Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Dziury w zabezpieczeniach sieci korporacyjnych: luki w sieci

Dodany 20 listopada 2014, 11:01 CET
Tagi:

Po tym, jak cyberprzestępca przejmie kontrolę nad systemem użytkownika w sieci korporacyjnej, zdarzenia, jakie nastąpią później, składają się na trzy następujące po sobie etapy: uzyskanie dostępu do systemu, analizowanie środowiska i rozprzestrzenianie szkodliwego oprogramowania. Każdy z tych etapów może zostać zrealizowany na wiele sposobów, różniących się metodami technicznymi, strategiami oraz stosowaną taktyką. Poniższy schemat ukazuje, w jaki sposób cyberprzestępca może potencjalnie ustanowić „punkt zaczepienia” w systemie, analizować środowisko i rozprzestrzeniać szkodliwe oprogramowanie w sieci korporacyjnej.     

 blog_dziury_w_zabezp_luki_w_sieci_schema

Schemat działań cyberprzestępcy

Eksperci ds. bezpieczeństwa informacji muszą rozpoznać charakterystyczne oznaki różnych typów ataków. Przy pomocy zaproponowanego tu „planu działania” mogą wykryć atak poprzez porównanie występujących w sieci zdarzeń z różnymi schematami aktywności cyberprzestępczej.  

Uzyskanie dostępu do systemu

Po przeniknięciu do sieci korporacyjnej osoby atakujące zwykle w ciągu kilku godzin lub minut pobierają na komputer ofiary narzędzia (w tym szkodliwe oprogramowanie). Narzędzia te służą do gromadzenia informacji o systemie i zainstalowanym w nim oprogramowaniu, wyszukiwania plików i danych, nawiązywania połączenia z centrum kontroli (C&C), kradzieży danych uwierzytelniających logowanie, łamania haseł przy użyciu metody brute-force, włamywania się do kont, eskalacji uprawnień, infekowania systemu, przechwytywania ruchu sieciowego, skanowania urządzeń sieciowych itd.     

Aby ukryć te niezbędne narzędzia przed administratorami sieci podczas procesu pobierania i uniknąć aktywowania istniejącego systemu bezpieczeństwa, osoby atakujące stosują różne manewry różniące się stopniem złożoności:

  • Pliki są przesyłane za pośrednictwem protokołów sieciowych oraz portów ogólnych (HTTP, FTP, HTTPS, SFTP), tak aby zginęły w ogromnej ilości ruchu generowanego codziennie przez użytkownika. 
  • Pliki są pobierane ze zhakowanych serwerów przy użyciu sieci Fast Flux lub Tor.
  • Pliki są transmitowane we fragmentach w postaci zaciemnionej i/lub zaszyfrowanej.
  • Do przesyłania danych stosowane są czasem różne rodzaje steganografii, takie jak maskowanie danych wewnątrz plików audio/wideo, obrazów lub nagłówków protokołów internetowych, szczególnie gdy porty ogólne są zamykane przez zaporę sieciową.

Po załadowaniu niezbędnych narzędzi cyberprzestępca próbuje uzyskać dostęp do konta administratora lokalnego lub systemu. Podczas pierwszej próby zwykle wykorzystywane są takie sposoby jak keyloggery, łamanie hasła przy użyciu metody brute-force lub włamywanie się do konta przy użyciu metod hakerskich lub oszustwa phishingowe. Kolejne działania obejmują wykorzystywanie luk w zabezpieczeniach usług systemowych, zwykle w celu uzyskania dostępu do konta systemowego (tj. w celu eskalacji do uprawnień na poziomie jądra).

Po uzyskaniu tych przywilejów cyberprzestępcy mogą „okopać się” w systemie poprzez umieszczenie w systemie operacyjnym rootkita lub bootkita. Mogą również wyczyścić system ze śladów wniknięcia do niego, ukrywając swoje narzędzia i ślady aktywnych infekcji przed narzędziami bezpieczeństwa. Jeśli osoby atakujące nie zdołają uzyskać dostępu do systemu w typowy sposób, mogą ustawić automatyczną infekcję systemu, np. poprzez wykorzystanie standardowego harmonogramu zadań.   

