Методы моделирования атак

Порой ИБ-специалистам трудно быстро провести анализ и выявить сложные закономерности в действиях киберпреступников. Решить эту проблему помогают методы моделирования атак (attack modeling techniques, AMT). 

Для начала рассмотрим методы, основанные на диаграммах сценариев использования. Обсудим их достоинства и недостатки, разберем несколько примеров.

UML и диаграммы

В основе первого вида методов моделирования атак лежит унифицированный язык UML. Важной частью UML являются диаграммы, которые отражают отношения между акторами и сценариями использования.

• Актор — набор ролей пользователя, который взаимодействует с некоторой сущностью (системой, подсистемой, классом). Обозначается фигурой человека.
• Сценарий использования — действия, которые выполняются системой и приводят к наблюдаемым акторами результатам. Обозначается красным прямоугольником с подписью (названием или описанием действий системы).

Связи между акторами и сценариями обозначаются на диаграммах (см. рис. 2) стрелками двух видов:

• «включает»: пользователь может воспользоваться сервисами для просмотра погоды, обмена валюты и т. д;
• «позволяет»: следующим действием пользователя после регистрации может быть авторизация.

С терминологией разобрались — теперь рассмотрим методы моделирования, основанные на подобных диаграммах. 

Сценарии неправильного использования (misuse case) 

Сценарий неправильного использования — это смысловой перевертыш термина «сценарий использования» (use case). Он предполагает выявление негативных сценариев — того, что не должно произойти. 

Диаграмма сценариев неправильного использования создается вместе с соответствующей диаграммой сценариев использования. При этом в модели применяются дополнительные элементы:

• злоумышленник, проводящий атаку (misuser);
• негативное действие, которое может совершить злоумышленник (misuse case);
• связь, показывающая, какое легитимное действие пользователя (use case) может затронуть (threatens) действие злоумышленника (misuse case);
• действие пользователя (use case), которое может остановить или предотвратить (mitigates) действие злоумышленника (misuse case).

Рассмотрим пример атаки на рабочую станцию (см. рис. 4).

Злоумышленник отправляет жертве фишинговое письмо, с помощью вредоносного вложения получает доступ к рабочей станции и повышает свои привилегии. Затем, чтобы получить доступ к учетным данным администратора, атакующий проводит две процедуры:

1. Дамп NT-хешей или Kerberos ticket с помощью утилиты mimikatz.
2. Получение кэшированных учетных данных из реестра Windows (см. рис. 4: «Получение секретов LSA из реестра»).

Белым цветом на рис. 4 изображены возможные действия легитимного пользователя, красным — злоумышленника. Связи между ними показывают, как киберпреступник может добиться своих целей, а ИБ-специалист — предотвратить атаку. К примеру, в качестве защитных мер можно модифицировать параметры групповой политики:

1. Отключить автоматический вход в Windows, чтобы аутентификационные данные не хранились в реестре.
2. Отключить локальное хранение NT-хешей и ограничить использование протокола NTLM для аутентификации.

Карты сценариев неправильного использования (misuse cases maps)

Карты сценариев неправильного использования дополняют предыдущий метод. В них есть новые виды связей с разделением элементов инфраструктуры (см. рис. 5), что позволяет детальнее описывать действия злоумышленника.

Рассмотрим пример атаки на банк (см. рис. 6.):

Диаграмма описывает пять этапов атаки:

1. Злоумышленник покопался в интернете и определил диапазон IP-адресов банка.
2. После проверки адресов атакующий обнаружил сервер с ПО для удаленного доступа XenApp (Citrix MetaFreame).
3. Злоумышленник просканировал подключенные к интернету рабочие станции, чтобы найти открытый порт удаленного доступа к Citrix Terminal Services (порт 1494), через который реализуется дистанционное подключение.
4. По умолчанию для удаленного подключения не требуется пароль, поэтому злоумышленник успешно получил доступ к рабочим станциям. Для развития атаки он искал в системе пароли и в конечном счете получил доступ к пограничному маршрутизатору. На нем злоумышленник добавил правило, разрешающее входящие подключения к порту 1723 (VPN), и за счет этого смог подключиться к внутренней плоской сети банка.
5. Исследуя сеть, злоумышленник нашел сервер с документацией по анализу защищенности банка. Из нее он узнал об уязвимостях инфраструктуры и смог добраться до критически важных систем.

