetlerini gizlemek için çeşitli özelliklerle donatılmış bu kötü amaçlı yazılımlar öncelikle fikri mülkiyeti, askeri planları ve diğer değerli kurumsal varlıkları çalmayı hedefliyor.

Ancak bu savaşın en muhtemel kurbanları, uç noktaları korumak için kapsamlı bir güvenlik altyapısı kurmadıkları takdirde kendilerini çapraz ateşin ortasında bulacak olan orta ve küçük işletmeler olacak. Orta ölçekli ve büyük şirketlerin göreceli anonimliğin tadını çıkarabildiği veya güvenlik özelliklerinden mahrum kaldığı günler geride kaldı. Karmaşık, hedefli tehditler ve sıfır gün saldırıları her yerde yaygınlaşıyor ve acımasız hale geliyor.

Tehditlerin evrimi

Bir zamanlar tehditler toplu halde gönderiliyordu, genellikle de e-posta. Kurban, denizaşırı bir finansörden veya uzun süredir kayıp bir akrabadan geldiği iddia edilen bir kimlik avı mesajıyla tuzağa düşürüldü. Bu tehditler potansiyel olarak tehlikeli olmasına rağmen, ayrım gözetmeksizin gönderiliyordu. Ayrıca bunlar tespit edilip önlenebilir. temel fonlar güvenlik. Bu tür saldırılar internete hakim olmaya devam ediyor. Ancak son zamanlarda tehditlerin karmaşıklık düzeyi önemli ölçüde arttı: karmaşık hedefli tehditler ve sıfır gün saldırıları artık daha yaygın hale geliyor ve kullanıcılar arasında korku ve endişe yaratıyor.

Geçtiğimiz birkaç yılda, karmaşık hedefli tehditleri kullanan en yüksek profilli saldırılar, en inanılmaz senaryoları bile gölgede bıraktı. Aurora Operasyonu: Google'a saldırı. 2009 yılında Çin menşeli bu saldırı Windows'taki güvenlik açıkları üzerinden gerçekleşti. İnternet Explorer teslim alındı kaynak ve Google'ın ve diğer 30 küresel şirketin diğer fikri mülkiyet türleri.

RSA'ya saldırı. Güvenlik çözümleri sağlayıcısının güvenilirliğinden gurur duyduğu, şirketin önde gelen teknolojisi SecurID anahtarlarına yönelik bu hack saldırısı sayesinde, siber suçlular 2011 yılında ABD askeri yüklenicilerinin sistemlerine sızmayı başardı: Lockheed Martin, Northrop Grumman ve L3 Communications.

Oak Ridge Ulusal Laboratuvarı. Yöneticiler, bir kimlik avı saldırısının sunucudan hassas verileri sızdırdığını fark ettiğinde Enerji Bakanlığı laboratuvarının çevrimdışı duruma getirilmesi gerekti.

GhostNet. 103 ülkede 1.295 virüslü bilgisayardan oluşan bu siber casusluk ağı, Tibet bağımsızlık hareketinin bir dizi destekçisinin yanı sıra yerel bakanlıklar, dışişleri komisyonları, elçilikler, uluslararası ve sivil toplum kuruluşları da dahil olmak üzere diğer büyük kuruluşları hedef aldı.

ShadyRat. Bu yüksek profilli kampanyanın bir parçası olarak, dünya çapında 14 ülkedeki devlet kurumlarının, kar amacı gütmeyen kuruluşların ve büyük işletmelerin ağları hacklendi ve toplam 70 kuruluş etkilendi.

Ana Özellikler

Günümüzde gelişmiş hedefli tehditler ve sıfır gün saldırıları bir arada yürüyor ve medyada geniş yer buluyor. Peki bunlar nelerdir ve Truva atları veya solucanlar gibi tehditlerden nasıl farklıdırlar?

Bunların sıradan amatör saldırılar olmadığını rahatlıkla söyleyebiliriz. Adından da anlaşılacağı gibi, bu tür tehditler, gizli veya gizli bilgileri elde etmek amacıyla belirli kuruluşlara yönelik hedefli saldırılar için çeşitli yöntem ve vektörlerin yanı sıra ileri teknolojilerin temelinde de çalışır.

Karmaşık hedefli tehditlerin yaratıcıları, SQL saldırıları başlatan komut dosyası çocuk tehdit yazarlarından veya botnet'leri en yüksek teklifi verene kiralayan ortalama kötü amaçlı yazılım yazarından çok farklıdır. yüksek fiyat. Tipik olarak, bu tür gelişmiş tehditler, çeşitli istihbarat toplama teknolojilerine sahip uzmanlardan oluşan ekiplerin emrinde olduğu büyük, organize sendikalar tarafından planlanır. Bu tehditler yavaş yavaş, sessizce işlediği ve izlerini gizleyebildiği için siber suçlular, düşman hükümetler, teröristler ve suç örgütleri tarafından giderek daha fazla tercih ediliyor.

Çalışma planı

Karmaşık hedefli tehditlerde, siber suçlular, saldırının ikinci aşamasını gerçekleştirmeye yardımcı olacak kişiselleştirilmiş bilgileri elde etmek için kötü amaçlı yazılım kullanır. Bundan sonra, organizasyonun en zayıf noktası olan son kullanıcı üzerinden sızmayı amaçlayan bireysel sosyal mühendislik teknolojileri kullanılır.

Saldırının bu aşamasında hedefler istenilen hesaplara erişimi olan kişilerdir. Bu, İK'dan veya başka bir güvenilir kaynaktan geldiği iddia edilen ikna edici mektupların kullanılmasını içerir. Böyle bir mektuba dikkatsiz bir tıklamayla siber suçlular örgütün en değerli bilgilerine serbestçe erişebilir, ancak kimse bundan şüphelenmez bile. Sisteme erişim sağlayan karmaşık hedefli tehdit, çeşitli Truva atlarını, virüsleri ve diğer kötü amaçlı programları kullanır. Ağa bulaşırlar ve iş istasyonlarında ve sunucularda süresiz olarak kalabilecek birçok "arka kapı" oluştururlar. Bunca zaman boyunca tehdit, belirli bir hedefi bulmak için fark edilmeden bir bilgisayardan diğerine geçiyor.

Sıfır gün istismarları

Sıfır gün istismarları, karmaşık hedefli tehditler için her zaman favori araçtır. Bu akılda kalıcı ad, satıcı bunları düzeltmeden veya hatta bunların varlığını bilmeden önce programlardaki güvenlik açıklarından yararlanan tehditlerin özünü yakalar. Böylece, ilk saldırı ile düzeltme arasında - "sıfır gün" - bir günden az bir süre geçer. Sonuç olarak, siber suçlular tam bir hareket özgürlüğüne sahiptir. Misilleme korkusu olmadan, bilinen bir savunması olmayan bir saldırıdan yararlanırlar.

Sıfır gün güvenlik açıklarından yararlanan kötü amaçlı yazılımlar, bir kuruluşa fark edilmeden ciddi zararlar verebilir. Kaynak kodu, fikri mülkiyet, askeri planlar, savunma sanayi verileri ve casuslukta kullanılan diğer hükümet sırları gibi korunan bilgileri çalmayı amaçlıyorlar. Bir kuruluşun bir saldırıyı öğrenmesi PR departmanı için bir kabusa dönüşür. Zarar milyonları buluyor: Sonuçta sadece güvenlik altyapısını denetlemek değil, aynı zamanda yasal masrafları da ödemek ve müşteri çıkışının sonuçlarıyla baş etmek gerekiyor. İtibarı ve müşteri güvenini yeniden tesis etmek için ne kadar çaba, zaman ve para harcandığından bahsetmiyorum bile.

Karmaşık hedefli tehditler ve sıfır gün istismarları yeni olgulardan çok uzaktır. İlk kez birkaç yıl önce, bu terimlerin güvenlik profesyonellerinin diline girmesinden çok önce kullanıldılar. Şimdiye kadar birçok kuruluş, birkaç ay (ve bazen yıllar) önce gizli bir "sıfır gün" saldırısının kurbanı olduklarının farkında bile değil. Verizon'un Veri Güvenliği İhlali Raporu'na göre bu fikri mülkiyet ihlallerinin %2,44'ü yıllar sonra fark edilebiliyor.

