APT: Jak probíhá cílený útok

cybercrimeCílem tohoto příspěvku je popsat jednotlivé fáze APT útoků a umožnit čtenáři pochopit, jak takový útok probíhá.

Následující jednoduchá infografika zachycuje jednotlivé fáze APT útoku, počínaje přípravou samotného útoku, pokračujíc napadením a ovládnutím zařízení mající přístup do sítě dané organizace, přes vyhledávání dalších cílů v této síti a jejich následnou kompromitaci, až po dosažení cíle útoku, který může být různý.

APT

Příprava

V této počáteční fázi, která se někdy označuje jako external reconnaissance, se útočník snaží zjistit co nejvíce informací o subjektu, který se chystá napadnout. Za tímto účelem analyzuje všechny veřejně dostupné informační zdroje, jako jsou webové stránky společnosti, profily zaměstnanců na sociálních sítích, a jejich dotazy na nejrůznějších diskusních fórech apod. Dále pak skenuje systémy dostupné z internetu pomocí běžných nástrojů a hledá zranitelnosti, kterých by se daly v další fázi útoku zneužít.

Útočník se snaží zjistit, kdo za co v dané organizaci vlastně odpovídá a jaký systém a aplikace daná organizace používá. V případě nedostatku informací není výjimkou ani tolik oblíbené prohrabávání odpadků, fyzický průnik do dané organizace v přestrojení za zaměstnance servisní organizace nebo navázání vztahu s někým z organizace a případně i intimní sblížení s některým ze zaměstnanců, jež jsou po určitou dobu sledováni, aby útočník zjistil, jaké jsou jejich záliby a zvyky, vzbudil důvěru a byl v navázání kontaktu úspěšný.

Využívá se osvědčených technik sociálního inženýrství, kdy si útočník vytvoří falešnou identitu nebo si něčí identitu přivlastní a pak se za danou osobu vydává. Je třeba si uvědomit, že taková důvěra se buduje postupně a může se jednat o člověka, se kterým se zaměstnanec např. před časem „náhodou“ seznámil na konferenci nebo v restauraci, kam běžně chodí na oběd.

Následně dochází k vývoji sofistikovaného malwaru a přípravě síťové infrastruktury nutné k provedení samotného útoku, tzv. weaponization. Probíhá nákup odpovídajících zranitelností a exploit kitů pro danou platformu a případně jejich vývoj. Připravují se servery, na kterých bude umístěn vlastní malware, ze kterých budou rozesílány e-maily, webové stránky, a C&C servery, se kterými bude malware v pozdějších fázích útoku komunikovat. V případě obzvlášť sofistikovaných útoků pak může být škodlivý kód umístěn přímo do firmwaru nebo se může jednat o samostatnou HW komponentu.

Průnik

V této druhé fázi APT útoku, nazývané také jako delivery, exploitation, infiltration, dochází doručení a spuštění škodlivého kódu na jednom až několik zařízení, které zaměstnanci organizace používají pro přístup k interním systémům, a z kterých je pak v další fázi veden útok na další stroje v síti organizace. Vektorem útoku bývá nejčastěji spear phishing obsahující přílohu s exploitem nebo jen prostý e-mail s odkazem na stránky, na kterých se nachází nějaký ten drive-by download malware.

Nutno podotknout, že útočníkovi velice často stačí zneužít nějaké již dlouho známé zranitelnosti, pro kterou již sice byl uvolněn odpovídající patch, ale který daná společnost ještě nenasadila. Systémy a aplikace na koncových stanicích nejsou dost často aktualizovány a to dokonce i dlouho poté, co jsou k dispozici odpovídající patche. Realita je dokonce taková, že počet útoků zneužívajících zero-day zranitelností se pohybuje kolem pouhého jednoho procenta, neboť stačí využívat již dlouho známých zranitelností.

Další často používanou technikou je technika watering hole, kdy útočník již z předchozí fáze ví, které webové stránky zaměstnanci organizace navštěvují a malware umísťuje přímo na ně, případně jej začlení do reklamního banneru, který se na dané stránce zobrazuje, poté co předtím úspěšně napadl reklamní systém třetí strany, která se o zobrazování bannerů stará, tzv. malvertising.

