8 вопросов хакерам от защитников про сетевые детекты

7 минут
Кирилл Шипулин
Кирилл Шипулин
Руководитель группы исследования методов обнаружения атак, Positive Technologies
Алексей Морозов
Алексей Морозов
Руководитель Application Security, Samokat.Tech; четырехкратный чемпион Standoff в составе команды Codeby Pentest
Юрий Дышлевой
Юрий Дышлевой
Лидер продуктовой практики PT NGFW, Positive Technologies
  • Атаки
  • Шифрование
  • NGFW

Тактики злоумышленников — Психология хакерских атак — Использование шифрования — Wi-Fi как вектор атаки

Эксперты собрались вместе на эфире кибербитвы Standoff 12, чтобы обсудить сетевые средства защиты с двух сторон — защитников и атакующих. Запись ищите на YouTube-канале Standoff 365, а мы расскажем главное: можно ли обойти все эти NTA, IPS, IDS, NGFW?

Шифрование — палка о двух концах

Думают ли хакеры о том, что на них постоянно смотрят сетевые средства защиты?

Кирилл: Может, и думают, но есть нюанс. Они привыкли иметь дело с блокирующими средствами — WAF, NGFW и, например, антивирусами. Если система защиты обнаруживает атаку, хакер мгновенно об этом узнает — его запрос не прошел или вредоносная нагрузка не запустилась на хосте. С IDS- или NTA-решениями сложнее: система может никак себя не выдавать. Она лишь сигнализирует о подозрительной активности аналитику SOC. Злоумышленник просто не узнает, где и как он спалился. А операторы, проанализировав масштабы инцидента, смогут надолго выбить его из сети.

Алексей: Обычно в интересах хакеров — остаться незамеченными как можно дольше. Инфраструктура любой компании состоит из нескольких слоев — чтобы забраться поглубже, нужно пройти несколько сетевых сегментов и «прыгнуть» через множество хостов. Поэтому чем дольше хакер остается незамеченным, тем больше поверхность его атаки. И да, они знают, что на них смотрят IDS, IPS и другие системы мониторинга.

Пытаются ли злоумышленники сразу строить атаку так, чтобы обойти сигнатуры и правила обнаружения?

Алексей: Они далеко не всегда знают, что ждет их в инфраструктуре. Когда хакер проникает на сервер с установленным антивирусным ПО и оно не дает запустить нагрузку, злоумышленник использует обфускацию и криптографию. Он делает все, чтобы антивирус не счел его действия вредоносными. Кроме того, он может маскировать ВПО под легитимный софт. Атакующие всегда на шаг впереди защищающихся.

Кирилл: В разрезе сетевых средств защиты у злоумышленника также нет информации, как именно работают детекты. Он двигается наощупь и не всегда понимает, что обнаружил себя. Существуют базовые способы обхода сетевых средств защиты, например закодировать URL или использовать TLS-шифрование. Но у большинства подобных методов есть и обратная сторона медали.

Злоумышленник может использовать не TLS, а шифровать сетевые запросы на собственный лад. Но при должном подходе мы можем подготовиться и к этому. Тогда хакеру придется потратить больше времени на обход СЗИ — атака станет дольше и дороже.

Юрий Дышлевой
Юрий Дышлевой

Лидер продуктовой практики PT NGFW, Positive Technologies

Если хакер строит сетевой туннель изнутри сети в интернет, реально ли ему поможет использование шифрования? Например, того же TLS.

Юрий: Конечно, сетевые средства не всегда видят, что находится внутри шифрованных соединений. Но на дворе 2024 г., и из каждого утюга говорят про ML, Big Data и прочие технологии, которые по-новому смотрят на информацию, передающуюся по сети. Когда в СЗИ появляется механизм, который позволяет сравнить текущее поведение актива с его базовым состоянием, у хакера начинаются проблемы. То есть если мы видим сетевые запросы (еще и в зашифрованном виде) у сервера, который никогда не общался с внешним миром, это знак.

Алексей: Шифрование помогает не спалиться сразу. Если трафик по сети летает в чистом виде, в нем будут видны все твои нагрузки и реверс-шеллы — защитники моментально задетектят аномалию. Но любой трафик будет «шуметь» — создавать некий белый шум, на основе которого хакеров начинают ловить в сети. Так что шифрование не скрывает злоумышленника полностью, но сильно затрудняет жизнь защитникам. Как и хакерам, кстати, — процесс работает в обе стороны.

На Standoff мы видим использование большого количества инструментов, которые взаимодействуют по шифрованному каналу, например Ligolo. Хакеры любят с его помощью строить туннели до своих серверов, чтобы затем было проще развить атаку.

Кирилл Шипулин
Кирилл Шипулин

Руководитель группы исследования методов обнаружения атак, Positive Technologies

Кирилл: У любого шифрованного соединения есть побочный канал: например, у TLS-пакетов существуют длины. На их основе можно построить детект, который будет обнаруживать такую их последовательность, которая характерна именно для этого хакерского туннеля или фреймворка пост-эксплуатации. Наша команда экспертного центра безопасности (PT ESC) разрабатывает такие правила для PT NAD, PT NGFW и других продуктов. Они умеют находить инструменты даже с собственной моделью шифрования.

Алексей: Отмечу, что APT-группировки не используют стандартное шифрование — пишут все сами. Из легальных примеров могу привести команду Codeby Pentest, которая использует собственные разработки на Standoff.

Кирилл: Многие злоумышленники вообще не используют шифрованные каналы. Они идут напролом и используют обычные реверс-шеллы.

Алексей: Они, наверно, тогда далеко не пройдут.

Хакерское право на ошибку

Если злоумышленник спалился на каком-то шаге, означает ли это, что атака провалилась?