Konuya ilişkin örnek: Christian Science Monitor3 tarafından 2008 yılında yayınlanan bir rapor, üç petrol şirketinin (ExxonMobil, Marathon Oil ve ConocoPhilips) karmaşık hedefli tehditler kullanılarak gerçekleştirilen hedefli siber saldırıların kurbanı olduğunu ortaya çıkardı. Siber suçlular, Çin kaynaklı olduğuna inanılan saldırılarda, dünyada keşfedilen petrol sahalarının sayısı, değeri ve konumuna ilişkin kritik bilgileri uzaktaki bir sunucuya yüklediler. Ancak şirkete yapılan saldırının gerçeği, ancak FBI'ın kendilerinden gizli bilgilerin çalındığını bildirmesinin ardından ortaya çıktı.

2011 yılına gelindiğinde, karmaşık hedefli tehditler haklı olarak güvenlik tehditleri arasında ilk sıralarda yer aldı. Sonuçta Sony, Epsilon, HBGary, DigiNotar gibi şirketler bu yıl büyük kayıplar yaşadılar yüzünden. Tek kullanımlık şifrelerle neredeyse 40 milyon dosyayı kaybeden RSA'dan bahsetmiyorum bile. elektronik anahtarlar. Toplamda, RSA4 güvenlik arızası şirkete yaklaşık 66 milyon dolara mal olurken, Sony5'in 100 milyon kayıt kaybından kaynaklanan kaybı 170 milyon doları buldu.

2011 yılı sonunda en az 535 veri güvenliği ihlali yaşandı ve 30,4 milyon kayıt kaybı yaşandı. Privacy Rights Clearinghouse'un raporuna göre, bu yıl pek çok şirket bir dizi sansasyonel saldırının kurbanı oldu. Ve bu, bilinen ihlallerin yalnızca küçük bir kısmı, çünkü her yıl tespit edilemeyen veya açıklanmayan binlerce güvenlik ihlali yaşanıyor.

Karmaşık hedefli tehditlere karşı savunma yapmak mümkün ve gereklidir. Koruma yöntemleri “Karmaşık hedefli tehditler: korumanın sağlanması” makalesinde ele alınacaktır.

