Блог компании trend micro

Malware оптом и в розницу что нового на рынках даркнета

19.06.2020 18:10:12 |

Автор: admin

Даркнет излюбленное место киберпреступников, которые хотят найти единомышленников, поделиться опытом и продать или приобрести новые технологии для совершения своих атак. На торговых площадках в этом сегменте интернета легко можно найти украденные логины и пароли от учётных записей пользователей и практически любое вредоносное ПО от ботнетов до вирусов для IoT. Динамике и основным трендам таких супермаркетов для хакеров посвящено новое исследование Trend Micro, о котором мы поговорим в этой статье.

In the Dark

В 2015-2016 гг. Trend Micro опубликовала целый цикл отчётов, объединённых общей темой: экономика киберпреступного мира. В 2020 мы вернулись к анализу даркнета/дарквеба и его рынков в исследовании Shifts in Underground Markets: Past, Present, and Future (Динамика изменений подпольных рынков: прошлое, настоящее и будущее). Его цель показать, как развитие технологий и текущая ситуация в мире повлияли на ценообразование, механизмы взаимодействия между участниками подпольных рынков дарквеба и популярность отдельных категорий товаров и услуг. Также нам хотелось узнать, что ждёт эти рынки в будущем и чего ожидать простым пользователям и специалистам по ИТ-безопасности от их покупателей.

Этот интерес не в последнюю очередь вызван тем, что по своей доходности киберпреступность оставляет далеко позади транснациональные корпорации. Например, среднегодовая прибыль киберпреступников составляет около 1,5 триллионов долларов США, а такие гиганты, как Apple и Amazon за 2019 год получили всего лишь 260 и 290 миллиардов долларов, соответственно. К тому же рынки дарквеба крайне быстро реагируют на мировые тренды. Почти сразу после начала пандемии коронавируса на подпольных форумах появились связанные с COVID-19 предложения от невинных, вроде оптовой торговли респираторами и туалетной бумагой, до вполне вредоносных ПО и инструментов для атак с использованием методов социальной инженерии.

Недоверие и легализация

За годы, прошедшие со времени наших последних исследований в этой сфере, в образе мышления жителей подпольных торговых площадок и их инфраструктуре произошли серьёзные изменения. В первую очередь они коснулись методов взаимодействия между продавцами и покупателями, а также снижения доверия к дарквебу и форумам, на которых киберпреступники публикуют свои объявления. Также нельзя не отметить рост влияния и вмешательство правоохранительных органов в деятельность дарквеба.

В 2019 году администраторы одного из крупных подпольных рынков, Wall Street Market, попытались закрыть свой бизнес, сбежав со средствами, которые покупатели передали им на хранение до выполнения продавцами своих обязательств. Связана эта попытка была с повышенным вниманием правоохранительных органов к дарквебу и большим торговым площадкам в нём, которое в итоге вылилось в арест администраторов этого и ещё двух порталов. А ближе к концу 2019 года итальянская полиция провела успешную операцию по закрытию другого популярного форума, Berlusconi Market. Оба эти фактора (и попытка администрации грабить награбленное, и закрытие нескольких крупных форумов) стали причинами снижения доверия пользователей дарквеба к подпольным рынкам. К тому же, оставшиеся популярные форумы, например, Empire, столкнулись в 2019 году с ещё одной проблемой постоянными DDoS-атаками, которые, по слухам, санкционировали те же правоохранительные органы.

В итоге хакеры постепенно осваивают легальные каналы для общения и торговли, которые в текущих условиях оказываются удобней и безопасней для них, чем привычные площадки дарквеба. К примеру, не так давно мы обнаружили популярную платформу для интернет-торговли, зарегистрированную на имя компании с Ближнего Востока. На этой площадке любой пользователь может зарегистрироваться, чтобы продавать цифровые товары и услуги. В декабре 2019 года она даже попала в топ 15 000 сайтов в мире и топ 5 000 в США (по данным аналитики Alexa).

На первый взгляд всё на этом ресурсе выглядит абсолютно легально, и даже в условиях использования платформы можно найти информацию о запрете продажи незаконных материалов. Но, судя по этим же данным аналитики, более половины трафика сайта это переходы с популярного подпольного форума cracked.to, а на другом подпольном форуме, Nulled.to, прямо указано, что его администратор связан с руководством платформы. И все магазины на этой платформе, ссылки которые можно найти на подпольных форумах киберпреступников, продолжают функционировать несмотря на то, что явно нарушают её условия.

Также популярность начинает набирать приложение Discord, который активно вытесняет Telegram с позиции идеального мессенджера для общения и проведения сделок между киберпреступниками. В первую очередь это происходит из-за определённой степени анонимности для пользователей, которую предоставляет приложение, и возможности создавать собственные серверы. Судя по тому, что в ходе исследования мы не раз находили серверы, на которых предлагаются те же самые товары и услуги, что и на подпольных площадках, этой возможностью уже воспользовались многие хакерские форумы из дарквеба.

Что, где, почём?

В ходе исследования мы разделили все товары и услуги на подпольных рынках на 18 довольно широких категорий, в которые вошли различные предложения от данных кредитных карт и наркотиков и препаратов до программ-шифровальщиков. С полным их перечнем вы можете ознакомиться в самом тексте исследования, а в этом посте мы остановимся на пяти самых интересных категориях.

Краденые учётные записи мы обнаружили почти пять миллионов постов на подпольных форумах, связанных с этой категорией. К ней относятся огромное количество различных типов учётных записей, включая логины и пароли для онлайн-банкинга, интернет-магазинов, служб доставки еды, развлекательных порталов и сервисов (Netflix, Amazon, Hulu, Spotify и даже Disney+, хотя этот сервис появился на рынке всего лишь в ноябре 2019 года). Стоит отметить, что максимальная популярность категории не означает максимальную прибыльность для киберпреступников. Ценник на большинство учётных записей стартует от 1 доллара США, а доступ к банковскому счёту пользователя можно получить всего лишь за 5 долларов, и эта ситуация практически не изменилась со времени нашего предыдущего анализа рынка.

ПО и аккаунты для гейминга. Игры давно уже стали частью современного образа жизни, но масштабы интереса к ним хакеров (и их клиентов) вывели эту категорию на второе место в нашем исследовании. На подпольных форумах геймингу посвящено почти 3 миллиона сообщений. Речь в данном случае идёт не только о традиционных инструментах для взлома многопользовательских и соревновательных игр эймботах или воллхаках но и о доступе к редким аккаунтам с большим количеством внутриигровых предметов или торговле скинами для популярных игр. Например, учётные данные от аккаунта Fortnite могут стоить 999 долларов США, что вполне понятно, учитывая популярность игры и тот факт, что многие азиатские геймеры тратят на покупки во внутриигровых магазинах (особенно, в ММОРПГ) колоссальные суммы.

Данные кредитных карт. Почти два миллиона сообщений на подпольных форумах касаются украденных данных карт пользователей. Стоимость этих данных напрямую зависит от баланса на карте, и кредитные карты с подтверждённым большим остатком или кредитным лимитом могут стоить более 500 долларов США. В целом же можно сказать, что интерес к картам остаётся стабильно высоким, а вот цены в этой категории сильно упали за последние годы. В 2015 году за одну карту просили 20 долларов США, а сейчас стартовая цена за учётные данные от карты с непроверенным балансом около 1 доллара.

ПО для спама. ПО автоматической рассылки спам-сообщений упоминается в более чем 600 000 сообщений. Цены на товары в этой категории особо не менялись с 2015 года и начинаются примерно от 20 долларов США. Что любопытно, большинство предложений касаются не рассылки спама по электронной почты, а ещё более традиционного канала SMS. Массовая рассылка через этот канал обойдётся в сумму от 25 до 50 долларов США.

Инструменты для создания fake news. Эта категория набирает популярность достаточно активно, но появилась не так давно, поэтому сейчас ей посвящено около полумиллиона постов на подпольных форумах. Мы отметили интерес киберпреступников к ней ещё в своём исследовании 2017 года, и с тех пор фабрики лайков, фальшивые комментарии и продвижение интересующих покупателя тем никуда не делись. Наиболее низкие цены на подобные инструменты традиционно предлагает русскоговорящий сегмент дарквеба от 1 доллара США за 10 000 лайков, причём цены держатся на стабильном уровне уже несколько лет. Бот для социальных сетей обойдётся вам в 25 долларов США, а 1000 лайков на YouTube от 26 долларов.

В качестве бонусной категории стоит отметить программы-вымогатели, о которых мы нашли всего около 80 000 упоминаний на подпольных форумах. Несмотря на огромные убытки, которые инструменты из этой категории принесли предприятиям по всему миру, и около 1 млрд долларов США прибыли для киберпреступников в одном только 2016 году, их стартовая стоимость остаётся достаточно низкой от 5 долларов США. При этом успешные и хорошо зарекомендовавшие себя зловреды могут стоить и более 1000 или даже 3000 долларов. Наибольшей популярностью на рынке пользуется Jigsaw, на втором месте нашумевший WannaCry.

Источник: Trend Micro

Тренды и будущее торговли в даркнете

Мы взглянули на текущую ситуацию в мире и сделали ряд предположений о том, что ждёт подпольные рынки и обычных пользователей, страдающих от действий киберпреступников.

1) Рост популярности MaaS. Не только разработчики антивирусных решений способны продавать своё ПО по подписке. Модель MaaS (malware as a service, т.е. вредоносное ПО как услуга) активно набирает популярность в киберпреступной среде. Хакерские форумы предлагают не только исходный код своего ПО или готовые сборки вредоносов, но и техническую поддержку и своевременное обновление инструментов, то есть используют технику крупных компаний, чтобы обеспечить себе стабильный ежемесячный или ежегодный доход.

2) DeepFake популярность этой технологии постоянно растёт, а потенциал её применения в незаконных целях просто огромен. Смоделированные при помощи нейросетей фальшивые снимки и видео (и даже записи голоса) будут применяться для атак с использованием социальной инженерии, создания fake news и sextortion (шантаж с угрозами опубликовать настоящие или поддельные материалы сексуального характера, касающиеся пользователя), в том числе с элементами технологий, которые используются в программах-вымогателях, например, с таймером, отсчитывающим время до публикации.

3) Блокчейн для киберпреступников. Уже сейчас ведутся активные обсуждения автоматизации процесса расчётов между покупателями и продавцами на подпольных форумах, связанные с описанным выше падением уровня доверия к администрации и безопасности дарквеба в целом. Одной из идей стало использование умных контрактов и элементов блокчейна, чтобы полностью исключить возможность мошенничества со стороны участников сделок.

4) Выход на развивающиеся рынки. В своих исследованиях 2017 года мы предсказывали, что киберпреступники активизируются на территории Африки это предсказание полностью оправдалось. Также в Африке уже появились собственные киберпреступные группировки, которые ведут деятельность не только на её территории, но и по всему миру. В следующие 3-5 лет ситуация будет только ухудшаться.

5) Глобализация. Подпольные рынки отходят от разделения на локальные сообщества. Например, многие объявления из русскоязычного сегмента уже сейчас можно обнаружить на английских и арабских форумах, чего не было ещё 5 лет назад. В дальнейшем эта тенденция вполне может сохраниться, хотя часть товаров остаётся уникальной для конкретных рынков и регионов.

6) Интернет вещей и фитнес-гаджеты давно используются хакерами для создания ботнетов и DDoS-атак, но с развитием сетей 5G и постепенным ростом производительности устройств IoT, включая и фитнес-трекеры можно ожидать, что киберпреступники смогут применять их для более изощрённых атак, включая сбор данных о пользователе и последующий шантаж.

7) Клонирование SIM-карт. Во многих компаниях уже сейчас используется двухфакторная идентификация с доступом к учётной записи после получения специального кода на мобильное устройство. Судя по сообщениям на подпольных форумах, киберпреступники достаточно активно интересуются возможностями кражи, подмены или клонирования таких карт, особенно, если это касается учётных записей руководства. Такая операция позволит им получить доступ к инфраструктуре компании без необходимости взламывать её снаружи.

В завершение хочется ещё раз отметить, что, несмотря на усилия правоохранительных органов и постоянное развитие систем кибербезопасности, киберпреступность и подпольные рынки в даркнете никуда не исчезнут в ближайшие годы. Поэтому лучшее, что могут сделать обычные пользователи и ИТ-специалисты это позаботиться об эффективной защите своей системы и сетевой инфраструктуры, иначе в одном из следующих наших отчётов их данные рискуют пополнить ряды предложений хакеров на одном из таких форумов.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Подпольная империя , Даркнет , Киберпреступность

Умные и небезопасные что угрожает владельцам высокотехнологичных автомобилей

28.07.2020 22:14:29 |

Автор: admin

Современные автомобили из механического средства передвижения превращаются в напичканные электроникой гаджеты на колёсах они загружают обновления прошивки из интернета, передают производителю диагностическую информацию и имеют интерфейсы для удалённого подключения. В результате к привычным для автомобилей рискам добавляются риски в области кибербезопасности. Изучению этих угроз посвящено наше новое исследование, важнейшими выводами из которого мы поделимся в этом посте.

Особенности подключённых автомобилей

Управление технологическими узлами умного автомобиля производится через электронные блоки управления (ЭБУ). ЭБУ это компьютер, который собирает данные с подключённых к нему датчиков, кнопок, переключателей, кнопок, обрабатывает их и подаёт команды на исполнительные механизмы. Важнейшая часть каждого ЭБУ его прошивка софт, от которого зависит надёжность функционирования транспортного средства. В некоторых автомобилях насчитывается более 100 ЭБУ.

Взаимодействие между ЭБУ происходит с помощью протоколов CAN/CAN FD, LIN, MOST, Ethernet и FlexRay. Их общая черта повышенная надёжность. Они устойчивы к сбоям в жёстких условиях эксплуатации автомобиля, однако ни в одном из них не предусмотрено встроенных функций безопасности в виде шифрования данных или аутентификации подключаемых устройств.
В ближайшем будущем ожидается появление массовых моделей, оборудованных усовершенствованными системами помощи водителю (ADAS), автопилотами, а также системами взаимодействия между автомобилями (V2V) и с дорожной инфраструктурой (V2I). Такие системы помогут предотвращать ДТП или смягчать их последствия, однако также создадут и новые возможности для злоумышленников.

Популярность каршеринга сделала востребованной функции централизованного контроля автопарка, например, возможность отслеживать каждый автомобиль в реальном времени, собирать телеметрические данные и управлять режимами работы двигателя.
Востребованность новых технологий заставляет автопроизводителей сокращать циклы разработки и производства, чтобы продолжать наращивать темпы внедрения новых технологий. Гонка технологической оснащённости приводит к тому, что вопросы кибербезопасности остаются нерешёнными. Результат закономерен: новые автомобили содержат множество потенциальных уязвимостей.

Автомобильные киберугрозы
Подключённый к интернету автомобиль имеет значительное количество открытых портов, которые потенциально могут использовать киберпреступники. А учитывая поверхностное отношение к вопросам безопасности со стороны разработчиков автомобилей, проникновение в любой доступный ЭБУ относительно простая задача. Перехватив контроль над одним модулем, атакующий может перемещаться от одного управляющего блока к другому и производить самые разнообразные виды атак, например:
DoS-атаки на ЭБУ рулевого управления или тормозной системы, которые могут привести к аварии со смертельным исходом;
блокировку информационно-развлекательной системы или отключение запуска двигателя с требованием выкупа;
внедрение недействительных данных в поток обмена между модулями или модификация передаваемых данных с целью, например, нарушить режим работы двигателя и вывести его из строя;
отключение ЭБУ с использованием протоколов обнаружения ошибок;
перехват управления автомобилем, в результате которого может произойти авария, причём установить истинного виновника в этом случае практически невозможно.

Уязвимые диагностические сканеры
Дополнительным источником угроз часто становятся сами владельцы автомобилей из числа энтузиастов чип-тюнинга. Они приобретают Wi-Fi- или Bluetooth-сканеры, которые подключаются к шине CAN через диагностический разъём OBD-II. Как правило, прошивка таких сканеров не содержит средств защиты от атак, поэтому любой желающий может разместиться по соседству с ноутбуком, перехватить контроль над донглом и добавить немного чип-тюнинга на своё усмотрение.

Головные мультимедийные устройства
Ещё один уязвимый элемент, который редко принимают во внимание, головные мультимедийные устройства с GPS-навигацией и другими функциями. Автовладельцы часто заменяют штатные мультимедийные системы на альтернативные, чтобы получить дополнительные возможности.
Большая часть таких устройств работает на устаревших версиях Android, которые практически не обновляются. Популярная среди водителей функция автоматической адаптации громкости звука к скорости движения требует, чтобы головное устройство было подключено к шине CAN. В результате удалённый злоумышленник может воспользоваться известными уязвимостями Android, чтобы провести атаку на CAN-шину.
Самое неприятное: уязвимые версии Android используются даже в штатных мультимедийных устройствах некоторых автомобилей.

Небезопасные прошивки
Практически каждый владелец умного автомобиля хочет, чтобы его этот автомобиль стал быстрее и мощнее, чем предусмотрено производителем. А лучше всего, если получится добавить функции старшей модели в более дешёвую младшую. Гаражные мастерские, специализирующиеся на таких модификациях, заменяют прошивки ЭБУ, которые представляют собой ОС вместе с загрузчиком. Этим умельцам не мешает даже то, что файлы прошивок должны быть подписаны цифровой подписью производителя: модифицируя код в ЭБУ, они отключают проверку подписи, в результате чего блок работает с любой прошивкой, в том числе и с вредоносной.

Уязвимости в шине CAN
Разработанная компанией Bosch в 1983 году шина CAN была официально представлена в 1986-м, а впервые использован в серийных автомобилях в 1989-м. Спустя четыре года ISO приняла CAN в качестве стандарта для автомобилей, и с тех пор эта шина и соответствующий протокол для обмена данными используются практически в каждом транспортном средстве.

Системы автомобиля, подключённые к CAN. Источник: Trend Micro

Все устройства автомобиля взаимодействуют через шину CAN. Благодаря этому головное мультимедийное устройство узнаёт, получив информацию о сработавших подушках безопасности, что нужно позвонить в экстренную службу и сообщить об аварии.

Подключённые к CAN устройства взаимодействую между собой, передавая особые сообщения фреймы. Эти сообщения могут содержать различную информацию, включая сообщения об ошибках. Объединённая команда исследователей разработала атаку на шину CAN, которая эксплуатирует имеющиеся в этом случае особенности обработки ошибок:
1) ошибки возникают, когда устройство считывает значения, которые не соответствуют исходному ожидаемому значению на фрейме;
2) когда устройство обнаруживает такое событие, оно записывает сообщение об ошибке на шину CAN, чтобы отозвать ошибочный фрейм и уведомить другие устройства, чтобы они проигнорировали его;
3) если устройство посылает слишком много ошибок, то, как предписывают стандарты CAN, оно переходит в состояние Bus Off, т. е. отключается от CAN и не может прочитать или записать какие-либо данные в CAN, эта функция помогает изолировать явно неисправные устройства, чтобы они не мешали работе остальных систем;
4) передавая достаточно большое количество ошибок, можно добиться того, чтобы целевое устройство перешло в состояние Bus Off, то есть отключилось.
Это может стать опасным и даже фатальным, особенно если удастся так отключить подушки безопасности или ABS.
Чтобы провести атаку, достаточно подключить к CAN устройство, которое будет повторно посылать в CAN фреймы с ошибками. А для подключённых автомобилей не понадобится никакого устройства достаточно воспользоваться уязвимостями в ЭБУ и запустить атаку дистанционно.

Презентация Trend Micro об атаке на CAN:

Описанное выше уже было проверено на практике. В 2015 году Чарли Миллер и Крис Валасек продемонстрировали дистанционный взлом подключённой модели Jeep Cherokee. Водитель, которого предупредили об эксперименте, выехал на хайвей, после чего исследователи перехватили управление системами его автомобиля. Они включили на полную мощность музыку и кондиционер, заставили работать щётки стеклоочистителя, а затем заставили автомобиль ползти как черепаха, так что другие водители сигналили участнику эксперимента, обгоняя его. И самое страшное: он ничего не мог сделать управление кондиционером, мультимедийной системой и даже педалью газа было перехвачено хакерами. После публикации результатов эксперимента компания Chrysler отозвала 1,4 млн автомобилей, оснащённых уязвимой для дистанционного взлома системой UConnect, через которую исследователи взломали Jeep Cherokee.

Чтобы решить накопившиеся проблемы безопасности отраслевая группа ISO и SAE разработала свод руководящих принципов обеспечения безопасности подключённых автомобилей ISO/SAE 21434.

Что предлагает новый стандарт

Повсеместное управление безопасностью
То есть безопасность должна стать обязательной частью всех процессов от создания концепции и разработки до производства, эксплуатации, технического обслуживания и вывода из эксплуатации. Для управления рисками следует использовать уже зарекомендовавший себя стандарт ISO 31000.

Структура управления рисками в соответствии с ISO 31000. Источник: Trend Micro

Мониторинг рисков
В случаях потенциальных инцидентов, связанных с безопасностью, стандарт предусматривает контрольные точки для всех компаний, поставщиков и поставщиков:
управление кибербезопасностью сверху вниз должно основываться на постоянном мониторинге рисков в рамках всей организации, включая производство и всю цепочку поставщиков;
для внедрения кибербезопасности сверху вниз организациям понадобится сильная культура ИБ и упор на качественную подготовку кадров;
руководители всех уровней должны работать над внедрением знаний в области кибербезопасности на всех этапах бизнеса и внедрять их в своих подразделениях; для этого можно воспользоваться рекомендациями стандарта управления информационной безопасностью ISO/IEC 27001.

Меры по обеспечению внедрения стандартов ИБ в соответствии с ISO 27001. Источник: Trend Micro.

Оценка событий кибербезопасности
Этот процесс определяет уровень воздействия события в области кибербезопасности и соответствующую реакцию на него. Каждое событие необходимо проанализировать, чтобы определить, как оно влияет объект или компонент. Принимая во внимание решение об устранении риска, процедуры реагирования могут применяться на последующих этапах.

Анализ уязвимостей
Для каждой выявленной уязвимости необходимо установить, может ли она быть использована для атаки. Все ошибки и события должны быть проанализированы для выявления потенциальных уязвимостей, например:
пропущенных требований или спецификаций;
архитектурных или конструктивных недостатков, включая некорректное проектирование протоколов безопасности;
слабых мест или некорректной реализации протоколов безопасности, включая аппаратные и программные ошибки;
слабых мест в процессах и процедурах компании, включая неправильное использование и неадекватную подготовку пользователей;
использования устаревших функций, в том числе криптографических алгоритмов.

Управление уязвимостями
Чтобы не дать потенциальным преступникам воспользоваться обнаруженной уязвимостью, возможно применение следующих мер:
1) временное отключение некритических компонентов;
2) уведомление пользователей о риске;
3) создание и проверка исправления кода командой разработчиков;
4) создание и развёртывание исправлений безопасности.