Сценарии безопасного использования (security use cases)

У этого метода есть две вариации: первая была предложена еще в 2003 году, вторая — в 2012-м. Суть в том, чтобы дополнить модель сценария неправильного использования динамическими функциями и условиями их выполнения. Это позволяет описывать меры, которые нужно принять для повышения защищенности инфраструктуры. Мы рассмотрим вторую вариацию метода, поскольку она предусматривает использование UML-диаграмм.

Дополним диаграмму рассмотренного ранее кейса с mimikatz и секретами LSA ограничениями на действия пользователя (см. рис. 8). В качестве защитных мер можно использовать второй фактор при аутентификации, а также ограничить список стран, из которых разрешено устанавливать соединение. Кроме того, можно установить ограничения на количество одновременных подключений для доменной сессии и опять же использовать 2FA.

Диаграммы последовательности неправильного использования (misuse sequence diagrams)

Этот метод появился в 2010 г. как альтернатива misuse cases maps. В нем есть две дополнительные сущности — элемент инфраструктуры и атакующий. Кроме того, для отображения взаимодействия между участниками активности используется другая UML-структура — диаграмма последовательности (sequence diagram). На ней в рамках единой временной оси показан жизненный цикл объектов и взаимодействие сторон в пределах сценария.

На рис. 10 можно выделить несколько сущностей:

• рабочую станцию, к которой злоумышленник получает доступ через вредоносное вложение;
• процесс LSASS, который хранит аутентификационные данные администратора;
• доменную сессию администратора, созданную злоумышленником.

Отметим, что на диаграммах такого типа нельзя указать, какие действия обязательны для реализации атаки, — в нашем примере злоумышленник получит учетные данные пользователя разными путями.

CORAS

Метод был разработан в 2002 г. и задумывался как фреймворк для наглядного и эффективного анализа рисков. Он тоже вдохновлен UML, но содержит собственные элементы и связи и включает восемь формальных шагов (см. рис. 11).

Метод подразумевает составление диаграммы из набора элементов и связей между ними (см. рис. 12–13).

Снова рассмотрим уже знакомый нам пример атаки (см. рис. 14). Предполагается, что злоумышленник пытается получить доступ к активам в инфраструктуре, чтобы реализовать нежелательный сценарий. В CORAS диаграмма строится справа налево: сначала определяются активы, затем действия, которые могут на них повлиять (уязвимости, обозначенные замками), и, наконец, сам атакующий.

Попробуем составить диаграмму. Сначала определим актив «Целостность домена» и отметим, что домен может потерять целостность при успешной компрометации администратора. Далее установим, какие учетные данные нужно получить злоумышленнику для компрометации: NT-хеши, DCC2 и Kerberos ticket. Распишем сценарии — использование mimikatz или получение секретов LSA. Наконец, отобразим на схеме атакующего.

Темпоральные методы моделирования атак

Отличительная черта темпоральных методов — представление кибератаки во времени. Они позволяют моделировать и анализировать развитие атаки, учитывая динамику изменений состояния системы или сети, а также временные зависимости между действиями злоумышленника.

Riskit

Начнем с Riskit: метод был предложен в 1997 г. и стал первой попыткой дать конкретные определения рискам и формальным моделям их описания. 

Согласно Riskit, риск — это возможность потери, сама потеря или же любая характеристика, объект либо действие, которые связаны с этой возможностью (см. рис. 1).

Для анализа в Riskit используется граф, который с помощью ряда элементов (см. рис. 2) описывает все аспекты рисков на диаграмме (см. рис. 3).