Hedefli saldırılar ilk kez 2009 yılında dünya kamuoyunda aktif tartışmaların konusu haline geldi. Daha sonra Stuxnet saldırısı öğrenildi. Belki de hedefli siber saldırıların yakın tarihinin başladığı yer burasıdır diyebiliriz. Bu tür siber suçların ne olduğu ve bu tür saldırıların nasıl ortaya çıkabileceği hakkında daha fazla bilgiyi materyalimizde daha ayrıntılı olarak okuyabilirsiniz.
1. Hedefli saldırılar nelerdir?
Hedefli (veya amaçlı) saldırılar, belirli bir devlete veya devlet dışı kuruluşa veya kuruluşa karşı önceden planlanmış eylemlerdir. Kural olarak, hedefli saldırılar gerçekleştiren siber suçlular profesyoneldir ve talep üzerine araba çalan geleneksel saldırganlarla karşılaştırılabilirler: Belirli bir hedefleri vardır, onları başarılı bir şekilde atlatmak için arabanın güvenlik önlemlerini incelerler.
Günümüzde bilgisayar korsanlarının faaliyetleri, geleneksel iş dünyasının giderek daha fazla özelliğini kazanıyor. Rusya pazarında bir tür “karaborsa” var - gölge şemaları ve satış yerleri yazılım Bir şirketin BT altyapısına saldırmak için gerekli. İnternette kolayca bulunabilecek sabit fiyatlar vardır.
Halihazırda kurulmuş ürün gruplarını bile bulabilirsiniz: Siber suçlu "şirketler" satış hunisini genişletiyor, çeşitli hedef segmentleri dikkate alarak bireysel çözüm değişiklikleri hazırlıyor. Botnet'lerin fiyatları mevcut ve Truva atlarının yeni sürümleri aktif olarak duyuruluyor. Hedefli saldırıyı bir hizmet olarak bile satın alabilirsiniz. Siber saldırganlar, yine aktif olarak duyurulan kendi gelişim planlarını oluştururlar.
InfoWatch ürün geliştirme müdürü Andrey Arefiev, "Duyurular genellikle kapalı kaynaklarda yapılıyor" diyor. – Ancak yine de modern botnet sektörünün tam teşekküllü ticari ürünlerin tüm özelliklerine sahip olduğunu söyleyebiliriz. Bağımsız araştırmalara göre botnet oluşturmak için kullanılan araçların sayısı son yıllarda on kat arttı.
Ayrıca son yıllarda saldırıların doğası önemli ölçüde değişti: çok karmaşık hale geldiler. Günümüzün saldırıları daha da dallı hale geldi: Saldıran taraf şirketin kendi altyapısına uyum sağlamaya ve saldırıyı mümkün olduğu kadar görünmez hale getirmeye çalışıyor. Saldırı ya mümkün olduğu kadar geç tespit edilmeli ya da hiç tespit edilmemelidir. Bu nedenle, bu tür saldırılar, kural olarak, zamanla yayılır ve yalnızca aktif olarak kendilerini gösterme zamanı geldiğinde fark edilir hale gelir.
BT altyapısına yönelik hedefli saldırılar aşağıdaki özelliklere sahiptir:
џ Şirketin sahip olduğu güvenlik sistemini inceliyorlar ve onu atlıyorlar.
џ Saldırıların doğası daha çok aşamalı hale geldi: sekreterin bilgisayarında başlayabilirler ve nihai hedef muhasebecinin bilgisayarı olacaktır; örneğin, saldırganların görevi oraya kötü amaçlı yazılım yüklemek olabilir.
- Gibi ara toplamŞirketin BT altyapısına yönelik görünür bir saldırı belirtisi görmüyorsanız bu, saldırıya uğramadığı anlamına gelmediğini belirtmekte yarar var" diye özetliyor Andrey Arefiev.
2. Hedefli saldırı örnekleri.
Bir dizi açık kaynağa göre, bir Truva atı virüsü programını uygulamaya koymanın “giriş noktası” genellikle sadakatsiz şirket çalışanlarının içeriden öğrenen faaliyetleridir. Benzer bir örneği yakın geçmişte İran'da da görmek mümkündü.
Bu saldırının asıl amacı İran'ın nükleer programını kontrol altına almaktı. Bilindiği kadarıyla, zenginleştirme nükleer santrifüjleri egemen bir devlet tarafından kontrol ediliyordu ve bazı tesisler acil durum moduna geçiriliyordu. Santrifüjler hızla bozuldu ve onları onarmak zaman ve para gerektirdi, bu nedenle uranyum zenginleştirmesi gecikti. Öğrendiğimize göre bu saldırı önceden planlanmış, uzun bir sürede gerçekleştirilmiş ve gerçekleştirilmiştir.
Saldırının amacı ekipman çalmak değil, endüstriyel tesisleri kontrol altına almaktı. Birisi bir nükleer santrali kontrol etmeye başlarsa neler olabileceğini hayal etmek korkutucu: onu acil durum moduna geçirmek, en azından ikinci bir Çernobil tehlikesiyle karşı karşıya...
Ancak saldırganların hedefi yalnızca stratejik açıdan önemli tesisler ve büyük devlet kurumları değildir. Son zamanlarda bir ticari organizasyonun sahibi bunu bizzat görme fırsatı buldu. İletişim açıklarını kullanarak şirketin sunucusuna virüs bulaştırmaya çalıştılar; şirketin sahibi yalnızca muhasebecinin bilgisayarına saldırıldığı için şanslıydı.
Kötü amaçlı yazılım, elde etmenizi sağlayan bir programdır. Yetkisiz Erişim güvenlik açıklarını kullanarak gizli bilgilere erişim. Bu tür programlar genellikle bir kurumsal ağa birincil erişim elde etmek için kullanılır. Tipik olarak sistem enjeksiyonu, sistem yeniden başlatıldığında verilere erişim anlamına gelir. Yürütülebilir modülün "kaydı", onu her seferinde yeniden başlatmaktır.
Kötü amaçlı yazılım, yalnızca çalışanın kötü niyetinden dolayı değil, aynı zamanda bilgisayar korsanları tarafından kullanılan sosyal mühendislik sonucunda da bir şirket çalışanının bilgisayarına bulaşabilir (örneğin, bir siber suçlu, kurbandan belirli bir bağlantıyı takip etmesini veya üçüncü bir bağlantıyı ziyaret etmesini isteyebilir). parti kaynağı).
Sonuç olarak kurban saldırıya açık hale gelir ve saldırganlar da erişim kazanır. işletim sistemiçalışanın iş bilgisayarı. Artık koşabilirsin kötü amaçlı dosyalar daha sonra kuruluşun bilgisayarları üzerinde kontrol sahibi olmak için. Yukarıda listelenen eylemlere “sıfır gün saldırıları” denir.
3. En sık hangi veriler çalınır?
Bu büyük ölçüde şirketin profiline bağlıdır. Bilgisayar korsanlarının hedefi endüstriyel sırlar ve kapalı plan, ödeme ve kişisel verilerdeki stratejik gelişmeler olabilir. Araştırmaya göre katılımcıların %63'ünün şirketlerine yönelik hedefli bir saldırının sadece an meselesi olduğunu anlaması ilginçtir.
Hedefli saldırıları belirleme yöntemleri:
1. İmza analizi.
İmza analizi yapmak, analistlerin virüs bulaşmış bir dosyaya sahip olduğu anlamına gelir. Böyle kötü amaçlı bir programı incelemek, imzasını (dijital parmak izi) kaldırmanıza olanak tanır. İmza veritabanına girildikten sonra, yalnızca imzaları karşılaştırarak dosyanın bu virüsün bulaşıp bulaşmadığını kontrol edebilirsiniz. İmza analizinin avantajı, bir saldırıyı doğru şekilde teşhis etmenize olanak sağlamasıdır. Eşleşen imzaya sahip bir dosya varsa, bilgisayarın etkilendiğini rahatlıkla söyleyebiliriz.
İmza analizinin birçok avantajı vardır:
џ Yalnızca virüs taraması yapmak için değil aynı zamanda sistem trafiğini filtrelemek için de kullanılabilir.
џ Ağ geçidine "oturabilir" ve belirli doğrulanmamış imzaların varlığını izleyebilirsiniz.
џ Saldırılara karşı teşhis sistemlerini büyük bir doğrulukla uygulamanıza olanak tanır.
İmza analizinin önemli bir dezavantajı imza veri tabanının güncellenmesi ihtiyacıdır. Çoğu şirket imza veritabanını her 15 dakikada bir güncellemek zorunda kalıyor. Aynı zamanda her yarım saatte bir yeni virüs. Daha sonra uzun bir kayıt ve çalışma süreci gelir ve ancak bundan sonra imza veritabanına girilir. Şu ana kadar şirket yeni virüse karşı savunmasız durumdaydı.
Daha önce tanımlanan kötü amaçlı yazılımları incelemenin başka bir yöntemi de buluşsal analiz.
Sezgisel analizin işlevi, yürütülebilir kodu, virüslerin etkinliğinin özelliği olan şüpheli etkinliğin varlığı açısından kontrol etmektir. Bu teknik iyidir çünkü herhangi bir veri tabanının alaka düzeyine bağlı değildir. Ancak sezgisel analizin dezavantajları da vardır.
Tüm önemli antivirüslerin herkes tarafından bilinmesi ve kullanıma açık olması nedeniyle, bilgisayar korsanları yazılı yazılımı test edebilir ve bilinen tüm yöntemleri atlayana kadar üzerinde değişiklik yapabilir. antivirüs koruması. Böylece ana sezgisel algoritmaların etkinliği sıfıra indirilir.
Hedefli saldırıları tespit etmenin bir başka yöntemi, geleneksel yeteneklerin yanı sıra trafik filtrelemeye de izin veren yeni nesil güvenlik duvarlarının kullanımını içerir. Güvenlik duvarlarının temel dezavantajı aşırı "şüpheli olmaları"dır; çok sayıda yanlış pozitif üretirler. Ayrıca güvenlik duvarları aldatılabilecek teknolojiler kullanır (korumalı alan oluşturma, buluşsal analiz ve imza analizi).
Uygulamaları başlatmak için kullanılan başka bir koruma yöntemi de vardır. Fikir çok basit: istasyon yalnızca bireysel uygulamaları başlatabilir (buna WhiteListening denir). Dezavantajı ise böyle bir "beyaz listenin" istisnasız kullanıcının ihtiyaç duyabileceği tüm uygulamaları içermesi gerektiğidir. Uygulamada bu yöntem elbette oldukça güvenilirdir ancak iş süreçlerini yavaşlattığı için çok sakıncalıdır.
Andrey Arefiev, son olarak InfoWatch Hedefli Saldırı Dedektörü ürününde kullanılan, dinamik saldırı tespiti için yakın zamanda geliştirilen bir teknolojinin bulunduğunu söylüyor. – Bu teknoloji, saldırganların eylemlerinin kaçınılmaz olarak kurumun BT sistemlerinde değişiklik yapılmasına yol açacağı gerçeğine dayanmaktadır. Bu nedenle InfoWatch çözümü, kuruluşun BT sistemini periyodik olarak tarayarak kritik nesnelerin durumu hakkında bilgi toplar. Alınan veriler geçmiş taramaların sonuçlarıyla karşılaştırılır, ardından anormalliklerin varlığını belirlemek için meydana gelen değişikliklerin akıllı bir analizi gerçekleştirilir. Bilinmeyen kötü amaçlı yazılım tespit edildiğinde, bir şirket analisti, eylemlerini ve kurumsal altyapıya olası zararları analiz etmeye dahil olur.
- Bir saldırıyı hedefli olarak sınıflandırmak hangi aşamada mümkündür?
- Aslında anormallikleri belirlemek, sisteminizde bir sorun olduğunun birincil işaretidir; şirketin saldırı altında olduğunun dolaylı bir işaretidir. Üstelik saldırının mutlaka Kızıl Ekim düzeyinde bir virüs içermesi gerekmiyor. Uygulamada görüldüğü gibi, periyodik olarak daha uzağa gönderilen küçük bir Truva atı yeterlidir. Prensip olarak bu, belirli siber saldırganlara para getirmek için yeterlidir.
Genel olarak, hedefli saldırıların büyük hükümet ve ticari kuruluşların kurumsal politikalarını etkilemek için güçlü bir araç temsil ettiğini belirtmek isterim. Bu nedenle bu tür siber suçlarla sistematik ve dikkatli bir şekilde mücadele etmek gerekiyor.
Grinev Sergey Olegovich, "Güvenlik Teknolojileri" (RB) portalı için

“Hedefli” saldırının ne olduğunu bilmeyenler için lütfen podcast isteyiniz :)

Hedefli saldırı - Bu, saldırıya uğrayan sistemin altyapısında gerçek zamanlı olarak uzaktan manuel olarak kontrol edilen sürekli bir yetkisiz faaliyet sürecidir.

Bu tanımdan yola çıkarak aşağıdaki noktalara dikkatinizi çekerim:
1) Öncelikle süreç tam olarak budur - aktivite zamanla bazı operasyon, ve sadece bir kerelik teknik bir işlem değil.
2) İkincisi, süreç belirli bir altyapıda çalışacak şekilde tasarlanmıştır, belirli güvenlik mekanizmalarının, belirli ürünlerin üstesinden gelmek ve belirli çalışanları etkileşime dahil etmek için tasarlanmıştır.

Saldırganların tamamen farklı hedefler peşinde koşması ve esas olarak ayrı bir hedef üzerinde kontrol sahibi olması durumunda, standart kötü amaçlı yazılımların toplu olarak gönderilmesi yaklaşımında önemli bir farklılık olduğu unutulmamalıdır. bitiş noktası. Hedefli saldırı durumunda ise saldırı mağdurun etrafında kurulur.

