20 ноября, 2018, BIS Journal №4(31)/2018

Как обнаружить целевую атаку на банк?


Данилин Алексей

руководитель направления по развитию бизнеса (Positive Technologies)

Следует применять комплексные Anti APT-решения

Целевые атаки на банки – прибыльное дело для злоумышленников: создатели WannaCry заполучили всего $140 тыс., а вот Cobalt только в России в прошлом году украла около 1.1 млрд руб., атаковав более 240 организаций (из них 11− успешно). Всего за несколько лет группировка похитила более €1 млрд у 100 банков из 40 стран мира. Тем не менее обнаружить признаки такого целевого вторжения и предотвратить ущерб от него вполне возможно и помочь в этом призваны специализированные Anti-APT решения.

Cobalt проникали в инфраструктуру банков с помощью фишинговых писем, рассылаемых их сотрудникам. После заражения ПК работника, загрузившего вложение, атакующие искали внутри сети банка узлы, связанные с управлением банкоматами, компрометировали их и заражали ATM вредоносным ПО для манипуляций с диспенсером. Далее происходила управляемая выдача денег подставным лицам — дропам. После проникновения взломщики обычно не торопились, действуя с максимальной осторожностью. Например, атака Cobalt на один из банков в восточной Европе началась с рассылки вредоносных писем в середине лета, а хищение денег произошло только в октябре. Этот промежуток времени может быть короче, но у ИБ-специалистов всё же есть некоторе время для выявления такой активности.

В ОЖИДАНИИ АТАКИ

Для первичного сбора данных об организации злоумышленники используют открытые источники: им нужны имена и e-mail сотрудников. Поэтому для начала необходимо выяснить, какая информация об организации есть в интернете. Например, наличие в сети e-mail сотрудников можно проверить с помощью сервисов типа Hunter и при необходимости присвоить им новые адреса. Важен и регулярный мониторинг даркнета: здесь могут встретиться объявления о покупке/продаже учетных записей сотрудников организации, ее партнеров, подрядчиков, заказчиков и пр. В 59% объявлений о продаже данных в дарквебе речь идет об учетных данных для доступа к различным ресурсам, в т. ч. и к банковским приложениям. Необходимо также проводить аудит периметра, выявляя уязвимые веб-приложения организации, доступные из глобальной сети. Помимо этого, важен комплексный анализ ИТ-инфраструктуры в целом, включая аудит веб-приложений и беспроводных сетей.

ВО ВРЕМЯ ФИШИНГА

Схема атаки Cobalt на банк

Представим, что на банк уже идёт фишинговая атака. Наибольшую угрозу представляет целевой фишинг, т. н. spear phishing, когда письма заточены на конкретного получателя. Именно такой вид фишинга использовала группировка Cobalt, и в 2017 и 2018 гг схема доставки была такова: письма содержали ссылку на вредоносный документ, содержащий эксплойты для удалённого исполнения кода в Microsoft Word и размещённый на ресурсе, подконтрольном Cobalt.

Сотрудник банка переходил по ссылке и, после открытия страницы в браузере, эксплуатировались уязвимости, позволявшие заразить ПК пользователя вредоносным ПО. Корреспонденция имитировала счёта-фактуры, приказы из отдела кадров, сообщения службы ИБ, регулятора, коллег из других компаний и др. В последнее время группировка сначала атаковала контрагентов целевых банков, а потом рассылала фишинговые письма с захваченных адресов. В такой ситуации по нашей статистике каждый третий сотрудник (33%) нажимает на вредоносную ссылку и переходит на вредоносный сайт. Для борьбы с фишинговыми письмами важны регулярное обучение сотрудников и повышение их информированности. Однако 38% компаний ими пренебрегают, а ещё 37% делают это формально, не проверяя на эффективность. Также важно предотвратить эксплуатацию уязвимости и вредоносное заражение, для чего необходимо своевременно устанавливать обновления безопасности, в том числе и для прикладного ПО, и, конечно, обновления антивирусной защиты.