Управление обновлениями
Для большинства проданных автомобилей обновления прошивок могут быть сделаны только в авторизованных сервисных центрах, поскольку:
установка обновлений для критически важных ЭБУ не может быть выполнена во время их перемещения в целях безопасности пользователей;
общий размер обновления программного обеспечения, требующего установки, может составлять несколько гигабайт, что делает время и полосу пропускания важными факторами, ограничивающими его немедленное развёртывание;
обновление ЭБУ могут вывести его из строя, а это означает, что их придётся менять на исправные в авторизованных сервисных центрах
В результате обновления обычно выполняются только тогда, когда пользователь получает сообщение о неисправности, а не по соображениям безопасности. В результате большинство автомобилей не обновляются годами.
Решить эту проблему призван новый стандарт ISO/AWI 24089 Транспортные средства Инжиниринг обновления программного обеспечения. На текущий момент он находится на ранних стадиях разработки, поэтому сложно сказать, как он повлияет на процедуру обновления.

Как быть

Мы предлагаем использовать многоуровневый подход для обеспечения безопасности подключённых транспортных средств, включающий в себя как использование самых актуальных сведений о ландшафте угроз, так и обеспечение мер безопасности еще на этапе подготовки к строительству для транспортных средств, сетей и вспомогательных сервисов. Эти меры должны существенно снизить вероятность успеха атаки и смягчить её возможные последствия.
Критически важно сохранять комплексный подход к улучшению безопасности подключённых автомобилей, избегая внедрения разрозненных решений. Только таким образом можно добиться единообразного управленческого контроля в рамках всей системы.

Рекомендуемый подход к обеспечению безопасности подключённого автомобиля с использованием бесшовной многоуровневой системы защиты. Источник: Trend Micro.

Для этого компании и поставщики должны внедрить надёжное и функциональное решение, которое
поддерживает управление подключёнными автомобилями;
защищает от атак, направленных на транспортное средство, связанные сети и бэкэнд-системы;
обеспечивает единый контекст событий из каждой системы по мере их возникновения.
Так можно гарантировать бесшовную многоуровневую реакцию на кибератаки для защиты, обнаружения и реагирования, а также для мониторинга всех этапов производства и эксплуатации высокотехнологичных транспортных средств.

Подробнее..

Категории: Информационная безопасность , Блог компании trend micro , Trend micro , Кибербезопасность , Автомобильные гаджеты , Умные автомобили , Автомобильные киберугрозы , Iso/sae 21434

Лечение или профилактика как справиться с пандемией COVID-брендированных кибератак

06.08.2020 16:13:59 |

Автор: admin

Охватившая все страны опасная инфекция уже перестала быть инфоповодом номер один в средствах массовой информации. Однако реальность угрозы продолжает привлекать внимание людей, чем успешно пользуются киберпреступники. По данным Trend Micro, тема коронавируса в киберкампаниях по-прежнему лидирует с большим отрывом. В этом посте мы расскажем о текущей ситуации, а также поделимся нашим взглядом на профилактику актуальных киберугроз.

Немного статистики

Карта векторов распространения, которые используют брендированные под COVID-19 кампании. Источник: Trend Micro

Главным инструментом киберпреступников по-прежнему остаются спам-рассылки, причём несмотря на предупреждения со стороны государственных органов граждане продолжают открывать вложения и переходить по ссылкам в мошеннических письмах, способствуя дальнейшему распространению угрозы. Страх заразиться опасной инфекцией приводит к тому, что, помимо пандемии COVID-19, приходится бороться с киберпандемией целым семейством коронавирусных киберугроз.

Вполне логичным выглядит распределение пользователей, перешедших по вредоносным ссылкам:

Распределение по странам пользователей, открывшие вредоносную ссылку из письма в январе-мае 2020 года. Источник: Trend Micro

На первом месте с большим отрывом пользователи из США, где на момент написания поста было почти 5 млн заболевших. В первой пятёрке по количеству особо доверчивых граждан оказалась и Россия, которая также входит в число стран-лидеров по заболевшим COVID-19.

Пандемия кибератак

Главные темы, которые используют киберпреступники в мошеннических письмах, задержки доставки из-за пандемии и связанные с коронавирусом уведомления от министерства здравоохранения или Всемирной организации здравоохранения.

Две самых популярных темы мошеннических писем. Источник: Trend Micro

Чаще всего в качестве полезной нагрузки в таких письмах используется Emotet шифровальщик-вымогатель, появившийся ещё в 2014 году. Ковид-ребрендинг помог операторам вредоноса повысить доходность кампаний.
В арсенале ковид-мошенников также можно отметить:
фальшивые правительственные сайты для сбора данных банковских карт и персональных сведений,
сайты-информеры по распространению COVID-19,
фальшивые порталы Всемирной организации здравоохранения и центров по контролю за заболеваемостью,
мобильные шпионы и блокировщики, маскирующиеся под полезные программы для информирования о заражении.

Профилактика атак

В глобальном смысле стратегия работы с киберпандемией аналогична стратегии, применяемой при борьбе с обычными инфекциями:
обнаружение,
реагирование,
предотвращение,
прогнозирование.

Очевидно, что победить проблему можно только путём реализации комплекса мероприятий, ориентированных на долгосрочную перспективу. Основой перечня мер должна стать профилактика.
Подобно тому, как для защиты от COVID-19 предлагается соблюдать дистанцию, мыть руки, дезинфицировать покупки и носить маски, исключить возможность успешной кибератаки позволяют системы мониторинга фишинговых атак, а также средства предупреждения и контроля проникновений.

Проблема таких инструментов большое количество ложных срабатываний, для обработки которых требуются гигантские ресурсы. Значительно сократить число уведомлений о ложноположительные событиях позволяет использование базовых механизмов безопасности обычных антивирусов, средств контроля приложений, оценки репутации сайтов. В этом случае подразделению, отвечающему за безопасность, удастся обращать внимание на новые угрозы, поскольку известные атаки будут блокироваться автоматически. Такой подход позволяет равномерно распределить нагрузку и сохранить баланс эффективности и безопасности.

Важное значение во время пандемии имеет отслеживание источника заражения. Аналогично и выявление начального пункта реализации угрозы при кибератаках позволяет системно обеспечивать защиту периметра компании. Для обеспечения безопасности на всех точках входа в ИТ-системы используются инструменты класса EDR (Endpoint Detection and Response). Фиксируя всё происходящее на конечных точках сети, они позволяют восстановить хронологию любой атаки и выяснить, какой именно узел был использован киберпреступниками для проникновения в систему и распространения по сети.

Недостаток EDR большое количество не связанных между собой оповещений от разных источников серверов, сетевого оборудования, облачной инфраструктуры и электронной почты. Исследование разрозненных данных трудоёмкий ручной процесс, в ходе которого можно упустить что-то важное.

XDR как кибервакцина

Решить проблемы, связанные с большим количеством оповещений, призвана технология XDR, которая является развитием EDR. X в этой аббревиатуре обозначает любой объект инфраструктуры, к которому можно применить технологию обнаружения: почта, сеть, серверы, облачные службы и базы данных. В отличие от EDR собранные сведения не просто передаются в SIEM, а собираются в универсальное хранилище, в котором систематизируются и анализируются с использованием технологий Big Data.

Структурная схема взаимодействия XDR и других решений Trend Micro

Такой подход по сравнению с простым накоплением информации позволяет обнаружить больше угроз благодаря использованию не только внутренних данных, но и глобальной базы угроз. При этом чем больше данных собрано, тем быстрее будут выявляться угрозы и тем выше будет точность оповещений.

Использование искусственного интеллекта даёт возможность свести к минимуму количество оповещений, так как XDR генерирует высокоприоритетные предупреждения, обогащенные широким контекстом. В результате аналитики SOC получают возможность сосредоточиться на уведомлениях, которые требуют немедленных действий, а не проверять вручную каждое сообщение, вычисляя связи и контекст. Это позволит значительно повысить качество прогнозов будущих кибератак, от которого напрямую зависит эффективность борьбы с киберпандемией.
Точное прогнозирование обеспечивается благодаря сбору и сопоставлению различных типов данных обнаружения и активности с датчиков Trend Micro, установленных на разных уровнях внутри организации конечных точках, сетевых устройствах, электронной почте и облачной инфраструктуре.

Использование единой платформы значительно облегчает работу ИБ-службы, поскольку она получает структурированный и отсортированный по приоритету список оповещений, работая с единым окном для представления событий. Быстрое выявление угроз даёт возможность быстро отреагировать на них и свести к минимуму последствия от них.

Наши рекомендации

Многовековой опыт борьбы с эпидемиями свидетельствует, что профилактика не только эффективнее лечения, но и имеет меньшую стоимость. Как показывает современная практика, компьютерные эпидемии не исключение. Предупредить заражение сети компании значительно дешевле, чем платить выкуп вымогателям и выплачивать контрагентам компенсации за невыполненные обязательства.

Совсем недавно компания Garmin заплатила вымогателям 10 млн долларов США, чтобы получить программу-дешифратор для своих данных. К этой сумме стоит прибавить убытки от недоступности сервисов и репутационный ущерб. Простое сравнение полученного результата со стоимостью современного защитного решения позволяет сделать однозначный вывод: профилактика угроз информационной безопасности не тот случай, где экономия оправдана. Последствия успешной кибератаки обойдутся компании значительно дороже.

Подробнее..

Категории: Информационная безопасность , Антивирусная защита , Блог компании trend micro , Trend micro , Edr , Xdr , Киберугрозы

Битва за роутеры как ботнеты делят сферы влияния

21.08.2020 18:08:22 |

Автор: admin

Киберпреступники захватывают маршрутизаторы, а затем используют их для продажи сервисов анонимизации, проксирования, организации DDoS-атак. Причём за владение зомби-устройствами сражаются сразу несколько ботнетов. О том, как проходит эта война, рассказывает новое исследование Trend Micro, и в этом посте мы поделимся наиболее важными деталями.

По оценкам экспертов в 2020 году количество подключенных к интернету IoT-устройств превысит 31 млрд штук. Каждое такое устройство содержит операционную систему с сетевым стеком и набор программ для выполнения основных задач. Наиболее функциональные IoT-устройства это роутеры. Обычно их прошивка представляет собой облегчённую и довольно редко обновляемую владельцами устройств версию Linux. На многих устройствах остаётся заданный производителем пароль, что в сочетании с неисправленными уязвимостями старого Linux превращает роутеры в идеальную цель для захвата и подключения к ботнету.

Зачем нужны ботнеты
Армию из десятков тысяч устройств можно использовать с разными целями. Самые распространённые это анонимные прокси и организация DDoS-атак. Эти два направления позволяют получить серьёзный доход при грамотной монетизации. Чем больше устройств в сети, тем больше в ней потенциальной мощности и тем больше денег она приносит своим владельцам. Поэтому киберпреступники соревнуются за то, чтобы захватить как можно больше маршрутизаторов.

Как происходит заражение
Собранные данные показывают, что самое большое число заражений происходит с использованием брутфорс-атак и открытых портов telnet.
Прямой перебор паролей производится с помощью специального скрипта и показывает высокую эффективность, поскольку многие маршрутизаторы подключаются к интернету с паролем по умолчанию. Перебор паролей также может быть одной из функций ботнета, поэтому захват новых устройств происходит достаточно быстро.

Количество брутфорс-атак на маршрутизаторы в 2019-2020 году. Источник (здесь и далее, если не указано иное): Trend Micro

По данным телеметрии Trend Micro, в 2019 г. количество попыток входа на маршрутизаторы с применением брутфорса постоянно увеличивалось. Сначала рост был постепенным, а начиная с октября цифры резко выросли.
Второе по популярности средство расширения сферы действия IoT-ботнетов это взлом протокола telnet. Хотя сегодня telnet используется не так широко, как в прошлом и даже не рекомендуется к применению, многие устройства IoT всё ещё используют его для обеспечения удалённого доступа. Telnet-сеансы не шифруются, что позволяет злоумышленнику или бот-сети легко перехватывать учётные данные пользователя и другую информацию. В результате бот-сети могут использовать полученные из протокола telnet данных для дальнейшего расширения.
Попытка открыть telnet-сессию с другими устройствами не является нормальным поведением маршрутизатора и может служить признаком попытки заражения. В нашем исследовании мы использовали эту метрику как индикатор количества заражённых маршрутизаторов.

Данные телеметрии Trend Micro с июля 2019 по апрель 2020 года. Чёрные столбцы количество попыток telnet-подключений, синий график источники этих попыток

На пике источниками вредоносного трафика были до 16 тыс. устройств в неделю, после чего это количество снизилось, что совпало с частичным отключением одного из наиболее мощных ботнетов DoubleGuns.
Мы обнаружили, что существует три основные кодовые базы бот-сетей, которые чаще всего используются кибергруппировками и скрипт-киддис: Mirai, Kaiten и QBot. Их коды общедоступны, поэтому любой технически подкованный мошенник может легко загрузить код, скорректировать и перекомпилировать его под себя, чтобы захватывать маршрутизаторы для создания бот-сети. Таким образом, коды этих трёх ботнетов основное кибероружие в продолжающейся войне за маршрутизаторы.

Mirai
Это самый распространённый код, на базе которого создаются ботнеты. Mirai появился в конце 2016 года, и это сразу изменило ландшафт IoT-угроз. Mirai создавался как инструмент для DDoS-атак.
Первой атакой Mirai стало нападение на игровые серверы Minecraft, размещённые у интернет-провайдера OVH. Мощность атаки, которая началась 19 сентября 2016 года, составила 799 Гбит/с. Ботнет состоял из 145 тыс. устройств.
Ещё одной демонстрацией возможностей ботнета стала DDoS-атака на сайт Krebs on Security 20 сентября 2016 года мощностью 665 Гбит/с. CDN-провайдер Akamai, не справившись с атакой, просто отключил сайт, который в итоге лежал четыре дня. Сама атака продолжалась 77 часов, в ней участвовали 24 тыс. захваченных роутеров.
Самой крупной кампанией Mirai стала атака 12 октября 2016 года на DNS-провайдера Dyn, который предоставлял услуги Netflix, Reddit, Twitter и другим компаниям. По заявлению специалистов, мощность атаки превосходила возможности всех имеющихся защитных решений. В составе Mirai на тот момент насчитывалось более 11 млн устройств.
Публикация исходных кодов Mirai навсегда изменила мир. Возможность создать себе DDoS-дубину для расправы с конкурентами и сдачи в аренду оказалась настолько привлекательной, что сразу появилось множество форков Mirai с дополнительными возможностями в виде использования дополнительных эксплойтов для взлома маршрутизаторов, а также кода для очистки взломанных устройств от конкурентов.

Фрагменты кода Mirai для уничтожения малвари-конкурента Anime. Здесь Mirai использует системную функцию Linux kill() для передачи сигнала SIG_KILL (9) процессам-конкурентам

Kaiten / Tsunami
Этот ботнет не так известен, как Mirai, хотя его можно считать одним из самых старых. Его исходники находятся в общем доступе с 2001 года. Взаимодействие с управляющими серверами происходит по протоколу IRC (Internet Relay Chat). Адреса серверов прописаны в исходном коде Kaiten, который можно собрать под архитектуры SH4, PowerPC, MIPSel, MIPS и ARM.
Поиск и заражение устройств происходит с помощью Python-скрипта, который ищет открытые telnet-порты и затем пытается подключиться с ним, брутфорся пароли. Перебор начинается с самых распространённых паролей, которые содержатся в теле скрипта:

Список самых небезопасных и распространённых паролей в теле скрипта Kaiten

Публикация исходного кода также привела к появлению множества форков, последние версии которых также содержат функцию убийцы ботов, которая очищает захваченное устройство от конкурентов.

Авторы форков Kaiten хвастаются функцией ботоубийства на форумах

Qbot
Этот ботнет появился в инфополе в 2008 году. Его исходный код состоит всего из нескольких файлов. Вся настройка сводится к правке исходников, поэтому этот ботнет не так популярен среди новичков. На киберпреступных форумах часто можно встретить ветки, в которых новички спрашивают совета по настройке этого ботнета.
Qbot таже поддерживает различные аппаратные архитектуры, а к управляющим серверам подключается по TCP, не полагаясь на протоколы более высокого уровня.

Фрагмент кода QBot, содержащий строки-идентификаторы конкурирующих вредоносов

Qbot также нетерпимо относится к конкурентам. Один из его форков содержит 438 названий процессов-конкурентов, включая Mirai и Kaiten.

Последствия
Злоумышленники могут использовать различные инструменты для компрометации как можно большего количества маршрутизаторов, в том числе уже находящихся в руках у конкурентов. Заражённые маршрутизаторы используются для различных целей от продажи сервисов на основе заражённых маршрутизаторов до атаки на врагов, например, на ресурсы других группировок или на серверы-конкуренты.
Обычные интернет-пользователи понятия не имеют о том, что эта война происходит у них дома, и не знают, как она на них влияет, что делает эту проблему ещё более серьёзной. Владельцы маршрутизаторов должны заботиться о безопасности своих устройств и интернет-подключений, иначе они рискуют стать жертвами киберпреступников. Эта проблема особенно актуальна, когда многие сотрудники работают удаленно из дома.

Рекомендации по защите
Мы рекомендуем IT-специалистам проверять состояние подведомственных маршрутизаторов не реже одного раза в квартал по этому чек-листу:
проверьте журналы роутера на предмет необычного поведения, странных учётных записей и других аномалий;
убедитесь, что на маршрутизаторе установлена последняя прошивка;
используйте надёжный пароль и время от времени меняйте его;
ограничьте число попыток неправильного ввода пароля, если прошивка позволяет сделать это;
отключите возможность telnet-подключения к маршрутизатору, и разрешите входы только из локальной сети.
Мы также призываем ИТ-персонал помогать работающим дистанционно сотрудникам в обеспечении безопасности их домашних маршрутизаторов.
Среди решений Trend Micro есть устройство, ориентированное на защиту домашних сетей Trend Micro Home Network Security. Оно проверяет интернет-трафик между маршрутизатором и домашней сетью, а также помогает пользователям оценить уязвимости в подключённых к сети устройствах. Использование этого решения позволяет предотвратить захват устройств ботнетами в ходе войны, где маршрутизаторы являются полем боя и призовым фондом для выигрыша.

Подробнее..

Категории: Информационная безопасность , Iot , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Ddos

Уязвимости и вредоносный код в системах промышленной автоматизации

07.09.2020 20:15:27 |

Автор: admin

Разработанные 15-20 лет назад средства промышленной автоматизации практически не содержали функций обеспечения безопасности. За прошедшие десятилетия на предприятиях накопился целый парк оборудования с неустранимыми архитектурными недостатками, доступными для эксплуатации киберпреступниками. В этом посте рассказываем об уязвимостях промышленных систем автоматизации и приводим рекомендации по улучшению ситуации.

В 2019 году мы обнаружили в интернете магазин, распространяющий программное обеспечение для тяжёлых промышленных машин. Мы скачали некоторые из этих приложений и провели их реверс-инжиниринг, чтобы понять, как они работают. Их код был написан на одном из проприетарных языков программирования, использовавшихся для автоматизации промышленных роботов, которые собирают автомобили и упаковывают пищевые продукты на конвейерах. В одном из этих приложений обнаружилась уязвимость, с которой и началось наше исследование Rogue Automation: Vulnerable and Malicious Code in Industrial Programming.

Изучив технические детали и слабые места восьми наиболее популярных сред промышленного программирования (ABB, Comau, Denso, Fanuc, Kawasaki, Kuka, Mitsubishi и Universal Robots), мы выяснили, что эти языки можно использовать для создания вредоносов-червей, которые будут перемещаться с одного уязвимого робота на другой, подчиняясь дистанционным командам своих операторов.

Обнаруженные недостатки результат выбора дизайна, созданного несколько десятилетий назад. Эти решения определили технологию, методы и инструменты, которые до сих пор используются для программирования промышленного оборудования. Рассмотрим последствия такого выбора в контексте современных киберугроз.

Кража данных у робота

Мы обнаружили реальный случай уязвимого веб-сервера, реализованного в виде приложения для запуска на промышленном роботе. Веб-сервер, написанный на языке ABB Rapid, содержал уязвимость обхода путей, которая позволяла злоумышленнику подключиться к роботу по сети и копировать любые файлы с контроллера робота, включая журналы работы. Такие файлы с большой вероятностью содержат различные конфиденциальные данные и ноу-хау, поэтому их можно выгодно реализовать на подпольных рынках.

Если злоумышленнику удастся взломать компьютер в той же сети, что и робот, он сможет подключиться к веб-серверу контроллера под видом агента, запросить интересующий его файл и получить его без авторизации, поскольку программа выполняет любые запросы от агента.

Фрагмент кода уязвимого приложения. Источник (здесь и далее, если не указано иное): Trend Micro

В строке 493 вызывается функция sendFile для отправки запрошенного файла клиенту. Строка pageString никак не фильтруется, поэтому может содержать .../ или другой путь. Это позволяет выполнить обход файловой системы и скачать практически любой файл.

Схема эксплуатации уязвимости

Примечательным в этом случае оказался комментарий, оставленный разработчиком уязвимого веб-сервера в коде. Он знал о том, что написанный им код уязвим, но не сделал ничего для устранения проблемы, потому что предполагал, что все запросы будут поступать от правильного браузера, который будет проверять вводимые данные и не допустит передачи в обработчик строки типа ...\\...\\:

Фрагмент кода с комментарием разработчика о том, что санитизацию данных должен выполнять браузер

Подмена команд роботу по сети

Эксплуатация некоторых уязвимостей может привести к последствиям в физическом мире, например, причинить вред готовым изделиям или даже окружающим людям.
В open-source проекте для промышленных роботов Kuka мы обнаружили уязвимость, которая позволяет изменить траекторию движения подвижной части. Программа получает поток координат по сети и передаёт их исполнительному механизму, который выполняет заданные перемещения. Для этого используется специальный класс процедур серверы автоматизации движения. Это стандартный интерфейс, который позволяет OEM-производителям промышленных роботов обеспечить единый способ управления перемещением их изделий.

Уязвимый код сервера автоматизации движения не содержит никаких проверок на легитимность переданных ему данных

Код сервера никак не проверяет, откуда поступила очередная порция координат для перемещения робота, в нём не предусмотрена внутренняя аутентификация. Единственной защитой является проверка MAC-адреса и IP-адреса отправителя, любой из которых может быть с лёгкостью подделан проникшим в сеть злоумышленником.
На нашем лабораторном стенде мы убедились, что, используя спуфинг, можно фальсифицировать трафик между роботом и инженерной рабочей станцией. Злоумышленник мог посылать произвольные координаты, а робот просто выполнял их, что на реальном производстве привело бы к несчастному случаю.
Внедряя в трафик сетевые пакеты с неверными координатами, мы смогли несколько раз вытолкнуть манипулятор за пределы зоны безопасности и ударить рукой робота по физическому объекту. В результате рука, с помощью которой робот подбирает объекты, отвалилась:

Отвалившаяся рука робота результат внедрения небезопасных координат в трафик

Динамические вредоносы

Эта разновидность атаки предполагает, что робот работает под управлением программы, написанной системным интегратором, которая считается доверенной. В реальности любая созданная интегратором программа считается доверенной и разворачивается без проверок кода на безопасность.
Скомпрометировав интегратора или заменив программу в уязвимом сетевом хранилище, можно незаметно внедрить в сеть предприятия вредоносный код: добавить загрузчик, который скачивает нужный злоумышленнику модуль и запускает его на выполнение как часть стандартного производственного цикла.