Aşağıdaki şekil hedefli bir saldırının dört aşamasını göstermektedir. yaşam döngüsü. Her birinin temel amacını kısaca formüle edelim:

  1. Hazırlık. İlk aşamanın ana görevi bir hedef bulmak, onun hakkında yeterince ayrıntılı özel bilgi toplamak ve buna göre tanımlanmaktır. Zayıf noktalar altyapıda. Bir saldırı stratejisi oluşturun, karaborsada bulunan önceden oluşturulmuş araçları seçin veya gerekli olanları kendiniz geliştirin. Tipik olarak planlı sızma adımları, standart bilgi güvenliği araçları tarafından tespit edilemezlik de dahil olmak üzere kapsamlı bir şekilde test edilecektir.
  2. Penetrasyon - Hedefli bir saldırının aktif aşaması, başlangıçta hedefi etkilemek ve dahili keşif gerçekleştirmek için çeşitli sosyal mühendislik teknikleri ve sıfır gün güvenlik açıkları kullanılarak yapılır. Keşif sonunda ve virüs bulaşan ana bilgisayarın (sunucu/iş istasyonu) kimliği belirlendikten sonra, saldırganın emriyle kontrol merkezi aracılığıyla ek kötü amaçlı kodlar indirilebiliyor.
  3. Yayma- Özellikle kurbanın anahtar makinelerinde olmak üzere altyapının konsolidasyon aşaması. Kontrolünüzü mümkün olduğu kadar genişletin, gerekirse kontrol merkezleri aracılığıyla zararlı kod versiyonlarını ayarlayın.
  4. Hedefe ulaşmak- hedefli bir saldırının anahtar aşaması.
Bazı bilgisayar saldırılarını incelemek amacıyla, bilgisayar saldırılarının bilgi ve telekomünikasyon ağının unsurları üzerindeki etkisini incelemek üzere sanal bir stand geliştirildi.

Bu stand (test alanı) aşağıdakilerden oluşur:

1. bilgi ve telekomünikasyon ağının açık bölümünün modelleri;

2. Bilgi ve telekomünikasyon ağının kapalı bölümünün modelleri.

Simüle edilen ağ birçok bileşenden oluşur.

Açık segmentte, ana bilgisayarlar (PC1–PC7), Cisco 3745 yönlendiricileri (c3745) kullanılarak tek bir ağa bağlanır. Ayrı bölümlerde, ana bilgisayarlar veri iletimi için bir anahtar (SW1) kullanılarak bir ağa bağlanır. Bu şemada anahtar, yönlendiriciden gelen paketin içerdiği bilgilere dayanarak yalnızca bir bağlantı noktasından diğerine veri iletir.

Kapalı bir ağ kesiminde, kapalı ağ kesimini açık olana bırakacak veri paketlerini şifrelemek için kripto yönlendiriciler kullanılır. Bir saldırgan bu ağdan iletilen veri paketlerine müdahale etmeyi başarırsa, bu verilerden yararlı bilgiler çıkaramayacaktır.

Bilgi ve telekomünikasyon ağı segmentinin bir parçası olan Windows XP, saldırı altındaki nesne olarak seçildi. Bu sistem“Real Network Output” bulutuna IP adresiyle bağlı: 192.168.8.101

Neyse keşfetmeye başlayalım. yerel ağ elemanları belirlemek için bilgisayar ağı daha sonraki sömürü için. Netdiscovery'yi kullanalım.

Saldırıya uğrayan ağın olası açıklarını bulmak için tarama yapalım bu ağ ağ araştırması ve güvenlik testi için bir yardımcı program kullanma - Nmap (“NetworkMapper”).

Tarama sırasında sistemin çalıştığını öğrendik. açık bağlantı noktaları, potansiyel güvenlik açıklarını temsil eder.
Örneğin, 445/TCPMICROSOFT-DS - kullanılan Microsoft Windows 2000 ve sonraki sürümler NetBIOS kullanmadan doğrudan TCP/IP erişimi için (örneğin, Active Directory'de). Bu portu sisteme erişim sağlamak için kullanıyoruz.

Şimdi Metasploit kullanarak bir ağ saldırısı gerçekleştiriyoruz. Bu araç simüle etmenizi sağlar ağ saldırısı ve ayrıntılı bir rapor oluşturarak sistem açıklarını belirleyin, IDS/IPS'nin etkinliğini kontrol edin veya yeni güvenlik açıkları geliştirin.


Exploit işe yarayacaktır ancak istismar işe yaradıktan sonra ne olacağını belirtmeniz gerekir. Bunu yapmak için, kabuk kodunu açalım ve onu bir istismar yükü olarak kullanalım, böylece bilgisayar sistemindeki bir komut kabuğuna erişim sağlayalım.

LHOST'ta saldırının gerçekleştirileceği sistemin IP adresini belirtiyoruz.

Hedefli saldırılar ilk kez 2009 yılında dünya kamuoyunda aktif tartışmaların konusu haline geldi. Daha sonra Stuxnet saldırısı öğrenildi. Belki de hedefli siber saldırıların yakın tarihinin başladığı yer burasıdır diyebiliriz. Bu tür siber suçların ne olduğu ve bu tür saldırıların nasıl ortaya çıkabileceği hakkında daha fazla bilgiyi materyalimizde daha ayrıntılı olarak okuyabilirsiniz.

Hedefli saldırılar nelerdir?

Hedefli (veya amaçlı) saldırılar, belirli bir devlete veya devlet dışı kuruluşa veya kuruluşa karşı önceden planlanmış eylemlerdir. Kural olarak, hedefli saldırılar gerçekleştiren siber suçlular profesyoneldir ve talep üzerine araba çalan geleneksel saldırganlarla karşılaştırılabilirler: Belirli bir hedefleri vardır, onları başarılı bir şekilde atlatmak için arabanın güvenlik önlemlerini incelerler.

Günümüzde bilgisayar korsanlarının faaliyetleri, geleneksel iş dünyasının giderek daha fazla özelliğini kazanıyor. Piyasada bir tür "karaborsa" var - gölge planlar ve belirli bir şirketin BT altyapısına saldırmak için gerekli yazılımların satıldığı yerler. İnternette kolayca bulunabilecek sabit fiyatlar vardır.

Halihazırda kurulmuş ürün gruplarını bile bulabilirsiniz: Siber suçlu "şirketler" satış hunisini genişletiyor, çeşitli hedef segmentleri dikkate alarak bireysel çözüm değişiklikleri hazırlıyor. Botnet'lerin fiyatları mevcut ve Truva atlarının yeni sürümleri aktif olarak duyuruluyor. Hedefli saldırıyı bir hizmet olarak bile satın alabilirsiniz. Siber saldırganlar, yine aktif olarak duyurulan kendi gelişim planlarını oluştururlar.

InfoWatch ürün geliştirme müdürü Andrey Arefiev, duyuruların kural olarak kapalı kaynaklarda yapıldığını söylüyor. – Ancak yine de modern botnet sektörünün tam teşekküllü ticari ürünlerin tüm özelliklerine sahip olduğunu söyleyebiliriz. Bağımsız araştırmalara göre botnet oluşturmak için kullanılan araçların sayısı son yıllarda on kat arttı.

Ayrıca son yıllarda saldırıların doğası önemli ölçüde değişti: çok karmaşık hale geldiler. Günümüzün saldırıları daha da dallı hale geldi: Saldıran taraf şirketin kendi altyapısına uyum sağlamaya ve saldırıyı mümkün olduğu kadar görünmez hale getirmeye çalışıyor. Saldırı ya mümkün olduğu kadar geç tespit edilmeli ya da hiç tespit edilmemelidir. Bu nedenle, bu tür saldırılar, kural olarak, zamanla yayılır ve yalnızca aktif olarak kendilerini gösterme zamanı geldiğinde fark edilir hale gelir.

BT altyapısına yönelik hedefli saldırılar aşağıdaki özelliklere sahiptir:

  • Şirketin sahip olduğu güvenlik sistemini inceliyorlar ve onu atlıyorlar.
  • Saldırıların doğası daha çok aşamalı hale geldi: Sekreterin bilgisayarında başlayabilirler ve nihai hedef muhasebecinin bilgisayarı olacaktır; örneğin, saldırganların görevi oraya kötü amaçlı yazılım yüklemek olabilir.

