Летом, после самой масштабной кибератаки в истории независимой Украины, для бизнеса и государственных организаций стал очевидным вопрос необходимости кардинальной смены подходов к информационной безопасности на национальном уровне. Также все понимают, что эта атака далеко не последняя, и в любой момент нужно быть готовыми к всплеску зловредной активности, способной принести ущерб различного уровня. Время от времени в сети появляются сообщения о готовящихся атаках и их возможных паттернах, но к сожалению, это все на уровне предположений.

Главная сложность в прогнозировании и обнаружении киберугроз и кибератак состоит в том, что большинство инцидентов можно обнаружить только в тот момент, когда налицо становится факт ущерба, нанесенного организациям. Так произошло в случае с атакой шифровальщиком PetyaA/NotPetya. Так происходит в случае большинства DDoS-атак.

В действительности же, этому этапу, как правило, предшествует длительная «тихая» фаза, которая может длиться от нескольких месяцев до нескольких лет. Если обнаружить атаку на этом этапе, то можно ее нейтрализовать, избежав серьезных последствий.

Подозрительная активность и возможная атака на украинские организации

О том, что уже сейчас происходит кибератака на украинские организации в своей разведывательной фазе, мы можем говорить, исходя из своей практики. На протяжении последних 2-3 месяцев у наших заказчиков из разных отраслей с большими информационными инфраструктурами фиксируется схожая подозрительная активность:

Аномальный DNS трафик

  • Кроме 53 используются также нестандартные порты для DNS протокола (к примеру, 51141, 53413, 55568, 64570 и т.д.).
  • Большое количество ответов DGA NXDOMAIN, как с внутренних рабочих станций, так и с контроллеров доменов/серверов, в сочетании с наличием Command and Control (С2С) трафика.
  • После активности DGA NXDOMAIN следуют попытки доступа к Microsoft Windows win.ini или к Microsoft Windows Registry.
  • Большое количество срабатываний по sinkhole-активности.
  • Наличие запросов на Dynamic DNS.

Подобную активность описывает Cisco Talos в своем расследовании для Правительства США.

Индикаторы действующих ботсетей

  • периодично (2-5 дней) в сети появляется трафик IRC-протокола (Internet Relay Chat).
  • совокупность большого количества ответов DGA NXDOMAIN и С2С-трафика – еще один симптом наличия действующей ботсети.

Наличие аномально большого количества следующих типов активности

  • NetBIOS nbtstat-запросы. Подобная активность говорит о том, что запущен процесс сбора информации о доступных ресурсах в сети.
  • Сканирование сетей на уязвимости.
  • Эксплуатации уязвимостей (brute-force, remote code execution, sql-injection, info-leak, protocol-anomaly)
  • Трафик с внутренних хостов на известные вредоносные сайты/ІР-адреса. Большинство вредоносного кода компилируется вместе с «телефонной книгой» сотней DNS-имен и IP-адрес своих командных центров.

Попытки распространения zero-day через веб и почтовый трафик

  • Рассылка вредоносных файлов формата dll, exe, pdf, doc, zip, rar.

В этих же инфраструктурах выявлены критические уязвимости Microsoft DNS и EXCHANGE серверов.

Таким образом, мы можем сделать вывод, что исследуемые организации стали жертвами новых сложных атак со схожим механизмом действия из нескольких трудно обнаруживаемых этапов:

  1. Заражение одной или нескольких рабочих станций с помощью фишингового письма или через схему man-in-the-middle, используя критическую уязвимость DNS-протокола.
  2. Установка канала управления с командным центром через внутренний или внешний DNS-сервер.
  3. Распространение вредоносного кода на внутренних ресурсах через найденные уязвимости.

С подобной активностью столкнулись эксперты Cisco Talos в процессе расследования атаки на серверы правительства США.

Возможные цели атаки

Все вышеназванные виды активности могут преследовать различные цели. Среди них:

  1. Кража конфиденциальной информации. В этом случае атака может длиться годами и никак не проявлять себя до тех пор, пока не будет выявлен факт утечки данных.
  2. Распространение бот-сетей для скрытого майнинга. Само по себе явление скрытого майнинга стало достаточно распространенным на территории Украины и России и, кроме бот-сетей, может использовать вредоносный код на сайтах развлекательного характера.
  3. Распространение бот-сетей для DDoS-атак. DDoS-атаки – достаточно старый инструмент злоумышленников и здесь остается только догадываться, кто и что именно является конечной целью атаки. Стоить заметить, что сейчас по миру распространяется самая большая бот-сеть за последние несколько лет. Конечная цель этой атаки неизвестна, ее инициаторы пока сфокусированы на росте сети. Уже сегодня инфицированы миллионы компьютеров и IoT-устройств по всему миру.
  4. Шифрование ресурсов с последующим требованием выкупа. Если конечной целью является распространение крипторов-шифровальщиков, то можно ожидать сценария, подобного атаке криптором PetyaA/NotPetya.

Рекомендации

Теперь пришло время ответить на главный вопрос: как не позволить злоумышленникам достичь конечной цели и, главное, избежать неприятных последствий для своего бизнеса. Материала и пошаговых рекомендаций хватит, чтобы написать отдельную колонку. Если вкратце, то нужно взять за правило следующие действия:

  1. Мониторинг работы критических сервисов и служб компании. Необходимо регулярно мониторить уровни доступов и идентификации пользователей, собирать и анализировать логи в SIEM на постоянной основе.
  2. Детальное расследование выявленных инцидентов. Под инцидентами подразумеваются такие явления, как аномальная или подозрительная активность в системах, рассылка фишинговых писем, подозрение на утечку конфиденциальных данных. Расследование инцидентов можно проводить как своими силами, так и с привлечением подрядчиков.
  3. Регулярное сканирование уязвимостей надежными средствами.
  4. Своевременное внедрение необходимых контролей.

О том, что необходимо своевременно устанавливать актуальные патчи и обновления от поставщиков ПО, не стоит даже упоминать.

Как видно из вышесказанного, угрозы новых атак сохраняются, более того, мы имеем все основания говорить о том, что активная работа со стороны злоумышленников ведется уже сейчас. Что касается прогнозов о возможных сроках массовой атаки, то сценарии могут быть совершенно разными.

В случае DDoS-атаки или вируса-шифровальщика атака проявит себя через несколько недель или месяцев. Если же цель злоумышленников – кража информации или скрытый майнинг, то атака может длиться месяцами, а то и годами, не проявляя себя.

Автор: Андрей Пастушенко, основатель RMRF Technology