Загрузчик вредоноса, написанный на языке программирования для промышленных роботов

Для проверки этой концепции мы написали дроппер на языке программирования для промышленных роботов и убедились, что для загрузки кода в контроллер робота и его выполнения может быть использована внешняя программа. Получив управление, такая программа может выполнять дальнейшие вредоносные действия, собирая информацию о сетевой инфраструктуре, похищая файлы и учётные данные.

Необычная RCE-уязвимость

Одной из наших находок стала вполне допропорядочная программа, которая запускает на исполнение функции, имена которых получает по сети. Для их исполнения она использует динамическую загрузку кода, но при этом не интересуется, что именно она запускает: в программе не предусмотрена проверка целостности загружаемых библиотек.

Уязвимая логика работы добропорядочного приложения

Фрагмент кода, реализующий уязвимую логику.

Хотя сама по себе программа не содержит вредоносных функций, злоумышленник может воспользоваться ей, чтобы отдавать команды роботу в нужный ему момент, оказывая влияние на физический мир.

Венец творения червь-вредонос

Для демонстрации серьёзности обнаруженных проблем мы разработали программу с функцией саморазмножения и автоматического обновления, динамической загрузкой кода с управляющего сервера и возможностью удалённого управления. Проверочная программа также может выполнять сетевое сканирование, передавать на управляющий сервер произвольные файлы, вести список заражённых устройств и выполнять функции бота.

Логика работы PoC-программы, имитирующей работу реального вредоноса

Формирование списка найденных файлов и его отправка на управляющий сервер

Источник проблем

Проанализировав восемь популярных языков программирования для промышленной автоматизации, разработанных в прошлые десятилетия, мы пришли к выводу, что основная причина выявленных и потенциальных уязвимостей состоит в том, что эти языки содержат низкоуровневые средства для доступа к системным ресурсам. И хотя эти средства сами по себе не являются чем-то опасным, злоумышленники могут использовать их не по прямому назначению, критически повлияв на безопасность робота, его оператора и подключённых систем. Например, с их помощью можно перемещать манипулятор вверх, поднимать заготовку, опускать манипулятор вниз и освобождать заготовку.
Этот богатый набор сложных функций даёт инженерам-технологам свободу при разработке прикладных программ, в которых они могут получать данные из сети читать и записывать файлы. Однако, поскольку платформы не реализуют защищённый доступ к этим расширенным возможностям, злоумышленники могут использовать их для написания вредоносных модулей.
Другая проблема устаревших языков для промышленной автоматизации (Industrial Robots Programming Language, IRPL), доставшихся в наследство вместе с оборудованием, состоит в том, что для них не существует средств проверки кода на небезопасные паттерны, подобных инструментарию для C, C++, C#, Java, PHP и Python.
Каждый OEM-производитель создаёт свои собственные языки и среду, в которой будут выполняться целевые программы. Некоторые из них основаны на операционных системах реального времени (RTOS), но в целом стандартизации не существует. Семантика каждого IRPL также уникальна и может существенно отличаться от семантики языков программирования общего назначения. Некоторые возможности, например, для манипулирования строками или криптографических операций, в IRPL либо отсутствуют, либо не настолько развиты, как в традиционных языках.
Главные источники уязвимостей в программах, написанных на IRPL, три основные функции:
работа с файлами и каталогами,
динамическая загрузка модулей и вызов функций по имени,
сетевые функции приём и передача данных внешним системам.

Доступные в IRPL опасные функции

Как защититься

Как и любое программное приложение, работающее с недоверенными данными, системы промышленной автоматизации должны разрабатываться, внедряться, конфигурироваться и развёртываться с соответствующими механизмами безопасности.

Сводные рекомендации по обеспечению безопасности программ для промышленной автоматизации

Следовательно, при написании таких программ необходимо руководствоваться следующими принципами:
воспринимайте промышленных роботов как компьютеры, а прикладные программы для них как чрезвычайно ответственный код;
аутентифицируйте все коммуникации;
реализуйте политики контроля доступа;
внедряйте проверку входных данных везде, где это применимо;
обеспечьте постоянную санитизацию выходных данных;
при обработке ошибок не раскрывайте ненужные технические детали;
создавайте правильные конфигурации и процедуры развёртывания;
внедрите процессы управления изменениями для кода промышленной автоматизации.

Старые или умные?

В то время, как разработчики традиционного ПО десятки лет сражаются с последствиями небезопасного программирования и вырабатывают различные методики, обеспечивающие победу, мир промышленной автоматизации оказался неподготовленным к обнаружению и предотвращению эксплуатации уязвимостей.
Учитывая темпы конвергенции IT/OT, необходимо в приоритетном порядке внедрять в индустрию промышленной автоматизации методы разработки безопасного кода. В противном случае ближайшие несколько лет могут принести нам множество сообщений об инцидентах в сфере промышленности, причём последствия этих инцидентов будут проявляться не только в киберпространстве, но и в физическом мире.

Подробнее..

Категории: Информационная безопасность , Автоматизация , Промышленное программирование , Исследования и прогнозы в it , Уязвимости , Блог компании trend micro , Trend micro

Трудности перевода уязвимости шлюзов промышленных протоколов

16.09.2020 20:14:52 |

Автор: admin

Языковой барьер существует не только между айтишниками и пользователями. Умные производства и компьютеры, управляющие ими, также не способны общаться между собой без переводчиков специализированных шлюзов промышленных протоколов. В этом посте мы расскажем о слабых местах шлюзов протоколов и о том, как злоумышленники могут использовать их, чтобы нанести вред предприятиям.

Шлюз протоколов небольшое устройство, обеспечивающее критически важную трансляцию команд между станками, датчиками, различными исполнительными механизмами и компьютерами, на которых работают заводы, плотины, электростанции и промышленные предприятия. Эти шлюзы напоминают домашние роутеры: они также имеют несколько интерфейсов, подключённых к разным сетям, и точно так же уязвимы для различных атак. Если такое устройство выйдет из строя, связь между системами управления и машинами прекращается. Операторы не будут видеть, что происходит. По сути, они даже не смогут определить, работают ли машины, турбины или генераторы в безопасном режиме. Даже если что-то явно не так, неисправность шлюза не позволит оператору отдать команду на запуск или остановку процессов.

Подобная ситуация имела быть в декабре 2015 года во время атаки на украинскую электросеть: злоумышленники получили доступ к центру управления электросетями и отключили шлюзы протоколов на подстанциях, загрузив на них повреждённую прошивку. Это заблокировало все попытки инженеров энергосистемы восстановить работу, поскольку команды от систем управления на замыкание автоматических выключателей не могли быть переданы.

В отчёте об инциденте, составленном SANS ICS (подразделение американской образовательной и исследовательской организации SANS Institute по изучению индустриальных систем управления) и Центром анализа и обмена информации в области электроснабжения (E-ISAC структура, объединяющая участников рынка электроснабжения Северной Америки), повреждение прошивки шлюзов протоколов назвали взрывом мостов. Это очень точно описывает произошедшее, поскольку злоумышленники уничтожили ключевое звено трансляторы, которые как раз и выступают в роли моста между контроллерами и подстанциями.

Структура взаимодействия сети управления и сети исполнения. Источник (здесь и далее, если не указано иное): Trend Micro

Из-за своего расположения шлюз протокола может стать самым слабым звеном в цепочке устройств промышленного объекта, а злоумышленник может напасть на такие устройства по двум важным причинам:
1. Шлюзы вряд ли попадут под инвентаризацию критически важных активов, которые будут контролироваться агентом безопасности или системой регистрации. Следовательно, меньше вероятность того, что атака будет замечена.
2. Проблемы трансляции трудно диагностировать, поэтому ошибки в проектировании шлюзов протоколов позволяют продвинутым злоумышленникам проводить очень скрытые атаки.

Виды шлюзов

По режиму работы можно выделить два семейства шлюзов:
1) шлюзы реального времени (Real-time gateways) пересылают трафик по мере поступления каждый входящий пакет сразу же оценивается, переводится и пересылается; представители: Nexcom NIO50, Schneider Link 150, Digi One IA;
2) станции передачи данных (Data Stations) работают асинхронно, используя таблицу соответствия интерфейсов, не ждут запроса на чтение для получения данных от подключённого ПЛК, а регулярно запрашивают у него ПЛК обновления состояний и хранят полученные данные во внутреннем кэше для выдачи по запросу.

Вторая важная характеристика шлюзов протоколов тип протоколов, которые они поддерживают и преобразуют. По этому свойству устройства можно сгруппировать по трём категориям:
1) шлюзы, которые транслируют внутри одного протокола, например, Modbus TCP в Modbus RTU, в терминах обычного перевода это подобно переводу разговорного английского языка на английский язык, записанный с помощью шрифта Брайля;
2) шлюзы, которые выполняют трансляцию между различными протоколами внутри одного физического уровня, например, Modbus RTU Profibus, оба протокола последовательные, это можно сравнить с переводом письменного текста с немецкого на английский язык;
3) шлюзы, транслирующие команды между разными протоколами и физическими уровнями, например, Modbus TCP Profibus, аналог перевода с английского устного на немецкий текст, записанный с помощью шрифта Брайля.

В исследовании Lost in Translation: When Industrial Protocol Translation Goes Wrong мы изучали уязвимости шлюзов первой группы. Для этого мы собрали тестовый стенд, состоящий из следующих компонентов:
фаззер, который генерирует входящий трафик для тестируемого шлюза например, при тестировании трансляции с Modbus TCP на Modbus RTU, fuzzer генерирует тестовые случаи Modbus TCP,
шлюз изучаемое устройство,
симулятор устройство, имитирующее приёмную станцию, например, ПЛК, реализующий Modbus RTU ведомого устройства, он необходим, потому что некоторые шлюзы протоколов могут работать некорректно, если в цепочке нет ведомого устройства,
сниффер, собирающий информацию об исходящем трафике, т. е. о транслируемом протоколе,
анализатор входящего и исходящего трафика.

Структурная схема тестового стенда для изучения уязвимостей шлюзов протоколов

Реальный тестовый стенд

Для моделирования основного узла Modbus мы использовали открытое программное обеспечение QmodMaster, а для моделирования ведомого устройства pyModSlave, адаптировав его для наших потребностей, таких как получение данных из /dev/ttyUSB0.
Для перехвата трафика мы использовали Wireshark для Modbus TCP и IONinja для Modbus RTU. Мы написали специальные парсеры для преобразования вывода этих двух программ в общий синтаксис, понятный нашему анализатору.
Фаззер мы реализовали на основе BooFuzz, добавив в него некоторые модули проекта Boofuzz-modbus, распространяемого под лицензией Apache. Мы сделали фаззер портируемым для различных протоколов ICS, и использовали его для тестирования нескольких реализаций Modbus.
Вот некоторые разновидности атак, которые мы обнаружили, изучая различные шлюзы протоколов:
атака на транслятор протокола,
повторное использование учётных данных и дешифровка конфигурации,
амплификация трафика,
эскалация привилегий.

Атака на транслятор протокола

Шлюзы реального времени транслируют пакеты из одного протокола в другой, заменяя заголовки исходного протокола на заголовки целевого протокола. Шлюзы разных производителей по-разному обрабатывают некорректные пакеты. Некоторые из них, например, при получении пакета с неверно указанной длиной, вместо корректировки длины или сброса транслируют его как есть. Эта особенность позволяет тщательно спроектировать пакет неправильной длины для Modbus TCP так, чтобы после трансляции в Modbus RTU он сохранил корректность. При этом если читать его как Modbus RTU пакет, он будет иметь совершенно другое значение по сравнению с Modbus TCP эквивалентом.

Атакующий пакет: в Modbus TCP он содержит команду чтения регистра, но в Modbus RTU это уже команда записи нескольких битовых ячеек

При разборе этого пакета с семантикой Modbus TCP, он интерпретируется как команда на чтение входного регистра (Function Code 04) из блока с ID=3. Но в семантике Modbus RTU, он интерпретируется как запись нескольких битовых ячеек (Function Code 15 и 0F) в блок с ID=1.
Данная уязвимость является критической, поскольку совершенно невинный запрос на чтение превращается в команду на запись из-за того, что шлюз протокола неправильно обрабатывает пакет. Продвинутый злоумышленник может использовать эту уязвимость для обхода специализированного межсетевого экрана для промышленных сетей, который блокирует команды на запись с IP-адресов, не входящих в белый список.
В результате всего одной команды достаточно, чтобы, например, отключить датчики контроля работоспособности и безопасности двигателя (датчик температуры и тахометр), оставив при этом двигатель включённым. Если инженеры и операторы не заметят этого, двигатель может уже перейти в критический режим и выйти из строя, однако никто об этом не узнает, поскольку термометр и тахометр были деактивированы.

Повторное использование учётных данных и дешифровка конфигурации

Шлюзы Moxa используют проприетарный протокол при общении с программой удалённого управления MGate Manager. При запуске MGate Manager инженеру предлагается ввести имя пользователя и пароль для доступа к шлюзу протокола, после чего McGate Manager автоматически сбрасывает конфигурацию, чтобы пользователь мог изменить настройки. Когда полевой инженер завершает настройку шлюза протоколов и нажимает кнопку Выход, конфигурация сжимается, шифруется и загружается в шлюз.

Этапы настройки конфигурации шлюзов Moxa

В этой процедуре есть два недостатка в области безопасности, которыми можно злоупотреблять.

Повторное использование
Когда инженер входит в систему, в MGate Manager передаётся ключ для хэширования пароля. Однако в исследованной прошивке механизм реализован таким образом, что хакер может перехватить зашифрованный пароль инженера для входа в систему, а затем с его помощью залогиниться с административными привилегиями, даже не зная пароля в виде текста.

Дешифровка конфигурации
Зашифрованная конфигурация, передаваемая по сети, содержит ключ шифрования, что позволяет хакеру сделать дамп и расшифровать её.

Зашифрованная конфигурация содержит AES-ключ для её расшифровки. Очень удобно для взлома

Для расшифровки мы использовали проприетарную библиотеку расшифровки, извлечённую из прошивки устройства. Конфигурация содержит файлы настроек,, базы данных SQLite и ключ Secure Shell (SSH). Ниже приведён пример расшифрованной конфигурации нашего собственного протокольного шлюза, которую нам удалось перехватить.

Расшифрованные конфигурационные файлы шлюза Moxa MGate 5105

Амплификация трафика

Поскольку станции данных асинхронно транслируют между собой протоколы, можно объединить несколько запросов типа запись одного бита в один запрос, чтобы более эффективно использовать последовательную шину. Например, хакер может вызывать функцию 15 (запись нескольких битов), на станции данных она будет преобразована в 1 запись для ID=2, 1 на ID=4, 1 на ID=5, 1 на ID=6. Таким образом, одна запись на Modbus TCP превращается в четыре записи на Modbus RTU, вызывая небольшие перегрузки на последовательной шине.

Одна TCP-команда на запись ячейки превращается в четыре RTU-команды

Следует отметить, что такое усиление не вызовет отказ в обслуживании (DoS), однако перегруженная шина RS-485 все же может привести к аномальному поведению.

Эскалация привилегий

На шлюзе MGate 5105-MB-EIP мы обнаружили уязвимость эскалации привилегий CVE-2020-885, которая позволяет непривилегированному пользователю выполнять команды с повышенными привилегиями.
Источник проблемы отсутствие фильтрации ввода пользователя в веб-интерфейсе утилиты Ping.

Интерфейс утилиты Ping шлюза Mgate

Обладая минимальными техническими знаниями, непривилегированный пользователь может запустить демон Telnet в контексте пользователя root с помощью простого HTTP GET-запроса и получить полный удалённый доступ с рутовым шеллом.

Наши рекомендации

Изучив особенности работы различных шлюзов промышленных протоколов, мы выработали ряд рекомендаций для поставщиков, установщиков или конечных пользователей.
1. Устройства разных производителей по-разному обрабатывают недействительные пакеты. Некоторые из них не обладают адекватными возможностями фильтрации пакетов или ведут себя непредсказуемо. В связи с этим при выборе продукта следует в обязательном порядке учитывать эти функциональные аспекты.
2. Используйте специализированный брандмауэр для промышленных протоколов он обнаруживает пакеты, которые не соответствуют стандартам протокола, и обеспечивает административный доступ к шлюзам протокола только с авторизованных конечных точек. Наличие ICS-брандмауэра помогает обеспечить целостность трафика. В линейке продуктов Trend Micro есть соответствующее решение TXOne Networks, обеспечивающее защиту в режиме реального времени для сетей OT и критически важных устройств.
3. Выделите достаточное количество времени на настройку и защиту шлюза, особенно это важно для станций обработки данных слишком велика цена ошибки при настройке таблицы отображения ввода/вывода, которая может предоставить злоумышленнику платформу для проведения незаметных атак. Отключите ненужные сервисы и включите шифрование везде, где оно поддерживается, например, в облачной интеграции MQTT.
4. Рассматривайте шлюзы протоколов как критический актив OT и применяйте к ним соответствующие процедуры управления безопасности, включая аудит настроек и своевременную установку обновлений прошивок.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Киберугрозы , Шлюзы протоколов

Где живут вредоносы хакерская инфраструктура и криминальные сервисы

05.10.2020 20:08:11 |

Автор: admin

Все онлайн-бизнесы нуждаются в стабильной и надёжной инфраструктуре. Самые продвинутые рекламные кампании, стратегии выхода на рынок и удержания клиентов теряют смысл, если сайт магазина систематически недоступен, а приём платежей работает через раз. Всё это справедливо и для киберпреступного бизнеса. В этом посте мы расскажем, как устроена хакерская инфраструктура и какими способами обеспечивается бесперебойная работа криминальных сервисов.

У каждой кибергруппировки свой специфический набор требований к сетевой инфраструктуре. Кому-то нужны временные серверы для подбора паролей, сетевого сканирования или рассылки фишинговых писем, другим требуется пуленепробиваемый хостинг, скрытый за цепочкой обратных прокси. Однако всё разнообразие сводится к нескольким типовым сценариям:

хостинг сайтов с нелегальным или сомнительным контентом,
хостинг управляющей инфраструктуры,
хостинг сервисных приложений и компонентов,
хостинг анонимайзеров, прямых и обратных прокси,
выделенные серверы для проведения сканирования и брутфорс-атак,
платформы для фишинга и рассылки спама.

Таким образом, криминальная сетевая инфраструктура в общем случае состоит из следующих областей:

услуги специального хостинга,
хостинг на базе скомпрометированных серверов,
услуги по обеспечению конфиденциальности и анонимности,
DNS-сервисы.

Рассмотрим эти компоненты подробнее и начнём с услуг специального хостинга.

Пуленепробиваемый (bulletproof) хостинг

Любая нелегальная деятельность рано или поздно приводит к тому, что связанные с ней ресурсы становятся объектом внимания правоохранительных органов. И тогда IP-адреса этих ресурсов блокируют, серверы изымают, а домены разделегируют. Такая ситуация приводит к срыву кибератак и необходимости затрат на организацию новой инфраструктуры. Чтобы избежать такой ситуации, нелегальные структуры прибегают к услугам сервисов, которые обладают иммунитетом к запросам полиции.

Например, законодательство Белиза и Сейшельских Островов позволяет компаниям, предоставляющим услуги такого хостинга, игнорировать все запросы правоохранительных органов, относящиеся к размещаемым на их мощностях ресурсам. В результате многие пуленепробиваемые хостинги размещаются именно там.

Другой пример размещение криминального хостинга в частном доме. Именно такой нелегальный дата-центр, в котором находилось более 100 серверов, недавно обнаружила и ликвидировала полиция Украины.

Сервисы fast-flux

Fast-flux вполне легальная технология, которая используется для обеспечения повышенной доступности услуг и балансировки нагрузки с помощью постоянного переключения разрешения доменного имени на пул IP-адресов. Преступникам же такой подход позволяет добиться повышенной устойчивости к взлому и перехватам, позволяя скрыть местоположение своего сервера. Пул IP-адресов часто используется для организации цепочки обратных прокси-серверов и может обеспечиваться несколькими ресурсами: арендованными облачными VPS, узлами бот-сети или скомпрометированными машинами.

Схема работы fast-flux в качестве сервиса промежуточного уровня. Источник (здесь и далее, если не указано иное): Trend Micro

Суть метода fast-flux заключается в использовании коротких TTL (time-to-live) для A-записей в DNS. Это предотвращает кэширование доменного имени на промежуточных DNS-серверах и заставляет их всегда запрашивать разрешение от объявленных серверов системы доменных имён (DNS). Малые значения TTL позволяют злоумышленникам c высокой частотой направлять домен на IP-адреса в составе выделенного пула и обеспечивать доступность сервиса, даже если какие-то из адресов будут скомпрометированы или забанены провайдером.

Характерные для fast-flux DNS-записи

Значения TTL, показанные красным цветом, установлены с необычайно малым количеством повторных попыток и минимальным временем TTL (в секундах). При нормальных обстоятельствах это создаст дополнительную нагрузку на DNS-сервер, однако в случае с fast-flux целью является подавление механизма кэширования, чтобы клиенту выдавался актуальный IP-адрес, который в настоящее время предоставляется инфраструктурой быстрого потока.

Услуги fast-flux обычно стоят дороже, чем пуленепробиваемый хостинг, поскольку их оператору приходится поддерживать пул IP-адресов для обеспечения инфраструктуры быстрого потока, а это требует дополнительных затрат.

Стоимость услуг fast-flux составляет 100 долларов США за два домена в месяц, в то время как стоимость ежемесячной аренды bulletproof-сервера 10 долларов США

Защита от DDoS-атак

Киберпреступные группировки конкурируют между собой ничуть не меньше, чем легальные организации, а в качестве средства конкурентной борьбы устраивают атаки на отказ в обслуживание ресурсов конкурентов с помощью Layer4- и Layer7-методов. Именно поэтому многие bulletproof-сервисы предлагают хостинг с защитой от DDoS-атак или услугу защиты от DDoS, которой можно воспользоваться для своего ресурса.

Как правило, такие услуги предоставляются путём размещения перед защищаемым сервером специализированного ресурса, подобного WAF (Web Application Firewall, веб-брандмауэр).

VDS из скомпрометированных хостов

Скомпрометированные серверы часто используются для хостинга в течение одного или нескольких этапов их жизненного цикла криминальной монетизации.

Для захвата управления используются:

уязвимости в серверном ПО,
bruteforce-атаки,
похищенные API-ключи,
хищение учётных записей через подключенные сервера,
фишинговые и мошеннические кампании.

Подбор пароля, как правило, используется в атаках на сервисы SSH, VNC и RDP.
Учётные данные для доступа к захваченным серверам впоследствии продаются на подпольных интернет-магазинах:

Интернет-магазин учёток для доступа к скомпрометированным RDP-серверам

Для захвата более защищённых серверов могут потребоваться уязвимости нулевого дня, которые также предлагаются на киберфорумах.