Naturalnie, istnieje wiele sposobów uzyskania dostępu do systemu, które mogą znacznie odbiegać od wyżej opisanego. Jedna ważne jest, aby ekspert ds. bezpieczeństwa informacji znał zasady przeprowadzania ataku i wiedział, jakie zadania stoją przed cyberprzestępcami. Dlatego też na etapie uzyskiwania dostępu głównym zadaniem osoby atakującej jest zapewnienie sobie pewnego, trwałego dostępu do atakowanego systemu. Ogólnie, zadanie uzyskania zdalnego dostępu składa się z dwóch części: ustanowienie kanału komunikacji danych oraz umieszczenie narzędzia zdalnej kontroli (backdoor).   

W zależności od konfiguracji sieci, polityk zapory sieciowej oraz ustawień IDS/IPS osoby atakujące mogą wykorzystać połączenie bezpośrednie lub wsteczne. W pierwszym przypadku atakujący ustanawiają połączenie z systemem ofiary. Jest to możliwe tylko wtedy, gdy system posiada zewnętrzny adres IP i otwarte porty sieciowe, które nie są blokowane na zewnętrzne połączenia przez zaporę sieciową. W przeciwnym razie, wykorzystywany jest drugi rodzaj połączenia, gdy atakowany system nawiązuje połączenie ze zdalnym serwerem. Niezależnie od typu połączenia dane są przesyłane przy użyciu tych samych metod, jakie są wykorzystywane do pobierania narzędzi i szkodliwego oprogramowania na komputer ofiary: dane są przesyłane w postaci zaszyfrowanej/zaciemnionej za pośrednictwem ogólnych protokołów/portów przy użyciu sieci Fast Flux lub Tor. Ponadto, cyberprzestępcy mogą również wykorzystać standardowe oprogramowanie i usługi użytkownika jako kanał komunikacji danych, takie jak oparte na chmurze magazyny plików, e-mail, komunikatory itd.      

Analiza środowiska

W tym samym czasie, w którym uzyskiwany jest dostęp do systemu – a czasem nawet wcześniej – cyberprzestępcy muszą zebrać informacje o systemie operacyjnym i jego konfiguracji, zainstalowanych aktualizacjach oprogramowania oraz narzędziach bezpieczeństwa. Informacje te są niezbędne w celu oceny sytuacji na komputerze ofiary oraz zaplanowania dalszych działań w ramach ataku. Jest to również bardzo przydatne, jeśli chcemy dokładnie wybrać najskuteczniejsze narzędzia i exploity.

Następujące, łatwo dostępne narzędzia zwykle wystarczają do zgromadzenia informacji o systemie:

  • cmd, regedit, vbs, powershell w Windows,
  • bash, grep, python, perl w Unix/Linux i OS X.

Z punktu widzenia osoby atakującej, wykorzystywanie powyższych narzędzi posiada wiele plusów: są one dostępne w każdym systemie, można je wykorzystać nawet z ograniczonymi prawami użytkownika, a ich działanie nie jest kontrolowane przez większość narzędzi bezpieczeństwa. Aby wykonać bardziej skomplikowane zadania, cyberprzestępcy wykorzystują zarówno popularne, jak i niestandardowe narzędzia w celu przechwytywania ruchu sieciowego, skanowania urządzeń sieciowych, łączenia się z różnymi usługami sieciowymi przy użyciu uwierzytelniania domeny itd. Jeśli narzędzia hakera są napisane np. w języku Python, cyberprzestępcy z pewnością zainstalują na zainfekowanym komputerze niezbędne oprogramowanie. W tym przypadku Python (lub inne niezbędne oprogramowanie) prawdopodobnie nie zostanie ukryty w systemie przy pomocy rootkita, ponieważ może to uniemożliwić właściwe działanie interpretera.

