Розуміння цільових атак: шість компонентів цільових атак

цільових
Погляд: Розуміння цілеспрямованих атак: Що змінилося?

Цільові атаки є (або повинні бути) важливою проблемою для великих організацій в будь-якому місці. Добре продумані атаки тривають у шість етапів, які показують, як зловмисники просуваються в межах своїх цілей.

Минуло кілька років з тих пір, як цілеспрямовані атаки вперше з’явилися на ландшафті загроз, і як загрози, так і наше розуміння їх еволюціонували і дозрівали. Що ми дізналися і що змінилося з тих пір?

Перш ніж переходити до дискусії про різні компоненти цілеспрямованої атаки, важливо також врахувати фактори, які роблять кампанію успішною. Однією з причин порушення компанії є те, що їхній фронт - працівники та їх обізнаність - слабкий. Це означає, що людський бар’єр є критично важливим як перша лінія захисту від цілеспрямованих атак.

Компоненти особливо не відрізняються.

Шість компонентів або "стадій" цілеспрямованої атаки представляють різні етапи логічної, структурованої атаки. Однак реальність набагато складніша. Після того, як етап «закінчений», це не означає, що ніяких інших заходів, пов’язаних з цим етапом, відбуватись не буде. Може бути можливим одночасне проведення декількох етапів атаки: наприклад, спілкування з питань технічного обслуговування відбувається протягом будь-якої цілеспрямованої атаки. Зловмиснику потрібно тримати контроль над будь-якими діями, що відбуваються в цільовій мережі, тому, природно, трафік C&C буде продовжувати рухатися вперед і назад між зловмисником та будь-якими скомпрометованими системами.

Краще думати про кожен компонент як про різні аспекти однієї атаки. Різні частини мережі можуть стикатися з різними аспектами атаки одночасно.

Це може суттєво вплинути на те, як організація повинна реагувати на напад. Не можна просто припустити, що оскільки атака була виявлена ​​на „більш ранньому” етапі, „пізніші” етапи нападу не тривають. Правильний план реагування на загрози повинен це враховувати і планувати відповідно.

Шість етапів цілеспрямованої атаки

Перший етап будь-якої цілеспрямованої атаки передбачає збір інформації про передбачувану ціль. Однак велика кількість інформації, яка може бути корисною для здійснення атак, лежить виключно в мережах компаній. Таким чином, цей етап не припиняється, навіть якщо атака вже триває. Дані, отримані всередині мережі, можуть допомогти підвищити ефективність будь-яких поточних атак.

Крім інформації, виявлення зв’язків, що існують між різними командами, а також тих, що виходять за межі цільової організації, може допомогти зловмисникові визначити хороші цілі для більшої кількості атак.

Традиційно цілеспрямовані атаки використовували електронні листи зі списовим фішингом для проникнення в мережі цільових організацій. Хоча це все ще ефективна тактика, зловмисники додали інші методи для цього.

Ці альтернативи включають атаки на поливи (тобто атаки, спрямовані на веб-сайти, які часто відвідує цільова галузь або організація). Однак, окрім початкової точки входу, зловмисник може додати додаткові точки входу в цільову мережу. Для забезпечення повнішої атаки можуть бути націлені різні співробітники та/або сегменти мережі.

Крім того, зловмисник може постійно додавати бекдори до різних систем під час бічного руху, що може служити додатковими точками входу до вже зруйнованої організації. Для зловмисника це може бути неймовірно цінним у разі виявлення та видалення старих точок входу.

Щоб ефективно здійснити цілеспрямовану атаку, зловмисник повинен мати можливість ефективно керувати будь-якою скомпрометованою машиною в цільовій мережі. Раніше ми вже обговорювали деякі методи, що використовуються для приховування бэкдор-трафіку C&C, але ще одна тенденція, яку ми спостерігали останнім часом, полягає в тому, як внутрішні машини виступають як проміжні сервери C&C. Зловмисник підключався до цього внутрішнього сервера C&C, а потім передавав його іншим компрометованим машинам в організації.

Поперечний рух цілеспрямованої атаки постійно повторюється зловмисником. Під час цього процесу відбуваються деякі види діяльності, які класифікуються на інших етапах (наприклад, збір розвідувальних даних). Окрім того, інші системи можуть мати задній план, щоб вони служили додатковими компрометованими машинами.

Бічний рух використовує законні інструменти системного адміністрування, щоб допомогти приховати свою діяльність, і має на увазі три цілі: ескалація доступних привілеїв у цільовій мережі, виконання розвідки в цільовій мережі та бічне переміщення до інших машин у самій мережі.

Ця грань є, мабуть, найбільш повторюваною з цілеспрямованих атак; крім того, він також є найбільш комплексним, оскільки цей крок може охоплювати й інші стадії цілеспрямованої атаки. Виконується внутрішня розвідка та збір інформації, а будь-яка зібрана „розвідка” може бути використана для виявлення потенційних цілей для поперечного переміщення, а також будь-яких активів, які можна знайти.

Успішна цілеспрямована атака - це та атака, яка може тривати стільки, скільки вимагають сторони, що стоять за нею. Як і будь-що інше, зловмиснику потрібно виконувати технічне обслуговування атаки, що триває, щоб підтримувати її в робочому стані. Це може включати використання різних бэкдорів та серверів C&C або використання виправлень, щоб інші зловмисники не могли використовувати ті самі вразливості, що використовуються в атаці.

Процес ексфільтрації може бути "галасливим", як розглядається рішеннями мережевої безпеки, оскільки він може включати велику кількість мережевого трафіку, який не буде знайдений під час звичайних операцій. Однією з спроб зловмисників спробувати "приховати" трафік ексфільтрації є передача значної частини викрадених даних на машини всередині організації до того, як дані будуть вилучені контрольованим способом. Відомо, що це трапляється в інцидентах, пов’язаних із шкідливим програмним забезпеченням PoS.

Щоб отримати докладнішу інформацію про цілеспрямовані атаки, зокрема про те, як це працює, мотивацію зловмисника та його вплив на жертв, завантажте буквар «Розуміння цільових атак: що змінилося»?

Люблю це? Додайте цю інфографіку на свій сайт:
1. Клацніть на поле нижче. 2. Натисніть Ctrl + A, щоб вибрати все. 3. Натисніть Ctrl + C, щоб скопіювати. 4. Вставте код на свою сторінку (Ctrl + V).

Зображення буде таким же розміром, як ви бачите вище.