«Это был сложный год» — не только в свете коронавируса, локдауна, экологических бедствий и прочего, но и в части информационной безопасности. С переходом на удаленку многие компании выставили наружу ходы в инфраструктуру, что открыло новые возможности для мамкиных хакеров. Параллельно и профессиональные группировки, использующие гораздо более сложные инструменты, стали атаковать чаще. Мы подвели итоги за неполный год и свели в единую статистику те техники и тактики, с которыми мы чаще всего сталкивались в процессе мониторинга инфраструктур заказчиков.
Прежде всего – методология и источники данных. Что легло в основу аналитики:
Скоуп объектов мониторинга:
TL;DR (главные выводы)
Профессиональные группировки мы условно делим на несколько уровней: киберкриминал (группировки «среднего» уровня, нацеленные в основном на вывод денег, выкуп за расшифрование данных и т.д.), кибернаемники (нарушители, зарабатывающие заказными атаками) и кибергруппировки, предположительно финансируемые государствами.
За 2020 год зафиксировано более 200 атак со стороны киберкриминала, включая массовые атаки на отрасль/сектор экономики). Рост по сравнению с прошлым годом – примерно на 40%. Самые популярные объекты атаки – банки.
Инициаторы примерно 30 атак атрибутируются как группировки, действующие в интересах различных иностранных государств. В 2019 году атак такого уровня было примерно в два раза меньше. Такие группировки атаковали преимущественно органы госвласти, энергетический сектор, компании нефтегазовой отрасли и объекты критической информационной инфраструктуры других сфер деятельности.
Группировки среднего уровня квалификации, как правило, не разрабатывают вредоносное ПО самостоятельно, а приобретают его в даркнете. Иными словами, статистика применения того или иного массового вредоноса фактически отражает статистику атак киберкриминала. В 2020 году наибольшую популярность имели:
Более профессиональные группировки, как правило, используют самописное вредоносное ПО, поэтому составить статистический срез в этом отношении не представляется возможным.
Техники, применяемые для преодоления периметра и взлома инфраструктуры
В случае если злоумышленники применяли комбинированный способ атаки, мы учитывали вектор, наиболее критичный с точки зрения контроля и блокировки. Например, при атаке на Exchange Server с помощью уязвимости CVE-2020-0688, для эксплуатации которой требуются учетные данные одного из пользователей, инцидент учитывался как использование уязвимостей в веб-приложении, так как в данном случае более критична необходимость закрытия уязвимости (технической возможности полного контроля компрометации учетных данных за пределами компании не существует).
Действия киберкриминала за последний год существенно не поменялись. Злоумышленники этого уровня все чаще используют фишинг и социальную инженерию для проникновения в компанию. В целом тяготение киберкриминала к конкретным техникам взлома в 2020 году прослеживалось достаточно четко:
Это объяснимо: фишинг достаточно прост и по-прежнему эффективен для массовых атак, требует минимальных вложений в обследование и анализ инфраструктуры жертвы. Параллельно влияет ежегодно растущее число утечек учетных данных с публичных и внутренних сервисов, что вывело атаки посредством компрометации учетных записей на третье место. А вот атаки через подрядчика (supply chain) требуют длительной подготовки, поэтому крайне редко используются этой категорией злоумышленников.
Существенно отличается статистика по кибернаемникам и проправительственным группировкам, нацеленным на деструктивные действия и шпионаж с использованием более фокусного, индивидуального подхода к реализации атак:
Слабый уровень защищенности веб-приложений на объектах КИИ и в органах государственной власти делает этот вектор наиболее популярным у высокопрофессиональных киберпреступников. Также существенный вес имеют атаки через подрядчика, который, как правило, обладает высокими привилегиями на обслуживание не только корпоративных, но зачастую и закрытых технологических сегментов. Поэтому компаниям стоит обратить внимание на уровень защищенности подрядных организаций и выстроить максимально безопасный способ доступа подрядчиков в инфраструктуру.
Техники, используемые злоумышленниками для закрепления и развития атаки
Совокупно ключевые способы закрепления в инфраструктуре жертвы сводятся к следующим техникам:
Ключевые техники для распространения по сети:
При использовании комбинированного способа атаки учитывался вектор, наиболее сложный для технического детектирования.
Ситуация в 2020 году выглядела следующим образом.
Группировки среднего уровня:
Кибернаемники и проправительственные группировки:
Группировки среднего уровня:
Кибернаемники и проправительственные группировки:
Видно существенное различие подходов, используемых группировками разного уровня для сокрытия своей активности. Инструменты, применяемые группировками среднего уровня, гораздо проще для реализации и могут быть детектированы командой защиты средней квалификации. Более профессиональные группировки используют подходы, требующие сложных алгоритмов выявления и продвинутых технологий защиты.
Подход к реализации вредоносного кода
Группировки среднего уровня:
Кибернаемники и проправительственные группировки
Ключевые узлы инфраструктуры, к которым злоумышленники стремились получить доступ
Группировки среднего уровня при проведении атак, как правило, были нацелены на получение доступа к следующим узлам инфраструктуры:
Как считали
Прежде всего – методология и источники данных. Что легло в основу аналитики:
- анализ инцидентов и атак, выявленных командой центра мониторинга и реагирования на кибератаки Solar JSOC на инфраструктурах заказчиков;
- работы команды JSOC CERT по расследованию инцидентов;
- агрегированная информация об атаках и вредоносном ПО, собираемая ханипотами, размещенными на сетях связи и центрах обработки данных;
- информация, получаемая в рамках коммерческих подписок от внешних поставщиков услуг и информационного обмена с российскими и международными CERT.
Скоуп объектов мониторинга:
- более 140 крупных организаций (и более 600 тысяч сотрудников) в самых разных отраслях: банки, энергетика и нефтегазовый сектор, органы государственной власти и др.
- более 1500 внешних сервисов, опубликованных в интернете;
- более 70 тысяч серверов общего, инфраструктурного и прикладного назначения.
TL;DR (главные выводы)
Профессиональные группировки мы условно делим на несколько уровней: киберкриминал (группировки «среднего» уровня, нацеленные в основном на вывод денег, выкуп за расшифрование данных и т.д.), кибернаемники (нарушители, зарабатывающие заказными атаками) и кибергруппировки, предположительно финансируемые государствами.
За 2020 год зафиксировано более 200 атак со стороны киберкриминала, включая массовые атаки на отрасль/сектор экономики). Рост по сравнению с прошлым годом – примерно на 40%. Самые популярные объекты атаки – банки.
Инициаторы примерно 30 атак атрибутируются как группировки, действующие в интересах различных иностранных государств. В 2019 году атак такого уровня было примерно в два раза меньше. Такие группировки атаковали преимущественно органы госвласти, энергетический сектор, компании нефтегазовой отрасли и объекты критической информационной инфраструктуры других сфер деятельности.
Инструментарий группировок среднего уровня
Группировки среднего уровня квалификации, как правило, не разрабатывают вредоносное ПО самостоятельно, а приобретают его в даркнете. Иными словами, статистика применения того или иного массового вредоноса фактически отражает статистику атак киберкриминала. В 2020 году наибольшую популярность имели:
- RTM – 45%
- Emotet – 24%
- Remcos – 5%
- Nanocore – 5%
- Quasar – 5%
- LokiBot – 4%
- Pony – 4%
- Dharma – 3%
- Hawkey – 3%
- прочие – около 2%
Более профессиональные группировки, как правило, используют самописное вредоносное ПО, поэтому составить статистический срез в этом отношении не представляется возможным.
Техники, применяемые для преодоления периметра и взлома инфраструктуры
В случае если злоумышленники применяли комбинированный способ атаки, мы учитывали вектор, наиболее критичный с точки зрения контроля и блокировки. Например, при атаке на Exchange Server с помощью уязвимости CVE-2020-0688, для эксплуатации которой требуются учетные данные одного из пользователей, инцидент учитывался как использование уязвимостей в веб-приложении, так как в данном случае более критична необходимость закрытия уязвимости (технической возможности полного контроля компрометации учетных данных за пределами компании не существует).
Действия киберкриминала за последний год существенно не поменялись. Злоумышленники этого уровня все чаще используют фишинг и социальную инженерию для проникновения в компанию. В целом тяготение киберкриминала к конкретным техникам взлома в 2020 году прослеживалось достаточно четко:
- Фишинг – 74%
- Атаки на веб-приложения – 20%
- Компрометация учетных записей – 3%
- Эксплуатация уязвимостей периметра – 2%
- Supply chain – менее 1%
Это объяснимо: фишинг достаточно прост и по-прежнему эффективен для массовых атак, требует минимальных вложений в обследование и анализ инфраструктуры жертвы. Параллельно влияет ежегодно растущее число утечек учетных данных с публичных и внутренних сервисов, что вывело атаки посредством компрометации учетных записей на третье место. А вот атаки через подрядчика (supply chain) требуют длительной подготовки, поэтому крайне редко используются этой категорией злоумышленников.
Существенно отличается статистика по кибернаемникам и проправительственным группировкам, нацеленным на деструктивные действия и шпионаж с использованием более фокусного, индивидуального подхода к реализации атак:
- Атаки на веб-приложения – 45%
- Эксплуатация уязвимостей периметра – 32%
- Supply chain – 16%
- Компрометация учетных записей – 4%
- Фишинг – 3%
Слабый уровень защищенности веб-приложений на объектах КИИ и в органах государственной власти делает этот вектор наиболее популярным у высокопрофессиональных киберпреступников. Также существенный вес имеют атаки через подрядчика, который, как правило, обладает высокими привилегиями на обслуживание не только корпоративных, но зачастую и закрытых технологических сегментов. Поэтому компаниям стоит обратить внимание на уровень защищенности подрядных организаций и выстроить максимально безопасный способ доступа подрядчиков в инфраструктуру.
Техники, используемые злоумышленниками для закрепления и развития атаки
Совокупно ключевые способы закрепления в инфраструктуре жертвы сводятся к следующим техникам:
- механизмы автозагрузки – прописывание запуска инструментария в автозагрузку операционной системы и сокрытие этого запуска от защитных механизмов
- системные службы – создание системной службы для функционирования инструментария
- формирование собственного драйвера для максимального сокрытия от защитных алгоритмов
- использование для работы вредоносного ПО технологий WMI – внутренних технологий управления Windows
- использование ОС для работы инструментария BITS-задач – фоновых задач передачи файлов
- использование планировщика задач для старта вредоносного ПО в определенное время
- использование планировщика задач для старта вредоносного ПО в определенное время
- использование планировщика задач для старта вредоносного ПО в определенное время
Ключевые техники для распространения по сети:
- Pass the Ticket/Pass the Hash – кража аутентификационной информации пользователей с использованием слабой защиты аутентификации в Windows
- использование удаленных сервисов: RDP, SMB, SSH – применение административных протоколов с предшествующей кражей учетных записей пользователей
- эксплуатация уязвимостей удаленных сервисов: RDP-, SMB-, WEB-компоненты – эксплуатация уязвимостей в административных протоколах
При использовании комбинированного способа атаки учитывался вектор, наиболее сложный для технического детектирования.
Ситуация в 2020 году выглядела следующим образом.
Закрепление
Группировки среднего уровня:
- Механизмы автозагрузки – 70%
- Использование планировщика задач – 15%
- Системные службы – 10%
- Использование BITS-задач – 5%
- Формирование собственного драйвера – 0%
- Использование технологий WMI – 0%
Кибернаемники и проправительственные группировки:
- Системные службы – 70%
- Использование планировщика задач – 10%
- Использование BITS-задач – 7%
- Механизмы автозагрузки – 5%
- Использование технологий WMI – 5%
- Формирование собственного драйвера – 3%
Распространение
Группировки среднего уровня:
- Использование удаленных сервисов: RDP, SMB, SSH – 80%
- Pass the Ticket/Pass the Hash – 15%
- Эксплуатация удаленных сервисов: RDP-, SMB-, WEB-компоненты – 5%
Кибернаемники и проправительственные группировки:
- Использование удаленных сервисов: RDP, SMB, SSH – 60%
- Pass the Ticket/Pass the Hash – 20%
- Эксплуатация удаленных сервисов: RDP-, SMB-, WEB-компоненты – 20%
Видно существенное различие подходов, используемых группировками разного уровня для сокрытия своей активности. Инструменты, применяемые группировками среднего уровня, гораздо проще для реализации и могут быть детектированы командой защиты средней квалификации. Более профессиональные группировки используют подходы, требующие сложных алгоритмов выявления и продвинутых технологий защиты.
Подход к реализации вредоносного кода
Группировки среднего уровня:
- Легитимные корпоративные или свободно распространяемые утилиты для администрирования – 40%
- Различные доступные инструменты и фреймворки (для проведения анализа защищенности или ВПО, опубликованное в интернете) – 40%
- Самописное бинарное вредоносное ПО – 10%
- Самописные скрипты на различных интерпретируемых языках (Powershell, vbs, js, bat) – 10%
Кибернаемники и проправительственные группировки
- Самописное бинарное вредоносное программное обеспечение – 50%
- Самописные скрипты на различных интерпретируемых языках (Powershell, vbs, js, bat) – 20%
- Легитимные корпоративные или свободно распространяемые утилиты для администрирования – 20%
- Различные доступные инструменты и фреймворки (для проведения анализа защищенности или ВПО, опубликованное в интернете) – 10%
Ключевые узлы инфраструктуры, к которым злоумышленники стремились получить доступ
Группировки среднего уровня при проведении атак, как правило, были нацелены на получение доступа к следующим узлам инфраструктуры:
- Контроллер домена – 80% случаев (для получения максимальных привилегий и возможности использовать различных учетных записей)
- АРМ и транзитные серверы, обрабатывающие платежную информацию – 85% (с целью крупной монетизации атаки)
- АРМ ИТ-администраторов с высоким уровнем привилегий – 75%
- Системы ИТ-управления инфраструктурой (серверы инвентаризации, обновления, управления конфигурацией и т.д.) – 65% (для получения наиболее полной информации об инфраструктуре)
- Прикладные системы, хранящие финансовую информацию (АБС, ДБО, ERP, бухгалтерские системы) – 45% (для возможности более типизированной монетизации через платежную информацию или вирусы-шифровальщики)
- Системы ИБ-управления инфраструктурой (антивирусное ПО, системы защиты от несанкционированного доступа, сканеры уязвимостей) – 40% (для получения возможности централизованного управления парком серверов и рабочих станций с высокими уровнями
При защите и мониторинге безопасности инфраструктуры рекомендуем учитывать данные особенности и повысить контроль за указанными активами. Надеемся, эта аналитика будет полезна при определении приоритетов реализации тех или иных мер защиты. Stay safe!