Чем отличается целевая атака от вирусов

Обновлено: 27.03.2024

Среднестатистическая APT-атака, как правило, тщательно спланирована и длится от нескольких недель до нескольких месяцев. Злоумышленник, независимо от того, какие цели он преследует — украсть деньги, похитить конфиденциальные данные или нарушить стабильность бизнес-процессов, — действует в несколько этапов.

1. Проводит разведку

Разведка может длиться несколько месяцев или даже лет. Атакующий создает полноценную стратегию атаки, выбирает инструменты из числа доступных в даркнете (либо разрабатывает с нуля под конкретную задачу) и тестирует их на предмет обнаружения системами ИБ.

Пример

Атакующий планирует взлом государственного учреждения. Информация о средствах защиты, используемых в госсекторе, доступна в открытом виде на сайтах госзакупок. После ее изучения злоумышленник создает вредоносную программу, позволяющую обойти закупленные средства защиты.

2. Получает первичный доступ

Злоумышленник использует инструментарий и методы, подобранные на этапе разведки, для проникновения в инфраструктуру. Одновременно с этим он может провести ряд действий, которые отвлекут специалистов ИБ, потенциально ослабят их бдительность, а также позволят изучить существующие в компании процессы реагирования. Так, целевые атаки (и в частности APT) нередко маскируют под массовые: злоумышленник может организовать DDoS-атаку на корпоративный сайт или на другие веб-ресурсы компании, которые на самом деле не являются основной целью взлома.

Пример

Атакующий отправляет на электронную почту сотрудников организации письмо с поддельного домена, имитирующего реальный, и провоцирует их ввести в стороннюю форму свои учетные данные. Именно с подобной фишинговой уловки началась, например, атака на одну из крупнейших в мире криптовалютных бирж — гонконгскую Binance, которая в результате потеряла 41 млн $.

3. Закрепляется в инфраструктуре

Дальнейшие действия злоумышленника направлены на то, чтобы закрепиться в сети и обеспечить себе надежную связь с командным центром на время, пока он изучает сеть, ищет ключевые узлы и наблюдает за бизнес-процессами. После закрепления злоумышленнику не придется начинать атаку сначала, даже если какие-то рабочие станции будут перезагружены или если изменятся пароли.

Пример

Атакующий добавляет свое вредоносное программное обеспечение в список автозагрузки Windows — так оно будет повторно запускаться сразу же после перезагрузки операционной системы.

4. Перемещается внутри периметра

После закрепления злоумышленник использует техники перемещения внутри сети, чтобы расширить свое присутствие в инфраструктуре: получает доступ к удаленным системам или устанавливает другие вредоносные программы. Основная цель атакующего в этот момент — определить администраторов, их компьютеры, ключевые активы и данные. Часто этот этап снова включает в себя разведку: злоумышленник анализирует внутренние процессы, изучает функциональность атакуемых систем.

Пример

Атакующий осуществляет нелегитимное подключение к системам по протоколу удаленного рабочего стола Remote Desktop Protocol (RDP).

5. Повышает привилегии

Как правило, рядовые сотрудники, чьи рабочие станции первыми оказываются под контролем атакующего, имеют ограниченный набор привилегий и не могут выполнять некоторые действия в сети. Для продолжения атаки злоумышленник с помощью различных техник получает права администратора — а значит, и повышенные привилегии. Если это возможно, он также получает контроль над дополнительными системами, которые содержат чувствительные данные.

Наиболее популярными техниками повышения привилегий, по оценкам экспертов Positive Technologies, являются внедрение вредоносного кода в память легитимного процесса, который запущен с максимальными правами; обход механизма User Access Control, который отвечает за управление учетными записями в Windows; эксплуатация уязвимостей в установленном программном обеспечении или операционной системе.

Пример

Злоумышленник использует для повышения привилегий известную уязвимость в операционной системе и публично доступный эксплойт.

6. Компрометирует систему и получает доступ к искомым данным

Повысив привилегии, злоумышленник получает доступ необходимого уровня (например, подключается к контроллеру домена) и фактически может контролировать все критически важные системы компании.