Объявление о продаже уязвимости в OpenSMTPD, которая позволяет скомпрометировать серверы под FreeBSD, NetBSD, Debian, Fedora и Alpine Linux и использовать их для хостинга

Компрометация облачных хостингов

С точки зрения злоумышленника Google Cloud и Microsoft Azure чрезвычайно доступные ресурсы, поскольку оба позволяют пользователям с подключённой к учётной записи банковской картой попробовать услуги бесплатно. Это привело к тому, что злоумышленники активно собирают данные аккаунтов Google с подключёнными банковскими картами, а затем используют их для запуска экземпляров выделенных серверов. Для начинающих хакеров публикуются подробные туториалы:

Руководство по открытию хостинга Google Cloud из скомпрометированной учётной записи Google

Для тех, кто не хочет утруждать себя взломом аккаунтов, существуют магазины, предлагающие уже взломанные учётки Microsoft Azure и Google Cloud.

Socks, Proxy и туннели SSH

SOCKS и прокси-сервисы позволяют злоумышленникам скрываться, не привлекая к себе слишком много внимания и не вызывая обнаружения с помощью инструментов мониторинга сетевой безопасности.

Ввиду востребованности этого инструмента относительно легко найти ресурсы, предлагающие приобрести SOCKS прокси, причём оплатить покупку можно криптовалютой.

Прайс-лист на SOCKS прокси, которые можно оплатить с помощью Bitcoin и Ethereum

Ещё один способ сокрытия коммуникации туннелирование в легитимные протоколы, например, в SSH:

Прайс-лист на SSH-туннели

Цена SSH-туннелей зависит от страны расположения. Местоположение очень важно для некоторых видов незаконной деятельности. Например, антифрод-системы банков соотносят информацию о владельце карты с геолокацией IP-адреса, по которому была предпринята попытка её использования. Поэтому преступники готовы платить больше, чтобы купить туннель, который соответствует не только нужной стране, но и городу.

Анонимизирующие VPN

Ещё один востребованный в киберкриминальной среде сервис анонимные VPN, причём в этой части предпочтения группировок разделились: одни предпочитают использовать легальные коммерческие VPN, подобные NordVPN или ProtonVPN, другие арендуют аналогичные услуги на подпольном рынке, третьи самостоятельно создают инфраструктуру на базе OpenVPN, WireGuard или SoftEther.

Один из признаков, косвенно свидетельствующих о том, что для предоставления VPN-услуг используются скомпрометированные хосты, является указание срока гарантии доступности услуги. Чем меньше числа, тем более подозрительны эти службы. Вряд ли легальный VPN-провайдер напишет в условиях, что В случае, если предоставленные учётные данные не будут работать в течение следующих 24 (48 или 72) часов, новые учётные данные будут предоставлены бесплатно. Но это именно то, что обычно присутствует в предложениях нелегальных сервисов.

Объявление о продаже короткоживущих VPN

Другой подозрительный признак возможного преступного характера анонимизации услуг срок действия договора. Легальные VPN-провайдеры предоставляют услуги минимум на месяц, в то время как в криминальной среде встречаются предложения VPN-сервисов на срок не более одного дня. Трудно представить себе случаи законного использования для которых достаточно такого незначительного времени. Однако для криминала этого вполне достаточно, чтобы

проверить действительность скомпрометированных банковских карт,
проверить действительность скомпрометированных учётных записей,
зарегистрировать учётные записи на облачных платформах или на платформе для контент-хостинга,
сделать мошенническую рассылку в соцсетях,
запустить вредоносную рекламную кампанию.

Инфраструктурные предложения теневого кибербизнеса не ограничиваются относительно стандартными сервисами. Изучая объявления, можно встретить довольно интересные услуги, которые пока востребованы нишевыми клиентами, либо представляют собой набирающие популярность тенденции.

Мобильные рабочие места

Некоторые поставщики предлагают желающим воспользоваться пуленепробиваемыми мобильными рабочими местами, к которым не смогут получить доступ посторонние.

И хотя формально политика этого сайта запрещает распространение вредоносных программ, мы обнаружили на форуме рекламу, намекающую, что другие вредоносные действия допустимы:

В предложении упоминается полная анонимность, невозможность определения местоположения пользователя, высокоскоростное подключение к интернету, защита от DDoS, микшер исходящего трафика и пять различных VPN. Несмотря на то, что прямое сканирование портов, брутфорс и распространение вредоносного ПО не допускаются, с помощью таких АРМ злоумышленник может совершать и другие преступные действия.

Анонимизирующие микшеры трафика

Tor не единственный способ спрятаться от бдительного ока правоохранителей и конкурентов. Сервисы, предлагающие непробиваемые рабочие места, разработали собственные микшеры трафика с использованием географически распределённой сети маршрутизаторов. Этот трафик смешивается с трафиком анонимных VPS, которые периодически перемещаются между дата-центрами, расположенными в разных странах, что ещё больше затрудняет трассировку таких систем.

Также доступны пользовательские сервисы для объединения VPN-соединений, Tor и географически распределённых наборов маршрутизаторов. Эти комбинации позволяют создать настолько сложную цепь хостов и редиректоров, отследить которую практически невозможно.

Предложение цепочки обфускации трафика

Например, один из сервисов предлагает воспользоваться такой цепочкой:
Хост VPN1 VPN2 TOR шлюз для скачущего трафика (bouncing traffic) микшер трафика географически распределённые маршрутизаторы для скачущего трафика удалённый рабочий стол (RDP) для работы подключение через другие географически распределённые маршрутизаторы Tor-серверы выходной узел точка назначения.

Выводы

Наше исследование показало, что киберпреступная инфраструктура значительно более развита, чем предполагали многие исследователи. Мы считаем, что именно этот компонент является одним из наиболее зрелых аспектов криминального бизнеса. Сетевые черви уступают место троянским программам, эксплойты браузеров целевым фишинговым атакам, а на смену бизнес-модели кражи информации приходит прямое вымогательство. Однако инфраструктура, на которой базируются все эти действия, остаётся востребованной и постоянно развивается, предлагая новые технически сложные услуги.

Киберпреступники нуждаются в надёжном сервисе, который позволит им действовать, как можно дольше скрываясь от органов правопорядка. Этот спрос породил целую индустрию полулегальных услуг, которые обслуживают киберпреступников, косвенно помогая криминалу. Проблема заключается в том, что предоставление надёжных, не поддающихся отслеживанию услуг хостинга само по себе не является незаконным. Решение этой проблемы является очень важной частью головоломки для тех, кто борется с киберпреступностью как с глобальной проблемой.

Подробнее..

Категории: Информационная безопасность , Антивирусная защита , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Киберугрозы , Ddos-атака , Хакерская инфраструктура

Как пандемия меняет ландшафт киберугроз

28.10.2020 20:04:59 |

Автор: admin

Пандемия в очередной раз продемонстрировала, что индустрия кибербезопасности это не застывший в тиши дата-центров поединок хороших и плохих. Отрасль меняется вместе с реальным миром и реагирует на происходящие в нём события. Мы изучили наиболее значимые тенденции киберугроз 2020 года, чтобы понять, чего ожидать от новой реальности. В этом посте самые интересные цифры и факты из нашего исследования.

Ландшафт киберугроз

Давая прогнозы на 2020 год, мы не могли предвидеть, как обрушившая мировую экономику новая реальность повлияет на нашу жизнь. Однако сейчас мы можем подвести итоги первого полугодия и показать, как изменился ландшафт киберугроз за это время.

Количество угроз, заблокированных Trend Micro Smart Protection Network за первое полугодие 2020 года. Источник здесь и далее: Trend Micro

В первом полугодии 2020 года защитные решения Trend Micro заблокировали более 27 млрд мошеннических писем, содержащих вредоносные вложения и фишинговые ссылки. Во втором квартале наблюдался значительный рост числа вредоносных сообщений по сравнению с началом года.

Виды вредоносных вложений в спам-кампаниях первой половины 2020 года

Самым популярным типом вредоносных вложений в первом полугодии 2020 г. стали PDF-файлы на их долю приходилось более 50% рассылок. Вторым по популярности типом вложений были HTML-файлы. Около шести процентов писем содержали XLS-вложения, немного менее популярными были JavaScript-файлы, исполняемые файлы и документы MS Word.

Количество вымогателей-шифровальщика в кампаниях 2019 и 2020 годов

Характерной чертой 2020 года стал рост популярности шифровальщиков-вымогателей. По сравнению с 2019 годом их количество увеличилось на 45% с января по июнь текущего года было обнаружено 68 новых семейств этой разновидности вредоносного ПО.

Количество выявленных за полгода образцов мобильных вредоносов

Количество мобильных угроз также продолжает расти, причём кампании становятся всё более изощрёнными. Например, в конце марта мы обнаружили мошенническую кибератаку, получившую название Отравленные новости (Operation Poisoned News). Это была атака типа водопой (watering hole), направленная против пользователей iOS в Гонконге. Пользователи iOS-устройств получали в соцсетях и мессенджерах ссылки на новости на различных форумах. Эти ссылки действительно вели на актуальные новостные сайты, но содержали скрытые iframe с вредоносным кодом, эксплуатирующим уязвимости iOS 12.1 и 12.2. В результате атаки устройства заражались программой LightSpy, которая позволяла злоумышленникам выполнять команды и манипулировать файлами на устройствах.
Наиболее популярным видом атак на пользователей мобильных устройств остаётся рекламное мошенничество. Вредоносные приложения в Google Play маскируются под полезные утилиты, а после установки демонстрируют пользователю рекламу и выполняют другие нежелательные действия вплоть до кражи данных банковских карт и персональных данных пользователя.

Изменение количества попыток BEC-атак в 2019-2020 гг. на графике

Ещё одна характерная особенность 2020 года рост числа атак с целью компрометацию деловой переписки (Business Email Compromise, BEC). По сравнению со вторым полугодием 2019 количество BEC-кампаний увеличилось на 19%.

Самой популярной целью для BEC-атак был генеральный директор (CEO) компании. На долю этой категории сотрудников приходится 30% всех инцидентов

Любопытно что писем от CEO стало меньше: в 2019 году доля таких писем составляла 41%. Возможно, мошенники экспериментируют с другими должностями, чтобы оценить их эффективность.
Закономерно, что самими востребованными остаются люди, связанные с финансами, например, финансовые менеджеры и директора по финансам.

Рост числа атак, брендированных под COVID-19

За период с января по июнь 2020 смарт-сеть Trend Micro Smart Protection Network (SPN) выявила около 9 млн угроз, связанных с COVID-19. Эти угрозы состояли из сообщений электронной почты, содержащих ссылки и вредоносные файлы, прямо или косвенно эксплуатирующие тему пандемии. Это могли быть, например, приложения-информеры или уведомления о задержках в предоставлении услуг из-за вируса.

Количество COVID-брендированных атак и их распределение по странам

Лидером по количеству таких угроз 38% случаев стали США. В тройку лидеров также вошли Германия с 14,6% и Франция с 9,2%. Бльшая часть выявленных случаев пришлась на апрель, что соответствует пику заболеваемости во многих странах.

Распределение типов вредоносного содержимого мошеннических писем в COVID-19 кампаниях

Подавляющее большинство почтовых угроз 93,5% содержали как вредоносное вложение, так и вредоносную ссылку. Писем, содержащих ссылку или файл, было значительно меньше.
Тема COVID-19 массово применялась и в BEC-атаках. Эффективность этих махинаций подкреплялась тем, что переход на удалённую работу усложнил отслеживание коммуникаций между сотрудниками и организациями.

Количество BEC-кампаний, связанных с COVID-19

Например, во время одной из BEC-атак преступники рассылали сотрудникам потенциальной жертвы уведомление о смене банка в связи с пандемией, указывая в качестве счёта получателя счёт мула в Гонконге.
Количество попыток перехода на вредоносные сайты, связанные с COVID-19, росло в течение года, достигнув пика в апреле. Большая часть этих сайтов использовались для того или иного пандемического мошенничества, например:
приложения, которые якобы защищали своих пользователей от коронавирусной инфекции, но вместо этого добавляли устройство жертвы в ботнет;
продажа несуществующих комплектов вакцин, одобренных ВОЗ всего за 4,95 долларов США;
выдача фальшивых компенсаций за различные виды ущерба от пандемии;
воровство учётных данных и реквизитов банковских карт для получения налоговых льгот в США.

Адаптация к новой реальности

Столкнувшись с карантинными ограничениями, компании были вынуждены перевести значительную часть сотрудников на удалённую работу. Чтобы обеспечить безопасность такого режима, пришлось решать сразу несколько проблем:
скорость интернет-подключения и защищённость домашних сетей;
использование уязвимых личных устройств для подключения к рабочей сети и работы с документами;
необходимость отслеживать, чем занимаются в рабочее время удалённые сотрудники;
организация онлайн-совещаний;
разделение личных и рабочих задач на одном устройстве.
Киберпреступники также воспользовались новой реальностью и стали активнее атаковать роутеры и устройства домашних пользователей

Количество атак на устройства домашних пользователей в 2019-2020 году

Бльшая часть всех атак это bruteforce-атаки на различные сервисы для удалённого доступа: RDP, SSH, FTP. Доля таких атак составила почти 90%.

Распределение видов атак на устройства домашних пользователей

Компрометация роутеров и других устройств работающих удалённо домашних пользователей обеспечивает злоумышленникам возможность использовать их для атак на корпоративные сети.

Зумбомбинг и другие атаки на сервисы видеоконференцсвязи

Потребность в постоянном общении вызвала взрывной рост использования Zoom, Cisco Webex, Google Meet, Microsoft Skype и других платформ для организации видеовстреч. Одним из нашумевших явлений, вызвавших даже появление нового термина, стали атаки троллей на конференции, проводимые с помощью сервиса Zoom. Во время таких атак посторонние подключались к частным звонкам и собраниям, а затем устраивали там балаган разной степени непристойности, например, включали порноролики или оскорбляли других участников.
Популярность видеосервисов эксплуатировалась и другим способом: мошенники регистрировали фишинговые домены, имя которых тем или иным образом связано с Zoom или другим подобным сервисом, после чего предлагали загрузить заряженный вредоносной добавкой дистрибутив Zoom или Skype.

Вымогательские кампании

Количество вымогательских инцидентов в этом году значительно сократилось по сравнению с прошлым, однако изменилось их качество.

Количество обнаруженных компонентов, связанных с вымогательскими атаками в 2019-2020 году

Операторы вымогателей больше не размениваются на мелочи, рассылая тысячи спам-писем всем подряд и требуя небольшую сумму выкупа. Современные злоумышленники предпочитают атаковать крупные компании, организации из сферы здравоохранения или органы власти и требовать крупные суммы выкупа. Такой подход увеличивает вероятность того, что выкуп будет получен, а это значит, что атака многократно окупится.

Старый и новый вариант атаки вымогательского ПО

Нашумевший WannaCry за всё время работы собрал в виде выкупа значительно меньше того, что, скажем, вымогатель Ryuk может заработать за одну атаку.
Ryuk атакует компании, работающие в критически важных отраслях. Важность данных, хранящихся и обрабатываемых этими организациями, позволяет операторам вредоноса требовать огромные суммы выкупа: согласно отчёту Coveware, в первом квартале 2020 года средний размер выкупа в случае применения Ryuk вырос до 1,3 млн долларов США.
Ещё одно характерное изменение в современных вымогателях преимущественное распространение с помощью целевых кампаний, использующих уязвимости или украденные учётные данные для взлома.

Выводы и рекомендации

Пандемия изменила не только нашу жизнь, но и стиль мышления компаний-разработчиков ПО. Осознав новые реалии, они приняли на вооружение новый подход к безопасности.
Microsoft направила ресурсы, освободившиеся от поддержки Windows 7, на устранение уязвимостей Windows 10: уже в феврале 2020 года количество исправлений составило 99, а начиная с марта их стало выходить более ста (июньский максимум 129 патчей в Patch Tuesday);
оскандалившаяся с зумбомбингом и другими проблемами компания Zoom утвердила новую концепцию и сосредоточилась на повышении безопасности своего продукта;
компании стали активнее награждать независимых исследователей за обнаруженные в их продуктах баги.

Сложные времена требуют применения надёжных технологий безопасности. Разрозненных инструментов и одноуровневой защиты отдельных компонентов информационной системы компании уже недостаточно. Только многоуровневые решения могут обеспечить комбинированную защиту от многокомпонентных и многоплатформенных угроз электронной почты, пользовательских устройств, серверов, сетевой и облачной инфраструктуры.
В идеале такие решения должны обеспечивать широкий спектр показателей и аналитики, которые позволят ИТ-персоналу видеть общую картину без необходимости посвящать значительную часть своего времени и ресурсов просеиванию горы предупреждений и других данных.
Методы, которые злоумышленники используют для извлечения прибыли из пандемии, остались прежними. Социальная инженерия стала ещё более эффективной из-за страха и неопределённости, вызванных вирусом. В текущей ситуации организациям просто необходимо уделять особое внимание обучению удалённых пользователей безопасному поведению с помощью программ повышения осведомлённости в сфере кибербезопасности.
Со своей стороны пользователи должны проявлять бдительность и здравый смысл, когда дистанционно взаимодействуют с информационными ресурсами компании.
Ещё один вопрос, который требует обязательного решения, оперативная доставка обновлений на личные устройства пользователей. Учитывая рост числа атак, направленных на удалённых пользователей, поддержание их устройств в актуальном состоянии увеличит безопасность корпоративной сети.

Подробнее..

Категории: Информационная безопасность , Антивирусная защита , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Киберугрозы , Хакерские атаки , Bec-атаки

Надёжный, неуловимый, пуленепробиваемый какой хостинг использует киберкриминал

09.11.2020 18:08:51 |

Автор: admin

Один из факторов успеха любого онлайн-бизнеса использование надёжной и устойчивой инфраструктуры: иметь онлайн-бизнес значит быть онлайн. Это справедливо как для легального бизнеса, так и для киберпреступного. Наш свежий отчёт завершает серию исследований о рынке нелегального хостинга. В первой части мы рассказали о хакерской инфраструктуре и нелегальных интернет-услугах, во второй о том, как злоумышленники используют захваченные серверы и как обнаружить такие взломы. Последняя часть посвящена пуленепробиваемому хостингу (bulletproof hosting, BPH). В этом посте наиболее важные и интересные выводы из этого исследования.

Что такое пуленепробиваемый хостинг

Пуленепробиваемый хостинг, или BPH, это хостинг, который позволяет вести нелегальную деятельность, запрещённую у обычных провайдеров: размещение вредоносных программ, пиратского контента или похищенных данных.
BPH-провайдеры либо игнорируют жалобы и запросы от правоохранительных органов, либо заранее предупреждают клиентов, чтобы у них было время адаптировать свой бизнес. Во многих случаях BPH позволяют злоумышленнику скрыть свою истинную личность.

Разновидности BPH. Виды услуг и стоимость. Источник (здесь и далее, если не указано иное): Trend Micro

BPH, использующий короткоживущую инфраструктуру, состоящую из захваченных или скомпрометированных серверов, имеет высокий уровень устойчивости. Провайдеры BPH не является официальными владельцами ресурсов, доступ к которым предоставляют, поэтому любые претензии прилетят к настоящему владельцу, а не к ним. Следствие этого является то, что любой хост в их сети может быть удалён в любое время, например, после того как владелец обнаружит компрометацию.
Такие BPH крайне дёшевы и удобны для проведения быстрых операций: распространения спама, размещения реверсивных прокси, массового сканирования и брут-форса. Даже если захваченный сервер будет изъят или удалён, потеряется лишь незначительная часть информации.
Другая разновидность BP-хостеров перепродаёт услуги легальных компаний. Их пуленепробиваемость обеспечивается благодаря способности реселлеров точно соответствовать потребностям киберкриминала, а также за счёт налаженных отношениях с легальными хостинг-провайдерами при обработке запросов о злоупотреблениях. В некоторых случаях реселлеры могут выступать в роли посредников при разрешении конфликтов и споров между поставщиками и потребителями хостинговых услуг.
Для систем, требующих длительных периодов доступности, более жизнеспособным подходом является хостинг в центрах обработки данных, где BPH-провайдер владеет инфраструктурой. Такие провайдеры, как правило, стратегически распределяют свои ресурсы и строят или арендуют инфраструктуру по всему миру, принимая во внимание местные правовые нормы, географические и национальные особенности, профессионализм местных правоохранительных органов и уровень коррупции в государственных учреждениях. Такой BPH самый дорогой, но и самый стабильный.

Способы обеспечения непробиваемости

Каждый BPH-провайдер имеет ограниченный перечень услуг, которые тот оказывает криминалитету. В зависимости от соглашений с вышестоящими провайдерами они публикуют перечень строго запрещённой деятельности и список того, что считается допустимым.

Использование особенностей законодательства
Источником таких ограничений являются различия в законодательствах разных стран, поэтому предмет особенного внимания BPH-провайдеров регион размещения дата-центра, информация о регистрации компании и партнёры по сетевому пирингу.

Криминальные активности и их степень приемлемости в разных странах. Y (yes) означает, что указанные действия, по отзывам пользователей подпольных хостинг-услуг, возможны с использованием серверов, расположенных в отмеченной стране, N (no) для указанных действий серверы в этой стране решительно не рекомендуются, M (maybe) использование серверов возможно, но с некоторыми ограничениями

Одна из популярных стран для размещения BPH-инфраструктуры Украина. Причина этого в том, что государственное регулирование и правоприменение этой страны во многих случаях значительно менее жёсткие по сравнению с соседними странами. В то же время действия правоохранителей Украины менее предсказуемы: известны случаи, когда СБУ проводили самостоятельные расследования и арестовывала владельцев пуленепробиваемых хостингов.

Швейцария и Нидерланды также популярны у владельцев BPH как страны, подходящие для создания компаний-прокладок для проведения прокси-хостинга. Это обусловлено тем, что в соответствии с законодательством этих стран хостинг заблаговременно получает уведомление о жалобе, что даёт возможность переместить системы в безопасные локации.
Законодательство Китая достаточно терпимо относится к рассылке спама и сетевому сканированию, однако крайне жёстко реагирует на все виды деятельности, связанные с азартными играми или политической активностью.
В Канаде для изъятия контента требуется длительная подготовка документов, на основании которых выносится решение суда, а уже потом производятся действия с оборудованием и данными.
В США считается допустимым размещение порнографического контента за исключением, разумеется, детского порно, однако рассылка спама, сетевое сканирование и брутфорс приводят к многочисленным жалобам. Помимо этого, правоохранители США нетерпимо относятся к нарушениям законодательства о копирайте (DMCA и другие подобные акты).
В России очень строго относятся к порнографическим материалам, и большая часть порнографического контента считается недопустимым. На многих хостингах к категории запрещённых относятся материалы, связанные с наркотиками и политическим контентом. Однако пользователи таких провайдеров отмечают, что их те проявляют значительную гибкость, заранее предупреждая о поступивших жалобах, а также терпимо относятся к вредоносной деятельности, пока она не направлена против российских компаний и граждан.
Сейшельские острова, Белиз, Доминикана и Панама крайне популярны как место для размещения BPH из-за хороших интернет-каналов и лояльных законов, которые допускают весьма неторопливое реагирование на любые жалобы. Для таких BPH-сервисов даже появился термин офшорный хостинг.

Анонимность
Одна из важнейших характеристик BPH это степень анонимности. Возможность скрыть личность владельца криминального ресурса, принимать анонимные платежи в криптовалютах, регистрировать домены на фиктивные данные и другие подобные свойства являются определяющими при выборе платформы для криминального хостинга.

