O organizatie poate fi tinta directa a unui atac cibernetic sau poate fi victima colaterala a unei campanii mai ample. Pentru a executa atacul, actorii malitiosi pot folosi tool-uri generice, gratuite si deja disponibile sau “arme” cumparate de pe Dark Web sau dezvoltate special pentru a exploata o anumita vulnerabilitate.
Indiferent de aceste aspecte, atacurile cibernetice au in comun cateva etape. Unele dintre acestea isi vor indeplini obiectivele, altele vor fi blocate de catre sistemele de securitate ale organizatiei. Intelegerea acestor etape vor ajuta organizatia, inginerii de securitate si managerii de tip CISO/CIO sa isi planuiasca mai bine strategia de aparare in contextul amenintarilor cibernetice actuale si viitoare si sa isi distribuie mai atent resursele (umane, financiare, tehnologice) avute la dispozitie pentru a implementa masurile de protectie corecte.
Etapele unui atac
Un atacator, mai ales unul de tipul ATP (Advanced Persistent Threat) poate executa un atac in care etapele sunt repetate. Atacatorul doreste sa testeze rezistenta masurilor de protectie si sa descopere eventuale slabiciuni care pot fi exploatate si care il pot aduce mai aproape de obiectivul sau.
Cele mai comune 4 etape ale unui atac sunt:
- etapa de recunoastere: culegerea si analizarea informatiilor despre victima pentru a gasi potentiale vulnerabilitati
- etapa de livrare: atacatorul ajunge intr-un punct in care poate sa exploateze o vulnerabilitate prin livrarea unui payload malitios
- etapa de compromitere: exploatarea activa a unei vulnerabilitati cu scopul de a castiga acces la un sistem sau de a compromite un utilizator
- etapa de indeplinire a obiectivelor: executarea de activitati/procese/task-uri pe sistemul compromis pentru atingerea obiectivului
Etapa de recunoastere
Atacatorii vor folosi orice mijloace avute la dispozitie prin care sa afle informatii care sa le deserveasca ca punct de start pentru lansarea unui atac asupra unei persoane sau asupra unei organizatii.
Surse de informatii care pot fi exploatate:
- OSINT (Open Source Intelligence): retelele de socializare (Facebook LinkedIn, Twitter, Instagram), site-uri web, motoare de cautare
- Tehnici de inginerie sociala: de exemplu, impersonarea unui coleg din departamentul IT pentru a convinge utilizatorul sa divulge informatii confidentiale; in general se exploateaza naivitatea si buna-vointa utilizatorului de a ajuta
- Tehnici de enumerare prin tool-uri ca NMAP, Metasploit sau Nessus prin care se urmareste identificarea porturilor si a serviciilor expuse in Internet sau vulnerabilitati de sistem
Etapa de livrare
In etapa de livrare, atacatorul pregateste modul prin care sa poata livra payload-ul malitios prin exploatarea unei vulnerabilitati identificate in etapa de recunoastere:
- trimiterea unui email care contine un link catre un site care contine malware sau care contine un atasament malitios
- executarea unui atac de tipul “USB Drop” prin care se imprastie un numar de stick-uri USB infectate cu malware intr-o parcare, intr-un mall sau intr-un campus universitar cu scopul ca victima sa conecteze acel stick la calculator; este o metoda de livrare a payload-ului incredibil de eficienta, chiar si Pentagonul cazand victima acestui tip de atac
- impersonarea unui site legitim, dupa care se incearca redirectionarea utilizatorului catre un site aflat sub controlul atacatorului
Etapa de compromitere
O data ce payload-ul malitios a ajuns pe un sistem sau in interiorul unei retele, impactul sau asupra organizatiei poate sa insemne:
- obtinerea de privilegii de administrator care sa ii permita sa execute task-uri avansate sau conectarea pe alte sisteme mai critice (privilege escalation)
- obtinerea credentialelor de acces la anumite resurse sau conturi
- contactarea unui server de Command and Control de-al atacatorului cu scopul de a descarca malware aditional
- propagarea laterala a malware-ului pentru a compromite si alte sisteme cu aceeasi vulnerabilitate
Etapa de indeplinire a obiectivelor
In functie de agenda atacatorului, obiectivele acestuia pot fi diverse. De cele mai multe ori, atacatorul va dori sa aiba o conexiune persistenta cu sistemul compromis pentru a avea acces neingradit. Instalarea unui program de tipul “backdoor” va oferi aceasta conexiune, si va ajuta atacatorul sa nu fie detectat de catre masurile de monitorizare a activitatii si de protectie (cum ar fi un antivirus) implementate pe sistemul compromis. Astfel de atacuri, numite si APT, pot dura luni sau ani de zile pana cand sa fie detectate si eliminate. In acest timp atacatorii pot sa:
- exfiltreze informatii care altfel ar fi inaccesibile: date de contact, fisiere confidentiale, informatii de tipul proprietate intelectuala, planuri despre un produs inca nelansat in piata, informatii despre clientii organizatiei
- modifice plati sau tranzactii bancare in beneficiul lor; daca nu sunt detectate la timp, astfel de activitati pot sa genereze pierderi financiare imense pentru organizatie. Nici autoritatile nu vor avea cum sa intervina pentru remediere in astfel de situatii.
- lanseze atacuri asupra altor organizatii folosind sistemele compromise intr-o retea de tipul botnet
- provoace stricaciuni prin atacuri de tip ransomware sau Denial of Service
O data atinse obiectivele propuse, atacatorul poate sa paraseasca sistemul, inlaturand cu grija orice dovada a prezentei sale. Sau pot mentine acea conexiune de tip backdoor, cu speranta ca in timp nu va fi detectat si ca va putea reaccesa sistemul la o data ulterioara. La fel de bine, atacatorul poate sa isi semnaleze prezenta, “marcandu-si” astfel teritoriul si anuntandu-si succesul, provocand stricaciuni cat mai mari asupra organizatiei.
Pentru ca intotdeauna preventia este mai buna decat tratamentul, inginerii Dendrio recomanda ca organizatiile sa foloseasca solutii de securitate de nivel Enterprise cum sunt cele oferite de Cisco.
Primele semne ale atacului pot fi detectate folosind sisteme de IPS care detecteaza etapa de recunoastere folosind semnaturi de trafic (port scan, ping sweep, os fingerprinting). Etapa de livrare poate fi combatuta, de exemplu, prin inspectarea URL-urilor si a fisierelor incluse in mesajele de tip email sau printr-o protectie la nivel de DNS. Etapele de compromitere si de indeplinire a obiectivelor pot fi blocate daca pe endpoint-urile utilizatorilor se instaleaza o solutie de endpoint protection care sa monitorizeze fisierele deschide, procesele rulate, conexiunile de retea catre servere malitioase din Internet. Ceea ce rezulta din aceste masuri de protectie este ca organizatiile trebuie sa isi organizeze securitate pe mai multe nivele (defense in depth) si nu trebuie sa se axeze doar pe o anumita componenta (firewall, antivirus sau sistem IPS). Mai mult, pentru a avea o imagine globala asupra evenimentelor de securitate si pentru a le putea combate cat mai rapid si eficient, chiar in mod automat, masurile de securitate implementate trebuie sa se poate integra unele cu celelalte, creand un ecosistem care protejeaza organizatiile in fata amenintarilor cibernetice.
Mihai Dumitrascu, Sr Systems Engineer