В качестве примера возьмем ранее рассмотренную фишинговую атаку с последующим дампом учетных записей и добавим к ней шаг с созданием реверс-шелла.

Факторы и события риска моделируются с учетом причин, последствий и вероятности риска в зависимости от времени. При этом они служат условиями для возможных последующих действий злоумышленника, на которые можно наложить реакцию противодействия, а также описать эффекты и потери при реализации события.

Кроме того, метод предоставляет формальную модель для определения и анализа рисков — цикл управления рисками (см. рис. 4). В нем визуализированы формальные процессы (круги), соединенные информационными потоками (стрелками), а также внешние процессы (прямоугольники), связанные с циклом.

Cyber kill chain

Метод был представлен в 2011 г. исследователями компании Lockheed Martin. Это адаптация армейского понятия kill chain, рассматривающего потенциальную атаку как цепочку из нескольких звеньев:

1. определение цели;
2. направление сил к цели;
3. начало атаки на цель;
4. уничтожение цели.

В модели Cyber kill chain атака состоит из следующих этапов:

• Разведка — исследование, идентификация и выбор целей.
• Вооружение — выбор или создание ВПО, которое будет использоваться для атаки.
• Доставка — методы проникновения, которые злоумышленник может использовать для отправки вредоносной информации жертве (например, электронная почта).
• Заражение — запуск вредоносного кода с помощью функций системы (или же самой жертвой).
• Инсталляция — установка ВПО для закрепления в инфраструктуре.
• Получение управления — создание канала для удаленного контроля внутренних ресурсов.
• Выполнение действий — шаги злоумышленника для достижения целей. Это сложный этап активной атаки, подготовка к которому может длиться несколько месяцев.

Составим цепочку действий злоумышленника. Он использует фишинг для отправки вредоносного вложения, которое предоставит ему доступ к рабочей станции жертвы через реверс-шелл. Как мы помним, затем следует загрузка mimikatz для дампа аутентификационных данных либо секретов LSA.

Моделью предусмотрены адаптированные противодействия из доктрины по информационным операциям: 

1. обнаружение;
2. отказ (запрет);
3. срыв;
4. ослабление;
5. обман;
6. уничтожение. 

Они представлены в виде матрицы плана действий (см. рис. 7). С ее помощью мы можем выделить уже реализованные и описанные действия реагирования, превентивные меры, а также подсветить потенциально уязвимые участки инфраструктуры, которые нуждаются в дополнительном внимании.

Attack flow

Attack flow — метод и инструмент визуального моделирования/анализа кибератак. Разрабатывается MITRE Corporation и напрямую интегрирован с матрицей MITRE ATT&CK.

Рассмотрим основные элементы Attack flow:

1. Действие (Action) — конкретное действие атакующего, например эксплуатация уязвимости, движение по сети или установка ВПО. Каждое действие сопровождается деталями:

• тактиками и техниками MITRE ATT&CK (поля Tactic Id и Technique Id);
• временем начала и конца действия (Execution Start и End);
• информацией об уровне достоверности действия (Confidence).

2. Операторы AND и OR — для моделирования логических связей между действиями атаки.
3. Актив (Asset) — определенный результат. Действия могут указывать на активы, как на объекты, на которые было оказано воздействие, а также на то, какие объекты используются в последующих методах.
4. Условие (Condition) — в зависимости от его выполнения определяется дальнейший ход атаки.
5. STIX-объекты в виде двух списков сущностей:

• STIX Domain Objects — общий термин, который охватывает широкий спектр структурированных данных о киберугрозах (группировке, ВПО, инструментах и т. д.).
• STIX Cyber-observable Objects — конкретные наблюдаемые события или объекты киберугрозы (аккаунт, файл, IP-адрес и др.).

Темпоральность Attack flow обусловлена представлением развития атаки во времени. Для этого атака разбивается на отдельные действия и их последовательности, при этом на диаграмме отображается время начала и конца конкретных действий.