7. Проводит эксфильтрацию данных

Эксфильтрация данных — процесс вывода искомой информации за пределы периметра. Перед тем как выводить полученные данные, атакующий готовит их к отправке через скрытые каналы связи (зашифровывает, сжимает). Иногда во время этого этапа он снова предпринимает отвлекающие действия, чтобы запутать специалистов по ИБ.

Если целью злоумышленника были конкретные данные и он смог их вывести, то на этом атака заканчивается. Однако гораздо чаще атакующие остаются внутри сети в течение очень длительного периода времени, ожидая возможности для очередной атаки (по данным Ponemon Institute, средний срок скрытого пребывания злоумышленника в сети составляет 203 дня).

Вывод

Современные APT-группировки без труда обходят штатные средства защиты — антивирусы, системы обнаружения и предотвращения вторжений. Они уделяют значительное время разведке и часто создают уникальные инструменты для обхода конкретных систем защиты, которыми пользуются в компании-жертве. Это делает обнаружение атаки в момент проникновения в сеть практически невозможным — и крайне трудным на этапах закрепления и перемещения в инфраструктуре.

Часто ситуацию усугубляет неготовность организации к столкновению с подобными угрозами: низкий уровень осведомленности сотрудников, отсутствие мониторинга событий ИБ и управления уязвимостями, отсутствие выстроенных процессов реагирования на инциденты, плохая сегментация сети, слабый контроль за выполнением регламентов. Кроме того, компании часто концентрируют усилия только на защите периметра и не следят за происходящим внутри инфраструктуры — тогда как наши исследования доказывают, что даже защищенный периметр взламывается в 98% случаев.

Для того чтобы преодолеть эти сложности и иметь возможность обнаруживать атаки максимально оперативно, необходимо адаптироваться к современным реалиям и действовать комплексно: следить за соблюдением политик ИБ, выстраивать процессы реагирования и расследования инцидентов, обучать сотрудников, использовать передовые средства защиты. Наиболее эффективны решения, которые могут выявлять активность злоумышленников как на периметре, так и внутри сети, и глубоко анализировать сетевой трафик: они позволяют заметить аномальную активность в сети на ранних этапах, когда ущерб для критически важных систем минимален. Не менее важно, чтобы используемые решения поддерживали возможность ретроспективного анализа: он помогает выявить присутствие злоумышленников в инфраструктуре даже в случае, если в момент проведения атаки в базах знаний не было сигнатур или индикаторов компрометации для ее обнаружения.

content/ru-ru/images/repository/isc/2017-images/malware-img-55.jpg

В отличие от массовых атак компьютерных вирусов (цель которых — заражение максимального количества компьютеров) в целевых атаках используется совершенно другой подход. Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации, для чего может быть написана специальная троянская программа.

На кого нацелены атаки?

Киберпреступники часто проводят целевые атаки на предприятия, обрабатывающие или хранящие информацию, которая может быть использована преступниками с целью получения прибыли. Наиболее часто целевым атакам подвергаются:

  • Банки
    Преступники атакуют серверы или банковскую сеть, чтобы получить доступ к данным и осуществить незаконный перевод средств с банковских счетов пользователей.
  • Биллинговые компании (например, телефонные операторы)
    Когда для атаки выбирается биллинговая компания, преступники пытаются получить доступ к учетным записям пользователей или украсть ценную информацию, такую как клиентские базы данных, финансовая информация или технические данные.

Обход корпоративной системы безопасности

Поскольку большие компании (которые обычно подвергаются целевым атакам вредоносных программ) нередко имеют высокий уровень ИТ-безопасности, киберпреступникам могут потребоваться некоторые особо хитрые методы. Так как большинство организаций использует сетевые экраны и другие способы защиты от внешних атак, преступник может попытаться найти ходы внутри организации.

