Jedna od najčešće pominjanih pretnji za
bezbjednost informacija unutar organizacije su takozvani APT (eng. Advanced
Persistent Threat), za sada bez dobrog prevoda, uglavnom radi se o napadu koji
nije momentalan već predstavlja perzistentnu pretnju za informacioni sistem. O
tome sam već pisala prošle godine ovdje, ali budući da se radi o važnoj temi,
ovaj put ću obraditi anatomiju jednog ovakvog napada.
APT su dizajnirani da pristupe mreži, prikupljaju
podatke i tajno „posmatraju“ targetirani sistem u dužem vremenskom periodu.
Karakteristično je da su ovakvi napadi usmjereni upravo protiv specifičnih državnih,
obavještajnih i finansijskih organizacija, odnosno tamo gdje se radi sa puno
ličnih i finansijskih podataka. Kradu se podaci od vrednosti kao što su
intelektualna imovina, elektronski novac, personalni podaci.
Termin „Advanced“ označava sofisticirane tehnike koje koriste
malvere i poznate ranjivosti da pristupe unutar sistema. „Persistent“ znači da postoji proces ili komanda unutar sistema,
koji u kontinuitetu monitorišu i prikupljaju podatke sa specifične lokacije.
Pretnja, odnosno „Threat“ je indikator prisustva ljudskog faktora u
organizaciji samog napada.
U osnovi, APT je napad na mrežu. Autorizovana osoba
(ili neko ko sebi na neki način ostvari autorizovan pristup) obezbijedi da komad malicioznog koda pristupi mreži i ostane tu dok ne
otvori „zadnja vrata“ ( eng.back door),
kroz koji se dozvoli pristup napadaču, prikupe se potrebni podaci i napusti se
sistem. Sve ovo govori da APT može ostati neprimjećen – dok se ne uoči
počinjena šteta, kad je već kasno.
Na primjer, u 2006. prijavljen je jedan APT
napad, dok je u 2014 bilo preko 50 prijavljenih, utvrđenih i dokumentovanih APT
(izvor: APTnotes.) Ova
vrsta napada se razvija i postaje sve više i više sofisticirana, u smislu da se
teško ili nikako otkriva putem tradicionalnih mjera bezbjednosti. Štaviše,
savremeni APT napadi su karakteristični i po tome da po inicijalnom
prikupljanju podataka ne napuštaju nužno napadnuti sistem, već ponekad tu ostaju konstantno
prateći aktivnosti, i istovremeno mijenjajući svoj kod, čineći se težim za
pronalaženje ( obfuskacija, Polimorfizam)
Mnogi APT napadi dizajnirani su tako da koriste
takozvane „ZeroDay“ ranjivosti . Najpoznatiji takav napad u 2014. Je bio onaj
koji je oskoristio ranjivost Internet Explorera (CVE-2014-1776), koja se
sastoji od phishing e-pošte poslate na ciljane grupe ljudi iz sektora odbrane, energetike i istraživačkih univerziteta. Ta phishing
e-pošta sadrži link koji vodi do zlonamernih sajtova koji hostuju zero-day zlonamjerni
kod.
Oni su poslali veliki broj poruka širem skupu ciljeva, pokušavajući da zaraze što više krajnjih tačaka prije nego što zakrpa bude objavljena. Napadači su takođe svakodnevno obnavljali šablon i teme mejla da zadrže kampanju "svježom" i izbjegnu detekciju od strane spam pravila formiranog na bazi prethodnih poruka.
Oni su poslali veliki broj poruka širem skupu ciljeva, pokušavajući da zaraze što više krajnjih tačaka prije nego što zakrpa bude objavljena. Napadači su takođe svakodnevno obnavljali šablon i teme mejla da zadrže kampanju "svježom" i izbjegnu detekciju od strane spam pravila formiranog na bazi prethodnih poruka.
FireEye uvodi pojam „kill chain“ , koji postaje opšteprihvaćen za
opisivanje životnog ciklusa APT napada.
Očigledno je da se radi o lancu brižljivo planiranih i izučenih koraka,
koji uključuju izradu skice infrastrukture organizacije targetiranog sistema, pripremu zlonamjernih programa,
napade socijalnim inženjeringom i načine neotkrivenog prikupljanja podataka.