Реклама анонимного хостинга

Анонимность рекламируют даже некоторые законные хостинговые платформы. Например, компания Domains by Proxy строит бизнес на сокрытии личности клиента от большинства публичных запросов. Однако следует отметить, что компания всё-таки реагирует на запросы о раскрытии информации о владельце сайта в случае получения претензий, связанных с нарушением авторских прав.

Реклама Domains by Proxy

Гибкость и адаптивность
Эти характеристики чрезвычайно важны для BPH-провайдеров. Их практическим проявлением может быть, например, перемещение серверов или виртуальных машин из одной страны в другую, если в прежней локации возникли неожиданные юридические проблемы. Это гарантирует, что вредоносная служба продолжит работать несмотря на попытки правоохранительных органов изъять оборудование. В комплекте с внешним реверсивным прокси-сервером такая хостинговая модель идеально подходит для BPH-услуг с высокой степенью доступности.

Защита от DDoS
Надёжная сетевая инфраструктура лишь половина дела. Как и любой другой сайт в интернете, киберпреступные ресурсы могут стать мишенью для кибератак, начиная от отказа в обслуживании (DoS) и заканчивая попытками взлома. Вероятность таких инцидентов у таких ресурсов выше, чем у обычных сайтов: недовольные пользователи могут быть и на обычных сайтах, но посетители хакерских ресурсов, с большей вероятностью могут устроить атаку.
Простой во время DDoS-атаки может повлиять на репутацию ресурса, в результате чего его аудитория переметнётся к конкурентам, а владелец сайта потеряет доход.
DDoS-атаки могут проводиться на различных уровнях модели OSI. Как правило, атаки на уровень 7 требуют более сложных методов, но при этом от них сложнее защититься, чем от банального SYN-flood (уровень 4). Именно поэтому многие сайты используют профессиональные сервисы, которые защищают их от DoS-атак на прикладном уровне, и криминальные форумы в этом плане ничем не отличаются от легальных ресурсов.

Экран одного из сервисов по защите от DDoS-атак

Анти-скрапинг
Ещё одна проблема, с которой сталкиваются операторы криминальных форумов при выборе хостинга, заключается в том, что многие поисковые системы, организации, правоохранительные органы и исследователи пытаются автоматизировать процесс выявления нелегального контента.
Собранная информация затем публикуется в отчётах об угрозах или используется в расследованиях, проводимых правоохранительными органами. Это может привлечь нежелательное внимание и нанести вред репутации форума.
Для предотвращения скрапинга на различных хостингах используются разные механизмы. Например, для гостей может быть ограничено количество страниц, которые они могут просмотреть в течение суток.

Уведомление системы защиты от скрапинга

Другие форумы используют капчу или контрольные вопросы, чтобы удостовериться, что имеют дело с живым человеком.

Киберугрозы-2021 прогнозы и перспективы

24.12.2020 18:19:54 |

Автор: admin

В течение 2020 года мы изучали нескончаемый поток угроз, отслеживали действия киберпреступников по всему миру, анализировали инструменты, тактики и направления интереса. В материале Turning the Tide. Trend Micro Security Predictions for 2021 наши эксперты делятся своим видением ближайшего будущего в сфере кибербезопасности. В этом посте не будет технических подробностей будущих кибератак. Сейчас мы считаем более важной задачей поговорить о трендах, в соответствии с которыми будет развиваться ландшафт киберугроз.

Изображение (здесь и далее): Trend Micro

Домашние офисы как криминальные плацдармы

Стремительный исход сотрудников на удалёнку в связи с пандемией принёс много последствий. Одним из них стало исчезновение границы между рабочим и личным, ведь подключение к внутренний сети офиса теперь происходит через розничных интернет-провайдеров, а в качестве устройства используются самые простые бытовые маршрутизаторы.
В домашней сети могут находиться компьютеры других членов семьи. Последние могут подключаться к серверам других организаций, учиться в дистанционном режиме или играть, но в любом случае их устройства создают дополнительные риски. Нередки случаи, когда члены семьи совместно используют один компьютер для работы в различных организациях.
Теоретически использование VPN защищает подключение к офисным сетям, однако и здесь не стоит слишком уж расслабляться, поскольку в VPN также находят ошибки, например:

Новый формат использования домашних сетей неизбежно приведёт к тому, что они станут плацдармами для киберпреступников, которые стремятся проникнуть в корпоративные сети. Взломать домашнюю сеть и проникнуть на личный компьютер сотрудника значительно проще. Далее можно перемещаться от системы к системе, используя, например, вредоносное ПО, эксплуатирующее уязвимости с потенциалом червя, подобные недавно обнаруженной RCE-уязвимости в Microsoft Teams, для использования которой не требуется даже взаимодействие с пользователем.

Использование домашних сетей в качестве базового ресурса для проведения атак на корпоративные сети станет массовым явлением и в проведении атак на цепочки поставок. Особым вниманием будут пользоваться сотрудники, имеющие удалённый доступ к конфиденциальной и критически важной информации, например, работники отдела продаж, отдела кадров и технической поддержки.

А поскольку в домашних сетях, как правило, нет систем обнаружения вторжений и других защитных решений корпоративного уровня, взломщики могут надолго закрепляться в домашних сетях и внедряться во все организации, в которые имеют доступ участники домашней сети.
Логичным продолжением киберкриминального бизнеса, использующего домашние сети, станет рост предложений доступа к скомпрометированным домашним роутерам. Стоимость такой услуги будет зависеть от уровня доступа владельца скомпрометированного домашнего устройства. Например, взломанный роутер ИТ-администратора или руководителя компании будет стоить дороже, чем роутер рядового сотрудника с минимально необходимыми полномочиями в корпоративной сети.

Пандемия останется питательной средой вредоносных кампаний

Киберпреступники используют любой крупный инфоповод для создания мошеннических кампаний, и пандемия коронавируса просто не могла остаться незамеченной. COVID-19 создаёт мировому бизнесу проблемы как в виде локдаунов и ограничений, так и в виде угроз кибербезопасности.

Вторая волна привела к новым ограничениям и создала почву для новых мошеннических кампаний. Организованная преступность будет пытаться проникнуть в логистику по мере дальнейшего роста интернет-магазинов и увеличения количества доставляемых посылок. С большой вероятностью вырастет количество магазинов, торгующих контрафактной продукцией, а также различными незаконными товарами.

Мы ожидаем значительного роста атак на медицинские учреждения, в особенности связанные с производством вакцины и оказанием телемедицинских услуг. Потенциальная прибыль от саботажа работы лабораторий и вымогательства, а также возможность выгодно продать медицинские секреты будут привлекать большое количество киберпреступников.

Ещё более массовыми станут кампании по дезинформации пользователей, построенные вокруг большого разнообразия вакцин от коронавируса. Преступники будут заманивать посетителей на мошеннические ресурсы, предлагая вакцинацию без очереди, усовершенствованные вакцины и другие приманки, чтобы получить конфиденциальную информацию и данные банковских карт своих жертв.

Сложности управления гибридной средой

Дистанционная работа уже стала привычным явлением, и в 2021 году количество удалённых рабочих мест будет только расти. Использование домашних компьютеров для работы в офисной сети сформирует гибридную среду, в которой рабочие и персональные данные смешиваются на одном устройстве.

Это представляет серьёзную проблему для организаций, которые лишаются контроля над действиями сотрудников, поскольку установка ограничений на личных устройствах может привести к невозможности выполнения личных задач. А если компьютер окажется заражён вредоносным ПО, кто будет выполнять восстановление и как при этом будут учитываться личные данные сотрудника?

Не менее сложным представляется отслеживание распечатки или экспорта данных, которое производится на личных устройствах.

Для решения этих сложностей в 2021 году будет широко применяться модель нулевого доверия, в рамках которой любой пользователь считается преступником, пока не докажет обратного. Исходя из этого, пользователи получают минимально необходимые для выполнения работы права, которые систематически проверяются, а вся их активность протоколируется и анализируется.

Модель нулевого доверия будет интегрироваться с облачными периметрами организаций, что позволит командам безопасности отслеживать весь входящий и исходящий трафик.

Рост преступного использования медицинских данных

Из-за пандемии все страны стали следить за состоянием здоровья граждан. Уровень сбора персональных медицинских данных стал беспрецедентным, а спешка в реализации этих мер привела к тому, что утечки стали рядовым явлением.
Например, в начале декабря стало известно об утечке персональных данных 300 тысяч москвичей, переболевших коронавирусом. Сведения содержат ФИО, адреса проживания и регистрации, а также всю информацию о течении болезни и анализах. Кроме того, имеются данные о серверах 1С и ключах для подключения к системе учёта больных COVID-19.

Иногда источниками утечек будут сами медицинские работники, как произошло с сотрудниками медучреждений, вводивших данные для подключения к информационной системе в строке поиска Яндекса. Яндекс послушно проиндексировал эти сведения и предлагал их всем желающим.
Быстрый доступ к данным может иметь решающее значение в борьбе со вспышкой эпидемии, однако смягчение мер по обеспечению конфиденциальности данных само по себе приводит к проблемам. Большие базы чувствительных данных в совокупности с поспешным внедрением станут богатой почвой для злоумышленников, стремящихся скомпрометировать собранные и сохранённые данные. Киберпреступные группы могут злоупотреблять этим различными способами, например, использовать для перепродажи или создания таргетированных мошеннических кампаний.

Быстрое внедрение известных уязвимостей

Уязвимости нулевого дня 0-day обладают высокой эффективностью, но возможности их применения ограничены рядом сложностей: обнаружившие их эксперты стремятся продать своё открытие подороже, а документации по использованию, как правило, крайне мало.
При этом известные уязвимости или уязвимости n-day отлично задокументированы, имеются опубликованные примеры кода с демонстрацией работы, причём всё это доступно бесплатно.

Мы ожидаем, что в 2021 году киберпреступное сообщество перейдёт на быстрое внедрение в практику уязвимостей и эксплойтов n-day, выпущенных исследовательским сообществом. Например, в ходе операции Отравленные новости (Operation Poisoned News) злоумышленники воспользовались PoC-кодом нескольких уязвимостей эскалации привилегий, выпущенными в рамках Google Project Zero. Хакерская группировка Earth Kitsune модифицировала для использования в атаках эксплойты, выпущенные в рамках проектов Project Zero и Trend Micro Zero Day Initiative (ZDI).

На подпольных рынках появятся предложения инструментальных средств, построенных на базе уязвимостей n-day, которые смогут приобрести и использовать преступники, не обладающие техническими знаниями.

Использование уязвимых API в качестве векторов атак

Многие предприятия используют интерфейсы прикладного программирования (API) для обеспечения доступа к внутренним системам и взаимодействия с клиентами через приложения. Проблема состоит в том, что эти API могут быть использованы преступниками, которые ищут точку входа в сеть организации. По мере того, как API всё больше используются в корпоративном пространстве, количество атак на API также будет расти.

Тревожит тот факт, что несмотря на повсеместное распространение API их безопасность всё ещё находится в зачаточном состоянии. Из-за этого они могут стать источниками утечки данных в корпоративных приложениях.

Атаки на промышленное и облачное ПО

Мы ожидаем роста числа атак на самые востребованные программы и сервисы для организации дистанционной работы. Возросшее количество исследований приведёт к публикации раскрытых уязвимостей, а это значит, что экспертам придётся внимательно следить за ошибками критического класса и аналогичными проблемами в корпоративном ПО для удалённой работы.
Продолжая сложившуюся в 2020 году тенденцию, киберпреступники будут по-прежнему искать и использовать уязвимости в облачных средах. А учитывая перемещение данных и всей рабочей среды в облака, это создаст дополнительные риски для компаний.

Ещё один вектор атак на облачные среды это внедрение в репозитории вредоносных образов контейнеров, которые позволят атаковать пользователей, использующих сервисы контейнеризации ПО.

Наши рекомендации

Мы рекомендуем специалистам по безопасности перейти от реагирования на угрозы к их предупреждению. В качестве основных направлений внимания на 2021 год мы предлагаем рассмотреть следующие:

Проводите обучение и тренировку пользователей
Преступники продолжат использовать страх, окружающий COVID-19, поэтому важнейшей задачей становится информирование пользователей и тренировка их навыков противодействия киберпреступным атакам. Организации должны укреплять знания об угрозах и распространять наиболее эффективные корпоративные методы противодействия им среди дистанционно работающих сотрудников. Обязательной частью этого информирования является указания о том, как безопасно использовать личные устройства.
Контролируйте доступ к корпоративной сети из домашних офисов
Нужно создать политики, ориентированные на безопасность, составить план реагирования на инциденты, охватывающий весь сетевой периметр в новых условиях. Обязательной частью такой политики является политика нулевого доверия: все пользователи должны считаться недоверенными независимо от их местонахождения.
Внедрите программы управления исправлениями
Следить за актуальностью систем и приложений удалённых пользователей нужно особенно тщательно, поскольку именно эти устройства могут стать точками проникновения в сеть для киберпреступников.
Отслеживайте угрозы
Новые условия потребуют повышенного внимания к происходящему, поэтому важным условиям для защиты станет расширенное круглосуточное обнаружение угроз и обработка инцидентов в облачных средах, в электронной почте, на пользовательских устройствах, в сетях и на серверах. Получайте полное и своевременное представление об атаках, управляйте приоритетами уведомлений о безопасности, используя решения ведущих вендоров.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Прогнозы , Кибергурозы

Чем грозят уязвимости систем контроля доступа с идентификацией по лицу

29.12.2020 20:14:34 |

Автор: admin

Современные системы контроля доступа научились узнавать сотрудников по лицу. Это удобно: не нужно носить на шее бейдж с RFID-чипом и прикладывать его к считывателю у каждой закрытой двери. Кажется, что будущее наступило: можно ходить по офису с гордо поднятой головой, а двери будут сами открываться, узнавая тебя. Мы изучили несколько популярных систем контроля доступа с распознаванием лиц и обнаружили целый букет уязвимостей. О самых опасных проблемах расскажем в этом посте.

Карта или лицо: принципиальные отличия

Алгоритм работы классической системы управления доступом выглядит так:

человек подносит карту к считывателю;
считыватель получает номер карты и отправляет её на сервер;
сервер проверяет разрешения для этого ключа и если доступ разрешён, возвращает статус ОК;
контроллер замка получает команду на разблокировку двери.

Если применить этот алгоритм, заменив номер карты на изображение лица, наступит локальный апокалипсис, потому что картинка намного объёмнее, чем номер карты. А это значит, что её передача на сервер займёт больше времени, а сопоставление образов в базе данных на сервере намного больше, чем поиск номера ключа. Если в офисе много сотрудников, которые постоянно перемещаются, имеется ненулевая вероятность, что придётся улыбаться замку в ожидании открытия двери по нескольку минут.

Чтобы избежать этого, вместо простой IP-камеры используют интеллектуальное устройство, мощности которого достаточно для распознавания лица, а база лиц хранится на устройстве. Обычно в качестве такого устройства выступает мощный Android-гаджет или компактный ПК под управлением Windows или Linux.

Центральный сервер в этом случае используется для синхронизации баз посетителей, обновления ПО считывателей и администрирования всей системы.

Перемещение вычислительной нагрузки с сервера на внешнюю границу устраняет необходимость отправки на обработку конфиденциальных данных, например, изображений. Время отклика становится приемлемым, требования к полосе пропускания уменьшаются.
Однако вместе с вычислительной мощностью на граничные узлы перемещаются и другие задачи. Это изменение добавляет две примечательные проблемы:

на граничных узлах кроме примитивных операций по считыванию карты и открыванию двери добавляется полноценная бизнес-логика, которая является источником потенциальной уязвимости;
более функциональное устройство требует более серьёзного подхода к физической защите, поскольку компрометация будет иметь значительно более печальные последствия.

Мы тоже хотим поскорее оказаться в будущем, где для покупки билета достаточно улыбнуться турникету, но считаем необходимым исключить ситуацию, когда улыбнулся кто-то другой, а деньги списались у вас.

Как показывает наше исследование Identified and Authorized: Sneaking Past Edge-Based Access Control Devices, системы управления доступом с идентификацией по лицу имеют множество неприятных уязвимостей: их можно взломать, обмануть, предъявить вместо лица человека его фотографию на экране айфона и даже заделаться администратором и удалить всё начальство из списка допущенных в помещение.

Рассмотрим одно из самых уязвимых устройств нашего исследования ZKTeco FaceDepot 7B

Система контроля доступа ZKTeco FaceDepot. Источник: Trend Micro

Устройство поставляется в прочном металлическом корпусе с экраном и фронтальной камерой, направленной на посетителя. Распознавание лиц происходит внутри устройства. Фото, сделанные при аутентификации, не отправляются на центральный сервер процессорной мощности планшета вполне достаточно, чтобы проводить распознавание самостоятельно.
Типичное развёртывание СКД ZKTeco FaceDepot включает в себя несколько таких устройств и центральный сервер, через который синхронизируется между устройствами база пользователей.

Незащищённый USB-порт

Металлический корпус защищает СКД от физического вмешательства, но всё портит открытый USB-порт в нижней части устройства. Он предназначен для обслуживания устройства.

Уязвимость 1 открытый USB-порт. Источник: Trend Micro

Устаревшая версия Android

Ещё одна глобальная уязвимость ZKTeco прошивка устройства, которая базируется на версии Android Lollipop 5.1.1, выпущенной в апреле 2016 году. Сегодня актуальной версией Android является десятая. За прошедшие годы OS получила множество доработок, связанных с безопасностью. Очевидно, что в пятой версии ничего подобного не предусмотрено.

Экран с версией Android на СКД ZKTeco FaceDepot. Источник: Trend Micro

Возможность установки APK-пакетов

Поскольку это Android, пользователь может перейти на главный экран и запускать приложение. Например, он может запустить ApkInstaller и установить любой Android-пакет APK с подключённого к USB-порту носителя.

APK Installer, запущенный на СКД. Источник: Trend Micro

Производитель устройства ограничил возможность доступа к меню и приложениям только для пользователей с правами администратора, но как показало дальнейшее изучение устройства, это не является проблемой, потому что устройство всё-таки взаимодействует с сервером и делает это по HTTP.

Незашифрованный обмен с сервером

Устройство взаимодействует с сервером по HTTP. Вся информация передаётся в открытом виде и может быть легко перехвачена. Хуже всего то, что в открытом виде передаются административные команды регистрация пользователя, назначение пользователю роли администратора, удаление пользователя и синхронизация.
Злоумышленник, получивший доступ к сети, к которой подключён планшет, сможет прослушивать сетевой трафик между СКД и сервером и получить необходимую для проведения атак информацию.
Как ни печально, разработчикам устройства удалось дополнительно усилить уязвимость, связанную с отсутствием шифрования данных: они сделали совершенно дырявую процедуру аутентификации устройства.

Уязвимая аутентификация устройства

Единственный признак легитимности устройства на сервере это токен, который передаётся в cookie. Токен устанавливается при первой регистрации устройства на сервере и, по нашим данным, никогда не меняется.

Значение токена сохраняется как cookie. Источник: Trend Micro

Учитывая, что секретный токен передаётся открытым текстом, любой HTTP-клиент может выдать себя за легитимную СКД. Мы в наших экспериментах использовали curl простую утилиту, работающую в командной строке.

Например, вот так мы зарегистрировали нового пользователя в системе и задали для него изображение:

Первая команда регистрирует на сервере пользователя с именем Bogus, вторая устанавливает для него фотографию. Источник: Trend Micro

Файл userdata.post содержит данные, которые мы передали на сервер через POST. В нашем случае файл содержит следующие данные:

Содержимое файла с картинкой для передачи на сервер. Источник: Trend Micro

Регистрация администратора с помощью curl

Существующий администратор может продвигать нового пользователя до администратора, используя консоль на устройстве. Текущий администратор должен сначала войти в систему устройства через распознавание лиц, а затем получить доступ к системной консоли для запуска процесса продвижения. Как только пользователь получает повышение до уровня администратора, устройство отправляет отчёт на сервер, уведомляя его об изменении статуса.
Но поскольку любой пользователь, владеющий токеном, может имитировать легитимный сетевой трафик между устройством и сервером, ничто не помешает ему выполнить следующую команду и сделать любого пользователя администратором:

Установка privilege=14 делает пользователя администратором. Источник: Trend Micro

После очередной синхронизации сервера и всех зарегистрированных на нём устройств СКД новый администратор будет признаваться во всей офисной сети.

Загрузка всех фото пользователей

URL сохранённых на сервере фотографий предсказуем, поэтому перечисление всех URL-адресов и загрузка фотографий элементарная задача. Для получения доступа к этим URL не требуется никакой аутентификации.
Например, по следующему URL сервер отдаст фотографию пользователя с идентификатором 11111:

Для сбора изображений можно сделать простой скрипт, который будет перебирать идентификаторы пользователей от 00000 до любого числа и скачать все имеющиеся в системе фото.

Внедрение ложного сервера

Поскольку вся связь между устройством и сервером происходит по HTTP, относительно легко перенаправить все устройства СКД на фальшивый сервер, используя отравление ARP (Address Resolution Protocol протокол разрешения адресов).
После того, как мы заставили целевое устройство взаимодействовать с нашим поддельным сервером, мы смогли отправить устройству нужные нам обновления во время одного из его регулярных сеансов синхронизации. Эта техника может использоваться для различных атак. Например, можно подсунуть конечным устройствам фотографию пользователя, для которого требуется организовать незаконный доступ в помещение компании.

Доступ по фото легального посетителя

Учитывая количество возможных вариантов для атаки, проверка этого способа была уже в какой-то степени излишеством. Но учитывая простоту и доступность такой атаки даже для далёкого от техники человека, мы всё-таки проверили, получится ли обмануть СКД с помощью фотографии зарегистрированного в системе человека, имеющего доступ в офис. И были очень удивлены, когда после перебора нескольких вариантов атака сработала: камера ZKTeco FaceDepot оказалась благосклонна к фото, продемонстрированным на iPhone X и iPhone XS, но отказалась пропускать по этому же фото на экране смартфонов iPhone 6, Samsung A10, Samsung S8, Samsung S9, Samsung S10, Samsung S10+ и Samsung Note 10.

Узнать врага как MITRE TTP помогают определить атакующего

15.01.2021 20:21:00 |

Автор: admin

Количество способов, которые используют хакерские группировки, чтобы атаковать компании, кажется бесконечным, но на самом деле это не так. Практически все тактики и техники киберпреступников проанализированы и задокументированы в общедоступной базе MITRE ATT&CK. В этом посте мы расскажем о том, как во время расследования реального инцидента использование базы MITRE ATT&CK помогло нам выяснить, какая группировка атаковала компанию-клиента.

Начальный анализ

К нам обратилась компания, один из серверов в сети которой на постоянной основе обменивался данными со сторонним интернет-сервером. После первичного изучения выяснилось, что этот трафик содержал данные и команды, которыми обменивалось вредоносное ПО с управляющим сервером злоумышленников.

Расследование инцидента оказалось непростой задачей: доступные для изучения данные состояли из журналов событий с конечных точек и серверов, компрометация которых была подтверждена, а у нашей группы экспертов был доступ только к пяти компьютерам, с которых удалось получить образы дисков и памяти. И у нас не было возможности собрать все возможные образцы программ, выполнявшихся в сети компании.