W celu szukania i analizowania innych urządzeń w sieci korporacyjnej cyberprzestępcy stosują pasywne i aktywne metody skanowania. W szczególności, przy użyciu sniffera umożliwiającego nasłuchiwanie ruchu z lokalnego interfejsu sieciowego każdy może z łatwością wykryć różne urządzenia dzięki pakietom ARP lub aktywnym połączeniom, określić adresy URL serwerów hostujących aplikacje korporacyjne takie jak Active Directory, Outlook, bazy danych, strony firmowe itd. W celu uzyskania szczegółowych informacji o określonym węźle sieci cyberprzestępcy wykorzystują skanery sieciowe (np. nmap), co pozwala ustalić dostępne usługi sieciowe, odgadnąć nazwy i wersje zainstalowanego oprogramowania i wykryć obecność zapory sieciowej i systemów IDS/IPS.        

Dystrybucja

Osoby atakujące uzyskały dostęp do systemu, posiadają pewny kanał zdalnego dostępu i wystarczająco dużo danych o sieci. Kolejne działania zwykle są związane z podstawowym celem. Może to być kradzież poufnych informacji, ataki na infrastrukturę firmową, przejęcie kontroli nad krytycznymi systemami w celu stosowania szantażu itp. Jeśli pierwotnie zaatakowany system nie jest celem ostatecznym (którym może być np. laptop dyrektora generalnego, główny serwer lub strona internetowa), osoba atakująca musi zdobyć kontrolę nad innymi systemami w sieci korporacyjnej. W zależności od charakteru celu ataku infekcja może być ukierunkowana lub przeprowadzona na szeroką skalę.      

Na przykład, jeśli osoby atakujące planują przeprowadzić atak na infrastrukturę, będą prawdopodobnie musiały dokonać masowej infekcji serwerów obsługujących różne procesy biznesowe oraz stacji roboczych operatorów i administratorów. Z drugiej strony, cyberprzestępca, którego celem jest kradzież poufnych informacji lub szpiegostwo, będzie musiał działać bardzo ostrożnie i zaatakować jedynie najważniejsze systemy.   

Istnieje wiele sposobów rozprzestrzeniania szkodliwego oprogramowania w sieci korporacyjnej. Cyberprzestępcy zwykle wybierają najprostszą metodę, taką jak wykorzystywanie istniejących kont. Na przykład, uruchamiając szkodliwy kod z należącego do użytkownika zainfekowanego systemu konta domeny cyberprzestępca może swobodnie połączyć się z różnymi usługami sieciowymi (do których ma dostęp) przy użyciu uwierzytelnienia domeny (Single Sign-On), tj. bez podawania danych uwierzytelniających logowanie. Z drugiej strony, cyberprzestępca może wykorzystać keyloggera i bez trudu przechwycić dane uwierzytelniające logowanie do konta domeny jak również innych serwisów, które nie wymagają uwierzytelnienia domeny. Ponadto, cyberprzestępca może próbować wykorzystać luki w zabezpieczeniach mechanizmów służących do przechowywania i sprawdzania danych uwierzytelniających lub po prostu złamać hasło metodą brute-force.  

