Действия злоумышленника до компрометации сети жертвы в основном разворачиваются за пределами поля зрения последней, что значительно усложняет их обнаружение. Злоумышленники исследуют свою жертву, используя информацию, доступную в открытых источниках, и используют в своих интересах отношения организации с подрядчиками и сторонними организациями, чтобы любым способом получить доступ к инфраструктуре жертвы.
Вышесказанное свидетельствует о том, что первым двум этапам жизненного цикла кибератаки (kill chain) необходимо уделять не менее пристальное внимание, как и остальным. Напомним, что kill chain состоит из следующих этапов:
- разведка и сбор данных,
- выбор способа атаки,
- доставка,
- эксплуатация,
- закрепление,
- исполнение команд,
- достижение цели.
- разведка, суть которой заключается в получении информации о жертве активными и пассивными методами
- разработка ресурсов, которая необходима для подготовки инфраструктуры и инструментов для проведения кибератаки.
Разведка (Reconnaissance)
1. Активное сканирование (Active Scanning) – сбор информации об инфраструктуре жертвы активным методом, то есть через сетевой трафик, в отличие от других форм разведки, не предполагающих прямого взаимодействия с инфраструктурой жертвы. Активное сканирование включает:
- Сканирование диапазонов IP-адресов (Scanning IP Blocks) для определения наиболее активно использующихся IP-адресов и получения подробной информации о хостах, которым назначены эти адреса. Сканирование может варьироваться от простого эхо-запроса (запросы и ответы ICMP) до более тонкого сканирования, которое позволяет выявить используемое программное обеспечение/версии сервисов с помощью баннеров или других сетевых артефактов.
- Cканирование уязвимостей (Vulnerability Scanning) для проверки соответствия конфигурации целевого хоста/приложения (например, программного обеспечения и версии) цели конкретного эксплойта, а также сбора информации о запущенном программном обеспечении и номерах версий с помощью баннеров сервера, прослушиваемых портов или других сетевых артефактов.
- аппаратном обеспечении (Hardware),
- программном обеспечении (Software),
- прошивке (Firmware),
- конфигурации клиента (Client Configurations).
- учетные данные (Credentials),
- адреса электронной почты (Email Addresses),
- имена сотрудников (Employee Names).
- свойствах домена (Domain Properties), включая полную информацию о домене (имя, регистратор и т. д.) и регистранте (адреса электронной почты и телефонные номера);
- DNS, включая зарегистрированные серверы имен, а также записи, описывающие адресацию для поддоменов, почтовых серверов и других хостов;
- сетевых доверительных зависимостях (Network Trust Dependencies), в частности о сторонних организациях/доменах (например, поставщики услуг, подрядчики и т. д.), которые имеют (и потенциально повышают) доступ к сети жертвы;
- топологии сети (Network Topology), включая физическое и/или логическое расположение как внешней, так и внутренней сетевой инфраструктуры, совместно со сведениями о сетевых устройствах (шлюзы, маршрутизаторы и т. п.) и многим другим.
- IP-адресах (IP Addresses), которые могут позволить злоумышленнику получить сведения о размере атакуемой организации, физическом местоположении, интернет-провайдере и размещении общедоступной инфраструктуры жертвы;
- устройствах сетевой безопасности (Network Security Appliances), включая информацию о наличии и особенностях развернутых средств защиты.
- деловых отношения (Business Relationships), включая отношения со сторонними организациями для выявления информации, которая может раскрыть цепочки поставок и пути доставки аппаратных и программных ресурсов жертвы;
- определении физического местоположения (Determine Physical Locations), в частности местонахождение ключевых ресурсов и инфраструктуры, чтобы среди прочего определить, в какой правовой юрисдикции действует жертва;
- определении бизнес-темпа (Identify Business Tempo), включая режим работы, время/дату покупки и доставки аппаратных и программных средств жертве;
- определении роли (Identify Roles), включая информацию о бизнес-ролях и идентифицирующую информацию для ключевого персонала, а также данные/ресурсы, к которым у них есть доступ.
- сервисов целевого фишинга (Spearphishing Service), в том числе с помощью различных социальных сетей, личной почты и других служб, не контролируемые целевой организацией;
- вложений целевого фишинга (Spearphishing Attachment), включающих прикрепленный к электронному письму файл с тем посылом, что получатель заполнит информацию и вернет файл;
- ссылки целевого фишинга (Spearphishing Link), добавляемые в электронные письма и сопровождаемые текстом социальной инженерии, чтобы убедить жертву активно щелкнуть по ней или перейти в браузере.