Útočník též může napadnout nebo nainstalovat vlastní AP v místě, kde se zaměstnanci organizace často připojují, a následně tyto zaměstnance přesměrovat na svůj server, kde jim vnutí falešnou aktualizaci SW, samozřejmě podepsanou certifikátem nějaké důvěryhodné CA. Pro přesměrování na vlastní server může útočník napadnout i DNS servery lokálního ISP a modifikaci DNS záznamů provést tam.

Dalším vektorem útoku pak mohou být infikovaná paměťová média, např. CD/DVD nebo USB flash disky které útočník zanechá na místě, kde je bude moci zaměstnanec dané organizace najít. Případně mu může takové médium i poslat poštou spolu s papírovým dopisem, a využít pak jeho prosté zvědavosti.

Tento malware, bez ohledu na to jakým způsobem je šířen, není zpočátku obvykle detekován žádným antimalware řešením a slouží jen jako jakýsi dropper, který si z internetu dotáhne výkonný kód a informuje útočníka o tom, že došlo k úspěšnému průniku do sítě organizace. V této fázi se též objevuje první komunikace s C&C serverem. Tím však může být i naprosto důvěryhodný a hojně navštěvovaný web, takže tato nežádoucí komunikace nemusí být vůbec detekována. Jaké konkrétní techniky jsou používány, je uvedeno zde.

A konečně, jak již bylo uvedeno výše, malware může být umístěn i přímo na HW, který daná organizace nakupuje od třetí strany a používá. Takto lze proniknout i do organizací, jejichž systémy nejsou připojeny do internetu, a které implementovaly ty nejpřísnější bezpečnostní opatření.

Kompromitace

V této pokročilé fázi APT útoku, nazývané také jako data gathering, dochází k tomu, že útočník z již ovládnutého zařízení vyhledává a napadá další systémy v síti organizace a snaží se je kompromitovat a zajistit si do nich trvalý vzdálený přístup.

Dochází ke sběru informací, odtud data gathering, jejich analýze útočníkem a následně k napadání dalších systémů a aktivnímu zneužívání lokálních zranitelností a eskalaci privilegií, instalaci backdoorů a RAT nástrojů s funkcí rootkitu, aby se malware důmyslně ukryl v napadeném systému a nešlo ho tak snadno odhalit. S tím pak souvisí deaktivace bezpečnostních řešení, změna jejich konfigurace a zametání stop.

V okamžiku, kdy je k vybraným zdrojům, které jsou hlavním cílem útočníka, řízen přístup a síť je nějakým způsobem segmentována, musí útočník nejprve napadnout a ovládnout zařízení zaměstnance, který příslušným oprávněním disponuje.

Z výše uvedeného důvodu se musí útočník pokusit nejprve zmapovat síť a zjistit, jaké jsou přiděleny IP adresní rozsahy koncovým zařízením a serverům, jak je provedena jejich segmentace, kde jsou umístěny jednotlivé servery apod. Tomuto pohybu po síti organizace a vyhledávání dalších cílů se také říká lateral movement a internal reconnaissance, což je ostatně další poměrně často používaný název pro tuto fázi APT útoku.

V této fázi lze zpravidla také zaznamenat čilou komunikaci s C&C servery ukrytými kdesi v síti TOR a vzdálené přístupy do systému. Stejně tak může být ale navazována komunikace s C&C servery umístěnými na běžně navštěvovaných serverech a tak může tato nežádoucí komunikace dlouho unikat pozornosti administrátorů dané organizace.

Je třeba si uvědomit, že jakmile se útočník resp. jeho malware nachází v síti napadené organizace, může zneužívat a často i zneužívá lokálních zranitelností, kterých je zpravidla celá řada, a které nejsou ošetřeny, neboť mnohé organizace nepatchují, nebo alespoň ne tak rychle, takže se v jejich systémech nacházejí poměrně staré a snadno zneužitelné zranitelnosti.

