Security Vision
Начнем с определения угроз. Кому-то из круга читателей это будет излишним, но пусть здесь полежит – вдруг пригодится. Итак, угроза – это всевозможные действия или события, которые могут вести к нарушениям информационной безопасности, что может привести к нанесению ущерба или нарушению чьих-либо интересов.
По результату наших исследований (на основании огромного количества TI-отчетов, которые мы на регулярной основе изучаем в контексте Threat intelligence) за предыдущий год ландшафт угроз не сильно видоизменился в целом, но появилось много достаточно интересных изменений в частности.
Кстати, в качестве одного из документов к ознакомлению мы рекомендуем ENISA Threat Landscape 2022/2023 – достаточно основательное исследование, которое ежегодно выпускает аналитическое агентство, покрывающее большую часть интересных тем в контексте современных угроз и их примеров. Что не исключает, конечно, ознакомления с угрозами через вендорские отчеты, бюллетени (IBM, Microsoft, Elastic, Acronis, SonicWALL и т.д.) и через отчеты непосредственно исследователей (такие как The DFIR Report и другие). В целом TI (Threat intelligence) – это всегда огромное количество информации, причем совершенно разноплановой с точки зрения специализаций (тут вам и сетевые технологии, если атака на слабость протокола; и крипта, если угроза связана с кастомным шифрованием и даже программирование, если мы хотим понять, как работает rootkit). При этом только через TI-отчеты мы можем разобраться, как работают группировки, прокачиваются, как атакуют с конкретного вредоносного ПО, как используют техники и что сейчас актуально. Поэтому делюсь с вами частью своих агрегаторов TI-отчетов со всего мира: https://t.me/threatinteltrends и https://t.me/secvisionnews, вы найдете там много интересного. Ну что ж, приступим.
Наиболее распространенные угрозы последних лет
1. Вредоносное ПО
2. Программы-вымогатели (ransomware)
3. Угрозы социальной инженерии (в том числе фишинг)
4. Эксплуатация уязвимостей
5. Угроза доступности (DDoS-атаки)
6. Атаки на IoT (интернет вещей)
7. Атаки на цепочки поставок
В первой из серии статей по угрозам мы рассмотрим самые распространенные и самые порой разрушительные угрозы, тренд на которые не меняется уже несколько лет – вредоносное ПО и шифровальщиков (malware и ransomware).
Вредоносное ПО
Вредоносное ПО, также называемое вредоносным кодом и вредоносной логикой — общий термин, используемый для описания любого программного обеспечения или встроенного ПО, предназначенного для выполнения несанкционированного процесса, который окажет негативное влияние на конфиденциальность, целостность или доступность системы. Традиционно к примерам типов вредоносного кода относятся вирусы, черви, трояны или другие объекты на основе кода, которые заражают хост. Шпионское ПО и некоторые формы рекламного ПО также можно отнести к вредоносному ПО. На текущий момент времени вредоносное ПО является одной из самых распространенных угроз с точки зрения импакта (о самой распространенной угрозе с точки зрения первоначального доступа мы поговорим в статье, рассматривающей угрозы социальной инженерии). Согласно отчету SonicWall о киберугрозах за 2022 год, количество вредоносных программ впервые с 2018 года выросло до 5,5 миллиардов атак, что на 2% больше, чем в прошлом году (https://www.sonicwall.com/medialibrary/en/white-paper/2022-sonicwall-cyber-threat-report.pdf).
Злоумышленники часто используют вредоносное ПО в ходе своих кампаний. Наиболее частые задачи, решаемые с помощью ВПО: получение и поддержание контроля над активами, уклонение от защиты и обман, вымогательство, шпионаж и другие действия пост-компрометации. Вирусы, черви и трояны различаются по многим параметрам, таким как вектор заражения, репликация, способ доставки, распространение и контроль. С технической точки зрения различают компоненты по типам импакта, таким как полезные нагрузки, дропперы, инструменты посткомпрометации, бэкдоры и упаковщики.
Компоненты вредоносного ПО, используемые в атаке, зависят от целей злоумышленника и могут варьироваться от получения контроля над системами и сетями (первоначальный доступ, ботнеты) до получения и блокировки данных (агенты-вымогатели, кража информации). В соответствии с данными международных аналитических агентств за последние два года программы-вымогатели определены как наиболее опасная угроза. Более подробно мы их рассмотрим чуть позже.
Во время пандемии было замечено глобальное снижение вредоносного ПО. Это падение было связано с тем, что сотрудники работали из дома, что ограничивало заражение вредоносным ПО, которое обычно встречается в корпоративных инфраструктурах. С 22-го года в офисы стало возвращаться больше людей, поэтому было зарегистрировано значительное увеличение количества вредоносного ПО (по информации из вендорских отчетов). Однако данные показывают, что увеличение количества инцидентов с ВПО связано не только с увеличением персонала, находящегося в корпоративной среде, но и с увеличением количества вредоносных программ в целом, например, ростом вредоносного ПО для Интернета вещей.