Другие статьи и ссылки, связанные с целевыми атаками

Целевые атаки

Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации

Избранные статьи

content/ru-ru/images/repository/isc/2021/security-and-privacy-risks-of-ar-and-vr-1.jpg

Риски безопасности и конфиденциальности в виртуальной и дополненной реальности

content/ru-ru/images/repository/isc/2021/trickbot_image1_710x400px_300dpi.jpg

TrickBot – многоцелевой ботнет

content/ru-ru/images/repository/isc/2021/top_ransomware_attacks_1.jpg

Основные атаки программ-вымогателей

content/ru-ru/images/repository/isc/2020/deep-web-cover.jpg

Что такое глубокий и теневой интернет?

content/ru-ru/images/repository/isc/2020/keepkidssafecovid1.jpg

Как защитить детей в интернете во время коронавируса

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Чем APT-атаки отличаются от массовых вторжений

Массовые кибератаки направлены на глобальное распространение вредоносных программ, затрагивают в основном частных лиц и не требуют длительной подготовки и серьезных финансовых вложений. При планировании подобных атак злоумышленники не учитывают отраслевую принадлежность и масштабы организаций, не составляют портрет жертвы, а при реализации используют готовые инструменты, более дешевые, нежели для целевых атак.

В свою очередь, целевая атака всегда направлена на конкретную компанию, компьютерную сеть или компьютеры отдельных сотрудников. Такие атаки всегда тщательно продуманы, растянуты во времени и реализуются в несколько этапов. Как показало исследование Verizon, время проникновения злоумышленников в инфраструктуру составляет несколько минут, а на обнаружение атаки уходят недели и даже месяцы.

Объекты целевых атак

Под удар АРТ-группировок попадают как коммерческие компании, так и государственные структуры. По данным Positive Technologies, основные категории жертв целевых атак — это государственные учреждения, промышленные компании, финансовая отрасль и топливно-энергетический комплекс. Большому риску подвержены также космическая отрасль, IT-компании, предприятия военно-оборонительного комплекса, научные учреждения.

Как правило, злоумышленники охотятся за секретными стратегическими разработками, платежной информацией, персональными данными — любой информацией, которую можно выгодно продать, обменять или использовать.

Заказчики и исполнители

Заказчиками атак могут быть конкурирующие компании и спецслужбы. Реализуют атаки обычно APT-группировки — группы профессиональных хакеров, финансируемые заинтересованной стороной. Они создают инструменты для преступления сами или покупают их в даркнете.

Последствия атак

  • Прямые финансовые убытки
    Наиболее вероятны в случае, если злоумышленники получат данные для доступа к банковским счетам и смогут проводить незаконные транзакции. Это наиболее актуально для финансовых организаций.
  • Ущерб для репутации
    Попадание конфиденциальных данных в руки злоумышленников может негативно отразиться на имидже компании, спровоцировать отток клиентов.
  • Остановка бизнес-процессов
    Часто целевые атаки приводят к нарушению стабильности бизнес-процессов. Компании требуется время для проведения расследования и ресурсы на возобновление штатной работы бизнеса. Иногда саботаж является конечной целью: например, этим отличаются целевые атаки в промышленности и ТЭК, где угроза простоя более опасна, чем утечка данных.
  • Иные убытки
    Помимо прямого ущерба, компании сталкиваются с косвенными убытками, вызванными необходимостью выстроить защиту от целенаправленных атак. Приходится усовершенствовать работу существующей системы информационной безопасности, а для этого нужно закупить новое ПО, пересмотреть бизнес-процессы, привлечь новых специалистов по кибербезопасности, повысить осведомленность сотрудников в вопросах социальной инженерии.

Примеры APT-атак

Олимпийские игры в Пхенчхане. В феврале 2018 года организаторы Олимпийских игр сообщили о кибератаке на серверы во время церемонии открытия игр. Из-за хакерской атаки была нарушена работа цифрового интерактивного телевидения в главном пресс-центре. В атаках на сервер использовалось вредоносное программное обеспечение Olympic Destroyer. Некоторые эксперты полагают, что к операции могла быть причастна APT-группировка Fancy Bear.

Бюро Equifax. В мае-июле 2017 года была произведена атака на крупное бюро кредитных историй Equifax, в результате которой произошла утечка персональных данных 143 млн человек. В ходе атаки злоумышленники получили доступ к файлам, содержавшим имена, номера социального страхования и водительских удостоверений. Кроме того, в руки неизвестных попали номера кредитных карт порядка 209 тыс. американцев, а также документы, содержавшие персональную информацию примерно 180 тыс. клиентов бюро.