Najskuteczniejszą metodą rozprzestrzeniania w sieciach firmowych jest wykorzystywanie luk w zabezpieczeniach, ponieważ większość zabezpieczeń sieci korporacyjnych koncentruje się na zapobieganiu ataków z zewnątrz. W efekcie, istnieje wiele różnych luk w zabezpieczeniach sieci, w tym niezabezpieczone serwery firmowe, serwery testowe, systemy zarządzania/wirtualizacji itd. Doświadczenie pokazuje, że nawet jeśli specjaliści ds. bezpieczeństwa informacji oraz inżynierowie IT są świadomi wszystkich luk występujących w ich sieciach korporacyjnych, ich usuwanie może trwać całymi latami, ponieważ wymaga dużych zasobów ludzkich. Z drugiej strony, doświadczeni hakerzy są ostrożni jeśli chodzi o wykorzystywanie exploitów dla znanych luk i wolą atakować niezabezpieczone serwisy korporacyjne. Jeśli w sieci nadal wykorzystywany jest lokalny lub oparty na sieci system IDS/IPS, wykorzystanie exploitów dla znanych luk może zdemaskować cyberprzestępców.     

Wykrycie ataku

Na każdym etapie ataku cyberprzestępcy często wykorzystują środowisko oraz dostępne narzędzia do własnych celów, pozostając niezauważeni w gąszczu standardowych działań użytkowników. Aby uniknąć tego problemu, istotne jest, aby w miarę możliwości zmniejszyć nadmiarowość w środowisku oraz procesach biznesowych; w pozostałych przypadkach należy monitorować sytuację, identyfikować anomalie i reagować na nie.  

Żywym przykładem problemu nadmiarowości w procesach biznesowych jest wolny dostęp do zasobów biznesowych (poufnych dokumentów, krytycznych aplikacji, sprzętu itd.), przywilejów administratora lokalnego oraz możliwość zdalnego połączenia się z siecią firmową przez personel, który nie potrzebuje dostępu i przywilejów na tym poziomie. Dotyczy to kontroli praw dostępu na poziomie domeny jak również na poziomie aplikacji: przeglądarki zwykle nie potrzebują dostępu do pamięci innych procesów, z Microsoft Office nie musi instalować sterowników.   

Jako przykład nadmiarowości środowiska możemy podać zwykłego pracownika firmy (nie dewelopera, testera, administratora czy specjalisty ds. bezpieczeństwa informacji), na którego pulpicie znajduje się oprogramowanie przeznaczone do przechwytywania ruchu sieciowego, skanowania sieci, zdalnego dostępu, tworzenia lokalnych serwerów HTTP/FTP, wykorzystywania sprzętu sieciowego osób trzecich (Wi-Fi i/lub modemy 3G), narzędzia do rozwoju oprogramowania itd.

Każda skuteczna strategia zapobiegania atakom od wewnątrz sieci korporacyjnej musi być w stanie uniemożliwić potajemne działania cyberprzestępców oraz zmusić ich do podjęcia skomplikowanych i ryzykownych działań, poprzez które zdradzą swoje plany ekspertom ds. bezpieczeństwa mogącym zneutralizować zagrożenie. W tym celu w sieci korporacyjnej muszą być obecne dwie rzeczy: inteligentna ochrona oraz system zarządzania bezpieczeństwem informacji.

Jeśli połączymy te dwie technologie, powstały „twór” będzie zasadniczo odmienny niż przyjęty model bezpieczeństwa informacji. Taki model może widzieć wszystko, co ma miejsce w systemie, i natychmiast reagować na zagrożenia.    

Inteligentne narzędzia bezpieczeństwa zawierają ochronę antywirusową, zaporę sieciową, system IDS/IPS/HIPS, kontrolę aplikacji oraz kontrolę urządzeń – jednak wszystkie z nich muszą być zdolne do interakcji z systemem zarządzania bezpieczeństwem informacji. Takie narzędzia bezpieczeństwa powinny nie tylko zbierać wszelkiego rodzaju informacje i wysyłać je do systemu zarządzania bezpieczeństwem informacji, ale również wykonywać polecenia i blokować próby uzyskania dostępu, nawiązywać połączenia, przesyłać dane za pośrednictwem sieci, uruchamiać aplikacje, odczytywać i zapisywać pliki itd. Naturalnie, aby wszystko to mogło działać, specjalista ds. bezpieczeństwa informacji musi potrafić odróżnić legalną aktywność od szkodliwej.