При этом большинство из штаммов ВПО существуют уже более пяти лет, подтверждая тезис, что разработка вредоносного ПО представляет собой непрерывную работу, а активное развитие ВПО окупается. Например, последние года снова наблюдается заметный рост Emotet, что подтверждает эту гипотезу. Или другой пример из реальной жизни: утечка внутренних журналов чата кибергруппировки Conti RaaS. По данным аналитического агентства Enisa, в феврале 22-го года произошла утечка внутренних журналов чата группировки Conti RaaS, что дало уникальную информацию о внутренней организации группы, в том числе о том, что она работает как бизнес-компания и организованная структура. Как и в любой другой компании, в группировке присутствуют менеджеры среднего звена, менеджеры по персоналу, различные технические, производственные команды с дорожной картой и релизами. Судя по переписке компании, даже предусмотрены всевозможные социальные плюшки и льготы для сотрудников типа страховок, больничных и оплачиваемых отпусков.
Еще одна тенденция, которую хотелось бы отметить в контексте вредоносного ПО – развитие и широкое распространение среди злоумышленников модели malware-as-a service. Например, троян Warzone можно купить по подписке за 37 долларов в месяц. Киберпреступники используют его для загрузки и выгрузки различных файлов, выполнения и удаления ПО, отправки команд, просмотра и завершения процессов, просмотра веб-страниц, кражи сохраненных паролей из браузеров и почтовых клиентов и даже доступа к данным веб-камеры жертвы.
Программы-вымогатели (ransomware)
Среди вредоносных программ программы-вымогатели выделяются как особый тип, который удерживает и шифрует данные или систему до тех пор, пока жертва не заплатит выкуп.
Сейчас угроза эволюционировала: в некоторых случаях злоумышленники стали воровать информацию организации и требовать дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности. Это интересно, и нам следует обратить внимание на меняющуюся картину угроз программ-вымогателей: распространение новых методов вымогательства (блокировка, шифрование, удаление, кража) и появление новых целей помимо исключительно финансовой выгоды (политические, промышленный шпионаж, конкурентная борьба, экологические и многие другие).
Еще один важные момент: столь же значимым, как и ранее остается тренд на 0day, 1day угрозы. Дело в том, что по общемировой статистике среднее время использования уязвимости крайне мало, в зависимости от аналитического агентства мы встречали цифры от 3-5 часов до восьми дней с момента публикации уязвимости. Причем публикации где угодно, на сайте поставщика с патчем или на черных рынках интернета. То есть вы еще не успели обновиться или может быть безопасного патча в принципе нет, а прототип вируса уже существует.
Примеры уязвимостей, которые очень быстро использовались вирусописателями:
1. Proxylogon (CVE-2021-26855)
2. Zerologon (CVE-2020-1472)
https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/
3. Printnightmare (CVE-2021-34527)
Эта тенденция подчеркивает важность выстраивания правильного подхода к приоритизации устранения уязвимостей за счет технологии анализа угроз.
Трендом последних лет является также распространение шифровальщиков посредством атак на цепочку поставок. Самый громкий случай, подтверждающий это - атака на MSP провайдера Kaseya в 2021, когда жертвами шифровальщика REvil стали множество компаний - пользователей услуг Kaseya (https://cybernews.com/security/kaseya-ransomware-attack-heres-what-you-need-to-know/).
Зато другой тренд 21-го года – загрузка шифровальщика через компрометацию сервисов удаленного доступа (RDP, VPN и др.) начал снижаться, его место занял фишинг. Но все же и этот способ первоначального доступа достаточно популярен на текущий момент времени. Работает схема через взлом слабых паролей при входе по RDP, особенно если не включена двухфакторная идентификация. RDP — популярный метод компрометации, поскольку злоумышленники используют законные полномочия, что позволяет им оставаться незамеченными. Однако перебор учетных данных RDP — это шумное занятие, и организации с достаточно зрелой системой безопасности быстро обнаружат многократные попытки аутентификации. Тогда как фишер использует доступ скомпрометированного инсайдера, что усложняет департаменту ИБ возможность своевременно обнаружить вредоносную активность.
Вот что вы можете сделать, чтобы избежать атак вредоносных программ
· Антивирусные средства защиты, а также средства поведенческого анализа (EDR, песочницы)
· Двухфакторная аутентификация и надежные пароли
· Проведите пентест для выявления уязвимостей
· Своевременное обновление
· Не переходите по ссылкам из неизвестных источников
· Никогда не используйте USB-накопитель, который вам не принадлежит
· Используйте VPN в общедоступных сетях
· Бэкапирование данных
Надеюсь, мы раскрыли вам основные интересные моменты по вирусам, их трендам, методам проникновения и способам защиты. В следующий раз обсудим другие угрозы, такие как методы социальной инжененрии, фишинг, DDoS-атаки, атаки на интернет вещей и ИИ. Увидимся!