Мы проанализировали журналы событий и установили, что в сети компании инфицированы 62 компьютера. Среди них были 10 серверов и 13 компьютеров, содержащих утилиты для сбора и отправки файлов, а также 22 компьютера с бэкдор-шеллами. На остальных машинах размещались другие инструменты, используемые в рамках атаки, или приложения для загрузки вредоносных библиотек.

Базовый анализ инцидента на основе собранных данных. Источник: Trend Micro

Бэкдор, загруженный через вредоносную DLL, позволяет злоумышленнику выполнять команды через cmd.exe. Для получения учётных записей пользователей использовались утилиты ProcDump и Mimikatz. Полученные учётные записи использовались для подключения к другим компьютерам в сети через IPC и загрузки на них вредоносных компонентов. Их запуск выполнялся либо через добавление задачи в расписание используя Schtasks, либо через создание wmic-процесса.

Основным предметом интереса злоумышленников были файлы PDF и документы MSOffice, причём оказалось, что они присутствовали в системе на протяжении нескольких лет.

Поиск взломщика

Сопоставив техники, которые применяли злоумышленники, с базой MITRE ATT&CK, мы получили два возможных варианта группировки APT3 и APT32.

Техники из базы MITRE ATT&CK и их применение в атаке. Источник: Trend Micro

Чтобы понять, какая из двух группировок провела атаку, нужно было более глубоко изучить инструментарий, использованный хакерами. Для этого мы проанализировали имевшиеся в нашем распоряжении образы пяти компьютеров. Врезультате обнаружилось множество вредоносных инструментов, и мы выяснили, каким образом преступники их применяли.

Все инструменты относились к одной из трёх категорий:

сбор и передача данных,
бэкдоры,
вспомогательные утилиты.

Рассмотрим состав каждой из этих категорий.

Сбор и передача данных

Утилита архивации

Это файловый скрепер, задача которого собрать файлы с заданными расширениями в отдельную папку, сохраняя исходную структуру каталогов, а затем упаковать эти файлы в RAR-архив с паролем. Имя файла архива состоит из даты и времени. После создания архива исходные файлы удаляются.

Утилита передачи данных

Принимает в качестве параметров путь к папке, созданной утилитой архивации, IP-адрес и порт управляющего сервера, а также количество потоков для работы; может рекурсивно отправлять все файлы из заданной папки и подпапок. Для каждого отправляемого файла программа создаёт отдельный поток. При указании дополнительного параметра файл после отправки может быть удалён. Вместе с файлом на управляющий сервер отправляются метаданные, содержащие имя заражённого компьютера и имя пользователя, от имени которого запущен процесс. Передаваемые файлы шифруются с паролем при помощи XOR.

Загрузчик файлов

Этот инструмент загружает файл по URL и записывает его на локальный диск. Изначально основной функцией этого инструмента является загрузка дополнительных утилит на заражённую машину. Однако более внимательное изучение показало, что с его помощью взломщики загружали по сети компании документы, в частности, PDF-файлы.

PowerShell-скрипт для взаимодействия с MySQL

Используется для получения данных из базы MySQL. Скрипт принимает строку соединения, которая включает в себя сервер, UID, пароль и имя базы данных, а также строку SQL-запроса, который нужно выполнить. Запуск скрипта выглядит следующим образом:

Изучение параметров командной строки, которые передавали этому инструменту злоумышленники, показало, что они располагали сведениями обо всех серверах БД, административных учётных записях, именах БД, а также о структуре хранящихся в них данных. Во всех наблюдаемых случаях использовались запросы для получения записей документов по дате или идентификатору записи. Результаты запроса записывались в CSV-файл. Полученная из БД информация передавалась загрузчику файлов, который загружал её в папку сохранения утилиты архивации.

FTP-архиватор

Этот инструмент отличается от утилиты архивации тем, что вместо копирования файлов во временную папку он сохраняет полные пути к ним в текстовый файл. Закончив эту процедуру, архиватор запускает встроенный 7-Zip и создаёт архив, который затем шифрует простым XOR-ключом. Файл отправляется на FTP-сервер, заданный в командной строке. Отправленный файл удаляется, чтобы скрыть факт хищения.

Бэкдоры

Мы обнаружили пять вариантов утилит-бэкдоров, которые позволяли злоумышленникам выполнять команды с помощью cmd.exe. Как правило, трафик между бэкдорами и управляющим сервером, шифровался. Некоторые бэкдоры выполняли команды непосредственно, другие добавляли полученные от управляющего сервера задания в службы расписания.

Помимо традиционных бэкдоров, в сети компании обнаружился веб-шелл, внедрённый на сайт под управлением Apache. Этот веб-шелл позволял выполнять следующие команды:

Вспомогательные инструменты

Помимо бэкдоров и средств для сбора и хищения данных, преступники применяли различные вспомогательные утилиты. Наиболее часто среди них встречались:

файловый дроппер TROJ_CHINOXY.ZAGK, который помещал в папку автозагрузки легитимную утилиту с вредоносной dll;
Procdump утилита для дампа памяти системного процесса LSASS;
Mimikatz утилита для извлечения паролей к учётным записям залогиненных пользователей;
NBTScan сканер серверов и компьютеров с открытыми сетевыми папками.

Взаимодействие инструментов

Помимо собственно набора использованных хакерами инструментальных средств важное значение имеет то, каким именно образом они применяли их в ходе инцидента. Это позволяет найти характерные для тех или иных группировок шаблоны действий и повысить точность определения автора атаки.

Всего нам удалось выявить четыре базовых и два комбинированных шаблона использования вредоносного инструментария. Например, сценарий с использованием файлового дроппера выглядел следующим образом:

Сценарий использования файлового дроппера для хищения паролей и передачи на управляющий сервер. Источник: Trend Micro

Этот сценарий начинался с загрузки комплекта, состоящего из скрипта, легитимного приложения и вредоносной dll. По завершении загрузки сценарий запускал легитимную утилиту, которая в свою очередь загружала вредоносную dll. Получив управление, dll работала как бэкдор-шелл, помещая в автозагрузку Procdump и запуская утилиту передачи собранных в системе файлов на управляющий сервер.

Наборы для взлома

Изучив инструменты и сценарии их использования, мы обнаружили, что по-прежнему не можем однозначно идентифицировать группировку, которая проникла в сеть компании, так как многообразие инструментов и тактик было слишком велико для двух кандидатов во взломщики, которых мы установили.

Например, функциональность бэкдоров была примерно одинакова, но языки, на которых они написаны, различались. Различными были также способы обеспечения постоянного присутствия в системе. Инструменты для сбора и передачи данных также дублировали функции друг друга, а у некоторых они даже имели встроенные бэкдоры.

Проанализировав все несоответствия, мы выделили четыре набора для проникновения, использованных взломщиками.

Набор 1

В него входили дроппер, dll с бэкдором и инструмент для сбора и передачи данных по FTP. Все утилиты использовали китайский язык.

Процедуры и техники набора 1. Источник: Trend Micro.

Lotus Blossom

Второй выявленный набор инструментов мы уже встречали в ходе других наших расследованиях. Его использовала группировка Trip, входившая в состав Lotus Blossom. Функциональность этого набора богаче, чем у набора1:

Тактики и техники набора Lotus Blossom. Источник: Trend Micro

Набор 2

Это новый набор, который мы не встречали ранее и не наблюдали ни у одной из задокументированных APT-группировок. Набор включает утилиту архивации, которая создаёт RAR-архив. Вторая утилита перемещает созданный архив в папку для отправки на управляющий сервер. Практически все утилиты набора содержат вредоносную dll, которая загружается через легитимное приложение. Отличительной чертой этого набора является чрезвычайно богатый набор тактик, применяемых злоумышленниками.

OceanLotus

Этот набор инструментов наиболее часто применяется одноимённой группировкой, известной также как APT32. Он содержит минимально необходимые средства для проведения атаки, причём различные функции объединяются в составе одной утилиты. Например, бэкдор из этого набора помимо выполнения команд от управляющего сервера умеет собирать и архивировать файлы.

Набор тактик и техник OceanLotus. Источник: Trend Micro

Присутствие OceanLotus в наборах явзломщиков подтверждало нашу версию об участии группировки APT32 в атаке на организацию. Кроме того, этот набор отличался от других тем, для расшифровки переданных на командный сервер образцов требовалось имя хоста и имя пользователя.

Итоги

Изучая инцидент, группа исследователей должна иметь возможность взглянуть на то, что происходит в сети компании на макроуровне. Одна из задач атакующих скрыть свои действия, распределяя их по нескольким утилитам и по разным машинам, поэтому поиск связей между инструментами обеспечит аналитикам более полное представление об атаке и её деталях.

Для поиска таких подключений существенно помогли бы инструменты, обеспечивающие видимость того, что происходит в сети, а также любых подозрительных процессов. В описанном случае, например, были трудности с идентификацией sideloaded-DLL.

Для эффективной идентификации комплектов вторжений, основанных на методике MITRE, установленная в компании система мониторинга должна перехватывать и регистрировать как можно больше событий. В нашем случае это позволило выделить две группы в качестве подозреваемых в атаке, а затем оставить наиболее вероятного организатора. Достаточно было сравнить найденные инструментов с известными инструментами, применяемыми APT, а также сгруппировать наборы инструментов на базе их взаимоотношений. Эти два подхода дополняют друг друга, поскольку некоторые из инструментов могут использоваться в различных наборах вторжения.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Кибербезопасность , Кибератаки , Trendmicro , Mitre ttp

Cyber Risk Index сравниваем компании по уровню киберзащищённости

01.02.2021 20:15:32 |

Автор: admin

Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. Вэтом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за2020год.

Методика

Поскольку объективных критериев, показывающих уровень защищённости компании от кибератак, пока не разработано, для построения индекса киберриска мы используем опрос, который проводится среди профессионалов в области ИТ и ИБ. В 2020 году в состав включили респондентов из стран Европы и Азиатско-Тихоокеанского региона, что позволяет говорить о том, что CRI2020 стал глобальным. Результаты опроса и стали основой индекса, который отражает готовность компаний реагировать на кибератаки.

Для построения индекса мы использовали ответы 2795респондентов, что составляет 4,1% от общего числа опрошенных в рамках выборки 67679человек. Ответы 211респондентов были исключены из окончательной выборки из-за недостаточной надёжности.

33%ответов мы получили от компаний, в которых работает менее 100человек. Ещё 33% ответов от компаний со штатом от100 до999работников, а остальные 35% из более крупных компаний, в которых трудится 1000 и более человек.

Отраслевая классификация респондентов включает 15секторов. Наиболее крупные из них:

финансовые услуги 13%,
здравоохранение и фармацевтика 10%,
услуги 9%,
промышленность/производство 9%,
розничная торговля 9%,
технологии и программное обеспечение 9%.

Сектора экономики компаний, вошедших в CRI. Источник: Trend Micro.

Расчёт CRI

Индекс киберриска рассчитывается как разность между индексом киберготовности (cyber preparedness index) и индексом киберугроз (cyber threat index). При этом индекс киберготовности показывает, каков уровень подготовленности организации к защите от кибератак, а индекс киберугроз представляет состояние ландшафта угрозы на момент расчёта CRI.

Индекс киберготовности

Для его расчёта используются ответы респондентов на 31вопрос относительно различных связанных с безопасностью факторов в организации. Примеры вопросов:

Каков бюджет организации на безопасность достаточен для защиты активов данных и IT-инфраструктуры?
Обладает ли персонал организации, отвечающий за IT безопасность, достаточными знаниями, навыками и опытом для защиты информационных активов и IT-инфраструктуры?
Рассматривают ли руководители организации IT-безопасность как главный бизнес-приоритет?
Отчитывается ли руководитель отдела IT-безопасности организации перед высшим руководством?
Принимают ли генеральный директор и Совет директоров организации активное участие в управлении безопасностью?
Тратит ли организация значительные средства на обучение сотрудников требованиям безопасности?
Тратит ли организация значительные ресурсы на оценку рисков безопасности третьих сторон, включая облако и всю цепочку поставок?
Способна ли ИБ-служба моей организации обнаруживать атаки нулевого дня?

Ответы на вопросы оцениваются так:

Совершенно согласен = 10 баллов;
Согласен = 7,5 балла;
Не уверен в ответе = 5 баллов;
Не согласен = 2,5 балла;
Сильно не согласен = 0 баллов.

Индекс киберугроз

Учитывает ответы на 10 вопросов, относящихся к происходившим в компании в течение года событиям. Примеры вопросов:

Q1. Сколько отдельных инцидентов, связанных с утерей или кражами данных о клиентах, произошло в вашей организации за последние 12 месяцев?
Q2. Сколько отдельных случаев нарушения безопасности данных, связанных с утечкой информационных активов, произошло в вашей организации за последние 12 месяцев?
Q3. Сколько успешных кибератак с проникновением в сети и/иликорпоративные системы вашей организации произошло за последние 12месяцев?

Часть вопросов в составе индекса киберугроз позволяют оценить риски, связанные с используемыми в компании данными, наиболее вероятные для компании угрозы, последствия киберинцидентов и наиболее уязвимые области инфраструктуры компании.

Ограничения методики

Поскольку и индекс готовности, и индекс киберугроз основаны на результатах опросов, имеются характерные для таких исследований ограничения, которые необходимо учитывать. Наиболее характерные для опросов ограничения:

Предвзятость в ответах. Текущие результаты основаны на выборке результатов опросов. Мы разослали опросы репрезентативной выборке, в результате чего было получено 2795пригодных для использования ответов, однако всегда остаётся возможность, что другие сотрудники организаций имеют существенно отличное от мнения респондента мнение.
Смещение рамки выборки. Точность основана на контактной информации и степени репрезентативности списка респондентов, которые являются практикующими специалистами в области ИТ или ИТ-безопасности. Результаты могут быть не вполне объективными в связи с внешними событиями, а также из-за того, что мы собирали данные через интернет. Возможно, что опрос по телефону даст совсем другие результаты.
Субъективность результатов. Качество опроса основано на достоверности конфиденциальных ответов, полученных от субъектов. Несмотря на то, что вопросы составлены так, чтобы уравновешивать субъективность, всегда существует вероятность того, что субъект не предоставил точные ответы.

Основные выводы CRI 2020

Несмотря на имеющиеся ограничения индекс киберриска позволяет получить достаточно объективную картину уровня защищённости компаний в различных регионах.

Все регионы, участвовавшие в исследовании, показали повышенный риск уязвимости к кибератакам, который отражает отрицательное значение CRI. Самый высокий уровень риска по сравнению с другими регионами наблюдается в США. Это связано с тем, что США имели более низкий уровень киберготовности по сравнению с другими регионами. Основные факторы риска в области кибербезопасности, с которыми сталкиваются предприятия, можно разделить на пять категорий

Риски кибербезопасности:

фишинг и социальная инженерия,
клик-джек,
вымогатели,
бесфайловые атаки,
ботнеты,
атаки типа человек посередине.

Риски, связанные с данными:

невозможность обнаружить атаки нулевого дня,
неспособность остановить большинство кибератак.

Риски, связанные с персоналом:

руководство компании не рассматривает безопасность как конкурентное преимущество,
ИБ-руководитель организации (CISO) не имеет достаточных полномочий и ресурсов для повышения уровня защищённости компании.

Инфраструктурные риски:

ИТ и ИБ-службы не владеют сведениями о физическом расположении критически важных для бизнеса данных и приложений,
ИТ и ИБ-службы не участвует в определении приемлемого использования потенциально уязвимых технологий (таких как мобильные, облачные, социальные сети, IoT-устройства) на рабочем месте.

Операционный риск:

неготовность к борьбе с утечками данных,
задержки в тестировании и установке исправлений безопасности.

Индексы киберготовности и киберугроз в 2020 году. Источник: Trend Micro

Наши результаты показывают, что у мирового бизнеса очень высокие шансы быть затронутым кибератакой:

вероятность утечки данных клиентов в ближайшие 12 месяцев: 75%;
вероятность компрометации критически важных данных в ближайшие 12 месяцев: 77%;
вероятность одной или нескольких успешных кибератак в ближайшие 12 месяцев: 83%.

Уязвимости неуязвимого Linux

03.03.2021 18:08:18 |

Автор: admin

Cреди обычных пользователей и даже ИТ-сотрудников распространено убеждение в повышенной безопасности ОС семейства Linux по сравнению с дырявой виндой и попсовой макосью. Однако, как показало наше исследование, открытость исходников не избавляет Linux от ошибок и уязвимостей, которые несут риски, связанные с безопасностью. В этом посте мы рассмотрим, почему Linux стал привлекательной мишенью для злоумышленников, а также обсудим основные угрозы и риски, связанные с этой операционной системой.

Фото: Trend Micro

По данным Linux Foundation, ещё в 2017 году под управлением Linux работали 90% клиентских ресурсов у всех облачных провайдеров, причём в девяти из десяти случаев и сам облачный провайдер использовал в качестве основной ОС именно Linux. Но облаками дело не ограничивается: 82% всех выпущенных в мире смартфонов также используют Linux, а среди суперкомпьютеров доля Linux составляет 99%.

По мере того, как предприятия и организации переносят данные в облака, где царит Linux, вектор интереса злоумышленников смещается на слабые места этого семейства операционных систем: уязвимости, неправильные настройки и пробелы в безопасности, а также вредоносное ПО.

Уязвимости

Одним из самых распространённых методов проникновения в систему использование уязвимостей. Отсутствие процедур управления и отслеживания уязвимостей, не говоря уже об отсутствии выстроенных процессов установки исправлений, может привести к тому, что системы окажутся беззащитными после обнаружения очередной уязвимости и публикации эксплойта для неё. Часто эксплойт публикуют уже через несколько часов после её обнаружения. Для Linux эта проблема более критична, поскольку открытый исходный код позволяет быстро найти проблемную функцию и написать код для эксплуатации ошибки.

Количество критических уязвимостей в различных дистрибутивах за 2015-2020 год. Источник: Trend Micro

Важно отметить, что значительное количество уязвимостей в сервисе или платформе не обязательно означает, что эти уязвимости обязательно несут существенный риск.

Каждый производитель дистрибутива Linux выполняет свою процедуру обработки уязвимостей. В то время как исправления от вендоров приходят в разное время, заплатки upstream, будь то оригинальный пакет или исходный код утилиты, появляются первыми. Вендоры Linux отвечают за исправление уязвимостей в таких компонентах, как ядро, утилиты и пакеты. В 2019 году Red Hat исправил более 1000 CVE в своём дистрибутиве Red Hat Enterprise Linux (RHEL), согласно их отчёту Product Security Risk Report. Это более 70% от общего числа уязвимостей, исправленных во всех продуктах.

Количество важных и критических рекомендаций по безопасности для различных дистрибутивов Linux за 2015-2020 годы. Источник: Trend Micro

Уязвимости приложений, работающих под управлением Linux, были причиной нескольких серьёзных инцидентов. Например, нашумевшая утечка данных в Equifax произошла в результате эксплуатации уязвимости CVE-2017-5638 в Apache Struts. Тогда хакеры проникли в корпоративную сеть бюро кредитных историй Equifax 13мая 2017года, но подозрительную активность служба безопасности заметила только в конце июля. Киберпреступники провели внутри сети 76дней, успев за это время скачать из 51базы данных личную информацию 148млн американцев это 56% взрослого населения США. Помимо американских граждан в утечку попали сведения 15млн клиентов Equifax в Великобритании и около 20тыс. граждан Канады. Общие расходы Equifax в результате этого инцидента за два следующих года составили более 1,35млрд долларов США и включают расходы на укрепление систем безопасности, поддержку клиентов, оплату юридических услуг, а также выплаты по судебным искам.

Уязвимости публичных приложений входят в состав фреймворка MITRE ATT&CK (IDT1190), а также перечислены в топ-10 уязвимостей OWASP и являются наиболее популярными векторами проникновения в Linux-системы.

Ошибки конфигурации

Небезопасные настройки довольно распространены и всегда были критическим вопросом в области безопасности. Первая версия OWASP Top 10 Web Risks от 2004года, включала в себя Небезопасное управление конфигурацией (Insecure Configuration Management); в версии списка 2017года название изменилось на Ошибочные настройки безопасности (Security Misconfiguration).

Когда предприятия стали массово переходить на облачные технологии для обеспечения операционной и экономической устойчивости во время пандемии COVID-19, неправильная конфигурация стала ещё более серьёзной проблемой: по мере переезда предприятий и организаций в новые экосистемы они непреднамеренно вносили ошибки в конфигурации облачной инфраструктуры, контейнеров и бессерверных сред.

Ниже перечислены наиболее распространённые проблемы безопасности в конфигурации Linux.

Слабые пароли в Linux как массовое явление

Использование паролей по умолчанию или слабых паролей до сих пор удивительно распространено, причём даже самые популярные дистрибутивы не отличаются в лучшую сторону.

Например, в дистрибутивах Debian/Ubuntu время жизни пароля по умолчанию составляет 99999дней, а если требуется принудительно задать сложность пароля, придётся устанавливать пакет libpam-pwquality или его аналог.

Настройки времени жизни пароля по умолчанию в Ubuntu (файл /etc/login.defs). Источник: linuxtechi

Известный пример злоупотребления из-за отсутствия аутентификации произошёл в Tesla, когда злоумышленники получили доступ панели управления административной консоли, смогли взломать работающую подсистему Kubernetes и получить AWS-удостоверения Tesla для запуска майнера криптовалюты.

В ноябре 2020 года ФБР выпустило предупреждение о том, что злоумышленники злоупотребляют неправильно настроенными экземплярами SonarQube, который обнаруживает ошибки и уязвимости в безопасности исходного кода. Из-за того, что некоторые организации не поменяли настройки систем по умолчанию, они были доступны через порт 9000 с использованием учётных данных admin/admin.

Такая же проблема массово присутствует среди работающих под управлением Linux IoT-устройств, производители которых часто не утруждают себя безопасными настройками паролей. Многие IP-камеры и роутеры также поставляются без паролей или с паролями по умолчанию, которые можно легко найти в общедоступной базе паролей по умолчанию (Default Passwords Database). Причём в некоторых случаях пароли жёстко прошиты и не могут быть изменены.

Уязвимые службы в интернете

Развитие специализированных поисковых систем привело к тому, что уязвимый открытый порт в интернете можно расценивать как приглашение к атаке. Например, используя специализированную поисковую систему Shodan, мы обнаружили более 8тыс. уязвимых экземпляров Redis, размещённых в публичном облаке без TLS-шифрования и даже без пароля. Позже оказалось, что все они уже использовались кем-то для майнинга криптовалюты.

Открытые файловые ресурсы на Linux-серверах

Публично доступные FTP-, SMB- и NFS-ресурсы, разрешённый листинг каталогов на веб-серверах под управлением Linux, открытые облачные службы хранения данных Amazon S3 и Azure Blobсоздают потенциальный риск несанкционированного доступа. С помощью Shodan мы обнаружили более 3млн уязвимых публичных FTP-серверов.

Общее количество уязвимых публичных FTP-серверов по состоянию на 5 января 2021 года. Источник: Trend Micro

Вредоносное ПО

Под Linux существуют многие разновидности вредоносных программ: вымогатели, криптомайнеры, руткиты, черви, бэкдоры и трояны удалённого доступа (RAT). Преступники успешно используют их для получения финансовой выгоды, шпионажа, саботажа, хактивизма или просто из желания доказать, что системы могут быть скомпрометированы.