Пример фишингового письма

Эффективным средством обнаружения и блокировки фишинговых писем может стать многоуровневая система защиты от твредоносного ПО − PT MultiScanner. С помощью набора дополняющих друг друга антивирусных движков, статического анализа, «песочницы» и репутационных списков она позволяет эффективно выявлять и нейтрализовывать попытки доставки вредоносных файлов. Другой её плюс — автоматизация обработки, поступающей от антивирусов информации. В тех случаях, когда вредоносное ПО ещё не известно антивирусам, в игру вступает «песочница», позволяющая анализировать объекты в динамической среде. Это новый модуль проверки, реализованный в PT MultiScanner. Помимо этого, «песочницы» могут использоваться для обнаружения вредоносного ПО, способного мимикрировать, для выявления угроз, скрывающихся за фишингововыми ссылками в письмах. Специальный «кликер» может «прокликать» такие ссылки и выявить опасные файлы, которые скрываются за ними. К пользователю такое письмо не попадёт.

Ещё один способ поймать фишиговую атаку — выявить её прямо в трафике с помощью его глубокого анализа. Например, во время пилотного проекта в одном из российских банков PT Network Attack Discovery (предназначенный для анализа сетевого трафика) зафиксировал несколько десятков классов инцидентов ИБ, которые могли бы повлечь за собой успешные кибератаки со стороны внешнего нарушителя. В частности, сетевые взаимодействия рабочих станций сотрудников с фишинговым доменом. Другими методами аномальные соединения с ресурсами, аффилированными известным группировкам, обнаружить сложно.

Для выявления вредоносного ПО или атак, неизвестных на момент проникновения, может быть использован механизм ретроспективного анализа (реализованный в PT MultiScanner и PT Network Attack Discovery).

В ПОИСКАХ АТАКУЮЩЕГО ВНУТРИ

100% гарантии того, что целевая атака будет остановлена на уровне периметра, нет: группировки уровня Cobalt действуют изощрённо, например, рассылают фишинговые письма не только на корпоративные почтовые адреса сотрудников, но и на личные. Или применяют метод «водопоя» (Watering hole), размещая вредоносные файлы на публичных сайтах, популярных среди потенциальных жертв. Кроме того, не во всех APT-атаках используются вредоносные объекты: в их основе может быть эксплуатация уязвимостей или удалённое выполнение кода. Поэтому главное – своевременно выявить действия злоумышленника во внутренней сети. Например, попытки горизонтального перемещения внутри инфраструктуры с целью добраться до критических элементов, атаки на Active Directory (доменную архитектуру организации) и другие подозрительные события в трафике. В автоматизированном режиме это позволяет сделать PT Network Attack Discovery, благодаря умению строить карту сетевых взаимодействий. Это даёт возможность увидеть пошаговые действия злоумышленников внутри сети и определить все заражённые хосты.

Выявить использование нестандартных портов, попытки эксплуатации уязвимостей или манипуляции с банкоматами на компьютере банковского специалиста во время его отсутствия на рабочем месте позволит и система класса SIEM – MaxPatrol SIEM. Например, в случае с упоминавшейся атакой Cobalt на восточно-европейский банк приоритизация событий из журналов антивирусов с помощью SIEM могла бы помочь обнаружить атаку и предотвратить хищение денег. Но такой приоритизацией, к сожалению, мало кто занимается.

РАБОТА НАД ОШИБКАМИ

Важная часть работы − полноценное расследование произошедшего инцидента и устранение лазеек для его повторения. Например, расследуя одну из атак на банк, в ходе которой злоумышленники подменяли реквизиты платёжного поручения (в этом случае проблематично доказать автора подмены без специальных навыков в области ИБ), эксперты подразделения PT Expert Security Center (PT ESC) Positive Technologies стали свидетелями повторного появления кибервзломщиков. Прямо в ходе анализа инфраструктуры при расследовании был зафиксирован факт «возврата за добавкой»: злоумышленники подключались к тому же самому серверу с помощью приложения для удалённого управления ПК. Это лишь один из многих примеров, демонстрирующий, что все щупальца, оставленные атакующими, надо оперативно выявлять и предотвращать повторение ситуации.

Целевое вторжение в банк не осуществляется мгновенно: атаку можно выявить на ранней стадии, когда деньги ещё не выведены из банка. Для её обнаружения необходимо применять комплексные Anti APT-решения, включающие в себя и выявление фишинга, и ретроспективный анализ вирусов, и обнаружение подозрительной сетевой активности, и корреляцию событий. Такие решения работают как колокольчики и капканы, размещённые в самых неожиданных местах банковской инфраструктуры, и препятствуют продвижению нарушителя. Безусловно, такая технологическая платформа должна иметь обвязку из регулярного повышения осведомлённости сотрудников в вопросах ИБ, мониторинга открытых данных и расследования инцидентов.