Также в редакторе можно сохранить диаграммы в следующем виде:

{"version":"2.2.7","id":"b400fb0e-d365-4e0f-8230-1031e55fa45e","objects":[{"id":"b400fb0e-d365-4e0f-8230 1031e55fa45e","x":-140,"y":1091,"attrs":0,"template":"flow","children":["4abecec8-0e6b-4899-8ba5-fb9501600ced" ...

Представление в виде словаря упрощает возможность интеграции модели с инструментами обнаружения и реагирования на кибератаки.

Diamond model

Модель была предложена в 2013 г. для анализа вторжений в инфраструктуру. Diamond model подразумевает разбиение атаки на базовые элементы — события, которые состоят из четырех компонентов:

• Злоумышленник — субъект или организация, атакующая жертву.
• Инфраструктура — физические или логические структуры, которые использует злоумышленник (IP-адреса, адреса электронной почты, зараженный USB-накопитель и др.).
• Возможность — инструменты и приемы атакующего.
• Жертва — цель злоумышленника, против которой используются уязвимости и связанные с ними возможности.

Связи между компонентами модели образуют алмаз (ромб) — отсюда и название метода.

Помимо четырех основных компонентов, можно использовать дополнительные:

• Временная метка — время, когда произошло событие.
• Фаза атаки — разделение на фазы помогает анализировать и группировать события (фазы берутся из модели Cyber kill chain).
• Результат — полученные злоумышленником результаты, которые он может использовать в последующих событиях.
• Направление — направленность события важна для определения вариантов предотвращения и средств обнаружения атаки (например, «от жертвы к инфраструктуре» или «от инфраструктуры к жертве»).
• Методология — описывает класс события (например, фишинговая атака или сканирование портов).
• Ресурсы — список ресурсов, которые требуются для успешной реализации события.

Эти компоненты используются для определения связей между событиями, что помогает выстроить сценарий атаки. Кроме того, модель подразумевает возможность использования расширенных событий (см. рис. 10), включающих:

• Технологии (объединяют инфраструктуру и возможность). Например, если ВПО использует протокол HTTP, то применяются интернет-протокол (IP), гипертекстовый транспортный протокол (HTTP) и система доменных имен (DNS).
• Социально-политические свойства (объединяют злоумышленника и жертву). Например, злоумышленник стремится к получению дохода или признанию в хакерском сообществе.

Формально событие представляется в виде кортежа E (см. рис. 11), в котором хранятся описанные выше свойства плюс одно дополнительное — уровень доверия. 

Анализ события происходит путем переходов по связям алмаза и обычно начинается с жертвы (см. рис. 12).

Этот подход используется для построения связей и выделения новых сущностей события путем последовательного анализа и дополнения. Отметим, что анализ может начинаться с любого компонента — не только с жертвы.

После проведения анализа связанные события можно объединить в поток действий для построения возможного сценария атаки (см. рис. 13). При этом используются фазы сценария из модели Cyber kill chain.

Использование фаз Cyber kill chain позволяет определить возможные меры противодействия атаке — с помощью матрицы плана действий. В свою очередь, потоки действий можно объединить в граф активности атак (см. рис. 14). Здесь выделяются как фактические, так и гипотетические сценарии, которые может реализовать злоумышленник.

Кроме того, в Diamond model можно формально группировать события и потоки действий в группы активностей по совпадающим свойствам (например, IP-адресу или MD5). 

• Группы активностей содержат как события, так и потоки действий.
• События и потоки в группе активности связаны не последовательностью выполнения, а общими признаками.

Процесс создания групп активностей состоит из следующих шагов:

1. Определяем аналитическую задачу, которую нужно решить с помощью группировки. Например:

• Какие события и потоки проводятся одним и тем же злоумышленником?
• Каковы его намерения?

2. Выбираем свойства события и связи, которые будут использоваться для классификации и кластеризации:

• Основные и дополнительные свойства, по которым происходит группировка.
• Схожие последовательности событий (на рис. 15: A → B → C).