Ниже перечислены наиболее распространённые типы вредоносных программ в экосистеме Linux.

Вымогатели

Это, безусловно, самая финансово успешная категория вредоносных программ за последнее время. Учитывая растущую популярность Linux, злоумышленники, управляющие вымогателями, считают эту операционную систему очень перспективной мишенью.

В качестве примера Linux-вымогателей можно привести RansomEXX/Defray7777, относительно недавно портированный под эту операционную систему. Его применяла кибергруппировка Gold Dupont, атакующая организации из сфер здравоохранения и образование и технологические отрасли.

Другой вымогатель Erebus, впервые замеченный в сентябре 2016 года, в июне 2017года Erebus заразил 153Linux-сервера южнокорейской хостинговой компании NAYANA и вывел из строя 3400 клиентских сайтов.

Криптомайнеры

Относительно новым мотивом для злоумышленников является проникновение и злоупотребление вычислительными ресурсами для добычи криптовалюты.

Многие вредоносные криптомайнеры не просто заражают Linux-системы, но и очищают их от присутствия майнеров-конкурентов, а также стремятся захватить как можно более мощные системы с практически неограниченными вычислительными возможностями, такие как контейнеры Docker или Redis.

Для проникновения в систему майнеры используют распространённые уязвимости. Например, программа coinminer, детектируемая компанией Trend Micro под названием Coinminer.Linux.MALXMR.SMDSL64, использует уязвимости обхода авторизации SaltStack (CVE-2020-11651) и обхода каталога SaltStack (CVE-2020-11652).

Вредоносные скрипты

Командные интерпретаторы присутствуют на всех UNIX-машинах, поэтому злоумышленники активно используют его, тем более что это значительно проще, чем использовать скомпилированные вредоносные программы.

Причин популярности вредоносных скриптов для атак на Linux:

они легко загружаются в виде текстовых файлов;
они имеют небольшой размер;
меньше вероятность того, что они будут легко обнаружены;
они могут быть созданы на лету.

Веб-шеллы и бэкдоры

Веб-шелл установленный на веб-сервере скрипт, который выполняет команды преступника и обеспечивает ему прямой доступ к взломанной системе. Например, в августе 2020 года мы столкнулись с Ensiko, веб-оболочкой PHP, нацеленной на Linux, Windows, macOS или любую другую платформу, на которой установлен PHP. Помимо удалённого выполнения кода с помощью Ensiko злоумышленники могут выполнять команды оболочки и повреждать веб-сайты.

Руткиты

Руткит набор вредоносных программ, которые внедряются в Linux-систему, частично или полностью подменяя стандартные системные утилиты, драйверы и библиотеки. Основная цель руткита скрывать своё присутствие от администраторов и пользователей скомпрометированной системы, обеспечивая злоумышленнику полный или частичный контроль.

В ходе наших исследований мы сталкивались с несколькими семействами руткитов. Чаще всего это были Umbreon, Drovorub или Diamorphine.

Ryuk как устроен топовый вымогатель

11.03.2021 16:14:30 |

Автор: admin

Киберкриминалитет нашёл для себя практически идеальную схему получения сверхдоходов: проникнуть в корпоративную сеть, скопировать все данные, до которых получилось добраться, а затем зашифровать информацию на всех скомпрометированных ресурсах и потребовать выкуп. Слитая информация может быть продана, если жертва откажется платить. А с зашифрованными системами особо не поработаешь, как показывает пример с Norsk Hydro или более свежие случаи с Kia Motors, Garmin, Hyundai и Kawasaki Heavy Industries. Одним из самых успешных вымогателей последних лет считается Ryuk, операторы которого заработали более 150 млн долларов США. Разберёмся, как работает топовый вымогатель.

Распространение и проникновение

Для доставки в целевую сеть Ryuk использует множество вариантов. В числе наиболее частых распространение с помощью других вредоносных программ. В 2019 году это были в основном Trickbot и Emotet, в 2020-м операторы Ryuk стали использовать в качестве дроппера BazarLoader, новую разработку авторов TrickBot. Как и TrickBot, BazarLoader распространяется в основном через фишинговые письма, которые содержат либо вредоносные вложения, либо ссылки на вредоносные программы и сайты, размещённые на бесплатных хостингах. Эти фишинговые письма использовали обычные методы социальной инженерии, маскируясь под деловую переписку или другие важные сообщения. В одной из таких кампаний письмо якобы содержало важную информацию о заболевшем COVID-19 президенте США Д. Трампе:

Фишинговое письмо BazarLoader

Источник: Threat Insight

Если жертва нажимала на ссылку, чтобы посмотреть документ о здоровье Трампа, она видела страницу Документов Google, на которой сообщалось, что документ проверен и безопасен:

Страница загрузки BazarLoader

Источник: Bleeping Computer

Вместо документа на компьютер жертвы загружался BazarLoader, который, получив управление, скачивал с управляющего сервера Ryuk и запускал его.

Схема заражения Ryuk. Источник: Trend Micro

Подразделения Trend Micro предоставляющие услуги по обнаружению и реагированию на угрозы (Managed Detection and Response, MDR) также зафиксировали случаи распространения Ryuk и Trickbot внутри организации с помощью скомпрометированных маршрутизаторов MikroTik. Предположительно злоумышленники использовали RCE-уязвимости MikroTik CVE-2018-1156 иCVE-2018-14847. Цепочка заражения начиналась с вредоносного спама, содержавшего загрузчик для TrickBot, который после загрузки распространялся внутри сети через SMB-эксплойт EternalBlue и через собранные учётные данные сотрудников. Затем Trickbot связывался со скомпрометированным интернет-маршрутизатором MikroTik, который использовался в качестве управляющего сервера.

Процесс заражения сети Ryuk через скомпрометированный маршрутизатор MikroTik. Источник: Trend Micro

В другом зафиксированном случае злоумышленники развернули Ryuk внутри сети, используя похищенные учётные данные администратора компании. При этом они:

отключили антивирусы и другие защитные системы;
загрузили в систему дроппер;
скачали с его помощью Ryuk и зашифровали несколько серверов.

Примечательно, что полноценное выявление векторов заражения Ryuk в большинстве случаев затруднено или невозможно, поскольку программа-вымогатель, как правило, удаляет все следы своего дроппера после завершения шифрования.

Перемещение по сети

Для перемещения по сети злоумышленники в большинстве случаев активно использовали Powershell и эксплуатировали уязвимости EternalBlue и Zerologon.

Фрагмент Powershell-скрипта, который использовали злоумышленники. Источник: Trend Micro

В начале работы вымогатель убивает более 40 процессов и останавливает более 180служб с помощью taskskill и net stop. Эти службы и процессы в основном принадлежат антивирусам, базам данных и ПО для резервного копирования.

Частичный список служб, которые останавливает Ryuk. Источник: CheckPoint

Чтобы получать управление после перезагрузки, Ryuk добавляет себя в ключ реестра Run с помощью команды: reg add /C REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ/d".

Шифрование

Вымогатель использует относительно простую трёхуровневую схему для шифрования файлов жертвы:

Первый уровень: глобальная пара ключей RSA, которая хранится у злоумышленников и никогда не попадает к жертвам.
Второй уровень: пара ключей RSA, которая генерируется для каждой жертвы. После генерации приватный ключ шифруется с помощью глобального ключа первого уровня и внедряется в конкретный экземпляр вымогателя.
Третий уровень: стандартный симметричный ключ шифрования AES, генерируемый с помощью Win32API-функции CryptGenKey для каждого шифруемого файла. Этот ключ экспортируется с помощью CryptExportKey и шифруется при этом с помощью RSA-ключа второго уровня, а зашифрованный результат добавляется к зашифрованному файлу. Удивительно, что разработчики Ryuk изучили документацию по функции CryptExportKey и использовали ключ второго уровня в качестве параметра hExpKey, чтобы выдать на экспорт уже зашифрованный AES-ключ. Большинство программ-вымогателей экспортируют ключ AES в чистом виде и лишь потом шифруют его с помощью CryptEncrypt.

Закончив с подготовкой криптоарсенала, вымогатель выполняет рекурсивный обход всех дисков и сетевых ресурсов в системе-жертве и шифрует каждый файл и каталог за исключением содержащих в имени текст из жёсткого белого списка, который включает в себя Windows, Mozilla, Chrome, RecycleBin и Ahnlab.

Помимо локальных дисков, Ryuk пытается зашифровать сетевые ресурсы без назначенных букв, формируя их список с помощью функций WnetOpenEnum/WnetEnumResource.

Завершив своё чёрное дело, Ryuk уничтожает ключ шифрования, запускает скрипт windows.bat, который удаляет теневые копии и бэкапы, и размещает вымогательскую записку RyukReadMe.txt с требованиями выкупа.

Содержимое пакетного файла показано ниже:

vssadmin Delete Shadows /all /quiet

vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB

vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded

vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB

vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded

vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB

vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded

vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB

vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded

vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB

vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded

vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB

vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded

vssadmin Delete Shadows /all /quiet

del /s /f /q c:\*.VHD c:\*.bac c:\*.bak c:\*.wbcat c:\*.bkf c:\Backup*.* c:\backup*.* c:\*.set c:\*.win c:\*.dsk

del /s /f /q d:\*.VHD d:\*.bac d:\*.bak d:\*.wbcat d:\*.bkf d:\Backup*.* d:\backup*.* d:\*.set d:\*.win d:\*.dsk

del /s /f /q e:\*.VHD e:\*.bac e:\*.bak e:\*.wbcat e:\*.bkf e:\Backup*.* e:\backup*.* e:\*.set e:\*.win e:\*.dsk

del /s /f /q f:\*.VHD f:\*.bac f:\*.bak f:\*.wbcat f:\*.bkf f:\Backup*.* f:\backup*.* f:\*.set f:\*.win f:\*.dsk

del /s /f /q g:\*.VHD g:\*.bac g:\*.bak g:\*.wbcat g:\*.bkf g:\Backup*.* g:\backup*.* g:\*.set g:\*.win g:\*.dsk

del /s /f /q h:\*.VHD h:\*.bac h:\*.bak h:\*.wbcat h:\*.bkf h:\Backup*.* h:\backup*.* h:\*.set h:\*.win h:\*.dsk

del %0

Любопытно, что эти команды не только затрудняют восстановление файлов, но и препятствуют работе киберкриминалистов, используя недокументированную возможность команды vssadmin resize.

Команда vssadmin Delete Shadows /all /quiet обычно используется ransomwareом, в то время как опция команды vssadmin resize shadowstorage используется редко. В ситуациях, когда теневые копии создавались не vssadmin, а сторонними приложениями (например, ПО для резервного копирования), vssadmin может отображать ошибку и не удалять резервные копии.

Команда vssadmin resize shadowstorage это хак, который использует vssadmin для удаления хранилища при изменении размера теневых копий. Она заставляет удалять теневые копии независимо от их контекста. Команда работает путём изменения размера теневого тома по умолчанию с 10% до 401MБ (минимальный размер 300 MБ). Затем теневое хранилище становится неограниченным, что позволяет ему использовать всё доступное дисковое пространство. После этого теневые копии удаляются второй раз с помощью команды vssadmin Delete Shadows /all /quiet.

Требования выкупа

Мы встретили несколько вариантов записок с требованиями о выкупе. По большей части основное содержимое не меняется за исключением адреса электронной почты и адреса кошелька Bitcoin. Адреса электронной почты обычно содержат один адрес на protonmail.com и другой адрес на tutanota.com. В качестве имён ящиков электронной почты обычно используются персонажи сказок, писатели и модели из Instagram. Один из вариантов вымогательской записки удивительно похоже на записку BitPaymer:

Вариант вымогательской записки Ryuk. Источник: CrowdStrike

Размер выкупа, который злоумышленники используют в записках, варьируется от1,7до99BTC и выше. Один из крупнейших переводов на кошельки вымогателей составил 365BTC, что составляет более 18млндолларов США по текущему курсу (50124 доллара США за 1BTC).

Монетизация выкупа

Для получения выкупа от жертв операторы Ryuk используют несколько десятков биткоин-кошельков. Большая часть выкупов поступает от известного криптоброкера, который производит выплаты от жертв шифровальщиков.

Схема отмывания выкупов Ryuk. Источник: Advanced Intelligence

Криптовалюта, аккумулированная на счетах преступников, направляется специальным сервисам по отмыванию денег, а затем разделяется на две части: одна используется для оплаты криминальных услуг на подпольных площадках, вторая обналичиваются на криптовалютных биржах. Удивительным является тот факт, что операторы Ryuk без малейших опасений используют для выхода в кэш вполне легальные биржи типа Binance и Huobi, хотя и используют для этого ворованные личности. Однако чаще преступники выбирают для обналички мелкие обменники.

Слайд из выступления экспертов ФБР на RSAConference2020. Источник: ФБР США

По данным ФБР, только в период с февраля 2018 по октябрь 2019 операторы Ryuk заработали более 61млндолларов США и уже тогда занимали первое место по доходности среди других вымогателей.

Резюме

Вымогательское ПО представляет большую опасность, поскольку сверхдоходы его операторов обеспечивают им возможность подобрать в команду высококвалифицированных участников для проведения самых изощрённых операций. Учитывая этот факт, для надёжной защиты следует использовать максимально эффективные меры, наиболее важными среди которых мы считаем следующие:

Повышайте киберграмотность сотрудников, чтобы исключить фишинг как возможный вектор проникновения преступников в систему. На сегодняшний день именно фишинг является средством для получения учётных данных сотрудников и внедрения вредоносного ПО в корпоративные сети.
Обновите контроллеры домена, чтобы защитить их от использования Zerologon, который используется для получения доступа на уровне домена.
Рассмотрите возможность полного отключения административных ресурсов или блокирования доступа через брандмауэры, поскольку Ryuk пытается шифровать файлы с помощью административных ресурсов Windows (C$ит.п.).
Отключите PowerShell с помощью групповой политики, поскольку это добавит ещё один уровень защиты, учитывая широкое использование PowerShell в атаках вредоносного ПО в сети.
Всегда регулярно создавайте резервные копии всех данных, чтобы обеспечить доступ к ним даже в случае успешной атаки вымогателя.
Подумайте о том, чтобы сделать файлы доступными только для чтения большинству пользователей, если только им не требуется разрешение на чтение/запись. Переводите файлы на сетевых ресурсах старше определённого периода (в идеале от трёх до шести месяцев) в режим только чтение.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Ryuk , Вымогатели , Киберпреступления

Инъекция обмана вакцины от COVID-19 в мошеннических кампаниях

28.04.2021 18:07:33 |

Автор: admin

Пандемия COVID-19 перевела в онлайн миллионы людей. Необходимость уменьшить физический контакт привела к тому, что большая часть жизни перешла в интернет, увеличив зависимость человечества от онлайн-платформ. На росте доверия к интернет-платформам расцвели массовые мошеннические кампании. Одним из наиболее популярных инфоповодов для этих кампаний стали вакцины. Вэтом посте расскажем о вредоносных программах, спаме, фишинговых схемах и сайтах, связанных с вакцинами от COVID-19.

Спам-кампании

Мы зафиксировали спам-кампании, использующие тему вакцин от ковида, уже в первом квартале 2020 года, даже до начала всемирного локдауна. Первыми подсуетились операторы вредоносов Emotet, Fareit, Agent Tesla и Remcos.

Emotet

Спам-кампания по распространению этого вредоноса началась сразу после Нового года и была направлена против предприятий здравоохранения, обрабатывающей промышленности, банков и транспортной отрасли в США, Италии и Канаде. Для распространения трояна использовались более 80 различных вариантов вредоносных документов, вложенных в письма. Их имена содержали слово COVID как основной фактор для привлечения внимания:

Daily COVID reporting.doc
DAILY COVID-19 Information.doc
NQ29526013I_COVID-19_SARS-CoV-2.doc
GJ-5679 Medical report Covid-19.doc

Вот некоторые темы писем, которые получали потенциальные жертвы:

COVID-19 Vaccine Survey;
RE: RE: COVID-19 Vaccine Clinic with Walgreens To Do Now;
Re: #TuOficinaSegura. Pfizer anuncia Vacuna contra el Covid . Novedades Oficinas YA! 10 de Noviembre de 2020.

Для проведения этой кампании использовались более ста серверов управления, расположенных в 33 странах. После того как эксперты по кибербезопасности провели операцию по перехвату управления этими серверами, кампания благополучно стихла.

Fareit

Этот вредонос крадёт личную информацию и учётные данные, сохранённые в браузерах, клиентах электронной почты и FTP. Для его распространения также была организована спам-кампания, в которой использовались темы, связанные с вакцинами от ковида:

Corona-virus(COVID-19),Common vaccine;
Corona-Virus Disease (COVID-19) Pandemic Vaccine Released;
Latest vaccine release for Corona-virus(COVID-19).

Имена вложений к письмам также содержали упоминания вакцины от COVID:

Corona-virus vaccine.arj
COVID-19 VACCINE SAMPLES.arj
COVID-19 Vaccine.arj
vaccine release for Corona-virus(COVID-19)_pdf.rar

Пример одного из вредоносных писем, отправленных операторами Fareit. Источник (здесь и далее): Trend Micro

В качестве адресов отправителей злоумышленники использовали представителей ВОЗ и имена врачей. Больше всего от Fareit пострадали Германия, США, Италия, Китай, Испания и Израиль.

Остальные

Тему вакцин от коронавируса активно эксплуатировали и операторы других вредоносов, например, Lokibot, Agent Tesla, Formbook, Remcos, Nanocore.

В ноябре 2020 года операторы вымогателя Zebocry рассылали вредонос, выдавая себя за фармацевтическую компанию Sinopharm, которая производит вакцины COVID-19. Для распространения кода злоумышленники использовали файл виртуального жёсткого диска (VHD), содержащий два файла: PDF с презентацией Sinopharm и документ Microsoft Word с вредоносными макросами.

Фишинг

Дефицит вакцин в Европе и США привёл к тому, что люди, напуганные болезнью, стали искать способы быстрее получить спасительный укол. Спросом не замедлили воспользоваться мошенники. Одна из таких кампаний проводилась от имени Национальной службы здравоохранения Великобритании (NHS). Фишинговое письмо приглашало на вакцинацию и предлагало пользователю подтвердить согласие.

Фишинговое письмо от NHS с приглашением на вакцинацию

Независимо от того, нажал ли пользователь ссылку принять или отклонить приглашение, он попадал на целевую страницу с формой, в которую ему предлагалось ввести полное имя, дату рождения, адрес и номер мобильного телефона. Мы обнаружили эту кампанию в Великобритании, Германии, США и Нидерландах.

Другая кампания, ориентированная на граждан Мексики, маскировалась под настоящую медицинскую лабораторию Chopo. Фишинговый сайт был внешне идентичен настоящему.

Фишинговый сайт медицинской лаборатории Chopo

Жертвам предлагалось указать имя, возраст, адрес, пол, номер мобильного телефона и адрес электронной почты. После регистрации они должны были получить цифровой сертификат Национальной карты вакцинации, после чего им предлагалось дождаться активации карт. Через этот же сайт пользователи якобы могли записаться на вакцинацию, для подтверждения записи требовалось заплатить 2700 мексиканских песо (около 130 долларов США). На странице даже присутствовали фальшивые контакты: адреса электронной почты, страница в Facebook и номер WhatsApp для консультаций.

Ещё одна фишинговая кампания, обнаруженная в сентябре 2020 года, была связана с оборудованием для безопасной и надёжной транспортировки вакцин: мошенники рассылали письма, замаскированные под коммерческое предложение; вложение представляло собой HTML-файл с фишинговой страницей.

Фишинговое письмо с коммерческим предложением оборудования для транспортировки вакцин

Это далеко не полный перечень всех вариантов фишинговых кампаний на тему вакцин и вакцинации, с которыми мы столкнулись в течение пандемии. Фантазия мошенников практически не знает границ. Они предлагают приобрести справки о вакцинации, место в очереди на вакцинацию и сами вакцины для индивидуального применения. Стоимость фальшивых справок о вакцинации в США составляет 20долларовСША, а за мелкий опт в четыре фальшивки предусмотрена скидка они обойдутся всего в 60долларовСША.

Некоторые мошенники проводят SMS-разведку, выдавая себя за фармацевтическую фирму. В сообщении говорится о том, что получатель имеет право на вакцинацию, но для этого требуется зарегистрироваться по контактному номеру. Тем, кто звонил по номеру, сообщалось, что запись на вакцинацию платная и предлагалось заплатить небольшую сумму.

Мошенничество

В 2020 году DomainTools начал предоставлять бесплатный курируемый список потенциально вредоносных доменов, связанных с COVID-19. Используя этот список доменов и данные Trend Micro Smart Protection Network, мы составили список из 75000доменов, которые могут использоваться для распространения вредоносных программ, фишинга и мошенничества.

В 2021 году мы наблюдали рост числа вредоносных доменов с ключевым словом вакцина. По данным отчёта DomainTools, этот всплеск начался уже в ноябре 2020года. При этом с июня 2020года количество доменов со словом covid сокращается. В ходе нашего анализа было выявлено около 1000вредоносных доменов с ключевым словом вакцина. Например, в ноябре 2020 г. было зарегистрировано 100 доменов, имитирующих названия торговые марки различных вакцин от коронавируса:

Gam-COVID-Vac
BioNTechs BNT162 vaccine (COVID-19 mRNA vaccine)
EPI - VAK - KORONA
PiCoVacc
Sputnik V

На такие домены устанавливают сайты-приманки, подобные, например, мошенническому сайту, замаскированному под сайт медицинского университета. На этом сайте посетителям предлагалось купить вакцины, оплатив их криптовалютой. Самое удивительное, что не было никаких гарантий подлинности вакцины или того, что покупатели в принципе получат что-то после оплаты.

Мошеннический сайт, торгующий вакциной

Анонимность даркнета сделала его идеальным местом для киберпреступников, которые торговали нелегальными вакцинами. В недавнем отчёте упоминается о сайте, операторы которого утверждали, что разработали вакцину, которая не только готова к покупке, но и доступна для отправки по всему миру.

На другом подобном сайте покупатели вакцины предварительно должны были отправить по электронной почте свои личные данные и даже сведения об инфицировании коронавирусом и других болезнях. Оплата также принималась в биткоинах.

Обсуждение вакцины от коронавируса на одном из сайтов Даркнета

Новым трендом стало распространение афер с вакцинами через Facebook и Telegram. Один мошеннических Telegram-каналов имеет более 4тыс.подписчиков ипредлагает вакцины известных брендов.

Телеграм-канал, предлагающий купить любые вакцины с доставкой

Доверчивых покупателей канал перенаправлял на мошеннический ресурс, замаскированный под сайт службы доставки Delta Express.

Технология песочниц для защиты отвредоносногоПО

21.05.2021 12:08:14 |

Автор: admin

Одно из обязательных свойств современных целевых атак их способность проникнуть в ИТ-инфраструктуру жертвы незаметно для защитных систем. Передовое вредоносное ПО использует методы маскировки, которые превращают его в невидимку. Помочь в таких случаях может динамический анализ, который выполняется в специализированной среде песочнице. Технологии песочниц занимают центральное место в концепции киберзащиты Trend Micro, получившей название Connected Threat Defence. В этом посте мы поговорим о том, как песочницы используются в решениях Trend Micro.

