Тактики злоумышленников — Психология хакерских атак — Использование шифрования — Wi-Fi как вектор атаки
Эксперты собрались вместе на эфире кибербитвы Standoff 12, чтобы обсудить сетевые средства защиты с двух сторон — защитников и атакующих. Запись ищите на YouTube-канале Standoff 365, а мы расскажем главное: можно ли обойти все эти NTA, IPS, IDS, NGFW?
Шифрование — палка о двух концах
Думают ли хакеры о том, что на них постоянно смотрят сетевые средства защиты?
Кирилл: Может, и думают, но есть нюанс. Они привыкли иметь дело с блокирующими средствами — WAF, NGFW и, например, антивирусами. Если система защиты обнаруживает атаку, хакер мгновенно об этом узнает — его запрос не прошел или вредоносная нагрузка не запустилась на хосте. С IDS- или NTA-решениями сложнее: система может никак себя не выдавать. Она лишь сигнализирует о подозрительной активности аналитику SOC. Злоумышленник просто не узнает, где и как он спалился. А операторы, проанализировав масштабы инцидента, смогут надолго выбить его из сети.
Алексей: Обычно в интересах хакеров — остаться незамеченными как можно дольше. Инфраструктура любой компании состоит из нескольких слоев — чтобы забраться поглубже, нужно пройти несколько сетевых сегментов и «прыгнуть» через множество хостов. Поэтому чем дольше хакер остается незамеченным, тем больше поверхность его атаки. И да, они знают, что на них смотрят IDS, IPS и другие системы мониторинга.
Пытаются ли злоумышленники сразу строить атаку так, чтобы обойти сигнатуры и правила обнаружения?
Алексей: Они далеко не всегда знают, что ждет их в инфраструктуре. Когда хакер проникает на сервер с установленным антивирусным ПО и оно не дает запустить нагрузку, злоумышленник использует обфускацию и криптографию. Он делает все, чтобы антивирус не счел его действия вредоносными. Кроме того, он может маскировать ВПО под легитимный софт. Атакующие всегда на шаг впереди защищающихся.
Кирилл: В разрезе сетевых средств защиты у злоумышленника также нет информации, как именно работают детекты. Он двигается наощупь и не всегда понимает, что обнаружил себя. Существуют базовые способы обхода сетевых средств защиты, например закодировать URL или использовать TLS-шифрование. Но у большинства подобных методов есть и обратная сторона медали.
Если хакер строит сетевой туннель изнутри сети в интернет, реально ли ему поможет использование шифрования? Например, того же TLS.
Юрий: Конечно, сетевые средства не всегда видят, что находится внутри шифрованных соединений. Но на дворе 2024 г., и из каждого утюга говорят про ML, Big Data и прочие технологии, которые по-новому смотрят на информацию, передающуюся по сети. Когда в СЗИ появляется механизм, который позволяет сравнить текущее поведение актива с его базовым состоянием, у хакера начинаются проблемы. То есть если мы видим сетевые запросы (еще и в зашифрованном виде) у сервера, который никогда не общался с внешним миром, это знак.
Алексей: Шифрование помогает не спалиться сразу. Если трафик по сети летает в чистом виде, в нем будут видны все твои нагрузки и реверс-шеллы — защитники моментально задетектят аномалию. Но любой трафик будет «шуметь» — создавать некий белый шум, на основе которого хакеров начинают ловить в сети. Так что шифрование не скрывает злоумышленника полностью, но сильно затрудняет жизнь защитникам. Как и хакерам, кстати, — процесс работает в обе стороны.
На Standoff мы видим использование большого количества инструментов, которые взаимодействуют по шифрованному каналу, например Ligolo. Хакеры любят с его помощью строить туннели до своих серверов, чтобы затем было проще развить атаку.
Кирилл: У любого шифрованного соединения есть побочный канал: например, у TLS-пакетов существуют длины. На их основе можно построить детект, который будет обнаруживать такую их последовательность, которая характерна именно для этого хакерского туннеля или фреймворка пост-эксплуатации. Наша команда экспертного центра безопасности (PT ESC) разрабатывает такие правила для PT NAD, PT NGFW и других продуктов. Они умеют находить инструменты даже с собственной моделью шифрования.
Алексей: Отмечу, что APT-группировки не используют стандартное шифрование — пишут все сами. Из легальных примеров могу привести команду Codeby Pentest, которая использует собственные разработки на Standoff.
Кирилл: Многие злоумышленники вообще не используют шифрованные каналы. Они идут напролом и используют обычные реверс-шеллы.
Алексей: Они, наверно, тогда далеко не пройдут.
Хакерское право на ошибку
Если злоумышленник спалился на каком-то шаге, означает ли это, что атака провалилась?
Юрий: При обнаружении нелегитимной активности естественная реакция любого защитника — заблокировать. Соответственно, ИБ-специалисты тут же начинают все рубить. Так действуют небольшие компании. От APT-атак простое перекрытие канала, скорее всего, уже не спасет: у злоумышленников наверняка будут предусмотрены запасные пути и вторые шансы.
Кирилл: Можно ли не сразу блокировать хакера, а немного пустить вперед: посмотреть, как он зашел, что его интересует, какие учетки он использует, и только потом перекрыть кислород?