Geçici bir sonuç olarak, şirketin BT altyapısına yönelik gözle görülür bir saldırı belirtisi görmüyorsanız, bunun saldırıya uğramadığı anlamına gelmediğini söyleyebiliriz" diye özetliyor Andrey Arefiev.

Hedefli saldırı örnekleri

Bir dizi açık kaynağa göre, bir Truva atı virüsü programını uygulamaya koymanın “giriş noktası” genellikle sadakatsiz şirket çalışanlarının içeriden öğrenen faaliyetleridir. Benzer bir örneği yakın geçmişte İran'da da görmek mümkündü.

Bu saldırının asıl amacı İran'ın nükleer programını kontrol altına almaktı. Bilindiği kadarıyla, zenginleştirme nükleer santrifüjleri egemen bir devlet tarafından kontrol ediliyordu ve bazı tesisler acil durum moduna geçiriliyordu. Santrifüjler hızla bozuldu ve onları onarmak zaman ve para gerektirdi, bu nedenle uranyum zenginleştirmesi gecikti. Öğrendiğimize göre bu saldırı önceden planlanmış, uzun bir sürede gerçekleştirilmiş ve gerçekleştirilmiştir.

Saldırının amacı ekipman çalmak değil, endüstriyel tesisleri kontrol altına almaktı. Birisi bir nükleer santrali kontrol etmeye başlarsa neler olabileceğini hayal etmek korkutucu: onu acil durum moduna geçirmek, en azından ikinci bir Çernobil tehlikesiyle karşı karşıya...

Ancak saldırganların hedefi yalnızca stratejik açıdan önemli tesisler ve büyük devlet kurumları değildir. Son zamanlarda bir ticari organizasyonun sahibi bunu bizzat görme fırsatı buldu. İletişim açıklarını kullanarak şirketin sunucusuna virüs bulaştırmaya çalıştılar; şirketin sahibi yalnızca muhasebecinin bilgisayarına saldırıldığı için şanslıydı.

Kötü amaçlı yazılım, güvenlik açıkları aracılığıyla gizli bilgilere yetkisiz erişime izin veren bir programdır. Bu tür programlar genellikle bir kurumsal ağa birincil erişim elde etmek için kullanılır. Tipik olarak sistem enjeksiyonu, sistem yeniden başlatıldığında verilere erişim anlamına gelir. Yürütülebilir modülün "kaydı", onu her seferinde yeniden başlatmaktır.

Kötü amaçlı yazılım, yalnızca çalışanın kötü niyetinden dolayı değil, aynı zamanda bilgisayar korsanları tarafından kullanılan sosyal mühendislik sonucunda da bir şirket çalışanının bilgisayarına bulaşabilir (örneğin, bir siber suçlu, kurbandan belirli bir bağlantıyı takip etmesini veya üçüncü bir bağlantıyı ziyaret etmesini isteyebilir). parti kaynağı).

Bunun sonucunda mağdur saldırıya açık hale geliyor ve saldırganlar, çalışanın iş bilgisayarının işletim sistemine erişim sağlıyor. Artık kuruluşunuzun bilgisayarları üzerinde daha sonra kontrol sahibi olmak için kötü amaçlı dosyalar başlatabilirsiniz. Yukarıda listelenen eylemlere “sıfır gün saldırıları” denir.

En sık hangi veriler çalınır?

Bu büyük ölçüde şirketin profiline bağlıdır. Bilgisayar korsanlarının hedefi endüstriyel sırlar ve kapalı plan, ödeme ve kişisel verilerdeki stratejik gelişmeler olabilir. Araştırmaya göre katılımcıların %63'ünün şirketlerine yönelik hedefli bir saldırının sadece an meselesi olduğunu anlaması ilginçtir.

Hedefli saldırıları belirleme yöntemleri:

İmza analizi.

İmza analizi yapmak, analistlerin virüs bulaşmış bir dosyaya sahip olduğu anlamına gelir. Böyle kötü amaçlı bir programı incelemek, imzasını (dijital parmak izi) kaldırmanıza olanak tanır. İmza veritabanına girildikten sonra, yalnızca imzaları karşılaştırarak dosyanın bu virüsün bulaşıp bulaşmadığını kontrol edebilirsiniz. İmza analizinin avantajı, bir saldırıyı doğru şekilde teşhis etmenize olanak sağlamasıdır. Eşleşen imzaya sahip bir dosya varsa, bilgisayarın etkilendiğini rahatlıkla söyleyebiliriz.

İmza analizinin birçok avantajı vardır:

  • Yalnızca virüs taraması yapmak için değil aynı zamanda sistem trafiğini filtrelemek için de kullanılabilir.
  • Ağ geçidinde "oturabilir" ve belirli doğrulanmamış imzaların varlığını izleyebilirsiniz.
  • Saldırılara karşı teşhis sistemlerini büyük bir doğrulukla uygulamanıza olanak tanır.

İmza analizinin önemli bir dezavantajı imza veri tabanının güncellenmesi ihtiyacıdır. Çoğu şirket imza veritabanını her 15 dakikada bir güncellemek zorunda kalıyor. Aynı zamanda dünyada her yarım saatte bir yeni bir virüs ortaya çıkıyor. Daha sonra uzun bir kayıt ve çalışma süreci gelir ve ancak bundan sonra imza veritabanına girilir. Şu ana kadar şirket yeni virüse karşı savunmasız durumdaydı.

Daha önce tanımlanan kötü amaçlı yazılımları incelemenin bir başka yöntemi de buluşsal analizdir.

Sezgisel analizin işlevi, yürütülebilir kodu, virüslerin etkinliğinin özelliği olan şüpheli etkinliğin varlığı açısından kontrol etmektir. Bu teknik iyidir çünkü herhangi bir veri tabanının alaka düzeyine bağlı değildir. Ancak sezgisel analizin dezavantajları da vardır.

Tüm önemli antivirüslerin herkes tarafından bilinmesi ve kullanıma açık olması nedeniyle, bilgisayar korsanları yazılı yazılımı test edebilir ve bilinen tüm antivirüs koruma araçlarını atlayana kadar üzerinde değişiklik yapabilir. Böylece ana sezgisel algoritmaların etkinliği sıfıra indirilir.

Hedefli saldırıları tespit etmenin bir başka yöntemi, geleneksel yeteneklerin yanı sıra trafik filtrelemeye de izin veren yeni nesil güvenlik duvarlarının kullanımını içerir. Güvenlik duvarlarının temel dezavantajı aşırı "şüpheli olmaları"dır; çok sayıda yanlış pozitif üretirler. Ayrıca güvenlik duvarları aldatılabilecek teknolojiler kullanır (korumalı alan oluşturma, buluşsal analiz ve imza analizi).

Uygulamaları başlatmak için kullanılan başka bir koruma yöntemi de vardır. Fikir çok basit: istasyon yalnızca bireysel uygulamaları başlatabilir (buna WhiteListening denir). Dezavantajı ise böyle bir "beyaz listenin" istisnasız kullanıcının ihtiyaç duyabileceği tüm uygulamaları içermesi gerektiğidir. Uygulamada bu yöntem elbette oldukça güvenilirdir ancak iş süreçlerini yavaşlattığı için çok sakıncalıdır.

Andrey Arefiev, son olarak InfoWatch Hedefli Saldırı Dedektörü ürününde kullanılan, dinamik saldırı tespiti için yakın zamanda geliştirilen bir teknolojinin bulunduğunu söylüyor. – Bu teknoloji, saldırganların eylemlerinin kaçınılmaz olarak kurumun BT sistemlerinde değişiklik yapılmasına yol açacağı gerçeğine dayanmaktadır. Bu nedenle InfoWatch çözümü, kuruluşun BT sistemini periyodik olarak tarayarak kritik nesnelerin durumu hakkında bilgi toplar. Alınan veriler geçmiş taramaların sonuçlarıyla karşılaştırılır, ardından anormalliklerin varlığını belirlemek için meydana gelen değişikliklerin akıllı bir analizi gerçekleştirilir. Bilinmeyen kötü amaçlı yazılım tespit edildiğinde, bir şirket analisti, eylemlerini ve kurumsal altyapıya olası zararları analiz etmeye dahil olur.

