По словам Алексея Лукацкого, начиная с прошлого финансового года ИБ стала одним из ключевых направлений деятельности Cisco, будучи актуальной в любой сфере присутствия компании: будь то сетевое оборудование, унифицированные коммуникации, решения для ЦОД, облака, виртуализация, IoT. Поэтому в 2014 году в компании было сформировано исследовательское подразделение Cisco Talos, которое включило в себя специалистов из ранее разрозненных групп - отделов самой Cisco и приобретенных ею компаний: Sourcefire, Cognitive Security, Neohapsis, и др. Единый сервис Cisco Talos продолжает заниматься исследованиями, в том числе выпускать отчеты по ИБ, демонстрирующие все важнейшие изменения в области. Объем данных, проходящих через инструменты аналитики Cisco, составляет около 19 млрд угроз в день.
Для сбора статистики и анализа угроз было создано подразделение Cisco Talos
За последние полгода аналитики компании обратили внимание на изменчивость поведения злоумышленников и тех инструментов (вредоносного кода), которые они используют. В четырех словах это можно выразить так: скорость, ловкость, адаптация и уничтожение.
Под скоростью понимается и быстрота разработки, и адаптация к мерам защиты. Так, эксплойт-набор Angler использует огромное количество методов проникновения в компьютерные сети. Традиционные механизмы защиты, которые используют государственные корпоративные заказчики, - это блокирование веб-трафика, IP-адресов, сканирование электронной почты, антивирусы и другие механизмы защиты конечных устройств. Чтобы их обойти, злоумышленники используют самые различные технологии: например, сайты-однодневки (теневые домены) или регулярную смену IP-адресов тех узлов, с которых либо дают управляющие команды, либо куда направляется украденная информация. Таким образом злоумышленник, по сути, остается незамеченным для средств защиты: они блокируют устаревшие файлы, которые злоумышленник уже не использует. Другие особенности Angler – шифрование тела вредоносного кода, а также различные технологии социального инжиниринга, применяемые для распространения вредоносного кода.
Angler проникает в компьютерные сети разными способами
Angler довольно успешно скрывается от средств защиты, которые сканируют сайты в поисках вредоносного кода. В частности, для обмана сканирующего «паука» на страницах многих сайтов с вредоносным кодом в теле страницы были размещены скрытые фрагменты романов Джейн Остин, Льва Толстого и др.
Из увеличившейся скорости действий вредоносного кода проистекает проблема несвоевременной установки патчей, выявленная Cisco у многих представителей бизнеса. Временной зазор между обновлениями дает злоумышленникам время для активности. «Пользователь становится все менее подкованным в области использования технологий, - делает вывод спикер. - Отчасти потому, что технологии становятся проще и становятся удобнее в использовании, пользователь тратит меньше времени на более глубокое их изучение». С этим связано то, что сегодня вновь набирают популярность эксплойт-программы, использующие уязвимости Adobe Flash (например, тот же Angler и Nuclear): Common Vulnerabilities and Exposure (CVE) в первой половине 2015 года зафиксировала на 66% больше случаев использования уязвимостей Adobe Flash Player, чем за весь 2014 год.
Вредоносный код Rombertik, обнаруженный в конце 2014 года, отличается активными попытками уйти от обнаружения, в частности, от средств sandbox. Злоумышленники научились определять, что их вредоносный код запускают в «песочницу». Для ее обхода Rombertik создавал около миллиарда инструкций работы с памятью, засоряя память, и программа попросту не справлялась с таким объемом данных.
Особенности Rombertik
В отличие от многих других вирусов, ориентированных на кражу финансовых данных, Rombertik крадет все, что удастся, и при том, когда он определит, что его пытаются вылечить, может уничтожить все данные. С помощью технологий «антианализа», как только вредоносный код обнаруживает вмешательство в свою работу, он перезаписывает загрузочную запись компьютера (MBR, master boot record) и автоматически перезагружает его. Интересно, что нарушениями MBR активно пользовались вирусы в 90-х годах на самых первых ОС. Возрождение интереса злоумышленников к ним связано с тем, что многие антивирусные средства с недавнего времени перестали отслеживать работу с MBR.
Вредоносные продукты значительно расширили технологии защиты от обнаружения. В частности, некоторые вирусы стали использовать кириллицу, чтобы обойти защиту программ, ориентированных на восприятие только английского текста. Киберпреступники с успехом используют и традиционные уязвимости программных продуктов: ошибки работы с буфером, проверки ввода, утечки информации, контроля доступа, управления ресурсами. Например, на некоторых сайтах в поле для ввода номера паспорта или кредитной карты можно ввести исполняемый код программы. Алексей Лукацкий выразил мнение, что небольшие компании-разработчики софта не всегда работают с технологиями защищенного программирования (SDLC), либо просто хотят поскорее выпустить продукт на рынок, при этом вопросы безопасности уходят на второй план.
В 2014-15 годах выявлено развитие рекламного ПО (adware), которое, например, может отправлять персональные данные пользователя владельцам программы. Плагин Adware Multiplug, который можно скачать бесплатно с соответствующего сайта, постоянно меняет свое название: за полгода обнаружено более 4000 наименований одного и того же программного кода. Средство защиты может его обнаружить и заблокировать, но злоумышленники регулярно меняют домены, к которым обращаются плагины, установленные на компьютер скомпрометированного пользователя, а также и схему кодирования URL.