Целевые атаки — это любые нападения киберпреступников на конкретную выбранную ими цель. Такие операции противопоставляются массовым атакам с помощью вирусов или других вредоносных программ, где жертва выбирается по принципу доступности. Обнаружив сопротивление, робот массовой атаки отступает и переключается на другую, хуже защищенную цель.

Для целевых же атак характерен взлом и обход защиты жертвы со все более глубоким проникновением в информационную систему. Если массовая атака обычно направлена против индивидуальных пользователей интернета, то целевая — против корпоративных сетей. Среди целевых нападений ярко выделяются атаки типа APT (Advanced Persistent Threat) — усовершенствованный сценарий, в котором используются уязвимости 0-day, пробивающие любую защиту. Данный тип атаки очень дорогостоящ и требует привлечения высококлассных специалистов. Наиболее известная APT-атака — внедрение червя Stuxnet и нарушение работы иранских ядерных комплексов с его помощью.

Целевые атаки

Вообще целевая атака может быть простой в техническом плане, однако пройти успешно с учетом всех особенностей атакуемой жертвы. Таким образом, APT — это всегда целевая атака, но далеко не каждая целевая атака — это APT.

Классификация и способы целевых атак

Можно выделить следующие типы атак:

Таким образом, нападение может быть выполнено либо через электронную почту, либо через веб-ресурсы с загрузкой вредоносных компонентов из интернета.

Объект воздействия

Когда вредоносный объект установлен на устройство жертвы, дальнейшая атака уже ведется вручную в несколько этапов: изучение, проникновение, закрепление. Например, изучаться могут внутренняя структура сети, подключенные АСУ ТП, системы дистанционного банковского обслуживания, торговые приложения, инженерные разработки и многое другое. Собственно, по цели каждой следующей стадии можно идентифицировать того, кто пытается получить доступ к ценной информации. Поэтому целевые атаки поддаются классификации по объектам воздействия:

Для того чтобы затруднить хакерам развитие атаки, стоит как минимум сегментировать сеть, выделив и особо защитив зоны с наиболее ценной информацией. Впрочем, можно поставить и несколько ловушек или приманок (ханипотов), чтобы затруднить злоумышленникам изучение внутренней структуры сети.

Источник угрозы

Основным источником угрозы является сложность современных информационных технологий, которые очень открыты и позволяют использовать технологии самым неожиданным образом — например, встроив вредоносное приложение в офисный документ. Не всегда средства защиты, которые работают на шлюзе, могут распознать вредоносный код, нацеленный против приложения на рабочем месте сотрудника. При этом вариантов различных вложений, присоединений, параллельных загрузок оказывается так много, что отдельные устройства защиты уже не могут достоверно определить вредоносность передаваемой через них информации.

Анализ риска

Некоторое время назад целевые атаки стали весьма популярной темой, подогревающей интерес к информационной безопасности. В результате производители средств защиты выработали несколько инструментов для детектирования целенаправленных атак. Можно указать следующие примеры:

Следует отметить, что это — далеко не полный список инструментов, которые помогают обнаружить целевую атаку, поскольку традиционные средства защиты, такие как антивирусы и межсетевые экраны, также могут оказаться небесполезными. Теоретически противостоять целевым атакам должна комплексная система безопасности, которая, получив информацию от различных средств защиты и проанализировав ее, могла бы выявить признаки целенаправленных вредоносных действий против конкретной системы. Попытки создания подобных комплексных продуктов ведутся, однако проблемой является конкуренция между производителями. Закупать все средства защиты у одного производителя не всегда возможно, а комплексных систем, эффективно работающих с решениями всех поставщиков, пока разработать не удалось, поскольку еще не созданы общие стандарты представления информации об инцидентах и протоколы управления. В результате выявить и обезвредить распределенную по времени атаку оказывается весьма сложно.

Защита от целевых атак — это комплексная задача, которую нельзя решить используя какой-либо один продукт. Для достижения цели требуется применять весь спектр средств обеспечения информационной безопасности; только в этом случае можно повысить процент успешного обнаружения и нейтрализации атак.

Читайте также: