Ландшафт угроз информационной безопасности последних лет. Часть 2
В прошлой статье мы поговорили тренды и эволюцию среди вредоносного ПО и программ-вымогателей. В этот раз хотелось бы рассмотреть оставшийся спектр наиболее распространенных и интересных угроз последних лет. Начнем мы с моей любимой социалочки, которая будет актуальна всегда, пока существуют человеческие слабости (знаю пентестеров, которые как хобби любят выискивать слабости в человеческой психике даже просто так в реальной жизни).
Социальная инженерия и фишинг
Для начала давайте разберемся в отличиях между такими распространенными техниками первоначального доступа, как социалка и фишинг. Фишинговые атаки проводятся в больших объемах и нацелены на широкую аудиторию, в то время как социальная инженерия реализует специальные кампании, ориентированные на конкретных сотрудников. Социальная инженерия охватывает широкий спектр действий, направленных на использование человеческой ошибки или некорректного поведения человека с целью получения доступа к информации или услугам (к которой есть доступ у персоналии). Другими словами, социалка более узко направленная и конкретная: она использует различные формы манипуляций, чтобы заставить жертв совершить ошибки или передать конфиденциальную или секретную информацию. В сфере кибербезопасности социальная инженерия побуждает пользователей открывать документы, файлы или электронные письма, посещать веб-сайты или предоставлять посторонним лицам доступ к системам или услугам. И хотя эти трюки могут злоупотреблять технологиями, для достижения успеха они всегда полагаются на человеческий фактор. Как пример подхода: используя социальную инженерию, злоумышленники используют доступ сотрудников внутри организации, чтобы получить техническую точку опоры в сети, откуда они могут осуществлять дальнейшие атаки. Фишинг имеет более массовую природу и распространяется широковещательно: авось, кто-то клюнет.
На текущий момент времени фишинговые атаки являются причиной 90% утечек данных. По отчетам IBM, развертывание наборов для фишинга обычно имеет короткий срок действия: почти треть развернутых наборов используется не более одного дня. По данным Microsoft, современные комплекты для фишинга достаточно сложны, чтобы маскироваться под законный контент с грамотной орфографией, грамматикой и реалистичными изображениями. В ряде аналитических исследований описаны интересные случаи: оказывается, злоумышленников, использующих эти комплекты, также можно обмануть. Некоторые из фишинг-комплектов содержат «дополнительные» функции, которые отправляют полученные учетные данные не только фишерам, но и автору комплекта или еще одному посреднику. С точки зрения жертвы, это может серьезно усугубить последствия инцидента, поскольку украденные учетные данные теперь оказываются в руках нескольких разных банд. Комплекты для фишинга также учитывают региональные различия (с геоблокировкой), отфильтровывают нежелательных агентов, добавляют опции обфускации и продаются как часть пакета программного обеспечения как услуги: Фишинг как услуга (PhaaS).
Еще одна свежая тенденция фишинга — QR-коды. Преступники используют QR-коды для перенаправления жертв на вредоносные сайты, которые крадут логин и финансовую информацию. Вполне вероятно, что тенденция использования QR-кодов для фишинга продолжится и дальше, особенно учитывая широкую адаптацию QR-кодов в повседневной жизни.
Ну и рассмотрим относительно новую штуку среди фишеров — использование APT социальной инженерии. Довольно часто можно встретить отчеты, говорящие о том, что иранские кибергруппировки, такие как APT34427 (OilRig или TA452), APT35428 (Charming Kitten или TA453) или TA456429 (Imperial Kitten or Tortoiseshell) используют длительные кампании социальной инженерии для кибершпионажа и информационных операций. В одной из них группировка выдавала себя за британских ученых из Школы восточных и африканских исследований (SOAS) Лондонского университета. Они преследовали старших сотрудников аналитических центров, журналистов, занимающихся вопросами Ближнего Востока, а также профессоров с целенаправленными фальшивыми приглашениями на конференции. Эти приглашения в конечном итоге привели к краже учетных данных на профильных веб-сайтах.
В то время как иранские злоумышленники используют профессиональную вовлеченность выбранных ими целей для создания истории, другие кампании, например, те, которыми управляет Curium432 (TA456433), ориентированы на романтическиевстречи. Их сценарий обычно состоит из маскировки под привлекательную женщину в социальных сетях, установления связей через онлайн платформы (чтобы укрепить узы доверия), обмена вредоносными документами, а после убеждения жертвы открыть документ. Ну и как часто происходит в случаях фишинга, это приводит развертыванию ВПО, выполняющему кражу конфиденциальной информации.
Учитывая успех предыдущих кампаний, весьма вероятно, что мы продолжим видеть аналогичные примеры социальной инженерии и распространение длительного персонального взлома уязвимостей человеческой природы.
Вектора атак, которые наиболее часто применяются после получения первоначального доступа в результате успешной проведенной социальной инженерии/фишинга:
Распространение ВПО: шифровальщики, RAT
Использование мощностей скомпрометированных узлов для майнинга криптовалют
Продажа полученного доступа к скомпрометированной сети
Утечка данных, кибершпионаж
Организация бот-сетей из скомпрометированных узлов сети
Фишинг/социальная инженерия особенно опасны, если используются вкупе с 0-day уязвимостями клиентского ПО (Microsoft Word, Outlook), приводящие к удаленному выполнению кода либо учтечке чувствительных данных. Пример тому является недавно обнаруженная CVE-2023–35636 в Outlook, которая при переходе по вредоносной ссылке приводит к перехвату злоумышленником NetNTLMv2 хэша пароля учетной записи пользователя, который впоследствии может быть взломан либо проведена атака ntlm relay с получением доступа к произвольному ресурсу с правами скомпрометированной учетной записи.
Что вы можете сделать, чтобы избежать социальной инженерии и фишинга
Антивирусные средства защиты
Двухфакторная аутентификация, надежные пароли, частая смена паролей
Не переходите по ссылкам из неизвестных источников
Установите спам-фильтры высокого уровня
Никогда не делитесь личной информацией на незащищенных сайтах
Не открывайте электронные письма, которые выглядят как спам
Повышайте осведомленность сотрудников
Не наделяйте пользователя правами локального администратора
Используйте разделение на зоны доступа для узлов и учетных записей при построении сетевой инфраструктуры (в соответствие с рекомендациями Microsoft Red Forrest)
Используйте решения типа Application Whitelisting с запретом на запуск недоверенного кода
Распределенный отказ в обслуживании (DDoS-атаки)
Еще одна распространённая угроза безопасности — распределенный отказ в обслуживании (DDoS), который нацелен на доступность системы и данных. И, хотя это не новая угроза (сейчас ей уже 24 года), она играет значительную роль в ландшафте угроз кибербезопасности. Атака считается реализованной, когда пользователи системы или службы не могут получить доступ к запрашиваемым данным, службам или другим ресурсам. DDoS-атаки могут вывести из строя даже самые крупные веб-сайты, перегрузив сервер максимальным количеством нежелательных запросов. Что интересно, атаки распределенного отказа в обслуживании часто используются в качестве приманки, чтобы отвлечь владельцев целевого веб-сайта, пока хакер пытается организовать вторую, более эксплуататорскую атаку. По данным аналитических агентств, таких как ENISA и Sonicwall, угроза DDoS-атак продолжает расти и за последний год увеличилась более чем на 60%.
В то время как защитные механизмы и стратегии становятся более надежными, злоумышленники также совершенствуют свои технические навыки, лучше адаптируясь к новым нормам. В этом контексте отказ в обслуживании с выкупом (RDoS) сочетает в себе опасности традиционного DDoS, существенно снижая при этом потребность в ресурсах для проведения атаки. Группы киберпреступников (например, Fancy Bear, Cozy Bear, Lazarus Group и Armada Collective, проводящие эти кампании) анализируют целевые предприятия, чтобы найти компании со слабыми и уязвимыми системами. Затем они угрожают этим предприятиям, отправив письмо с вымогательством и требуя выкуп за то, чтобы они не атаковали систему. Простота RDoS-атак лежит в основе их исполнения. Благодаря инструментам «Киберпреступность как услуга» (CaaS) запуск RDoS-атаки становится все проще, хотя определить ее источник по-прежнему сложно. В сравнении с этим распространение вредоносного ПО или программы-вымогателя требует гораздо более значительных усилий с точки зрения времени и планирования.
Атаки становятся все масштабнее и, самое главное, сложнее: если раньше отказ в обслуживании исполнялся в основном на канальном уровне, то сейчас все чаще и чаще встречается DDoS на прикладном уровне. Большую популярность получила DDoS атака типа https flood, которая может достигать огромных мощностей. В 2023 году этому поспособствовала обнаруженная уязвимость HTTP/2 Rapid Reset (CVE-2023–44487), за счет которой злоумышленникам удалось достичь ddos атаки мощности более 200 млн запросов/с. Это иллюстрирует возросшую сложность не только атак, но и требований к системам защиты, так как защититься от атак на уровне приложений сложнее, поскольку они зачастую выглядят как подлинный трафик приложений.
Несколько способов предотвратить DDoS-атаки
Выберите услугу по предотвращению DDoS-атак
Создайте безопасную сетевую инфраструктуру
Контролируйте посещаемость вашего сайта
Используйте брандмауэры веб-приложений (WAF)
Атаки на IoT (Интернет вещей)
Как можно обойтись без IoT, говоря о трендах угроз? Количество ВПО для Интернета вещей сделало ошеломительный скачок почти вдвое, по данным от аналитического агентства ENISA. Только за первое полугоде 22 го года объем атак уже превысил уровень, зафиксированный за предыдущие 4 года.
Интернет вещей (IoT) — это сеть взаимосвязанных физических устройств или объектов («вещей»). Атака нацелена на устройства, подключенные к Интернету. Например, атакам подвергаются сетевые коммутаторы или интеллектуальная бытовая техника, такая как телевизоры, колонки, камеры видеонаблюдения и медицинские устройства.
Как пример показательной атаки на IoT рассмотрим эксперимент 19-летнего исследователя Дэвида Коломбо, который в январе 2022 года сообщил, что он может использовать ошибку в приборной панели TeslaMate, чтобы контролировать более 25 автомобилей в 13 разных странах. Коломбо получил удаленный доступ к различным функциям Tesla, таким как отпирание дверей, открытие окон, запуск бесключевого доступа, управление стереосистемой, звуковой сигнал, а также проверка местоположения автомобиля и присутствия водителя. При этом Коломбо заявил, что перехватить дистанционное перемещение автомобиля ему таки не удалось.
Раз уж мы говорим про тренды, среди ВПО, угрожающего нашим домашним роутерам, следует выделить Mirai (червь и ботнет, образованный взломанными устройствами), который был ответственен за большинство атак, число которых составило более 7 миллионов. Ниже вы видите график роста упоминаний ВПО Mirai в индикаторах компрометации и аналитических репортах в платформе threat intelligence за предыдущий год.
Впервые обнаруженный в 2016 году, Mirai захватил беспрецедентное количество устройств и нанес огромный ущерб интернету. Сам по себе ботнет стал возможным благодаря эксплуатации уязвимости, которая заключается в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах.
Несмотря на то, что большинство устройств не являются мощными, они могут слаженно совместно работать — это позволяет достигнуть большего, чем смог бы мощный зомби-компьютер в одиночку. Mirai захватил в совокупи почти 500 000 устройств за все время своего существования. Используя этот груповой ботнет IoT-устройств, Mirai повредил сервисы, такие как Xbox Live и Spotify и веб-сайты, такие как BBC и Github и многие другие.
В 16 м году зомби Mirai атаковал по политическому заказу целую африканскую страну — это была Либерия. Обнаружилось, что Интернет там, хотя и предоставляется двумя «независимыми» провайдерами, подключен по одному кабелю. Поэтому хакеры атаковали оборудование, которое обслуживает именно этот кабель, и вывели из киберпространства целое государство.
Вот несколько способов предотвратить атаки Интернета вещей
Меняйте заводские пароли
Обновляйте прошивку и будьте в курсе последних событий
Используйте многофакторную аутентификацию (MFA)
Правильно шифруйте свои устройства
Подключайте устройства IoT с помощью безопасного Wi-Fi
Ну и под конец упомянем угрозы от искусственного интеллекта, раз уж AI настолько популярен в моменте. Разбор угроз от AI мы делали в отдельной статье (ее можно почитать здесь). Напомню здесь основные из них:
Компрометация информации (deepfake)
Использование ChatGPT для написания ВПО
Новое поколения фишинговых атак (spearphishing)
Нарушение конфиденциальности ИИ (MLDevSecOp)
Интересно, что все тренды говорят об увеличении интенсивности и прагматичность атакеров. Они, как и мы, думают, как упростить свою работу, улучшить сервисы, сделать их более удобными, распространить как можно шире. Для нас с вами это шанс чему-то научиться, стать еще компетентнее, скиловее. Да, количество и сложность инцидентов растет (и даже сильно растет), но вместе с этим заметен значительный рост технических скиллов наших защитников: ибшники прокачались, повысился уровень киберустойчивости организаций в целом. Тенденцию можно отследить по увеличению процента инцидентов через подрядчиков или цепочку поставок, что говорит о том, что сломать компании становится уже не так просто.
Это противостояние никогда не закончится: меняются
подходы, усложняются техники. Нам остается только идти в ногу со временем и
ориентироваться в актуалочках.
Habrahabr.ru прочитано 2612 раз