- у поставщиков данных киберразведки (Threat Intel Vendors), которые могут предлагать платные каналы или порталы, предлагающие больше данных, чем сообщается в публичных источниках;
- покупка технических данных (Purchase Technical Data) в надежных частных источниках и базах данных (платные подписки на каналы баз данных сканирования или другие службы агрегирования данных) для сбора различных технических деталей, включая, помимо прочего, контактную информацию сотрудников, учетные данные или особенности инфраструктуры жертвы.
- WHOIS для получения информации о зарегистрированном домене, такую как назначенные диапазоны IP-адресов, контактную информацию и имена DNS-серверов;
- DNS/пассивный DNS, включая зарегистрированные серверы имен, а также записи, описывающие адресацию для поддоменов, почтовых серверов и других хостов, более того, злоумышленники могут искать чувствительные данные из DNS путем поиска неправильных конфигураций/утечек DNS, которые раскрывают информацию о внутренних сетях;
- цифровые сертификаты (Digital Certificates), выдаваемые центром сертификации и содержащие информацию о зарегистрированной организации, а также доменах, которые используют сертификат;
- сети доставки контента (CDNs), отвечающие за балансировку нагрузи и позволяющие организациям настраивать доставку контента в зависимости от географического региона отправителя запроса;
- публичные базы данных (Scan Databases) или онлайн-сервисы, которые публикуют результаты интернет-сканирования/опросов, часто собирая такую информацию, как активные IP-адреса, имена хостов, открытые порты, сертификаты и даже баннеры сервисов.
- социальных медиа (Social Media),
- поисковых систем (Search Engines).
Разработка ресурсов (Resource Development)
1. Подготовка инфраструктуры (Acquire Infrastructure). В данный процесс может входить покупка или аренда инфраструктуры, в роли которой могут выступать физические или облачные серверы, домены и сторонние веб-службы. Использование одного из следующих инфраструктурных решений или их совместное использование позволяет злоумышленнику подготовиться к кибератаке:
- домены (Domains),
- DNS-сервер (DNS Server),
- виртуальный частный сервер (Virtual Private Server),
- сервер (Server),
- ботнет (Botnet),
- веб-сервисы (Web Services).
- аккаунты в социальных сетях (Social Media Accounts),
- учетные записи электронной почты (Email Accounts).
- домены (Domains),
- DNS-сервер (DNS Server),
- виртуальный частный сервер (Virtual Private Server),
- сервер (Server),
- ботнет (Botnet),
- веб-сервисы (Web Services).
- вредоносное ПО (Malware),
- сертификаты подписи кода (Code Signing Certificates),
- цифровые сертификаты (Digital Certificates),
- эксплойты (Exploits).
- аккаунты в социальных сетях (Social Media Accounts),
- учетные записи электронной почты (Email Accounts).
- вредоносным ПО (Malware),
- инструментами (Tool),
- сертификатами подписи кода (Code Signing Certificates),
- цифровыми сертификатами (Digital Certificates),
- эксплойтами (Exploits),
- уязвимостями (Vulnerabilities).
Что касается традиционной кибератаки, то этап подготовки злоумышленника, как правило, сводится к пассивной и активной разведке, включающей:
- поиск информации в открытых источниках о сотрудниках и компонентах инфраструктуры жертвы;
- поиск точек входа в корпоративную сеть жертвы;
- определение сервисов, запущенных на каждом хосте и их версий, а также используемых средств защиты.
- корпоративные ресурсы на сетевом периметре;
- рабочие станции, компьютеры личного пользования или мобильные устройства сотрудников, используемые для входа в корпоративную инфраструктуру;
- учетные данные сотрудников к различным корпоративным и личным ресурсам.
Целью специалистов по информационной безопасности является выявление данных следов, недопущение успешного проведения вышеописанных операций и подавление кибератаки на этапе подготовки и тестирования.
На основе вышесказанного напрашивается только один вывод - как в случае APT-атаки, так и в случае массовой кибератаки, злоумышленник выполняет совокупность операций перед кибератакой, успех которых формирует общий успех кибероперации.
Понимание применяемых злоумышленником TTPs минимизирует возможность успешной кибератаки и обеспечивает специалистов по информационной безопасности более широким контекстом относительно действий злоумышленника.
В следующей статье рассмотрим, какие инструменты использует злоумышленник в ходе подготовки к кибератаке, и с помощью каких средств и методов можно на ранней стадии минимизировать последствия кибератаки и обнаружить нелегитимную активность со стороны злоумышленника.