О песочницах

Технологии песочниц предоставляют самые эффективные механизмы по защите от целевых атак и атак с использованием уязвимостей нулевого дня. Принцип работы песочницы заключается в том, что подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. А вот если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу.

Использование изолированных виртуальных машин для выполнения проверяемых объектов и эмуляция взаимодействия с пользователем позволяет подробно отследить характер выполняемых действий потенциально небезопасного ПО и решить, можно ли возвращать объект пользователю для запуска на рабочей станции.

Интеграция анализа в песочнице с сигнатурным анализом и другими способами проверки в стандартных продуктах безопасности позволяет повысить эффективность выявления потенциальных угроз и улучшить от целевых атак.

Локальные песочницы

Локальные песочницы входят в состав многих антивирусов. Они реализуют изоляцию на базе частичной виртуализации файловой системы и реестра. Вместо того, чтобы создавать для каждого проверяемого процесса отдельную виртуальную машину, локальная песочница создаёт для них дубликаты объектов файловой системы и реестра. Получается безопасная среда-песочница на компьютере пользователя. Если процесс изменит файлы или запишет что-то в реестр, изменятся лишь копии внутри песочницы, а реальные объекты не будут затронуты. Изоляция от основной системы обеспечивается с помощью контроля прав.

Достоинством такого подхода является относительная простота реализации и невысокие затраты системных ресурсов. А в качестве недостатков можно отметить необходимость постоянной очистки контейнеров виртуализации для запуска каждого проверяемого файла. Помимо этого, встречаются обходы такой реализации песочницы, которые позволяют вредоносному коду сбежать в основную систему и разгуляться по полной.

Более защищённый вариант локальной песочницы предполагает создание отдельной виртуальной машины, копирующей рабочее окружение. Но затраты ресурсов на такой вариант оказываются неприемлемо высокими, поэтому вместо него используются сетевые песочницы, которые располагаются на выделенном сервере внутри сети компании (on-premise) или в облаке производителя антивирусного решения.

Сетевые песочницы облачные и on-premise

Сетевые песочницы имеют меньше ограничений, чем локальные они не снижают производительность компьютера пользователя и позволяют проверять потенциальные угрозы на различных операционных системах. Даже успешный побег из такой песочницы не станет проблемой, поскольку она полностью изолирована от рабочего компьютера пользователя. При необходимости такие песочницы могут эмулировать подключение к интернету и работу со съёмными носителями.

При работе с сетевыми песочницами на компьютерах пользователей устанавливается агент служба, которая отправляет попавшие под подозрения файлы в сетевую песочницу. Передача файлов на анализ в облако занимает больше времени, чем при взаимодействии с on-premise-сервером в сети компании. Всовокупности с длительностью анализа время ожидания результата может составить несколько минут, на протяжении которых запуск приложения будет поставлен на паузу до получения разрешения от песочницы. В связи с этим разработчики песочниц указывают максимальное время ожидания в SLA.

Вредоносное ПО, ориентированное на конкретную компанию, как правило, проверяет окружение, в котором запущено. И даже если оно не содержит проверку на запуск в песочнице, несоответствие окружения может привести к тому, что полезная нагрузка во время анализа не сработает, и файл будет считаться безобидным. Чтобы избежать такой ситуации, нужно, чтобы рабочая среда, которую эмулирует песочница, максимально точно соответствовала рабочим станциям реальных пользователей.

В случае с облачными песочницам добиться такого соответствия сложнее, в то время как загрузка образа рабочей станции на on-premise сервер не составляет сложности. Главное, чтобы выбранный вариант сервера-песочницы поддерживал работу с кастомными образами.

Другими словами, чтобы максимально приблизить конфигурацию виртуальных машин внутри песочницы к продакшн-среде, нужно иметь возможность тонко настраивать их содержимое: изменять настройки ОС, редактировать перечень установленных языков, драйверов периферийных устройств, устанавливать дополнительный, либо нестандартный софт и даже управлять содержимым рабочего стола, поскольку всё это и многое другое может расцениваться киберзлоумышленниками как условие для запуска либо незапуска вредоносных инструкций.

Использование же стандартизированных образов для разворачивания виртуальных машин внутри песочниц легко отслеживается и позволяет применить механизмы обхода детектирования в песочницах.

Песочницы Trend Micro поддерживают возможность загрузки кастомизированных образов ВМ, что на практике неоднократно показывало более высокую эффективность при обнаружении вредоносного ПО в сравнении с песочницами производителей, использующих стандартизированные образы ВМ для анализа.

Исходя из соображений необходимости обеспечения максимальной эффективности на сегодняшний день предпочтение следует отдать on-premise-варианту. Известные нам реализации облачных песочниц на сегодняшний день ни у одного из производителей не поддерживают в качестве среды тестирования кастомизированные образы виртуальных машин, точно отражающих инфраструктуру конкретного заказчика.

Облачные же песочницы могут рассматриваться в качестве более доступной по стоимости альтернативы, либо если инфраструктура компании территориально распределена. В этом случае затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачной и on-premise песочницей.

Критерии для выбора поставщика песочницы

Поставщика следует выбирать из соображений его осведомленности о самых новых тактиках, которыми пользуются злоумышленники для обхода защитных решений, применяемых в компании. Здесь важную роль играют несколько факторов:

специализация компании-производителя: являются ли продукты обеспечения ИБ основными в профиле, либо же это сопутствующие или вспомогательные разработки;
история компании-производителя: как часто меняются собственники бизнеса, а вместе с ними приоритеты и вектора развития продуктовой линейки;
присутствие на рынке: чем оно шире, тем больше информационная база вредоносных объектов и моделей вредоносного поведения, на которых строятся и оттачиваются модели машинного обучения, поведенческого анализа и других средств выявления и противодействия угрозам;
оперативный доступ к самой передовой информации о выявленных уязвимостях в ОС и ПО: чем быстрее производитель средств защиты получает такую информацию из собственных исследований или от энтузиастов-исследователей и частных специалистов в области киберзащиты, тем быстрее будут разработаны и внедрены контрмеры, блокирующие возможность использования новейших уязвимостей, даже если патч от официального производителя ОС или ПО ещё не выпущен.

Видение Trend Micro

Примером конкретной реализации описанного подхода к песочницам является продукт Trend Micro Deep Discovery Analyzer. Он представляет собой масштабируемый аппаратный сервер песочниц и позволяет загружать в виртуальные машины различные образы рабочей среды компании. Он полностью интегрируется с нашими решениями для защиты почты и веба, но позволяет принимать образцы на анализ из продуктов других производителей с помощью Web Services API.

Он умеет анализировать исполняемые файлы, веб-контент и потенциально вредоносные офисные документы, выявляет вредоносные URL и позволяет отправлять образцы на анализ через API или вручную. Deep Discovery Analyzer получает актуальную информацию из нашей глобальной системы выявления угроз, поэтому всегда в курсе последних разработок киберпреступников.

Количество данных в мире растет из года в год, поэтому основным вектором развития технологий песочниц является повышение производительности, расширение перечня типов анализируемых объектов и добавление новых моделей обнаружения потенциальных угроз.

Что касается будущего, наиболее очевидным сценарием мы считаем расширение перечня поддерживаемых операционных систем в качестве сред анализа объектов, а также расширение функциональности, которая позволит встраивать песочницы в существующие экосистемы заказчиков с минимальными изменениями конфигураций устоявшейся ИТ-инфраструктуры.

Подробнее..

Категории: Информационная безопасность , Исследования и прогнозы в it , Блог компании trend micro , Песочницы , Кибератаки , Киберзащита , Tren micro , Защита от вредоносного по , Connected threat defence

MITRE ATTampCK 2021 Trend Micro снова в тройке лидеров

04.06.2021 10:04:57 |

Автор: admin

База знаний MITRE ATT&CK чрезвычайно ценный инструмент. Она помогает стимулировать развитие всей отрасли кибербезопасности и формализовать описание подходов, которыми пользуются злоумышленники в ходе своих атак. На основе этой базы эксперты MITRE проводят тестирование продуктов по безопасности. В последнем имитировались тактики двух популярных киберпреступных группировок Carbanak и FIN7, а модельными целями стали крупный банк и сеть гостиниц. В ходе тестирования платформа Trend Micro Vision One^TM смогла оперативно выявить 94% предпринятых хакерами атак. В этом посте мы расскажем о том, как проходило исследование и какие выводы из его результатов могут сделать пользователи.

MITRE и её цели

MITRE некоммерческая организация, которая появилась в США в 1958 году. Её основные цели руководство федеральными исследовательскими центрами, системная инженерия и различные научные изыскания. Помимо прочего, MITRE регулярно проводит исследования MITRE ATT&CK, которые помогают оценить способности различных инструментов кибербезопасности обнаруживать и анализировать атаки хакеров. Для этих целей используется эмуляция методов определённых киберпреступных группировок, которые называются APT (от английского advanced persistent threat, т. е. развитая устойчивая угроза). Это крупные и успешные коллективы хакеров, которые регулярно совершают атаки на глобальном уровне и привлекли к себе внимание различных служб, но пока избегают поимки.

Программа MITRE ATT&CK служит не для оценки качества ПО и составления рейтингов самых успешных вендоров. Её цель дать компаниям максимально прозрачное видение того, как конкретное решение помогает обнаружить атаки и определённые группы угроз. Для удобства все атаки в ходе симуляции рассматриваются с точки зрения количества обнаруженных шагов злоумышленников, аналитики, которая позволяет получить дополнительные данные об их тактике, телеметрии и общей видимости атаки. Специалисты по кибербезопасности могут использовать результаты MITRE ATT&CK, чтобы провести внутренний аудит инфраструктуры и найти пробелы в системе безопасности. Затем они могут подобрать вендоров, которые лучше всего справились с закрытием этих пробелов в ходе исследования. Также тестирование помогает обнаружить излишне защищённые (если это в принципе возможно в современных условиях) узлы и оптимизировать расходы компании на кибербезопасность.

В отличие от предыдущих исследований, в версии 2021 года было проведено опциональное тестирование способности ПО не только анализировать ход атаки и выявлять тактику преступников, но и непосредственно предотвращать проникновение хакеров в систему в режиме онлайн

Кто такие Carbanak и FIN7

В этот раз специалисты MITRE эмулировали атаки сразу двух крупных APT-группировок. В первый день исследования рассматривались тактики и инструменты Carbanak, которая традиционно интересуется банками, а во второй FIN7, которая по сценарию атаковала крупную гостиничную сеть. Обе эти группировки мотивированы финансово, то есть действуют не ради того, чтобы что-то доказать или привлечь внимание общественности. Их интересует конкретная выгода в виде украденных ценных данных и финансовой информации, например, номеров кредитных карт.

Некоторые специалисты объединяют эти группировки в одну (Carbanak) из-за того, что обе команды хакеров используют бэкдор разработки Carbanak для совершения своих атак. Помимо этого, и Carbanak, и FIN7 часто пользуются вредоносным ПО для PoS Pillowmint и системой удалённого доступа Tirion. Тем не менее, в рамках исследования MITRE ATT&CK их рассматривали как независимые группы хакеров, хотя часть тактик и целей группировок совпала.

Общие для Carbanak и FIN7 тактики, которые применялись в ходе тестирования. Источник (здесь и далее): Trend Micro

Компрометация цели

Сценарий этих атак начинается с компрометации важного для организации менеджера банка/гостиницы. В ходе симуляции злоумышленники направляют на его электронную почту фишинговое письмо с вредоносным ПО во вложении. Цель письма хитростью заставить менеджера открыть вложение и таким образом запустить ПО. Это даст хакерам первичный доступ к его системе.

Сообщение об обнаружении техники Открытие пользователем связанного с MS Office документа, сгенерировано в момент, когда explorer.exe запустил winword.exe после нажатия пользователем на вложение 2-list.rtf

Сохранение доступа к системе

Теперь, когда киберпреступники получили доступ к сети организации, они должны собрать информацию, необходимую для достижения своих целей. В ходе этого используется сразу несколько тактик уклонения, которые помогут сохранить полученный доступ и избежать обнаружения системами кибербезопасности

Сообщение об обнаружении техники Копирование данных из буфера обмена или снимков экрана при помощи PowerShell, сгенерированное, когда powershell.exe выполнил команду CopyFromScreen ()

Злоумышленники применяют метод повышения привилегий, который обычно включает в себя использование уже существующих слабых мест системы, неправильной конфигурации различных элементов и уязвимостей сети для получения полномочий более высокого уровня. Теперь их целью становится поиск учётных данных и получение доступа к нужным машинам в сети, на которых содержатся ценные данные цель атаки.

Результаты симуляции цепочки атак с использованием Credential Dumping, выполненных при помощи вредоносного ПО Mimikatz

Как мы уже говорили, обе группировки имеют финансовую мотивацию, поэтому в данном случае они ищут информацию, которая может принести наибольшую выгоду. И Carbanak, и Fin7 ранее уже похищали персональные данные и данные кредитных карт для дальнейшей перепродажи.

Перемещение по сети и подготовка к краже данных

Киберпреступники будут перемещаться по сети, чтобы обнаружить свою основную жертву систему с данными, которые они планируют похитить и перепродать. Именно этот момент можно считать критически важным для обнаружения активности хакеров в инфраструктуре цели атаки. Сопоставив информацию от различных инструментов, платформа кибербезопасности должна своевременно выявить вектор атаки и защитить систему до того, как будут предприняты финальные шаги, то есть безопасный отход из сети со скопированными данными.

Модели симуляции, в которых обнаружены связанные события, готовые к более детальному исследованию

На этом этапе особенно ярко проявляются преимущества решений Trend Micro Vision One: автоматическое сопоставление данных об угрозах из разных сегментов сети и конечных точек позволяет направлять службам ИБ более конкретные и полезные предупреждения. Мы не просто сообщаем вам, что произошёл целый ряд отдельных событий мы можем показать, как они все связаны, и есть ли признаки компрометации, которые соответствуют тактикам определённых группировок киберпреступников или типам атак.

Краткое описание симуляций

Первая симуляция комплексной атаки была совершена с применением методов Carbanak. Её целью стал, как часто бывало в деятельности этих киберпреступников, банк. Атака началась с компрометации компьютера менеджера по персоналу, затем злоумышленники исследовали сеть компании до момента, когда нашли ПК финансового директора. Проникнув в эту систему, они завершили сбор ценной информации и начали осуществлять от его лица денежные переводы.

Среда для эмуляции атаки Carbanak с решениями Trend Micro, отвечающими за обнаружение и предотвращение кибератак

Во второй симуляции использовались методы, характерные для группировки Fin7, которая атаковала сеть гостиниц. Для начала была скомпрометирована система управляющего гостиницы. Затем она использовалась для доступа к сети, в которой злоумышленники собирали учётные данные и искали новые жертвы. Одной из них стала система ИТ-администратора, с помощью которой они получили доступ к бухгалтерии и загрузили код для регулярного копирования информации о платежах клиентов.

Среда для эмуляции атаки FIN7 с решениями Trend Micro, отвечающими за обнаружение и предотвращение кибератак

В третьем сценарии было запущено 10 атак и проведено 96 тестов. Их целью стало оценить инструменты кибербезопасности и их возможности по быстрому снижению уровня уязвимости систем к атакам, включая сложные или неизвестные их версии. Если в первых двух сценариях рассматривалась работа условной системы видеонаблюдения перед дверями в вашу квартиру, то в этот раз исследователи предложили инструментам кибербезопасности выступить в качестве замка на её двери, то есть в принципе не допустить злоумышленников внутрь. Инструменты для предотвращения атак не менее важны, чем средства их обнаружения, но только вместе они способны выявлять и обезвреживать комплексные атаки из первых двух сценариев.

Раннее обнаружение и блокировка первых тактик атаки в принципе предотвращает её успешное развитие

Каких результатов в итоге добились решения Trend Micro

Тридцать с лишним лет исследований данных и угроз Trend Micro стали важным преимуществом, которое позволило собрать всю необходимую телеметрию, сопоставить факты и рассказать подробную историю этих атак. Платформа Trend Micro Vision One показала следующие (достаточно впечатляющие) результаты:

выявлено 94% всех атак, то есть 167 из 177 шагов, предпринятых киберпреступниками в ходе симуляций, такая видимость атак помогает клиентам быстрее понять цели хакеров и среагировать на них вовремя;

во многих организациях, особенно в тех, что активно переносят свою инфраструктуру в облака, набирает популярность ОС Linux для них интересным окажется то, что при оценке работы в этой среде наши инструменты выявили 100% (14 из 14) атак;

за время симуляций платформа Trend Micro Vision One помогла получить 139 образцов телеметрических данных, благодаря которым упрощается дальнейший анализ инцидентов и выявление атак;

в финальном сценарии 90% атак удалось предотвратить при помощи автоматизированных инструментов. Раннее обнаружение и блокировка атак высвобождает ресурсы, которые иначе пришлось бы тратить на их анализ, а это в свою очередь даёт ИБ-специалистам возможность сосредоточиться на более сложных проблемах кибербезпасности.

К размышлению: иерархия оценок MITRE ATT&CK

Для самостоятельной оценки итогов исследования стоит понимать, как MITRE ATT&CK рассматривает результаты обнаружения атак. Всего в системе существует пять категорий показателей:

Атака не выявлена (None): такой показатель не означает полного отсутствия информации об атаке, а всего лишь сигнализирует, что полученный системой результат не соответствует установленным MITRE Engenuity критериям обнаружения;
Получены данные телеметрии (Telemetry): обработанные данные показывают, что произошло некое событие, связанное с обнаруживаемой атакой;
Обнаружена атака (General): к этой категории относятся оповещения, в которых выявлена подозрительная активность, но она не была отнесена к конкретной тактике или технике киберпреступников;
Выявлена тактика (Tactic): в этом случае выявленная атака может быть соотнесена с конкретной тактической целью злоумышленников (например, известно, что целью данной атаки является доступ к учётным данным);
Выявлена техника (Technique): обнаружение конкретной техники означает, что мы понимаем, чем конкретно занимаются хакеры (например, что в данном случае используется Credential Dumping).

Результаты, которые попадают в последние три категории, означают, что система кибербезопасности способна выдавать расширенные данные. Это всегда хороший признак, ведь по тактикам и техникам из перечня MITRE ATT&CK можно в деталях рассказать историю атаки и понять её. Поэтому вендоры обычно стремятся получить высокий результат именно в этих категориях. Тактики можно расценивать как главы в книге: хороший специалист способен в общих чертах описать атаку и её цели, используя эти главы, а затем дать более детальную оценку атаки, обращаясь к конкретным техникам на ей страницах.

Оценка атак Carbanak и FIN7, в общий список интересующих исследователей показателей вошло 65 техник и 11 тактик из перечня ATT&CK

Показатели телеметрии также важны, ведь они дают ИБ-специалистам возможность видеть следы киберпреступников и лучше понять вектор их атак. Естественно, в данном случае важно не только видеть, но и уметь анализировать полученные данные. В этом Trend Micro всегда готова помочь. Мы начинаем поиск корреляций в данных, чтобы вам было проще заметить комплексную атаку до того, как она принесёт свои плоды злоумышленникам. А информация от MITRE ATT&CK поможет ближе ознакомиться с различными типами атак и типичными для группировок хакеров инструментами.

Платформа Trend Micro Vision One обнаружила обе атаки и обеспечила их полную видимость, что значительно упрощает дальнейший анализ и расследование инцидентов. 167 выявленных в ходе атак шагов и 139 элементов телеметрии были успешно сопоставлены, что помогло команде составить чёткую картину того, к чему конкретно стремились злоумышленники в каждом из сценариев.

Опциональный третий этап исследования был нацелен на обнаружение и предотвращение атак. Внём приняло участие 17 из 29 вендоров, включая нашу компанию. В этом сценарии инструменты Trend Micro сработали просто отлично, обеспечив автоматическую блокировку 90% атак. Так же успешно они показали себя при работе с серверами на базе Linux. В ходе этих симуляций инструменты Trend Micro Vision One смогли выявить все 14 использованных техник.

Мы всегда рады участвовать в исследованиях MITRE Engenuity ATT&CK, чтобы протестировать наши продукты в борьбе с комплексными угрозами. С полным разбором результатов и подробной информацией о платформе Trend Micro Vision One вы можете ознакомиться по ссылке: https://resources.trendmicro.com/MITRE-Attack-Evaluations.html.

Подробнее..

Категории: It-компании , Исследования и прогнозы в it , Блог компании trend micro , Trend micro , Кибербезопасность , Киберугрозы , Mitre att&ck , Киберриски , Trend micro vision one

	Русский
	English

Блог компании trend micro

In the Dark

Недоверие и легализация

Что, где, почём?

Тренды и будущее торговли в даркнете

Особенности подключённых автомобилей

Что предлагает новый стандарт

Как быть

Немного статистики

Пандемия кибератак

Профилактика атак

XDR как кибервакцина

Наши рекомендации

Кража данных у робота

Подмена команд роботу по сети

Динамические вредоносы

Необычная RCE-уязвимость

Венец творения червь-вредонос

Источник проблем

Как защититься

Старые или умные?

Виды шлюзов

Атака на транслятор протокола

Повторное использование учётных данных и дешифровка конфигурации

Амплификация трафика

Эскалация привилегий

Наши рекомендации

Пуленепробиваемый (bulletproof) хостинг

Сервисы fast-flux

Защита от DDoS-атак

VDS из скомпрометированных хостов

Компрометация облачных хостингов

Socks, Proxy и туннели SSH

Анонимизирующие VPN

Мобильные рабочие места

Анонимизирующие микшеры трафика

Выводы

Ландшафт киберугроз

Рост числа атак, брендированных под COVID-19

Адаптация к новой реальности

Зумбомбинг и другие атаки на сервисы видеоконференцсвязи

Вымогательские кампании

Выводы и рекомендации

Что такое пуленепробиваемый хостинг

Способы обеспечения непробиваемости

Рекомендации по противодействию

Домашние офисы как криминальные плацдармы

Пандемия останется питательной средой вредоносных кампаний

Сложности управления гибридной средой

Рост преступного использования медицинских данных

Быстрое внедрение известных уязвимостей

Использование уязвимых API в качестве векторов атак

Атаки на промышленное и облачное ПО

Наши рекомендации

Карта или лицо: принципиальные отличия

Незащищённый USB-порт

Устаревшая версия Android

Возможность установки APK-пакетов

Незашифрованный обмен с сервером

Уязвимая аутентификация устройства

Регистрация администратора с помощью curl

Загрузка всех фото пользователей

Внедрение ложного сервера

Доступ по фото легального посетителя

Рекомендации изготовителям

Начальный анализ

Поиск взломщика

Сбор и передача данных

Бэкдоры

Взаимодействие инструментов

Наборы для взлома

Итоги

Методика

Расчёт CRI

Ограничения методики

Основные выводы CRI 2020

Рекомендации по защите бизнеса от киберугроз

Уязвимости

Ошибки конфигурации

Слабые пароли в Linux как массовое явление