Новая схема кодирования Adware Multiplug приносит плоды
«Понятно, что злоумышленникам, чтобы постоянно обновлять вредоносный код, нужна целая индустрия теневого ПО. Это огромное количество сайтов, форумов, где нанимают на работу программистов. Те, как правило, разрабатывают фрагмент кода, который затем собирается с другими и составляет вредоносную программу или даже кампанию. По нашим оценкам, оборот теневого рынка вырос от 450 млрд до 1 трлн долларов в год. Компаниям в одиночку становится очень сложно бороться с ним», подытожил спикер.
Вызывают много вопросов множественные уязвимости свободного ПО (OpenSource). Многие разработчики, чтобы сократить время на разработку своего продукта, используют чужие библиотеки, которые зачастую на соответствуют требованиям SDLC. Так, была выявлена уязвимость Heardbleed в популярнейшей библиотеке OpenSSL. Известны также уязвимости Poodle, Shellshock, Freak, Venom и т. д. За последние полгода было совершено огромное количество попыток внести изменение в ПО OpenSource. Разработчики пытаются устранять уязвимости, но, поскольку это делается на волонтерских началах, вопросам безопасности уделяется мало внимания.
Оказалось, что из 10 продуктов, сертифицированных по линии ФСТЭК (ОС на базе Linux с OpenSSL, ряд VPN-продуктов и межсетевых экранов), которые имели уязвимости, в половине случаев поставщики отказались их исправлять: либо не было нет денег, либо - специалистов, которые могли бы разобраться в чужом коде. «Потребителям нужно больше задумываться над тем, использовать ПО за деньги (с инвестициями в защищенную разработку и готовностью обновлять продукт по мере обнаружения уязвимостей), либо OpenSource со всеми его достоинствами и недостатками», - сделал вывод Алексей Лукацкий.
Хакерам вольно живется в анонимных сетях
Эволюция коснулась и программ-вымогателей (Ransomware, криптолокеры). Сегодня злоумышленники меняют криптографию, используя более длинные ключи или свой ключ для каждой копии. Практически все они стали использовать анонимные сети tor («темный Интернет»), где трудно отследить получателя денег, а выкуп требуют в криптовалюте (биткоинах и др). Правоохранительным органам бороться с обитателями анонимных сетей практически невозможно. При этом злоумышленники даже проводят маркетинговые исследования своей «аудитории», например, выпуская специальные версии криптолокеров на разных языках. Они выявили порог, больше которого пострадавший не будет платить. Для рынка за пределами РФ это 300-500 долларов, в России же, предположительно, 5-10 тыс. рублей. «Злоумышленники далеко не всегда оставляют своих жертв. Бывает, что авторы вредоносного кода после оплаты расшифровывают жесткий диск, потом заново его блокируют и т. д., как бы устанавливая «абонентскую плату». Самое неприятное, что пользователям проще заплатить 10 тыс. рублей, чем пытаться обращаться к специалистам за расшифровкой, а тем более в правоохранительные органы, где много времени уйдет на расследования», - констатирует бизнес-консультант Cisco.
Следующая тенденция была замечена в вирусных кампаниях Dridex: там применяются «устаревшие» методы, например, макровирусы. После того, как в середине 2000-х годов Microsoft усовершенствовал работу с макросами, многие средства защиты перестали работать с ними. Макровирусы распространяются в файлах MS Office, рекомендуют пользователю включить работу с макросами, и, если им это удается, устройство получает вредоносный код. В Dridex кампании с рассылками вредоносного кода делаются каждые 6-8 часов – с тем расчетом, что, когда их обнаружат, будет запущена новая кампания. За полгода подразделение Cisco отследило около 850 уникальных образцов рассылок Dridex, направленных на кражу банковских реквизитов и другой конфиденциальной информации.
Что касается отраслевой привязки, на первое место по риску выходит электронная промышленность (ИТ). Это различная конфиденциальная информация, исходные коды программ, которые затем можно продать или получить за них выкуп. Активно идут атаки на индустриальные предприятия и на компании, которые занимаются профессиональными услугами – адвокаты, консультационные компании и т. д., - на ценную информацию, не подлежащую разглашению.
География распространения кибератак
По географической привязке лидирует Гонконг – там огромное количество зараженных сайтов. Россия по этому показателю находится ниже среднего значения, однако по объему спама за полгода ее показатель вырос вдвое.
Среднее время обнаружения и распознавания вредоносного кода сегодня составляет около 200 дней (меняется в зависимости от вендора решения по ИБ). В Cisco Talos этот срок сокращен до 46 часов, но компания считает его все равно критично большим.
Вторую часть материала, посвященного отчету Cisco, см. здесь.
Главное, – атаки становятся все «умнее» и сложнее. Все большую «популярность» приобретают и целенаправленные кампании. Связанно это с тем, что современные средства информационной безопасности прекрасно работают с массовыми атаками, но недостаточно эффективно противостоят тем, что направлены на конкретную организацию.
Инструментарий «стандартных атак» стал доступнен как по цене, так и по удобству использования, даже появился такой термин: Cybercrime-as-a-Service. Все это привело к тому, что киберпреступления стали массовым явлением.
Пока по количеству нападений с большим отрывом лидируют финансовые организации. Причем злоумышленники в основном атакуют не сами банки, а их клиентов, ведь те меньше всего защищены, и увод денег клиента – это чаще всего не проблема банка, а значит, такие инциденты хуже расследуются. На второй строчке - атаки на веб-сервисы, прежде всего на онлайн-магазины. На третьем месте - охота за учетными записями пользователей. А вот на четвертой строке появилось такое явление как хактивизм. И если на Западе он стал реальной проблемой еще несколько лет назад (Anonymous, WikiLeaks уже стали известными «брендами») то у нас это только начинается, но растет очень быстро и скоро может стать реальной проблемой.