Lanac se može posmatrati kao niz koraka:
1. Izbor cilja
Napadač analizira potencijalne mete, i
prikuplja se što je više moguće podataka o njihovim poslovima i informacijama
koje imaju. Koristi se socijalni inženjering, društvene mreže, sajtovi, kontakt
sa zaposlenima …
2. Prikupljanje informacija
Nakon što se odredi meta, prikupljaju se
informacije o konkretnoj infrastrukturi žrtve, da bi se odredio način pristupa
i organizacija budućih koraka
3. Tačka ulaska
Na osnovu podataka prikupljenih o sistemu, kao
i primjenjenim mjerama zaštiote, napadač istražuje način kako da „uđe“ u
sistem. Obično je to iskorištavanje neke ranjivosti sistema, najčešće
pretraživača, ili samog MS Office paketa.
4. Postavljanje malvera na targetiranu mašinu
Nakon što je
iskorištena ranjivost, i maliciozni kod našao put do targetirane mašine, on se koristi da otvori „back doors“ za ozbiljniji
program, koji će omogućiti daljinsko upravljanje, eskalaciju privilegija i
prikupljanje podataka.
5. Eskalacija privilegija
Napadač najprije definiše privilegovani
pristup, a onda ta prava ukrade( Keylogger, ARP spoofing i slični alati )i
dodijeli inače neprivilegovanom korisniku koji će u ovom slučaju, ne znajući,
raditi za njega.
6. „Command and Control “
komunikacija
Ovo je zapravo komunikacija između pravog napadača,
i korisnika računara koji, ne znajući, izvršava maliciozne radnje. Ovo je
zapravo metodologija rada bilo koje botnet
mreže
7. Bočno kretanje kroz mrežu
Osim što prikuplja podatke sa jednog mjesta,
napadač takođe vrši radnje skrivanja, postavlja nove maliciozne instance u
mreži, pravi nove botove, premješta se, čime povećava polje djelovanja, i
istovremeno smanjuje vjerovatnoću da bude otkriven.
8. Otkrivanje interesantnih lokacija na opremi
Razne vrste skeniranja portova i analiza
mrežnog saobraćaja koriste se u otkrivanju interesantnih lokacija u mreži sa
kojih se mogu prikupljati podaci.
9. Prikupljanje podataka
Ovo je ključni proces za napadača, trenutak kad
se iz mreže žrtve iznose ukradeni podaci. Obično se prije prenosa prikupljeni
podaci arhiviraju, kompresuju i enkriptuju .
Za sve ovo na mašinu žrtve se postavljaju alati (najčešće opet kao dio koda u legalne procese), kao i alati
koji obezbjeđuju da se iznošenje
podataka ne odrazi kao primjetno povećanje saobraćaja.
10. Sakrivanje tragova
Nakon što je prikupio podatke, napadač uklanja
sve dokaze svog prisustva na sistemu koji bi ga kasnije mogli optužiti, kad se
ukradeni podaci iskoriste za pridobijanje koristi.
Načini za korišćenje ukradenih podataka su obično:
-
Prodaja
podataka
-
Ucjena
pretnjom da će se podaci objaviti
-
Zahtijevanje
otkupnine od vlasnika podataka
Targetirani APT napadi uglavnom prolaze neopaženi pored tradicionalnih bezbjednosnih kontrola.
Najčešće ni zaposleni u oblasti bezbjednosti ne povjeruju kad im se
saopšti da su napadnuti. Tajna uspjeha
APT napada je u njihovoj sporosti i dobrom planiranju. Tačka na koju se jedino
može uticati da se oni spriječe je upravo svjesnost zaposlenih da ne budu
iskorišteni u socijalnom inženjeringu kao ona tačka u kojoj će se „otvoriti
vrata“ zlonamjernom softveru.
Odbrana od APT može se sprovoditi pažljivom detekcijom i analizom „u
dubinu“. U analizi mreže i eventualnom
pronalaženju malvera može pomoći intenzivno praćenje mreže putem savremenih
rješenja za rano otkrivanje malvera na osnovu posmatranja ponašanja u mreži i
specifičnih indikatora da je neki malver instaliran na neku mašinu u mreži.
Logovanje na SIEM je važno zbog obezbjeđivanja forenzičkih dokaza.
Više o anatomiji APT napada u:
http://resources.infosecinstitute.com/anatomy-of-an-apt-attack-step-by-step-approach/