- Bir saldırıyı hedefli olarak sınıflandırmak hangi aşamada mümkündür?

Aslında anormallikleri belirlemek, sisteminizin yanlış gittiğinin birincil işaretidir ve şirketin saldırı altında olduğunun dolaylı bir işaretidir. Üstelik saldırının mutlaka Kızıl Ekim düzeyinde bir virüs içermesi gerekmiyor. Uygulamada görüldüğü gibi, periyodik olarak daha uzağa gönderilen küçük bir Truva atı yeterlidir. Prensip olarak bu, belirli siber saldırganlara para getirmek için yeterlidir.

Genel olarak, hedefli saldırıların büyük hükümet ve ticari kuruluşların kurumsal politikalarını etkilemek için güçlü bir araç temsil ettiğini belirtmek isterim. Bu nedenle bu tür siber suçlarla sistematik ve dikkatli bir şekilde mücadele etmek gerekiyor.

Elena Kharlamova

Kuruluşlar her yıl iş araçlarını geliştirerek yeni çözümler sunarken aynı zamanda BT altyapılarını da karmaşık hale getiriyor. Şimdi şirketin sıkışıp kaldığı bir durumda posta sunucusu, son iş yerlerinden silinir önemli bilgi veya ödeme için fatura oluşturmaya yönelik otomatik sistemin işleyişi bozulursa, iş süreçleri durur.

Bünyamin
Levtsov

Başkan Yardımcısı, Kaspersky Lab Kurumsal Bölüm Başkanı

Nikolay
Demidov

Kaspersky Lab'da bilgi güvenliği teknik danışmanı

artan bağımlılığın farkında otomatik sistemler, iş dünyası da bilgi güvenliğine giderek daha fazla önem vermeye hazır. Dahası, bir bilgi güvenliği sistemi oluşturmanın yolu, belirli bir kuruluştaki duruma - meydana gelen olaylara, belirli çalışanların inançlarına - bağlıdır ve genellikle bireysel bilgi güvenliği alt sistemlerinden "aşağıdan" oluşturulur. genel resim. Sonuç olarak, bilgi güvenliği uzmanlarının şunları yapabileceği, karmaşık ve genellikle her şirket için benzersiz olan çeşitli ürün ve hizmet çalışmalarından oluşan çok aşamalı, türünün tek örneği bir sistem oluşturulur:

  • uç nokta güvenlik sistemlerini kullanarak dosyaları tarayın;
  • ağ geçidi çözümlerini kullanarak e-posta ve web trafiğini filtrelemek;
  • Dosyaların bütünlüğünü ve değişmezliğini izlemek ve sistem ayarları;
  • kullanıcı davranışını izlemek ve normal trafik düzeninden sapmalara yanıt vermek;
  • güvenlik açıkları ve zayıf yapılandırmalar açısından çevreyi ve dahili ağı tarayın;
  • tanımlama ve kimlik doğrulama sistemlerini uygulamak, diskleri şifrelemek ve ağ bağlantıları;
  • yukarıda bahsedilen alt sistemlerden günlükleri ve olayları toplamak ve ilişkilendirmek için bir SOC'ye yatırım yapın;
  • güvenlik düzeyini değerlendirmek için sızma testleri ve diğer hizmetleri sipariş edin;
  • sistemi standartların gerekliliklerine uygun hale getirmek ve sertifikasyon işlemlerini gerçekleştirmek;
  • Personele bilgisayar hijyeninin temellerini öğretin ve sonsuz sayıda benzer sorunu çözün.

Ancak tüm bunlara rağmen başarılı olanların sayısı yani. Hedefine ulaşan BT altyapılarına yönelik saldırılar azalmıyor ancak bunlardan kaynaklanan hasar artıyor. Saldırganlar, bileşimleri ve yapıları genellikle benzersiz olan karmaşık güvenlik sistemlerinin üstesinden gelmeyi nasıl başarıyorlar?

Hedefli saldırı kavramı

Hedefli saldırı kavramını doğru bir şekilde yansıtan bir tanım vermenin zamanı geldi. Hedefli saldırı, saldırıya uğrayan sistemin altyapısında, gerçek zamanlı olarak uzaktan manuel olarak kontrol edilen, sürekli bir yetkisiz faaliyet sürecidir.

Birincisi, bu kesinlikle bir süreçtir - zaman içinde bir faaliyet, belirli bir işlem ve yalnızca bir kerelik bir teknik eylem değil.

İkincisi, süreç belirli bir altyapıda çalışacak şekilde tasarlanmıştır, belirli güvenlik mekanizmalarının, belirli ürünlerin üstesinden gelmek ve belirli çalışanları etkileşime dahil etmek için tasarlanmıştır. Saldırganların tamamen farklı hedefler peşinde koşması (esas olarak ayrı bir uç nokta üzerinde kontrol sahibi olmak) durumunda, standart kötü amaçlı yazılımların toplu olarak gönderilmesi yaklaşımında önemli bir farklılık olduğu unutulmamalıdır. Hedefli bir saldırı durumunda mağdura yönelik tasarlanmıştır.

Üçüncüsü, bu operasyon genellikle, karmaşık teknik araçlarla donanmış, bazen uluslararası, profesyonellerden oluşan organize bir grup tarafından, esasen bir çete tarafından kontrol edilmektedir. Faaliyetleri aslında çok aşamalı bir askeri operasyona çok benziyor. Örneğin, saldırganlar potansiyel olarak şirkete "giriş kapısı" olabilecek çalışanların bir listesini derler, onlarla sosyal ağlar üzerinden iletişim kurar ve profillerini inceler. Bundan sonra mağdurun iş bilgisayarının kontrolünü ele geçirme görevi çözülür. Sonuç olarak, bilgisayarına virüs bulaşıyor ve saldırganlar ağın kontrolünü ele geçirerek doğrudan suç eylemleri gerçekleştiriyor.

Hedefli bir saldırı durumunda, birbirleriyle savaşan bilgisayar sistemleri değil, insanlardır; bazıları saldırır, bazıları ise iyi hazırlanmış bir saldırıyı dikkate alarak püskürtür. zayıf taraflar Karşı tedbir sistemlerinin özellikleri ve özellikleri.

Şu anda APT (Gelişmiş Kalıcı Tehdit) terimi giderek yaygınlaşıyor. Tanımına bakalım. APT, yardımcı programların, kötü amaçlı yazılımların, sıfırıncı gün güvenlik açıklarından yararlanmaya yönelik mekanizmaların ve bu saldırıyı uygulamak için özel olarak tasarlanmış diğer bileşenlerin bir birleşimidir. Uygulama, APT'lerin gelecekte diğer kuruluşlara karşı benzer bir vektörle tekrarlanan saldırılar gerçekleştirmek için tekrar tekrar kullanıldığını göstermektedir. Hedefli veya hedefe yönelik saldırı bir süreç, bir faaliyettir. APT, saldırı gerçekleştirmenize olanak tanıyan teknik bir araçtır.

Hedefli saldırıların aktif yayılmasının, diğer şeylerin yanı sıra, saldırının kendisinin uygulanmasının maliyetinde ve işçilik maliyetlerinde güçlü bir azalmaya bağlı olduğunu rahatlıkla söyleyebiliriz. Çok sayıdaÖnceden geliştirilen araçlar hacker gruplarının kullanımına açık olduğundan, bazen egzotik kötü amaçlı yazılımların sıfırdan yaratılmasına acil ihtiyaç duyulmaz. Modern hedefli saldırıların çoğu, önceden oluşturulmuş istismarlara ve kötü amaçlı yazılımlara dayanmaktadır; yalnızca küçük bir kısmı, esas olarak APT tehditleri olarak sınıflandırılan tamamen yeni teknikleri kullanır. Bazen "barışçıl" amaçlarla oluşturulan tamamen yasal araçlar bir saldırının parçası olarak kullanılır; bu konuya aşağıda döneceğiz.