Юрий: При обнаружении нелегитимной активности естественная реакция любого защитника — заблокировать. Соответственно, ИБ-специалисты тут же начинают все рубить. Так действуют небольшие компании. От APT-атак простое перекрытие канала, скорее всего, уже не спасет: у злоумышленников наверняка будут предусмотрены запасные пути и вторые шансы.

Кирилл: Можно ли не сразу блокировать хакера, а немного пустить вперед: посмотреть, как он зашел, что его интересует, какие учетки он использует, и только потом перекрыть кислород?

Юрий: Это риск — а если не сможем в нужный момент отреагировать? И это дорого для компании.

Есть ли у хакера право на ошибку?

Алексей: Да, если мы говорим о сложной APT-атаке. В этом случае злоумышленник не идет вслепую: если он что-то взломал, то закрепится — бросит якорь — и только после этого пойдет дальше. Это могут быть разные виды нагрузок (например, в виде подменного файла или агента в памяти) и бэкдоров. Иначе при малейшем промахе он потеряет все доступы. Поэтому да, он может ошибиться, выполнить не ту команду и просто сделать шаг назад. Вернуться на слой выше и зайти сбоку, уже обладая новыми артефактами, например паролями пользователей. Как правило, у злоумышленника нет одного пути достижения цели, их несколько. Проломился здесь — хорошо, нет — попробует в другом месте.

У меня, кстати, есть история. Мы пришли в одну компанию как защитники и увидели, что в ней уже примерно полтора года сидит злоумышленник — червячок закрался. Что мы сделали? Тут же сбросили соединения на всех маршрутизаторах, заблокировали вредоносные сетевые адреса и просто обрубили интернет в компании. То есть хосты внутри могли ходить друг к другу, но не в интернет. Таким образом мы тут же «потушили» хакера, потому что зараженные хосты напрямую соединялись с С2, а нужно было «слоями».

Кирилл: Мне кажется, многие компании просто не могут в нужный момент пойти на такое радикальное решение, как вырубить весь интернет на выходные. Представьте: вечер пятницы, мы понимаем, что хакер где-то внутри и еще имеет доступы. Все-таки самый правильный шаг в этот момент — просто вырубить интернет, чтобы он не наделал ничего непоправимого.

Кстати, по ходу диалога может сложиться впечатление, что есть обычные хакеры с обычными инструментами и секретные APT-группировки, у которых свои, уникальные инструменты, и с обычными они вообще не пересекаются. Но это не так. Граница между хорошо организованными хакерскими группировками и APT весьма размыта. Их могут интересовать одни и те же цели: криптошантаж или политические акции. Их инструменты тоже во многом пересекаются. Но принято считать, что APT-группировки могут спонсироваться правительствами, обладают большими финансовыми и временными ресурсами, что позволяет им тщательнее готовиться к атакам и разрабатывать свой инструментарий. При этом, например, внутри домена Active Directory и те и другие вынуждены использовать существующие протоколы Microsoft, которые хорошо знакомы защищающимся. Здесь сложно изобрести что-то новое.

Злоумышленник не идет вслепую: если он что-то взломал, то закрепится — бросит якорь — и только после этого пойдет дальше.

Алексей Морозов
Алексей Морозов

Руководитель Application Security, Samokat.Tech; четырехкратный чемпион Standoff в составе команды Codeby Pentest

Поговорим о бэкдорах. Есть ли какие-то нестандартные техники, чтобы установить канал из инфраструктуры наружу?

Алексей: В основном хакеры используют IPsec. Самое прикольное, что в последнее время в ходу, — использование тех же каналов. Например, в компании есть VPN. Ты (хакер) уже проломил инфраструктуру, у тебя есть учетные записи и ключи шифрования. Поднимаешь себе точно такой же VPN-туннель и подключаешься точно так же, как и обычные пользователи. Часто встречаюсь с этим.

Wi-Fi как вектор для атаки. Да или нет?

Алексей: Вектор отличный: что ни проект, так заходим через Wi-Fi. Приезжаешь в офис компании с каким-нибудь Pineapple или хорошим беспроводным ридером. Начинаешь сканировать сетку, ловишь сессию пользователя, получаешь его пароль и доступ. Либо идешь другим путем. Например, проводишь атаку Evil Twin: поднимаешь рядом точно такую же Wi-Fi-сетку, с тем же самым SSID, и ловишь трафик на себя. Но в этом случае нужно быть ближе к роутеру.

Охранники не гоняют?

Алексей: Бывало. Мы делали пентест: пришли на один объект поздно вечером, заступили и сидим, ломаем. Полицию вызвали — пришлось объяснять, что мы хорошие ребята :)

А если в одночасье все пароли пользователей станут сложными? Сильно ли это помешает пентесту?

Алексей: Нет, уязвимости все равно никуда не денутся, а хакеру нужно просто попасть внутрь. Но стоимость атаки станет дороже, и взломать будет сложнее.

Кирилл: Слабые пароли пользователей являются одной из основных проблем безопасности. Причина банальна: сложный пароль непросто запомнить. Причем это является проблемой и в корпоративной, и в частной жизни: аккаунты в социальных сетях взламывают так же, как и учетки сотрудников. Использование второго фактора хоть и призвано побороть эту беду, но не является стопроцентной защитой. Если бы в одночасье все слабые пароли пользователей стали надежными, то пентестерам, конечно, стало бы чуточку сложнее жить. Однако пароли могут встречаться и в публичных сливах, могут быть собраны злоумышленником, когда он уже пробрался внутрь. В конце концов, пользователи сами иногда охотно вводят их в формы на фишинговых сайтах.

P. S. Послушать полную версию разговора со всеми «э-э-э», «короче» и «то есть» можно на YouTube.

Статьи по теме

Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!
Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!Подписаться на обновления!