Юрий: Это риск — а если не сможем в нужный момент отреагировать? И это дорого для компании.
Есть ли у хакера право на ошибку?
Алексей: Да, если мы говорим о сложной APT-атаке. В этом случае злоумышленник не идет вслепую: если он что-то взломал, то закрепится — бросит якорь — и только после этого пойдет дальше. Это могут быть разные виды нагрузок (например, в виде подменного файла или агента в памяти) и бэкдоров. Иначе при малейшем промахе он потеряет все доступы. Поэтому да, он может ошибиться, выполнить не ту команду и просто сделать шаг назад. Вернуться на слой выше и зайти сбоку, уже обладая новыми артефактами, например паролями пользователей. Как правило, у злоумышленника нет одного пути достижения цели, их несколько. Проломился здесь — хорошо, нет — попробует в другом месте.
У меня, кстати, есть история. Мы пришли в одну компанию как защитники и увидели, что в ней уже примерно полтора года сидит злоумышленник — червячок закрался. Что мы сделали? Тут же сбросили соединения на всех маршрутизаторах, заблокировали вредоносные сетевые адреса и просто обрубили интернет в компании. То есть хосты внутри могли ходить друг к другу, но не в интернет. Таким образом мы тут же «потушили» хакера, потому что зараженные хосты напрямую соединялись с С2, а нужно было «слоями».
Кирилл: Мне кажется, многие компании просто не могут в нужный момент пойти на такое радикальное решение, как вырубить весь интернет на выходные. Представьте: вечер пятницы, мы понимаем, что хакер где-то внутри и еще имеет доступы. Все-таки самый правильный шаг в этот момент — просто вырубить интернет, чтобы он не наделал ничего непоправимого.
Кстати, по ходу диалога может сложиться впечатление, что есть обычные хакеры с обычными инструментами и секретные APT-группировки, у которых свои, уникальные инструменты, и с обычными они вообще не пересекаются. Но это не так. Граница между хорошо организованными хакерскими группировками и APT весьма размыта. Их могут интересовать одни и те же цели: криптошантаж или политические акции. Их инструменты тоже во многом пересекаются. Но принято считать, что APT-группировки могут спонсироваться правительствами, обладают большими финансовыми и временными ресурсами, что позволяет им тщательнее готовиться к атакам и разрабатывать свой инструментарий. При этом, например, внутри домена Active Directory и те и другие вынуждены использовать существующие протоколы Microsoft, которые хорошо знакомы защищающимся. Здесь сложно изобрести что-то новое.
Злоумышленник не идет вслепую: если он что-то взломал, то закрепится — бросит якорь — и только после этого пойдет дальше.
Поговорим о бэкдорах. Есть ли какие-то нестандартные техники, чтобы установить канал из инфраструктуры наружу?
Алексей: В основном хакеры используют IPsec. Самое прикольное, что в последнее время в ходу, — использование тех же каналов. Например, в компании есть VPN. Ты (хакер) уже проломил инфраструктуру, у тебя есть учетные записи и ключи шифрования. Поднимаешь себе точно такой же VPN-туннель и подключаешься точно так же, как и обычные пользователи. Часто встречаюсь с этим.
Wi-Fi как вектор для атаки. Да или нет?
Алексей: Вектор отличный: что ни проект, так заходим через Wi-Fi. Приезжаешь в офис компании с каким-нибудь Pineapple или хорошим беспроводным ридером. Начинаешь сканировать сетку, ловишь сессию пользователя, получаешь его пароль и доступ. Либо идешь другим путем. Например, проводишь атаку Evil Twin: поднимаешь рядом точно такую же Wi-Fi-сетку, с тем же самым SSID, и ловишь трафик на себя. Но в этом случае нужно быть ближе к роутеру.
Охранники не гоняют?
Алексей: Бывало. Мы делали пентест: пришли на один объект поздно вечером, заступили и сидим, ломаем. Полицию вызвали — пришлось объяснять, что мы хорошие ребята :)
А если в одночасье все пароли пользователей станут сложными? Сильно ли это помешает пентесту?
Алексей: Нет, уязвимости все равно никуда не денутся, а хакеру нужно просто попасть внутрь. Но стоимость атаки станет дороже, и взломать будет сложнее.
Кирилл: Слабые пароли пользователей являются одной из основных проблем безопасности. Причина банальна: сложный пароль непросто запомнить. Причем это является проблемой и в корпоративной, и в частной жизни: аккаунты в социальных сетях взламывают так же, как и учетки сотрудников. Использование второго фактора хоть и призвано побороть эту беду, но не является стопроцентной защитой. Если бы в одночасье все слабые пароли пользователей стали надежными, то пентестерам, конечно, стало бы чуточку сложнее жить. Однако пароли могут встречаться и в публичных сливах, могут быть собраны злоумышленником, когда он уже пробрался внутрь. В конце концов, пользователи сами иногда охотно вводят их в формы на фишинговых сайтах.
P. S. Послушать полную версию разговора со всеми «э-э-э», «короче» и «то есть» можно на YouTube.
Злоумышленник может использовать не TLS, а шифровать сетевые запросы на собственный лад. Но при должном подходе мы можем подготовиться и к этому. Тогда хакеру придется потратить больше времени на обход СЗИ — атака станет дольше и дороже.