Hedefli saldırının aşamaları

Bu materyal hedefli bir saldırının ana aşamalarını özetleyecek ve iskeleti gösterecektir. genel model ve kullanılan penetrasyon yöntemlerindeki farklılıklar. Uzman topluluğu, hedefli bir saldırının kural olarak gelişiminde 4 aşamadan geçtiği fikrindedir (Şekil 1).


İncirde. Şekil 1, hedefli bir saldırının yaşam döngüsünü gösteren 4 aşamasını göstermektedir. Her birinin temel amacını kısaca formüle edelim:

1. Hazırlık - İlk aşamanın ana görevi hedefi bulmak, onunla ilgili yeterince ayrıntılı özel bilgi toplamak ve buna dayanarak altyapıdaki zayıf noktaları belirlemektir. Bir saldırı stratejisi oluşturun, karaborsada bulunan önceden oluşturulmuş araçları seçin veya gerekli olanları kendiniz geliştirin. Tipik olarak planlı sızma adımları, standart bilgi güvenliği araçları tarafından tespit edilemezlik de dahil olmak üzere kapsamlı bir şekilde test edilecektir.

2. Penetrasyon – başlangıçta hedefi etkilemek ve dahili keşif gerçekleştirmek için çeşitli sosyal mühendislik tekniklerini ve sıfır gün güvenlik açıklarını kullanan hedefli bir saldırının aktif aşaması. Keşif tamamlandıktan ve virüs bulaşan ana bilgisayarın (sunucu/iş istasyonu) kimliği belirlendikten sonra, saldırganın emriyle kontrol merkezi aracılığıyla ek zararlı kodlar indirilebiliyor.

3. Yayılma – altyapı içinde, özellikle de kurbanın anahtar makinelerinde birleştirme aşaması. Kontrolünüzü mümkün olduğu kadar genişletin, gerekirse kontrol merkezleri aracılığıyla zararlı kod versiyonlarını ayarlayın.

4. Hedefe ulaşmak, hedeflenen saldırının temel aşamasıdır; seçilen stratejiye bağlı olarak şunları kullanabilir:

  • gizli bilgilerin çalınması;
  • gizli bilgilerin kasıtlı olarak değiştirilmesi;
  • Şirketin iş süreçlerinin manipülasyonu.

Her aşamada, hedefli bir saldırının faaliyetinin izlerini gizlemek için zorunlu bir koşul yerine getirilir. Bir saldırı tamamlandığında, siber suçluların sıklıkla kendileri için bir "Geri Dönüş Noktası" oluşturarak gelecekte geri dönmelerine olanak sağladığı görülür.

Hedefli saldırının ilk aşaması - Hazırlık

Hedefin belirlenmesi

Başarılı olanların sayısı, yani Hedefine ulaşan BT altyapılarına yönelik saldırılar azalmıyor ancak bunlardan kaynaklanan hasar artıyor. Saldırganlar, bileşimleri ve yapıları genellikle benzersiz olan karmaşık güvenlik sistemlerinin üstesinden gelmeyi nasıl başarıyorlar?
Cevap oldukça kısa: Hedef sistemin özelliklerini dikkate alan karmaşık saldırılar hazırlayıp gerçekleştirerek.

Herhangi bir kuruluş bir saldırının hedefi olabilir. Ve her şey bir emirle, genel keşifle, daha doğrusu izlemeyle başlar. Küresel iş ortamının uzun vadeli izlenmesi sırasında hacker grupları, RSS beslemeleri, şirketlerin resmi Twitter hesapları ve çeşitli çalışanların bilgi alışverişinde bulunduğu özel forumlar gibi halka açık araçları kullanır. Bütün bunlar kurbanın ve saldırının hedeflerinin belirlenmesine yardımcı olur ve ardından grubun kaynakları aktif keşif aşamasına geçer.

Bilgi toplanması

Açık nedenlerden dolayı tek bir şirket, bilgi güvenliği, iç düzenlemeler vb. dahil olmak üzere hangi teknik araçları kullandığı hakkında bilgi vermiyor. Bu nedenle mağdur hakkında bilgi toplama sürecine istihbarat adı verilmektedir. İstihbaratın ana görevi mağdur hakkında hedeflenen özel bilgileri toplamaktır. Burada tüm küçük şeyler önemlidir ve potansiyel zayıflıkların belirlenmesine yardımcı olacaktır. İş en çok kullanabilir önemsiz olmayan yaklaşımlar sosyal mühendislik gibi özel birincil verileri elde etmek için. Uygulamada kullanılan çeşitli sosyal mühendislik tekniklerini ve diğer istihbarat mekanizmalarını sunacağız.

Keşif yöntemleri:

1. İçeriden bilgi.

Hedefli saldırı, saldırıya uğrayan sistemin altyapısında gerçek zamanlı olarak uzaktan manuel olarak kontrol edilen sürekli bir yetkisiz faaliyet sürecidir.

Yeni işten atılan şirket çalışanlarının aranmasına yönelik bir yaklaşım var. Şirketin eski bir çalışanı, çok cazip bir pozisyon için rutin bir görüşmeye davet edilir. Deneyimli bir işe alım psikoloğunun, bir pozisyon için yarışan hemen hemen her çalışanla konuşabileceğini biliyoruz. Bu tür kişilerden, bir saldırı vektörü hazırlamak ve seçmek için oldukça büyük miktarda bilgi alırlar: ağ topolojisi ve kullanılan güvenlik önlemlerinden diğer çalışanların özel hayatları hakkındaki bilgilere kadar.

Siber suçlular, halka açık yerlerde dostane iletişim yoluyla bilgi sahibi olan veya güven çemberine giren bir şirkette ihtiyaç duydukları kişilere rüşvet vermeye başvuruyorlar.

2. Kaynakları açın.

Bu örnekte, bilgisayar korsanları, şirketlerin çöplerin, raporların ve şirket içi bilgilerin arasında uygun şekilde imha edilmeden çöpe atılan kağıt medyaya yönelik vicdansız tutumundan yararlanır veya örneğin çalışanların gerçek adlarını içeren şirket web siteleri olabilir. kurmak. Kamu erişim. Elde edilen veriler diğer sosyal mühendislik teknikleriyle birleştirilebilir.

Hedefli bir saldırı durumunda, birbirleriyle savaşan bilgisayar sistemleri değil, insanlardır: Bazıları saldırır, diğerleri ise karşı eylem sistemlerinin zayıf yönlerini ve özelliklerini dikkate alan iyi hazırlanmış bir saldırıyı püskürtür.

Bu çalışmanın sonucunda, saldırıyı düzenleyenler aşağıdakiler de dahil olmak üzere kurban hakkında oldukça eksiksiz bilgilere sahip olabilir:

  • çalışan isimleri, e-posta, telefon;
  • şirket departmanlarının çalışma programı;
  • şirketteki süreçlere ilişkin dahili bilgiler;
  • iş ortakları hakkında bilgi.

Devlet satın alma portalları aynı zamanda bilgi güvenliği sistemleri de dahil olmak üzere müşterinin uyguladığı çözümler hakkında iyi bir bilgi kaynağıdır.

Yukarıdaki örnek ilk bakışta önemsiz görünebilir ancak aslında öyle değildir. Listelenen bilgiler sosyal mühendislik yöntemlerinde başarılı bir şekilde kullanılarak, hacker'ın alınan bilgilerle işlem yaparak kolayca güven kazanmasına olanak tanıyor.

3. Sosyal mühendislik.

  • Dahili çalışanlar adına telefon görüşmeleri.
  • Sosyal medya.

Sosyal mühendisliği kullanarak, gizli şirket bilgilerinin elde edilmesinde önemli bir başarı elde edebilirsiniz: örneğin, telefon görüşmesi Bir saldırgan kendisini bir bilgi hizmeti çalışanı olarak tanıtabilir, doğru soruları sorabilir veya doğru komut bilgisayarda. Sosyal ağlar, doğru kişinin arkadaş çevresini ve ilgi alanlarını belirlemenin iyi bir yoludur; bu tür bilgiler, siber suçluların gelecekteki kurbanlarla iletişim kurmak için doğru stratejiyi geliştirmelerine yardımcı olabilir.