Dokončení

V této závěrečné fázi, nazývané také exfiltration, kdy dochází k završení celého APT útoku, jehož cíl může být různý, je velice obtížné zjistit, jak hluboký a devastující daný útok byl. Cílem útoku však nemusí být, jak se běžně uvádí, jen zkopírování dat posbíraných v předchozí fázi, odtud exfiltration, do tzv. drop zóny, ale i smazání nebo pozměnění kritických dat, což v některých systémech, např. SCADA používaných pro řízení průmyslových systémů a procesů, může vést i ke způsobení značné škody, a to jak materiální, tak i na životech. Ostatně k těmto útokům již v minulosti několikrát došlo.

Výjimkou také není snaha danou organizaci dále vydírat a vyhrožovat ji zveřejněním detailních informací o tom, že její systém byl kompromitován nebo zveřejněním citlivých informací, ke kterým se útočník dostal. Rovněž útočník může vyhrožovat prodejem citlivých informací konkurenci nebo poškozením systémů a dat. Případně může data smazat nebo zašifrovat a požadovat platbu za poskytnutí dešifrovacího klíče.

Nezřídka se také stává, že útočník, který systém dané organizace kompromitoval, organizaci sdělí, že v jejím systému odhalil závažné zranitelnosti, a že jí za úplatu sdělí, kde se nacházejí a pomůže jí je odstranit.

V neposlední řadě pak může být cílem útoku i neautorizovaný převod peněz a jejich vyvedení z bankovního systému a to ovládnutím počítače, ze kterého organizace finanční transakce běžně realizuje, takže si nikde dlouho ničeho nevšimne. Vizte např. poslední poměrně dobře dokumentovaný případ Carbanak.

APT-phases

Zřetězené APT útoky

Je třeba si uvědomit, že mnohdy není dost dobře možné vést útok přímo na organizaci, která je předmětem zájmu útočníka, neboť je poměrně dobře zabezpečena, uzavřena vůči vnějšímu světu a její zaměstnanci mají vysoké bezpečnostní povědomí.

Cílem útoku v takovém případě bývá kompromitace systémů jiné organizace a jejich ovládnutí za účelem realizace dalšího APT útoku na organizaci, která je primárním cílem útočníka. Dochází tak ke zřetězení několika APT útoků.

Nejdříve je např. veden APT útok na ISP subdodavatele, pak subdodavatele, pak dodavatele a teprve z jeho systému je veden útok na organizaci, která je hlavním cílem útočníka. V rámci jednotlivých APT útoků jsou používány různé techniky sociálního inženýrství, jsou kompromitovány různé systémy, technologie a zařízení.

Vzhledem k tomu, že takovýto sofistikovaný útok probíhá po řadu měsíců až let a útočník po sobě důsledně zametá stopy, tak se pak velice obtížně zjišťuje, jaký byl vektor útoku a odkud daný útok přišel.

APT a faktor času

Všimněte si, jak riziko v jednotlivých fázích APT útoku postupně narůstá. Zatímco v počáteční fázi APT útoku, která může trvat několik týdnů až měsíců, organizace nemůže prakticky vůbec nic dělat, tak ve druhé fázi, kdy dochází k pokusu o průnik do jejího systému, má organizace v podstatě první a leckdy i poslední možnost tento útok detekovat a zastavit.

Problém je, že tento útok, který je zpravidla cílen jen na jednoho nebo jen několik zaměstnanců a jejich zařízení, probíhá velice rychle a zpravidla trvá jen několik málo hodin maximálně dní.

Ve třetí fázi, kdy dochází k napadání dalších systémů organizace, šance na detekci škodlivého kódu v síti dramaticky klesá a stává se nesmírně obtížnou, a to i přesto, že tato fáze trvá několik týdnů až měsíců.

V závěrečné fázi útoku se pak detekce malware stává zhola nemožnou, neboť organizace netuší, které její systémy již byly kompromitovány a nemůže se spolehnout ani na bezpečnostní opatření. Tato fáze může různě dlouho, a to podle toho, co bylo cílem útoku.

V dalším díle se zamyslíme nad tím, jak se APT útokům bránit, jak je detekovat a jak postupovat v případě napadení.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “APT: Jak probíhá cílený útok” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: