Hedefli saldırılar, ilk olarak 2009'da dünya topluluğunda aktif tartışmaların konusu oldu. Sonra Stuxnet saldırısı hakkında bilgi sahibi oldu. Belki onunla başladığını söyleyebiliriz. yakın tarih hedefli siber saldırılar Bu tür siber suç nedir ve bu tür saldırıların nasıl ortaya çıkabileceği, materyalimizde daha ayrıntılı olarak.

Hedefli saldırılar nelerdir?

Hedefli (veya amaçlı) saldırılar, belirli bir devlete veya devlet dışı yapıya veya kuruluşa karşı önceden planlanmış eylemlerdir. Kural olarak, hedefli saldırılara karışan siber suçlular profesyonellerdir, sipariş üzerine araba çalan geleneksel saldırganlarla karşılaştırılabilirler: belirli bir hedefleri vardır, daha sonra başarılı bir şekilde atlamak için araba koruma araçlarını incelerler.

Bugün, bilgisayar korsanlarının etkinliği, geleneksel bir işletmenin giderek daha fazla özelliğini kazanıyor. Piyasada bir tür "kara borsa" var - bir şirketin BT altyapısına saldırmak için gerekli yazılım araçlarının uygulanması için gölge şemalar ve yerler. İnternette kolayca bulunabilen sabit oranlar vardır.

Halihazırda oluşturulmuş ürün gruplarını bile bulabilirsiniz: siber suçlu "şirketler" satış hunisini genişletiyor, farklı hedef segmentleri dikkate alarak çözümlerde bireysel değişiklikler hazırlıyor. Botnet fiyatları var, Truva atlarının yeni sürümleri aktif olarak duyuruluyor. Hatta bir hizmet olarak hedefli saldırı satın alabilirsiniz. Siber saldırganlar, aktif olarak duyurulan kendi geliştirme planlarını oluştururlar.

InfoWatch Ürün Geliştirme Müdürü Andrey Arefiev, duyurular kural olarak kapalı kaynaklarda verilir, diyor. – Ancak yine de modern botnet endüstrisinin tam teşekküllü ticari ürünlerin tüm özelliklerine sahip olduğunu söyleyebiliriz. Bağımsız araştırmalara göre, botnet oluşturmak için kullanılan yardımcı programların sayısı son yıllarda on kat arttı.

Ek olarak, saldırıların doğası son yıllarda önemli ölçüde değişti: çok karmaşık hale geldiler. Bugünün saldırıları daha da dallanıp budaklandı: saldıran taraf şirketin kendi altyapısına uyum sağlamaya ve saldırıyı mümkün olduğunca görünmez hale getirmeye çalışıyor. Saldırı ya mümkün olduğu kadar geç tespit edilmeli ya da hiç tespit edilmemelidir. Bu nedenle, kural olarak, bu tür saldırılar zaman içinde uzar ve yalnızca zaman aktif olarak tezahür etmeye geldiğinde fark edilir hale gelir.

BT altyapısına yönelik hedefli saldırılar aşağıdaki özelliklere sahiptir:

• Şirketin sahip olduğu koruma sistemini inceler ve atlarlar.
• Saldırıların doğası daha çok aşamalı hale geldi: sekreterin bilgisayarında başlayabilirler ve nihai hedef muhasebecinin bilgisayarı olacaktır - örneğin, saldırganların görevi oraya kötü amaçlı yazılım yüklemek olabilir.

Andrey Arefiev, bir ara sonuç olarak, şirketin BT altyapısına yönelik görünür bir saldırı belirtileri görmüyorsanız, bunun saldırıya uğramadığı anlamına gelmediğini belirtebiliriz, diye özetliyor Andrey Arefiev.

Hedefli saldırı örnekleri

Bir dizi açık kaynağa göre, bir Truva atı virüsü programının tanıtımı için “giriş noktası” genellikle sadakatsiz şirket çalışanlarının içeriden yaptığı faaliyetlerdir. Benzer bir örnek çok uzun zaman önce İran'da gözlemlenebilirdi.

Bu saldırının temel amacı İran nükleer programını kontrol altına almaktı. Bilindiği kadarıyla, egemen bir devlet kontrollü nükleer zenginleştirme santrifüjleri ve bir dizi tesis serbest olarak yerleştirildi. Santrifüjler hızla bozuldu, onarımları zaman ve para gerektiriyordu, bu nedenle uranyum zenginleştirme ertelendi. Bu saldırının önceden planlandığı, yürütüldüğü ve uzun süredir yürütüldüğü ortaya çıktı.

Saldırının amacı ekipman çalmak değil, endüstriyel tesisleri kontrol etmekti. Birisi bir nükleer santrali kontrol etmeye başlarsa neler olabileceğini hayal etmek korkunç: onu serbest moda aktarmak en az ikinci bir Çernobil'i tehdit ediyor...

Ancak saldırganların hedefi sadece stratejik değil önemli nesneler ve büyük devlet kurumları. Son zamanlarda, bir ticari organizasyonun sahibi bunu bizzat görme şansı buldu. İletişim güvenlik açıklarını kullanarak şirketin sunucusuna bulaşmaya çalıştılar - şirketin sahibi sadece muhasebecinin bilgisayarına saldırıldığı için şanslıydı.

Kötü amaçlı yazılım, almanızı sağlayan bir programdır. Yetkisiz Erişim ile kesin bilgi güvenlik açıkları aracılığıyla. Bu tür programlar genellikle kurumsal ağa birincil erişim elde etmek için kullanılır. Tipik olarak, sistem enjeksiyonu, sistem yeniden başlatıldığında verilere erişmeyi ifade eder. Bu durumda yürütülebilir modülün "kaydı", her seferinde yeniden başlatılmasıdır.

Kötü amaçlı yazılımlar, yalnızca şirketin kötü niyetli niyetinden dolayı değil, aynı zamanda bilgisayar korsanları tarafından kullanılan yöntemlerden dolayı bir şirket çalışanının bilgisayarına girebilir. sosyal mühendislik(örneğin, bir siber suçlu, kurbandan belirli bir bağlantıyı takip etmesini veya bir üçüncü taraf kaynağını ziyaret etmesini isteyebilir).

Sonuç olarak, kurban saldırıya açık hale gelir ve saldırganlar çalışanın iş bilgisayarının işletim sistemine erişim kazanır. Artık, daha sonra kuruluşun bilgisayarlarının kontrolünü ele geçirmek için kötü amaçlı dosyaları başlatabilirsiniz. Yukarıda listelenen eylemlere "sıfır gün saldırıları" denir.

En sık hangi veriler çalınır?

Büyük ölçüde şirketin profiline bağlıdır. Bilgisayar korsanlarının amacı endüstriyel sırlar ve kapalı bir planın stratejik gelişmeleri, ödeme ve kişisel veriler olabilir. İlginç bir şekilde, araştırmaya göre, ankete katılanların %63'ü şirketlerine yönelik hedefli bir saldırının an meselesi olduğunu anlıyor.

Hedefli saldırıları tespit etme yöntemleri:

imza analizi.

İmza analizi, analistlerin bir virüsten etkilenen bir dosyası olduğunu ima eder. Böyle kötü niyetli bir programın incelenmesi, imzasını (dijital parmak izi) kaldırmanıza izin verir. İmza veritabanına girildikten sonra, sadece imzaları karşılaştırarak dosyayı bu virüs bulaşmış olup olmadığını kontrol edebilirsiniz. İmza analizinin avantajı, bir saldırıyı doğru bir şekilde teşhis etmenize izin vermesidir. Eşleşen bir imzaya sahip bir dosya varsa, bilgisayarın etkilendiğini güvenle söyleyebiliriz.

İmza analizinin bir takım avantajları vardır:

• Yalnızca virüs taraması için değil, sistem trafiğini filtrelemek için de kullanılabilir.
• Ağ geçidinde "oturabilir" ve bazı doğrulanmamış imzaların varlığını kontrol edebilirsiniz.
• Saldırılara karşı büyük bir doğrulukla teşhis kompleksleri gerçekleştirmenizi sağlar.

İmza analizinin önemli bir dezavantajı, imza veritabanını güncelleme ihtiyacıdır. Çoğu şirket imza veritabanını her 15 dakikada bir güncellemek zorunda kalıyor. Aynı zamanda, dünyada her yarım saatte bir görünür yeni virüs. Daha sonra kayıt ve çalışma uzun bir süreç var ve ancak bundan sonra imza veri tabanına giriliyor. Bu noktaya kadar her zaman şirket yeni bir virüse karşı savunmasızdır.

Önceden tanımlanmış kötü amaçlı yazılımları incelemenin başka bir yöntemi, buluşsal analiz.

Sezgisel analizin işlevi, virüslerin etkinliği için tipik olan şüpheli etkinliğin varlığı için yürütülebilir kodu kontrol etmektir. Bu teknik iyidir çünkü herhangi bir veri tabanının uygunluğuna bağlı değildir. Bununla birlikte, buluşsal analizin dezavantajları da vardır.

Tüm büyük antivirüslerin herkes tarafından bilinmesi ve herkesin kullanımına açık olması nedeniyle, bilgisayar korsanları yazılı yazılımı test edebilir ve bilinen tüm araçları atlayana kadar değiştirebilir. antivirüs koruması. Böylece, ana sezgisel algoritmaların etkinliği sıfıra indirilir.

Hedefli saldırıları tespit etmenin başka bir yöntemi, geleneksel yeteneklere ek olarak trafiği filtrelemenize de izin veren yeni nesil güvenlik duvarlarının kullanımını içerir. Güvenlik duvarlarının ana dezavantajı, aşırı "şüpheli olmalarıdır", çok sayıda yanlış pozitif üretirler. Ayrıca, güvenlik duvarları kandırılabilecek teknolojiler kullanır (korumalı alan, buluşsal analiz ve imza analizi).

Uygulamaları çalıştırmak için kullanılan başka bir güvenlik yöntemi de vardır. Fikri çok basit: istasyon sadece bireysel uygulamaları çalıştırabilir (buna WhiteListening denir). Dezavantajı, böyle bir "beyaz listenin" istisnasız olarak kullanıcının ihtiyaç duyabileceği tüm uygulamaları içermesi gerektiğidir. Uygulamada, bu yöntem elbette oldukça güvenilirdir, ancak iş akışlarını yavaşlattığı için çok elverişsizdir.

Andrey Arefiev, son olarak InfoWatch Targeted Attack Detector ürününde kullanılan dinamik saldırı tespiti için yeni geliştirilmiş bir teknoloji olduğunu söylüyor. - Bu teknoloji davetsiz misafirlerin eylemlerinin kaçınılmaz olarak kurumsal BT sistemlerinin değiştirilmesine yol açtığı gerçeğine dayanmaktadır. Bu nedenle InfoWatch çözümü, kritik nesnelerin durumu hakkında bilgi toplayarak kuruluşun BT sistemini periyodik olarak tarar. Elde edilen veriler geçmiş taramaların sonuçlarıyla karşılaştırılır, ardından anormalliklerin varlığı için meydana gelen değişikliklerin entelektüel bir analizi yapılır. Bilinmeyen kötü amaçlı yazılım tespit edildiğinde, bir şirket analisti, eylemlerinin ve kurumsal altyapıya olası zararın analizine dahil olur.

- Bir saldırıyı hangi aşamada hedeflenmiş olarak sınıflandırmak mümkündür?

Aslında, anormallik tespiti, sisteminizde sorun olduğunun birincil işaretidir, şirketin saldırı altında olduğunun dolaylı bir işaretidir. Aynı zamanda, saldırının Kızıl Ekim düzeyinde bir virüs içermesi gerekmiyor. Yeter, uygulamanın gösterdiği gibi, küçük bir Truva atı, periyodik olarak daha fazla iletilir. Prensipte bu, belirli siber saldırganlara para getirmek için yeterlidir.

Genel olarak, hedefli saldırıların insanları etkilemek için güçlü bir araç olduğunu belirtmek isterim. şirket politikası büyük hükümet ve ticari kuruluşlar. Bu nedenle bu tür siber suçlarla sistematik ve dikkatli bir şekilde mücadele etmek gerekiyor.

Elena Kharlamova

"Hedefli" saldırının ne olduğunu bilmeyenler için bir podcast rica ediyorum :)

hedefli saldırı - bu, saldırıya uğrayan sistemin altyapısında gerçek zamanlı olarak uzaktan manuel olarak kontrol edilen sürekli bir yetkisiz etkinlik sürecidir.

Bu tanıma dayanarak, aşağıdaki noktalara dikkatinizi çekiyorum:
1) İlk olarak, süreç tam olarak budur - aktivite zamanla, bazı operasyon, ve sadece bir kerelik teknik bir eylem değil.
2) İkinci olarak, süreç belirli bir altyapıda çalışmak üzere tasarlanmıştır, belirli güvenlik mekanizmalarının, belirli ürünlerin üstesinden gelmek ve belirli çalışanları etkileşime dahil etmek için tasarlanmıştır.

Yaklaşımda önemli bir fark var toplu postalar standart kötü amaçlı yazılım, saldırganlar tamamen farklı hedefler peşinde koştuklarında, aslında ayrı bir uç nokta üzerinde kontrol sahibi olurlar. Hedefli bir saldırı durumunda, kurbanın altına inşa edilir.

Aşağıdaki şekil, hedefli bir saldırının dört aşamasını göstermekte ve bunu göstermektedir. yaşam döngüsü. Her birinin ana amacını kısaca formüle edelim:

1. Eğitim. İlk aşamanın ana görevi, bir hedef bulmak, altyapıdaki zayıflıkları tespit etmek için bu hedef hakkında yeterince ayrıntılı özel bilgi toplamaktır. Bir saldırı stratejisi oluşturun, karaborsada önceden oluşturulmuş araçları toplayın veya gerekli olanları kendiniz geliştirin. Tipik olarak, standart bilgi güvenliği araçları tarafından algılanmaması da dahil olmak üzere planlı sızma adımları kapsamlı bir şekilde test edilecektir.
2. Penetrasyon -çeşitli sosyal mühendislik tekniklerini ve sıfırıncı gün güvenlik açıklarını kullanan hedefli bir saldırının aktif aşaması, başlangıçta hedefi enfekte eder ve dahili keşif yapar. Keşif sonunda ve virüslü ana bilgisayarın (sunucu/iş istasyonu) sahipliğini belirledikten sonra, bir saldırganın emrinde, ek bir zararlı kod.
3. Yayma- altyapının içinde, özellikle kurbanın anahtar makinelerinde sabitleme aşaması. Kontrolünüzü mümkün olduğunca genişletmek, gerekirse kontrol merkezleri aracılığıyla kötü amaçlı kod sürümlerini düzeltmek.
4. Hedef Başarı- hedefli saldırının kilit aşaması.

Bazı bilgisayar saldırılarını araştırmak için, bilgisayar saldırılarının bir bilgi ve telekomünikasyon ağının unsurları üzerindeki etkisini incelemek için sanal bir stant geliştirildi.

Bu stant (çokgen) şunlardan oluşur:

1. bilgi ve telekomünikasyon ağının açık bölümünün modelleri;

2. bilgi ve telekomünikasyon ağının kapalı bölümünün modelleri.

Simüle edilmiş ağ birçok bileşenden oluşur.

Açık segmentte, ana bilgisayarlar (PC1–PC7), Cisco 3745 (c3745) yönlendiricileri kullanılarak tek bir ağa bağlanır. Bireysel alt bölümlerde, ana bilgisayarlar bir anahtar (SW1) kullanılarak veri iletimi için ağa bağlanır. Bu şemada, anahtar (anahtar), yönlendiriciden gelen pakette bulunan bilgilere dayanarak yalnızca bir bağlantı noktasından diğerine veri aktarır.

Kapalı bir ağ segmentinde, kripto yönlendiriciler, kapalı bir ağ segmentinden açık olana gidecek veri paketlerini şifrelemek için kullanılır. Saldırgan, bu ağın iletilen verilerinin paketlerini ele geçirmeyi başarırsa, bu verilerden yararlı bilgiler çıkaramaz.

Saldırı nesnesi olarak bilgi ve telekomünikasyon ağının bir parçası olan Windows XP seçildi. Bu sistem, "Gerçek ağ Çıkışı" bulutuna ip-adresi: 192.168.8.101 ile bağlanır.

Tamam, araştırmaya başlayalım. yerel ağ sonraki kullanım için bir bilgisayar ağının öğelerini belirlemek için. Netdiscovery'yi kullanalım.

Saldırıya uğrayan ağın olası güvenlik açıklarını bulmak için, Nmap ("NetworkMapper") ağ araştırma ve güvenlik yardımcı programını kullanarak bu ağı tarayalım.

Tarama sırasında, sistemin açık portlar, olası güvenlik açıklarını temsil eder.
Örneğin, 445/TCPMICROSOFT-DS - Microsoft Windows 2000 ve sonraki sürümler NetBIOS kullanmadan doğrudan TCP/IP erişimi için (örneğin, Aktif Dizin). Bu portu sisteme erişmek için kullanacağız.

Şimdi Metasploit kullanarak bir ağ saldırısı gerçekleştiriyoruz. Bu araç, ayrıntılı bir raporla bir ağ saldırısını simüle etmenize ve sistem güvenlik açıklarını belirlemenize, IDS / IPS'nin etkinliğini kontrol etmenize veya yeni açıklar geliştirmenize olanak tanır.

İstismar çalışacaktır, ancak istismar çalıştıktan sonra ne olacağını belirtmelisiniz. Bunu yapmak için kabuk kodunu açacağız, bunu bir bilgisayar sistemindeki bir komut kabuğuna erişim sağlayan bir exploit yükü olarak kullanacağız.

LHOST'ta saldırının gerçekleştirileceği sistemin IP adresini belirtiyoruz.

Her yıl kuruluşlar iş araçlarını geliştirerek yeni çözümler sunarken aynı zamanda BT altyapısını da karmaşık hale getiriyor. Artık, bir şirkette bir posta sunucusunun asılı kaldığı, önemli bilgilerin uç iş istasyonlarından silindiği veya otomatik bir faturalandırma sisteminin işleyişinin bozulduğu bir durumda, iş süreçleri basitçe durur.

Bünyamin
Levtsov

Başkan Yardımcısı, Kurumsal Bölüm Başkanı, Kaspersky Lab

Nicholas
Demidov

Kaspersky Lab'de bilgi güvenliği için teknik danışman

Otomatik sistemlere artan bağımlılığın farkına varan işletmeler, bilgi güvenliğini sağlama konusunda da giderek daha fazla özen göstermeye hazır. Ayrıca, bir IS sistemi oluşturmanın yolu, bu belirli organizasyondaki duruma - meydana gelen olaylara, belirli çalışanların inançlarına - bağlıdır ve genellikle bireysel IS alt sistemlerinden genel resme kadar "aşağıdan" oluşturulur. Sonuç olarak, bilgi güvenliği uzmanlarının şunları yapabileceği, kural olarak karmaşık, her şirket için benzersiz, çeşitli ürün ve hizmetlerden oluşan, çok aşamalı, türünün tek örneği bir sistem oluşturulur:

• uç nokta güvenlik sistemlerini kullanarak dosyaları tarayın;
• ağ geçidi çözümlerini kullanarak posta ve web trafiğini filtreleyin;
• dosyaların bütünlüğünü ve değişmezliğini izlemek ve sistem ayarları;
• kullanıcı davranışını izlemek ve normal trafik düzeninden sapmalara yanıt vermek;
• güvenlik açıkları ve zayıf yapılandırmalar için çevreyi ve dahili ağı tarayın;
• tanımlama ve kimlik doğrulama sistemlerini uygulamak, sürücüleri şifrelemek ve ağ bağlantıları;
• yukarıda belirtilen alt sistemlerden günlükleri ve olayları toplamak ve ilişkilendirmek için SOC'ye yatırım yapın;
• güvenlik düzeyini değerlendirmek için sızma testleri ve diğer hizmetleri sipariş etmek;
• sistemi standartların gerekliliklerine uygun hale getirmek ve belgelendirme yapmak;
• personele bilgisayar hijyeninin temellerini öğretin ve sonsuz sayıda benzer sorunu çözün.

Ancak tüm bunlara rağmen başarılı olanların sayısı, yani. hedeflerine ulaşan BT altyapılarına yönelik saldırılar azalmaz, ancak onlardan gelen hasar büyür. Saldırganlar, kural olarak bileşimleri ve yapıları bakımından benzersiz olan karmaşık güvenlik sistemlerinin üstesinden gelmeyi nasıl başarır?

Hedefli saldırı kavramı

Hedefli veya hedefli saldırı kavramını doğru bir şekilde yansıtan bir tanım vermenin zamanı geldi. Hedefli saldırı, saldırıya uğrayan sistemin altyapısında gerçek zamanlı olarak manuel olarak uzaktan kontrol edilen sürekli bir yetkisiz etkinlik sürecidir.

İlk olarak, bu tam olarak bir süreçtir - sadece bir kerelik teknik bir eylem değil, zaman içinde bir faaliyet, belirli bir işlem.

İkinci olarak süreç, belirli güvenlik mekanizmalarının, belirli ürünlerin üstesinden gelmek ve belirli çalışanları etkileşime dahil etmek için tasarlanmış belirli bir altyapıda çalışmayı amaçlar. Saldırganlar tamamen farklı hedefler peşinde koşarken - aslında, ayrı bir uç nokta üzerinde kontrol elde ederken, standart kötü amaçlı yazılımların toplu postalanması yaklaşımında önemli bir fark olduğuna dikkat edilmelidir. Hedefli bir saldırı durumunda, kurban için inşa edilmiştir.

Üçüncüsü, bu operasyon genellikle, sofistike teknik araçlarla donanmış, esasen bir çete olan, bazen uluslararası, organize bir profesyoneller grubu tarafından yönetilir. Faaliyetleri gerçekten de çok geçişli bir askeri operasyona çok benziyor. Örneğin, saldırganlar potansiyel olarak şirkete "giriş kapısı" olabilecek çalışanların bir listesini derler, onlarla sosyal ağlarda iletişim kurar ve profillerini inceler. Bundan sonra, kurbanın çalışan bilgisayarı üzerinde kontrol sağlama görevi çözülür. Sonuç olarak, bilgisayarına virüs bulaşır ve saldırganlar ağın kontrolünü ele geçirmeye ve doğrudan suç faaliyetlerine katılmaya devam eder.

Hedefli saldırı durumunda, bilgisayar sistemleri birbirleriyle savaşın ve insanlar - bazıları saldırı, diğerleri - iyi hazırlanmış bir saldırıyı göz önünde bulundurarak geri püskürtün zayıf taraflar ve karşı önlem sistemlerinin özellikleri.

Şu anda APT - Gelişmiş Kalıcı Tehdit terimi daha yaygın hale geliyor. Tanımına bir göz atalım. APT, yardımcı programlar, kötü amaçlı yazılımlar, sıfırıncı gün açıkları ve bu saldırıyı uygulamak için özel olarak tasarlanmış diğer bileşenlerin bir birleşimidir. Uygulama, APT'lerin gelecekte benzer bir vektörle diğer kuruluşlara karşı tekrarlanan saldırılar gerçekleştirmek için tekrar tekrar ve tekrar tekrar kullanıldığını göstermektedir. Hedefli veya hedefli saldırı bir süreçtir, bir faaliyettir. APT, bir saldırı gerçekleştirmenizi sağlayan teknik bir araçtır.

Hedefli saldırıların aktif olarak yayılmasının, diğer şeylerin yanı sıra, saldırının kendisinin uygulanmasında maliyet ve işçilik maliyetlerinde güçlü bir azalmaya bağlı olduğunu güvenle söyleyebiliriz. Hacker grupları için önceden geliştirilmiş çok sayıda araç mevcuttur, bazen sıfırdan egzotik kötü amaçlı yazılım oluşturmaya acil bir ihtiyaç yoktur. Modern hedefli saldırılar çoğunlukla önceden oluşturulmuş açıklardan yararlanmalar ve kötü amaçlı yazılımlar üzerine kuruludur, yalnızca küçük bir kısmı esas olarak APT sınıfı tehditlerle ilgili tamamen yeni teknikler kullanır. Bazen "barışçıl" amaçlar için oluşturulan tamamen yasal araçlar da saldırının bir parçası olarak kullanılıyor - bu konuya aşağıda döneceğiz.

Hedefli saldırının aşamaları

Bu materyalde, hedefli bir saldırının ana aşamaları açıklanacak, genel modelin iskeleti ve kullanılan penetrasyon yöntemlerindeki farklılıklar gösterilecektir. Uzman topluluğu, hedefli bir saldırının, kural olarak, gelişiminde 4 aşamadan geçtiğine dair bir fikre sahiptir (Şekil 1).

Şek. 1, yaşam döngüsünü gösteren, hedefli bir saldırının 4 aşamasını gösterir. Her birinin ana amacını kısaca formüle edelim:

1. Hazırlık - ilk aşamanın ana görevi, hedefi bulmak, bununla ilgili yeterli ayrıntılı özel bilgi toplamak ve buna dayanarak altyapıdaki zayıflıkları belirlemektir. Bir saldırı stratejisi oluşturun, karaborsada önceden oluşturulmuş araçları toplayın veya gerekli olanları kendiniz geliştirin. Tipik olarak, standart bilgi güvenliği araçları tarafından algılanmaması da dahil olmak üzere planlı sızma adımları kapsamlı bir şekilde test edilecektir.

2. Penetrasyon - başlangıçta hedefi enfekte etmek ve dahili keşif yapmak için çeşitli sosyal mühendislik teknikleri ve sıfır gün güvenlik açıklarını kullanan hedefli bir saldırının aktif aşaması. Keşif tamamlandıktan ve virüslü ana bilgisayarın (sunucu/iş istasyonu) mülkiyeti belirlendikten sonra, saldırganın komutuyla kontrol merkezi aracılığıyla ek kötü amaçlı kod indirilebilir.

3. Dağıtım - altyapı içinde, özellikle kurbanın anahtar makinelerinde sabitleme aşaması. Kontrolünüzü mümkün olduğunca genişletmek, gerekirse kontrol merkezleri aracılığıyla kötü amaçlı kod sürümlerini düzeltmek.

4. Hedefe ulaşmak, hedeflenen bir saldırının kilit aşamasıdır, seçilen stratejiye bağlı olarak şunları kullanabilir:

• gizli bilgilerin çalınması;
• gizli bilgilerin kasıtlı olarak değiştirilmesi;
• şirketin iş süreçlerinin manipülasyonu.

Tüm aşamalarda, hedefli bir saldırının faaliyetinin izlerini gizlemek için zorunlu bir koşul karşılanır. Bir saldırı sona erdiğinde, siber suçlular sıklıkla kendileri için bir "Dönüş Noktası" oluşturarak gelecekte geri dönmelerine olanak tanır.

Hedefli Saldırı Aşama 1 - Hazırlık

Hedef tanımlama

Başarılı sayısı, yani hedeflerine ulaşan BT altyapılarına yönelik saldırılar azalmaz, ancak onlardan gelen hasar büyür. Saldırganlar, kural olarak bileşimleri ve yapıları bakımından benzersiz olan karmaşık güvenlik sistemlerinin üstesinden gelmeyi nasıl başarır?
Cevap oldukça kısa: hedef sistemin özelliklerini dikkate alan karmaşık saldırılar hazırlayarak ve gerçekleştirerek.

Herhangi bir kuruluş bir saldırının hedefi olabilir. Ve her şey bir emirle veya genel istihbaratla veya daha doğrusu izlemeyle başlar. Küresel iş ortamının sürekli izlenmesi sırasında, hacker grupları RSS beslemeleri, şirketlerin resmi Twitter hesapları, çeşitli çalışanların bilgi alışverişinde bulunduğu özel forumlar gibi halka açık araçları kullanır. Bütün bunlar, saldırının kurbanını ve hedeflerini belirlemeye yardımcı olur, ardından grubun kaynakları aktif keşif aşamasına geçer.

bilgi toplama

Açık nedenlerden dolayı, hiçbir şirket ne hakkında bilgi vermez? teknik araçlar bilgilerin korunması dahil olmak üzere, iç düzenlemeler vb. kullanır. Bu nedenle mağdur hakkında bilgi toplama işlemine keşif denir. İstihbaratın ana görevi, mağdur hakkında hedeflenen özel bilgileri toplamaktır. Burada, potansiyel zayıflıkları belirlemeye yardımcı olacak tüm küçük şeyler önemlidir. En önemsiz olmayan yaklaşımlar, örneğin sosyal mühendislik gibi kapalı birincil verileri elde etmek için çalışmada kullanılabilir. Uygulamada kullanılan birkaç sosyal mühendislik tekniğini ve diğer istihbarat mekanizmalarını sunacağız.

Keşif yöntemleri:

1. İçeride.

Hedefli saldırı, saldırıya uğrayan sistemin altyapısında gerçek zamanlı olarak uzaktan manuel olarak kontrol edilen sürekli bir yetkisiz etkinlik sürecidir.

Şirketin yakın zamanda işten çıkarılan çalışanları için arama ile ilgili bir yaklaşım var. Şirketin eski bir çalışanı, çok cazip bir pozisyon için düzenli bir görüşmeye davet edilir. Deneyimli bir işe alım psikoloğunun, bir pozisyon için rekabet eden hemen hemen her çalışanla konuşabileceğini biliyoruz. Bu tür insanlardan, bir saldırı vektörü hazırlamak ve seçmek için yeterince büyük miktarda bilgi elde edilir: ağ topolojisinden ve diğer çalışanların özel yaşamları hakkında bilgi için kullanılan koruma araçlarından.

Siber suçlular, halka açık yerlerde dostane iletişim yoluyla bilgi sahibi olan veya güven çemberine girenlerin şirketlerinde ihtiyaç duydukları kişilere rüşvet vermeye başvururlar.

2. Açık kaynaklar.

Bu örnekte, bilgisayar korsanları, uygun şekilde imha edilmeden çöp kutusuna atılan kağıt medyaya karşı şirketlerin vicdansız tutumunu kullanır; raporlar ve dahili bilgiler çöpler arasında veya örneğin, çalışanların gerçek adlarını içeren şirket web sitelerinde bulunabilir. Kamu erişim. Elde edilen veriler diğer sosyal mühendislik teknikleri ile birleştirilebilir.

Hedefli bir saldırı durumunda, birbirleriyle savaşan bilgisayar sistemleri değil, insanlardır: bazı saldırılar, diğerleri karşı önlem sistemlerinin zayıflıkları ve özellikleri dikkate alınarak iyi hazırlanmış bir saldırıyı püskürtür.

Bu çalışmanın bir sonucu olarak, saldırının organizatörleri, aşağıdakiler de dahil olmak üzere, kurban hakkında oldukça eksiksiz bilgilere sahip olabilir:

• çalışanların isimleri, e-posta, telefon;
• şirketin bölümlerinin çalışma programı;
• şirketteki süreçler hakkında dahili bilgiler;
• iş ortakları hakkında bilgi.

Devlet tedarik portalları, bilgi güvenliği sistemleri de dahil olmak üzere müşteri tarafından uygulanan çözümler hakkında iyi bir bilgi kaynağıdır.

İlk bakışta, bu örnek önemsiz görünebilir, ama aslında öyle değil. Yukarıdaki bilgiler, sosyal mühendislik yöntemlerinde başarıyla kullanılır ve bir bilgisayar korsanının alınan bilgileri kullanarak kolayca güven kazanmasını sağlar.

3. Sosyal mühendislik.

• Dahili çalışanlar adına telefon görüşmeleri.
• Sosyal ağlar.

Sosyal mühendisliği kullanarak, gizli şirket bilgilerini elde etmede önemli bir başarı elde edebilirsiniz: örneğin, bir telefon görüşmesi durumunda, bir saldırgan bir bilgi hizmeti çalışanı adına kendini tanıtabilir, doğru soruları sorabilir veya sizden aşağıdakileri gerçekleştirmenizi isteyebilir. bir bilgisayarda doğru komut. Sosyal ağlar, arkadaş çevresini ve doğru kişinin ilgi alanlarını belirlemede iyidir; bu tür bilgiler, siber suçluların gelecekteki bir kurbanla iletişim kurmak için doğru stratejiyi geliştirmelerine yardımcı olabilir.

Strateji Geliştirme

Başarılı bir hedefli saldırının uygulanmasında strateji zorunludur, saldırının tüm aşamalarında tüm eylem planını dikkate alır:

• saldırı aşamalarının tanımı: nüfuz etme, geliştirme, hedeflere ulaşma;
• sosyal mühendislik yöntemleri, kullanılan güvenlik açıkları, standart güvenlik araçlarını atlayarak;
• olası acil durumları dikkate alarak saldırı geliştirme aşamaları;
• içeride konsolidasyon, ayrıcalık yükseltme, temel kaynaklar üzerinde kontrol;
• verilerin çıkarılması, izlerin kaldırılması, yıkıcı eylemler.

Stand oluşturma

Toplanan bilgilere dayanarak, bir grup saldırgan, kullanılan yazılımın aynı sürümleriyle bir stant oluşturmaya devam eder. Halihazırda çalışan bir model üzerinde penetrasyon aşamalarını test etmeyi mümkün kılan bir test sitesi. Çeşitli gizli uygulama teknikleri ve standart bilgi güvenliği araçlarının atlatılması için çalışmak. Özünde, stand, mağdurun altyapısına sızmanın pasif ve aktif aşamaları arasında ana köprü görevi görür. Böyle bir standın oluşturulmasının bilgisayar korsanları için ucuz olmadığını belirtmek önemlidir. Başarılı bir hedefli saldırı gerçekleştirmenin maliyeti her aşamada artar.

Bir takım araçların geliştirilmesi

Siber suçlular zor bir seçimle karşı karşıya: gölge piyasada hazır araçları satın almanın finansal maliyetleri ile işgücü maliyetleri ve kendi araçlarını oluşturma zamanı arasında karar vermeleri önemlidir. Gölge piyasası, benzersiz durumlar dışında, zamanı önemli ölçüde azaltan oldukça geniş bir farklı enstrüman yelpazesi sunar. Bu, hedefli saldırının siber saldırılar arasında en yoğun kaynak gerektiren saldırılardan biri olduğunu önemli ölçüde vurgulayan ikinci adımdır.

Bir araç setine ayrıntılı olarak bakalım: Araç Seti tipik olarak üç ana bileşenden oluşur:

1. Komuta Merkezi veya Komuta ve Kontrol Merkezi (C&C).

Saldırganların altyapısı, komutların, çalışmalarının sonuçlarını topladıkları kontrollü kötü amaçlı modüllere iletilmesini sağlayan C&C komuta ve kontrol merkezlerine dayanmaktadır. Saldırının merkezi, saldırıyı gerçekleştiren kişilerdir. Çoğu zaman, merkezler, barındırma, ortak yerleşim ve kiralama hizmetleri sağlayan sağlayıcılarla İnternet'te bulunur. Sanal makineler. Güncelleme algoritması, "hosts" ile etkileşime yönelik tüm algoritmalar gibi, kötü amaçlı modüllerle birlikte dinamik olarak değişebilir.

2. Penetrasyon araçları, problem çözme saldırıya uğrayan uzak ana bilgisayarın "kapısını açma":

• exploit (Exploit) - yazılımdaki güvenlik açıklarını kullanan kötü amaçlı kod;
• doğrulayıcı - birincil bulaşma durumlarında kullanılan, ana bilgisayar hakkında bilgi toplayabilen, bir saldırının geliştirilmesi veya belirli bir makinede tamamen iptal edilmesi konusunda daha fazla karar vermek için bunu C&C'ye aktarabilen kötü amaçlı bir kod;
• İndirici - Damlalık teslimat modülü; yükleyici, e-posta iletilerinde ek olarak gönderilen sosyal mühendislik yöntemlerine dayalı saldırılarda oldukça sık kullanılır;
• Dropper dağıtım modülü, görevi ana Payload virüsünü kurbanın virüslü makinesine teslim etmek olan kötü amaçlı bir programdır (genellikle bir Truva atı).
  • virüslü makinenin içinde düzeltme, gizli otomatik yükleme, makineyi yeniden başlattıktan sonra işlemleri enjekte etme;
  • Payload virüsünü şifreli bir kanal üzerinden indirmek ve etkinleştirmek için meşru bir sürece enjekte edin veya Payload virüsünün şifreli bir kopyasını diskten çıkarın ve çalıştırın.

Kod yürütme, sistem haklarıyla enjekte edilmiş meşru bir süreçte gerçekleşir, bu tür etkinliklerin standart güvenlik araçları tarafından tespit edilmesi son derece zordur.

3. Yük virüs gövdesi. Dropper tarafından virüslü bir ana bilgisayara yüklenen, hedefli bir saldırıdaki ana kötü amaçlı modül, birkaç işlevsel eklentiden oluşabilir. her biri işlevini yerine getirecek modüller:

APT (Gelişmiş Kalıcı Tehdit), yardımcı programlar, kötü amaçlı yazılımlar, sıfır gün açıklarından yararlanmalar ve bu saldırıyı uygulamak için özel olarak tasarlanmış diğer bileşenlerin bir birleşimidir.

• klavye casusu;
• ekran kaydı;
• uzaktan erişim;
• altyapı içinde dağıtım modülü;
• C&C ve güncelleme ile etkileşim;
• şifreleme;
• aktivite izlerini temizleme, kendi kendini imha etme;
• okuma yerel posta;
• diskte bilgi aranıyor.

Gördüğümüz gibi, dikkate alınan araç setinin potansiyeli etkileyici ve kullanılan modüllerin ve tekniklerin işlevselliği, hedeflenen saldırının planlarına bağlı olarak büyük ölçüde değişebilir. Bu gerçek, bu tür saldırıların benzersizliğini vurgular.

Özetleme

Çeşitli pazar sektörlerindeki şirketlere yönelik hedefli saldırıların büyümesini (diğer riskler Şekil 2'de gösterilmektedir), tespitlerinin yüksek karmaşıklığını ve eylemlerinden kaynaklanan ve bir süre sonra tespit edilmesi garanti edilemeyen muazzam zararı not etmek önemlidir. uzun zaman. Ortalama olarak, hedefli bir saldırı, aktif hale geldikten 200 gün sonra tespit edilir 1 , bu, bilgisayar korsanlarının yalnızca hedeflerine ulaşmakla kalmayıp, yarım yıldan fazla bir süredir kontrol altında oldukları anlamına gelir. Ayrıca, altyapılarında APT'nin varlığını tespit eden kuruluşlar, uygun şekilde yanıt veremez ve riskleri en aza indiremez ve faaliyetleri etkisiz hale getiremez: bilgi güvenliğinden sorumlu personel bunu eğitmez. Sonuç olarak, her üç şirketten biri, kendi altyapısının kontrolünü yeniden kazanmak amacıyla faaliyetlerini bir haftadan fazla askıya alıyor ve ardından karmaşık bir olay inceleme süreciyle karşı karşıya kalıyor.

Büyük bir olaydan kaynaklanan kayıplar, kaybedilen iş fırsatları ve sistem arıza süreleri ve ayrıca profesyonel iyileştirme hizmetlerinin maliyeti de dahil olmak üzere, bir şirket için dünya genelinde ortalama 551.000 ABD Doları'dır.

Saldırının nasıl geliştiği, standart koruma araçlarını atlama ve sıfır gün tehditlerinden yararlanma yöntemleri, sosyal mühendislik, önemli bilgiler çalındığında izleri yayma ve gizleme ve çok daha fazlası hakkında - Anatomy of a Targeted Attack serisindeki aşağıdaki makalelerde.

___________________________________________
1 Kaspersky Lab istatistiklerine dayanmaktadır.
2 Çalışma verileri " Bilgi Güvenliği 2015 yılında Kaspersky Lab ve B2B International tarafından yürütülmüştür. Çalışmaya Rusya dahil 26 ülkeden 5.500'den fazla BT uzmanı katıldı.

Kötü amaçlı programlar, spam göndermek için bir botnet düzenlemeyi veya aşırı durumlarda yetkisiz bir işlem gerçekleştirmek için bir kullanıcının İnternet bankacılığı şifresini çalmayı amaçlayan küçük yaramazlık yapmak için bir araç olmaktan çoktan çıktı. Şirketler için yaygın virüsler, büyük riskler olmaksızın "küçük sabotaj" olarak görülebilir. Buna karşılık, saldırganlar için bu kazanç yöntemi özellikle ilgi çekici değildir, çünkü. Bir suçlunun bir saldırıdan faydalanmasına izin vermeyen birçok koruma mevcuttur (anti-virüs araçları, gelişmiş mali kontrol önlemlerine sahip uygulamalar vb.).

Son, araçları haklı çıkarır
Niccolo Machiavelli

Toplam bilişim ve teknolojik ilerleme çağında, e-ticaret sistemlerinde milyarlarca dolar depolanırken, bu fonları çalmak istemeyen yüksek nitelikli suçluların olmadığını varsaymak saflık olur. Bugün, orta ve büyük ölçekli şirketlerin altyapılarına yönelik hedefli saldırılar kullanma konusunda açıkça tanımlanmış ve büyüyen bir eğilim var.

Hedefli (hedefli) saldırılar (APT, Gelişmiş Kalıcı Tehditler) belirli nesnelere veya sektörlere yönelik saldırılardır (kötü amaçlı yazılımlar). Başvurdukları şirketin özelliklerini veya şirketin faaliyet alanını bir bütün olarak dikkate alırlar.

Bu tür tüm saldırılar bir dizi özellik içerir:

Endüstri odağı (virüs/saldırı belirli bir endüstride kullanılıyor, bir başkası için alakasız olacak);

"Önemli olmayan" programlama kodu. Daha önce de belirtildiği gibi, yüksek nitelikli uzmanlar özel virüsler yazmakla ilgilenmektedir. Yazarken, işe yarayabilecek nüansların çoğunu dikkate alırlar. standart araçlar koruma. Bu nedenle, örneğin, imza tabanlı virüsten koruma araçları, büyük olasılıkla bu tür program kodunu kötü amaçlı olarak algılayamaz. Bu nedenle bir saldırgan uzun süre sistemlerde fark edilmeden kalabilir ve saldırıyı başarıyla tamamlamak için gerekli istatistikleri toplayabilir.

Genellikle saldırganlar, hedeflenen tehditleri uygulamak için sıfır gün açıklarından yararlanır.

0 gün- yama uygulanmamış güvenlik açıklarının yanı sıra henüz koruma mekanizmalarının geliştirilmediği kötü amaçlı programları ifade eden bir terim.

İstismarın ana görevi, fark edilmeden şirket çevresine girmek, mümkünse virüsten koruma aracını ortadan kaldırarak bir dayanak kazanmak ve saldırganın tüm ekipmanını rahat ve "verimli" bir çalışma için yukarı çekmektir.

2013-2014 istatistiklerinin gösterdiği gibi, bu yönde saldırganlar büyük zaferler elde etti. Önce Zeus, sonra da hem Rusya'da hem de dünyada Carberp gerçek bir bela oldu. Yıl boyunca sadece bu iki virüs ailesini kullanan hırsızlık miktarı birkaç milyar doları buldu. Rusya'da finans sektöründeki bir şirkete başarılı bir şekilde uygulanan ortalama saldırı, 30 milyon ruble.

Bu tür şüpheli etkinlik son yıllar ağa sızan çok "yüksek kaliteli" kötü amaçlı yazılım kaynağı hakkında bir hikaye ile ilişkili.

“Tanınmış bankacılık Truva atı Carberp'in kaynakları halka sızdırıldı. 1.88 GB'lık RAR arşivindeki Carberp kaynak kodları artık Google tarafından kolayca bulunabiliyor. Paketten çıkarıldığında, proje ayrıntılı bir liste ile yaklaşık 5 GB dosya içerir. Açıkçası, şimdi yeni başlayanlardan ve devam eden virüs yazarlarından yeni bir yaratıcılık dalgası bekleyebiliriz. Hatta biri şaka yaptı: “Zeus sızıntısı bedava bir makine gibiydi. Carberp sızıntısı zaten bedava bir roketatar”…”, IS uzmanı, Hacker dergisinin yazarı Denis Mirkov

"Peki şimdi ne yapmalı?!" - Herhangi bir güvenlik görevlisinin boğazına istemeden yuvarlanan bir soru. Bu, Emanuel Lasker'in 1899'da söylediği bir sözü hatırlatıyor: "Daha akıllı olmanın tek yolu daha güçlü bir rakiple oynamaktır." Teknolojiler ve geliştiriciler durmuyor, bir talep varsa, değerli bir teklif olacaktır. Sıfır gün tehditlerini tespit etmedeki temel sorun, kodu analiz ederken tanıdık imzaların bulunamamasıdır. Ancak bu, herhangi bir dosyanın davranışının izlenemeyeceği, "kara kutu" yöntemi kullanılarak test edilemeyeceği ve uygun sonuçların çıkarılamayacağı anlamına gelmez!

Kum havuzundaki davranış analizi, açık ara en çok etkili yol sıfır gün tehditlerinin ve hedefli saldırıların analizi ve tespiti. Çeşitli üreticiler, ürünlerinin en verimli ve doğru olduğunu iddia ederek kendi çözümlerini sunar. Ancak, durum böyle değil, bu tür çözümlerin ana sorunu, güvenlik hizmetinin tüm çalışmasını geçersiz kılabilecek yanlış alarmlardır (yanlış pozitif). Seçilen çözüm yalnızca ciddi tehditlere karşı duyarlı olmalıdır. Böyle bir konsepti uygulamak, karmaşık algoritmalara aktarılması ve nihai üründe uygulanması gereken profesyonellik ve deneyimdir.

29.03.2013, Cum, 13:03, Moskova saati

Gelişmiş kalıcı tehditlerde (kısaltılmış APT) kullanılan kötü amaçlı programlar sürekli olarak geliştirilmektedir. Artık ağlara gizlice sızabilirler, genellikle işleri ve çıkarılabilir medyayı takip ederler. Bugün, işyerleri giderek daha mobil hale geldikçe ve kurumsal BT güvenlik altyapısının kontrolünden çıktıkça sorun daha da kötüleşiyor.

Böyle bir tehdide bir örnek, İran enerji sektörüne saldıran ve şu anda Orta Doğu'ya yayılan yeni bir siber savaş silahı olan Alev solucanıdır. Kaspersky Lab uzmanları tarafından keşfedilen Flame1 kötü amaçlı yazılımı, "tüm zamanların en karmaşık tehditlerinden biri" olarak biliniyor. Alev virüsünün başlangıçta İran'ın nükleer programını sabote etmesi gerekiyordu, ancak hala güvenlik uzmanlarını rahatsız ediyor. Gerçek şu ki, artık hedef altyapının ötesine yayılarak kurumsal sistemler Dünya çapında.

Selefi, İran'ın uranyum zenginleştirme santrifüjlerini kontrol eden Denetleyici Kontrol ve Veri Toplama (SCADA) sistemlerini etkilemek ve bozmak için özel olarak tasarlanmış Stuxnet virüsüydü. Bu kötü niyetli programın başarısı, yaratıcılarının beklentilerini aştı: ekipman, kendi kendini imha etme süreciyle kontrolsüz bir çalışma moduna girdi. Ne yazık ki Stuxnet de İran hedeflerinin ötesine geçerek Almanya'da ve ardından dünyanın diğer ülkelerinde SCADA sistemlerine bulaşmaya başladı.

Hem Flame hem de Stuxnet, karmaşık hedefli tehditlerdir. Bu, hükümet, teröristler ve iyi finanse edilen siber suç örgütleri tarafından kontrol edilen askeri operasyonlar için yeni nesil bir silahtır. Faaliyetlerini gizlemek için birçok özellikle donatılmış bu kötü amaçlı programlar, öncelikle fikri mülkiyeti, askeri organizasyonların planlarını ve diğer değerli kurumsal varlıkları çalmayı amaçlar.

Ancak, bu savaşın kurbanları büyük olasılıkla, konuşlandırılmazlarsa kendilerini çapraz ateşin içinde bulan orta ve küçük işletmeler olacaktır. karmaşık altyapı uç noktaları korumak için güvenlik. Orta ve büyük ölçekli şirketlerin göreceli olarak anonimlikten yararlanabileceği veya güvenlik konusunda eksik kalabileceği günler geride kaldı. Karmaşık hedefli tehditler ve sıfır gün saldırıları her yerde ve acımasız hale geliyor.

Tehditlerin evrimi

Bir zamanlar tehditler toplu olarak gönderilirdi, genellikle e-posta. Kurban, denizaşırı bir finansör veya uzun süredir kayıp bir akraba tarafından gönderildiği iddia edilen bir kimlik avı mesajı kullanılarak tuzağa düşürüldü. Ve bu tehditler potansiyel olarak tehlikeli olsa da, ayrım gözetilmeden gönderildiler. Ayrıca, temel güvenlik araçları kullanılarak tespit edilip önlenebilirler. Bu tür saldırılar hala interneti domine ediyor. Bununla birlikte, son yıllarda, tehditlerin karmaşıklık düzeyi önemli ölçüde artmıştır: artık kullanıcılar arasında korku ve endişe yaratan karmaşık hedefli tehditler ve sıfır gün saldırıları giderek yaygınlaşmaktadır.

Son birkaç yılda, karmaşık hedefli tehditler kullanan en yüksek profilli saldırılar, en olası senaryoları bile gölgede bıraktı. Aurora Operasyonu: Google'a saldırı. 2009 yılında, Çin kaynaklı bu saldırı sırasında, Windows İnterneti Gezgin alındı kaynak ve Google'ın ve yaklaşık 30 diğer küresel şirketin diğer fikri mülkiyet türleri.

RSA'ya saldırı. 2011'de siber suçlular, güvenlik çözümleri sağlayıcısının güvenilir olmakla övündüğü şirketin amiral gemisi SecurID anahtarlarına yönelik bu hack saldırısı yoluyla ABD askeri müteahhitleri Lockheed Martin, Northrop Grumman ve L3 Communications'ın sistemlerine sızmayı başardı.

Oak Ridge Ulusal Laboratuvarı. Yöneticiler, bir kimlik avı saldırısının sunucudan hassas veriler yüklediğini keşfettiklerinde DOE laboratuvarının çevrimdışına alınması gerekiyordu.

hayalet ağı. 103 ülkede 1.295 virüslü bilgisayardan oluşan bu siber casusluk ağı, Tibet bağımsızlık hareketinin bir dizi destekçisinin yanı sıra yerel bakanlıklar, dışişleri komisyonları, elçilikler, uluslararası ve sivil toplum kuruluşları da dahil olmak üzere diğer büyük kuruluşları hedef aldı.

Gölgeli Fare. Bu yankı uyandıran kampanyanın bir parçası olarak, dünyanın 14 ülkesindeki devlet kurumlarının, kar amacı gütmeyen kuruluşların ve büyük işletmelerin ağları saldırıya uğradı, toplamda etkilenen 70 kuruluş var.

Ana Özellikler

Bu günlerde, karmaşık hedefli tehditler ve sıfır gün saldırıları el ele gidiyor ve medyada geniş yer buluyor. Yine de bunlar nelerdir ve Truva atları veya solucanlar gibi tehditlerden nasıl farklıdırlar?

Bunların sıradan amatör saldırılar olmadığını söyleyebiliriz. Adından da anlaşılacağı gibi, bu tür tehditler, gizli veya gizli bilgileri elde etmek için belirli kuruluşlara yönelik hedefli saldırılar için çeşitli yöntemler ve vektörlerin yanı sıra gelişmiş teknolojiler temelinde çalışır.

Karmaşık hedefli tehditlerin yaratıcıları, SQL saldırıları başlatan komut dosyası çocuklarından veya en fazla teklif sunan birine botnet satan ortalama kötü amaçlı yazılım yazarından çok farklıdır. yüksek fiyat. Tipik olarak, bu gelişmiş tehditler, birden fazla istihbarat toplama teknolojisiyle, tüm uzman ekiplerinin emrinde olan büyük, organize sendikalar tarafından planlanır. Bu tehditler yavaş, gizli ve izlerini kapattıkları için siber suçlular, düşman hükümetler, teröristler ve suç örgütleri tarafından giderek daha fazla tercih ediliyorlar.

iş şeması

Karmaşık hedefli tehditlerin uygulanmasında siber suçlular, saldırının ikinci aşamasını gerçekleştirmeye yardımcı olan kişiselleştirilmiş bilgileri elde etmek için kötü amaçlı yazılım kullanır. Bundan sonra, amacı organizasyonun en zayıf noktasından sızmak olan bireysel sosyal mühendislik teknolojileri kullanılır: son kullanıcı.

Saldırının bu aşamasında hedefler, gerekli hesaplara erişimi olan kişilerdir. Bu, İnsan Kaynaklarından veya başka bir güvenilir kaynaktan geldiği iddia edilen ikna edici mektuplar kullanır. Böyle bir e-postaya dikkatsiz bir tıklama ve siber suçlular, hiç kimsenin şüphesi olmadan, kuruluşun en değerli bilgilerine ücretsiz erişim elde eder. Sisteme erişim elde eden karmaşık bir hedefli tehdit, çeşitli Truva atları, virüsler ve diğer kötü niyetli programları kullanır. Ağa bulaşırlar ve iş istasyonlarında ve sunucularda süresiz olarak kalabilecek birçok boşluk yaratırlar. Bunca zaman, tehdit belirli bir hedefi aramak için bir bilgisayardan diğerine fark edilmeden hareket eder.

Sıfır gün istismarları

Karmaşık hedefli tehditlerin favori aracı, her zaman sıfırıncı gün istismarlarıdır. Bu geniş ad, programlardaki güvenlik açıklarından yararlanan tehditlerin özünü, satıcı bunları düzeltmeden ve hatta varlıklarını bilmeden önce yakalar. Böylece, ilk saldırı ile düzeltme - "sıfır gün" arasında bir günden az zaman geçer. Sonuç olarak, siber suçlular tam bir hareket özgürlüğüne sahiptir. İntikamdan korkmadan, bilinen bir savunmanın olmadığı bir saldırıdan yararlanırlar.

Sıfır gün güvenlik açıklarından yararlanan kötü amaçlı yazılımlar, fark edilmeden bir kuruluşta ciddi hasara neden olabilir. Kaynak kodu, fikri mülkiyet, askeri kuruluşlar için planlar, savunma sanayi verileri ve casuslukta kullanılan diğer hükümet sırları gibi hassas bilgileri çalmayı amaçlarlar. Organizasyon saldırıyı öğrendiğinde, PR departmanı için gerçek bir kabus haline gelir. Sadece güvenlik altyapısını elden geçirmek için değil, aynı zamanda yasal ücretler ödemek ve müşteri kaybıyla ilgilenmek için de milyonlarca hasar var. Müşterilerin itibarını ve güvenini geri kazanmak için ne kadar çaba, zaman ve para harcandığından bahsetmiyorum bile.

Karmaşık hedefli tehditler ve sıfırıncı gün açıkları yeni fenomenler değildir. İlk olarak birkaç yıl önce, bu terimler güvenlik uzmanlarının jargonuna girmeden çok önce kullanıldı. Şimdiye kadar pek çok kuruluş, birkaç ay (ve bazen yıllar) önce gizli bir sıfır gün saldırısının kurbanı olduklarının farkında bile değil. Verizon'un Veri İhlali Raporuna göre, bu fikri mülkiyet ihlallerinin %2,44'ü birkaç yıl sonra keşfediliyor.

Örnek olay: Christian Science Monitor3 tarafından yayınlanan bir rapor, 2008 yılında üç petrol şirketinin (ExxonMobil, Marathon Oil ve ConocoPhilips) karmaşık, hedefli tehditler kullanılarak gerçekleştirilen hedefli siber saldırıların kurbanları olduğunu ortaya çıkardı. Çin kaynaklı olduğuna inanılan saldırılarda siber suçlular, dünyada keşfedilen petrol sahalarının sayısı, değeri ve konumu hakkında kritik bilgileri uzak bir sunucuya yükledi. Ancak, şirkete yapılan saldırı gerçeği ancak FBI'ın onlardan gizli bilgilerin çalındığını bildirmesinden sonra keşfedildi.

2011 yılına gelindiğinde, karmaşık hedefli tehditler, güvenlik tehditleri arasında haklı olarak ilk sıralardan birini aldı. Ne de olsa Sony, Epsilon, HBGary ve DigiNotar gibi şirketler bu yıl büyük kayıplara uğradılar. Neredeyse 40 milyon dosya kaybeden RSA'dan bahsetmiyorum bile. tek kullanımlık şifreler için elektronik anahtarlar. Toplamda, RSA4 güvenlik hatası şirkete yaklaşık 66 milyon dolara mal olurken, Sony5 100 milyon kayıt kaybından 170 milyon dolar kaybetti.

2011'in sonunda, 30,4 milyon kayıt kaybıyla sonuçlanan en az 535 veri ihlali yaşandı. Privacy Rights Clearinghouse'a göre, birçok şirket bu yıl bir dizi sansasyonel saldırının kurbanı oldu. Ve bu bilinen ihlallerin sadece küçük bir kısmı çünkü her yıl tespit edilmeyen veya ifşa edilmeyen binlerce güvenlik ihlali oluyor.

Karmaşık hedefli tehditlere karşı savunmak mümkün ve gereklidir. Koruma yöntemleri "Karmaşık Hedefli Tehditler: Korumanın Sağlanması" makalesinde ele alınacaktır.