Strateji Geliştirme

Başarılı bir hedefli saldırının uygulanmasında strateji zorunludur; saldırının tüm aşamalarında eylem planının tamamını dikkate alır:

  • bir saldırının aşamalarının tanımı: nüfuz etme, gelişme, hedeflere ulaşma;
  • sosyal mühendislik yöntemleri, istismar edilen güvenlik açıkları, standart güvenlik önlemlerinin aşılması;
  • olası acil durumları dikkate alarak saldırı geliştirme aşamaları;
  • şirket içinde konsolidasyon, artan ayrıcalıklar, temel kaynaklar üzerinde kontrol;
  • veri çıkarma, iz kaldırma, yıkıcı eylemler.

Stand oluşturma

Toplanan bilgilere dayanarak bir grup saldırgan, istismar edilen yazılımın aynı versiyonlarını içeren bir stand oluşturmaya başlar. Mevcut bir model üzerinde penetrasyon aşamalarının test edilmesini mümkün kılan bir test alanı. Gizli uygulama ve standart bilgi güvenliği önlemlerini atlamak için çeşitli teknikleri uygulayın. Temelde stand, mağdurun altyapısına sızmanın pasif ve aktif aşamaları arasında ana köprü görevi görüyor. Böyle bir stand oluşturmanın bilgisayar korsanları için ucuz olmadığını belirtmekte fayda var. Başarılı bir hedefli saldırı gerçekleştirmenin maliyeti her aşamada artar.

Bir takım araçların geliştirilmesi

Siber suçlular zor bir seçimle karşı karşıyadır: Gölge pazarında hazır araçlar satın almanın mali maliyetleri ile kendi araçlarını yaratmanın işçilik maliyetleri ve zamanı arasında karar vermek onlar için önemlidir. Gölge piyasası, oldukça geniş bir yelpazede çeşitli araçlar sunar ve bu da zamanı önemli ölçüde azaltır. benzersiz vakalar. Bu, hedefli saldırıyı siber saldırılar arasında en kaynak yoğun olanlardan biri olarak önemli ölçüde ayıran ikinci adımdır.

Araç setine ayrıntılı olarak bakalım: Kural olarak bir Araç Seti üç ana bileşenden oluşur:

1. Komuta merkezi veya Komuta ve Kontrol Merkezi (C&C).

Saldırganların altyapısının temeli, kontrol edilen kötü amaçlı modüllere komutların iletilmesini sağlayan ve çalışmalarının sonuçlarını topladıkları C&C komuta ve kontrol merkezleridir. Saldırının odak noktası saldırıyı gerçekleştiren kişilerdir. Çoğu zaman, merkezler internette barındırma, ortak yerleşim ve kiralama hizmetleri sağlayan sağlayıcılarla birlikte bulunur. Sanal makineler. Güncelleme algoritması, "ana bilgisayarlar" ile etkileşime yönelik tüm algoritmalar gibi, kötü amaçlı modüllerle birlikte dinamik olarak değişebilir.

2. Saldırıya uğrayan uzak ana bilgisayarın "kapısını açma" sorununu çözen sızma araçları:

  • istismar - güvenlik açıklarından yararlanan kötü amaçlı kod yazılım;
  • doğrulayıcı - birincil enfeksiyon durumunda kullanılan kötü amaçlı kod, ana bilgisayar hakkında bilgi toplayabilir, saldırının geliştirilmesine veya belirli bir makinede tamamen iptal edilmesine ilişkin daha fazla karar verilmesi için bunu C&C'ye aktarabilir;
  • İndirici – Damlalık dağıtım modülü; İndirici, sosyal mühendislik yöntemlerine dayalı saldırılarda son derece sık kullanılır; e-posta iletilerinde ek olarak gönderilir;
  • Damlalık dağıtım modülü – kötü amaçlı yazılım(genellikle bir Truva atı) görevi ana Payload virüsünü virüslü kurbanın makinesine iletmek olan şu amaçlarla tasarlanmıştır:
    • virüs bulaşmış bir makinenin içinde güvenliğin sağlanması, gizli başlatma, makine yeniden başlatıldıktan sonra işlem enjeksiyonu;
    • Payload virüsünü şifrelenmiş bir kanal üzerinden indirmek ve etkinleştirmek için meşru bir sürece enjekte edin veya Payload virüsünün şifrelenmiş bir kopyasını diskten çıkarıp başlatın.

Kod yürütme, sistem haklarına sahip, enjekte edilmiş meşru bir süreçte gerçekleşir; bu tür etkinliklerin standart güvenlik araçlarıyla tespit edilmesi son derece zordur.

3. Yük virüs gövdesi. Dropper tarafından virüslü ana bilgisayara indirilen hedefli bir saldırıdaki ana kötü amaçlı modül, birkaç ek işlevsel modülden oluşabilir. her biri kendi işlevini yerine getirecek modüller:

APT (Gelişmiş Kalıcı Tehdit), yardımcı programların, kötü amaçlı yazılımların, sıfırıncı gün güvenlik açıklarından yararlanmaya yönelik mekanizmaların ve bu saldırıyı uygulamak için özel olarak tasarlanmış diğer bileşenlerin bir birleşimidir.

  • klavye casusu;
  • ekran kaydı;
  • uzaktan erişim;
  • altyapı içi dağıtım modülü;
  • C&C ile etkileşim ve güncelleme;
  • şifreleme;
  • faaliyet izlerini temizleme, kendini yok etme;
  • okuma yerel posta;
  • Diskte bilgi aranıyor.

Görebildiğimiz gibi, dikkate alınan araç setinin potansiyeli etkileyicidir ve kullanılan modüllerin ve tekniklerin işlevselliği, hedef saldırı planlarına bağlı olarak büyük ölçüde değişiklik gösterebilir. Bu gerçek, bu tür saldırıların benzersizliğini vurgulamaktadır.

Özetleme

Çeşitli pazar sektörlerindeki şirketlere yönelik hedefli saldırıların arttığını (diğer riskler Şekil 2'de gösterilmektedir), bunların tespit edilmesinin yüksek karmaşıklığını ve eylemlerinden kaynaklanan ve daha sonra tespit edilmesinin garanti edilemeyeceği devasa hasarı dikkate almak önemlidir. uzun bir zaman dilimi. Ortalama olarak, hedefli bir saldırı, faaliyet 1'den 200 gün sonra tespit edilir; bu, bilgisayar korsanlarının yalnızca hedeflerine ulaşmakla kalmayıp, aynı zamanda altı aydan fazla bir süre boyunca durumu kontrol ettiği anlamına gelir. Ayrıca, altyapılarında APT'nin varlığını keşfeden kuruluşlar, uygun şekilde yanıt veremez, riskleri en aza indiremez ve faaliyetleri etkisiz hale getiremez: bilgi güvenliğinden sorumlu personel, bunu yapmak için eğitilmemiştir. Sonuç olarak, her üç şirketten biri, kendi altyapısının kontrolünü yeniden ele geçirmek amacıyla faaliyetlerini bir haftadan fazla askıya alıyor ve ardından karmaşık bir olay soruşturma süreciyle karşı karşıya kalıyor.


Büyük bir olay nedeniyle bir şirketin küresel ortalama maliyeti 551.000 ABD dolarıdır; bu maliyete iş fırsatlarının kaybedilmesi ve sistem kesintisi süresinin yanı sıra sonuçların üstesinden gelmek için gereken profesyonel hizmetlerin maliyetleri de dahildir 2 .

Bir saldırının nasıl geliştiği, standart güvenlik önlemlerini aşma ve sıfır gün tehditlerinden yararlanma yöntemleri, sosyal mühendislik, hırsızlık izlerinin yayılması ve gizlenmesi hakkında anahtar bilgi ve çok daha fazlasını “Hedefli Saldırının Anatomisi” serisinin sonraki makalelerinde bulabilirsiniz.

___________________________________________
1 Kaspersky Lab istatistiklerine göre.
2 Araştırma verileri “ Bilgi Güvenliği Business", Kaspersky Lab ve B2B International tarafından 2015 yılında gerçekleştirildi. Araştırmaya Rusya dahil 26 ülkeden 5.500'den fazla BT uzmanı katıldı.