3. На базе выбранных свойств и последовательности событий создаем группы активностей.
4. По мере поступления новых событий классифицируем их по группам активностей. 
5. Проводим анализ и решаем задачи, определенные на первом шаге.
6. При необходимости изменяем и дорабатываем группы активностей.

Методы моделирования атак на графах

В основе этих методов лежат графы, вершины которых обозначают сущности, а ребра — связи между ними.

Дерево атаки

Метод был формально описан в 1999 г.: сценарий атаки представляется в виде древовидной структуры, где корневая вершина — цель злоумышленника, а листья дерева — способы ее достижения.

В качестве примера возьмем описанную ранее фишинговую атаку с Mimikatz и дампом LSA-секретов.

Сеть Петри

Метод основан на математической модели, разработанной Карлом Петри в 1960-x для описания химических процессов. Сети Петри состоят из четырех элементов: множество позиций P, множество переходов T, входная функция I и выходная функция O.

Входная и выходная функции связаны с переходами и позициями:

• Входная функция I отображает переход T во множество позиций I(T) (входные позиции перехода). 
• Выходная функция O отображает переход P в множество позиций O(P) (выходные позиции перехода).

Сети Петри управляются путем распределения на диаграмме фишек, которые требуются для запуска переходов. Переход запускается, если каждая из его входных позиций имеет хотя бы одну фишку.

Кроме того, в сетях Петри можно реализовать логику AND/OR.

Опишем сеть Петри для фишинговой атаки с Mimikatz и дампом LSA-секретов.

Дерево отказов (неисправностей)

Метод был предложен в 1962 г. и по своей структуре похож на дерево атаки, к которому добавлены специальные блоки для принятия решений. Кроме того, события в дереве отказов делятся на разные типы.

Построим дерево неисправностей для нашего примера и определим конечное критическое событие.

Дерево событий

Метод был разработан в 1970-х и применялся на атомных электростанциях, химических заводах и при конструировании космических аппаратов. Он заменил деревья неисправностей, поскольку их диаграммы получались слишком большими и сложными.

В основе метода лежит определение начального события — первого существенного отклонения от нормальной ситуации, которое может привести к нежелательным последствиям.

Рассмотрим уже знакомую нам атаку. В дереве событий мы подсвечиваем разные действия злоумышленника, которые он может совершить для достижения цели.

Отмечу, что у этого подхода есть большой минус: он подразумевает определение и анализ только одного начального события, что не дает нам покрыть все возможные угрозы (особенно если они реализуются параллельно). Например, одной из причин аварии на АЭС «Фукусима-1» стало цунами, возникшее в ходе землетрясения: риск того, что эти события произойдут одновременно, не был учтен.

Дерево решений

Метод схож с «Деревом событий», однако в нем для описания действий и их связей применяются блок-схемы.

Построим дерево решений для нашего кейса (см. рис.12). Прямоугольные блоки — действия злоумышленника, а ромбы — условия, от исхода которых зависят дальнейшие действия.

Преимущества и недостатки у дерева решений такие же, как и у деревьев событий, — разница лишь в визуальном представлении.

Граф атаки

Этот метод основан на использовании семантических сетей, которые позволяют выстраивать логические цепочки и проводить параллели между схожими типами информации для описания сценария атаки.

Построим граф атаки для нашего примера (см. рис. 16).

***

Важно понимать, что ни один из рассмотренных нами подходов нельзя назвать универсальным, — выбор конкретного метода зависит от целей анализа, сложности сценария атаки и доступных ресурсов.

• Методы, основанные на сценариях использования, особенно полезны для построения обобщенного сценария атаки. Они фокусируются на представлении атаки через последовательность потенциальных действий злоумышленника, что упрощает их анализ и интерпретацию.
• Темпоральные методы позволяют учитывать время, последовательность событий, а также их взаимозависимость, что делает их незаменимыми при анализе сложных атак с параллельными действиями.
• Методы, основанные на графах, позволяют выстроить взаимосвязи между объектами и этапами атаки, поэтому подходят для многоступенчатых и комбинированных сценариев.