A sikeres kibertámadás egyik kulcsa, hogy meddig képes rejtve maradni a védelem előtt. A módszereket a Mandiant gyűjtötte össze. Tapasztalataikról a Biztonságportál készített összefoglalót. Az elsősorban forensic technológiákra szakosodott cég, melyet bő egy éve vásárolt fel a FireEye, mintegy fél évnyi kutatási anyagból vont le következtetéseket a legfontosabb trendekre vonatkozóan.

Az M-Trends 2015: A View From The Front Lines címen kiadott tanulmányban szakemberek számos veszélyforrásra hívták fel a figyelmet. Foglalkoznak többek között az alkalmazásvirtualizációs szerverek veszélyeivel, az adathalászattal, de a bankkártyák biztonságával is. Emellett külön fejezetet szenteltek egy mind gyakrabban tapasztalható támadási módszernek, amely a PowerShellrel épül, és amely a támadók hatékony rejtőzködését segíti.

És hogy miért fontos téma ez? A Mandiant felmérése szerint ma átlagosan a támadás megindításától számítva 205 nap telik el addig, amíg egy szervezet egyáltalán felfedezi, hogy támadják a rendszerét. Pedig 2013-as állapotokhoz képest óriásit javult a helyzet: két éve ugyanis még átlagosan 229 napra volt szükség ugyanehhez.

Rejtőzködés a PowerShell segítségével

Viszonylag új módszer, amely az elmúlt hónapokban egyre gyakrabban bukkan fel, hogy a támadásokhoz a PowerShellt és a WMI-t (Windows Management Instrumentation) használják. Az ok mindenekelőtt az – állítja a tanulmány –, hogy a Windows beépített lehetőségei kiváló eszközöket adnak a támadók kezébe ahhoz, hogy a lehető legkevesebb nyomot hagyják a rendszerekben.

Az már egyáltalán nem újdonság, hogy a hagyományos értelemben vett kártékony kódok mellett különféle legális rendszerösszetevők, alkalmazások is szerepet kapnak az incidensekben. Napjainkban is felterjednek azok az olyan támadások, amelyekben VBScripteket, egyszerű batch fájlokat, windowsos segédprogramokat – például a PsExec-et –, valamint "net", "at" stb. parancsokat használnak. Ezek az egyszerűen kivitelezhető módszerek, amiket ráadásul a biztonsági szoftverek sok esetben ártalmatlannak látnak. A Mandiant szerint ezeknek a támadásoknak van azonban egy gyenge pontjuk: sok nyomot hagynak, így forensic vizsgálatokkal viszonylag könnyen feltérképezhetők. Ezért vált egyre népszerűbbé a támadók körében a PowerShell és a WMI.

Komoly fegyver APT-re épülő támadásokhoz

Főleg a célzott, APT-re (Advanced Persistent Threat) épülő támadások során figyelhető meg, hogy a két Microsoft-megoldás nehézfegyverzetté válik a kiberbűnözők kezében. Az ilyen támadásoknál ugyanis a támadók célja a hosszú távú jelenlét fenntartása, amihez értelemszerűen nem használhatnak olyan kódokat, amelyeket esetleg egy víruskereső is észlelhet. Ezért támaszkodnak inkább az operációs rendszerekbe épített lehetőségekre.

A PowerShell növekvő népszerűségének például az az oka – magyarázta Ryan Kazanciyan, a Mandiant technológiai igazgatója –, hogy kódjai úgy is bejuttathatók a memóriába, majd lefuttathatók, hogy közben nem kerülnek a merevlemezre. Ez pedig csökkenti a feltárható bizonyítékok számát. A régebbi telepítésekre ez hatványozottan igaz Kazanciyan szerint, különösen ha a kódfuttatások naplózása sem következetes.

A WMI-vel pedig távolról csatlakozhatnak a rendszerekhez, módosíthatják a regisztrációs adatbázist, hozzáférhetnek a naplóállományokhoz, és ami a legfontosabb, parancsokat adhatnak ki. A módszer azért rendkívül veszélye, mert a bejelentkezési eseményen kívül a távoli WMI parancsok nagyon kevés nyomott hagynak – hívta fel a figyelmet a technológiai igazgató.

Ahhoz, hogy a megcélzott rendszerekhez illetéktelenek is kapcsolódhassanak, szükségük van hozzáférési adatokra. A szükséges adatok megszerzésében is vannak új trendek. Korábban ehhez főleg hagyományos kémprogramokat, adatlopó eszközöket használtak. A Mandiant szerint azonban gyakoribb, hogy a kiberbűnözők például a biztonsági tesztelésekhez kifejlesztett Mimikatz programot használják, ami jelszavak, hash-ek, illetve Kerberos jegyek megkaparintására is alkalmas. Csakhogy a Mimikatz tevékenységét a víruskeresők általában nem kifogásolják.

Egyre gyakoribbak az NTLM-hashekkel való (pass-the-hash típusú) visszaélések, amik során szintén a Mimikatz kapja a főszerepet. Noha a kutatók szerint a Microsoft a Windows 8.1 és a Windows Server 2012 R2 esetében e technikák ellen tett védelmi lépéseket, a tapasztalat azt mutatja, hogy a célkeresztbe állított rendszerek esetében még a Windows 7, illetve a Windows Server 2008 (vagy az azokkal kompatibilis tartományi környezetek) dominálnak. (A problémára a Buhera Blog egyébként már jó két éve felhívta a figyelmet.)

A fenti támadások ellen csak összetett módszerekkel lehet védekezni. Egyre fontosabbá válik például a valós idejű monitorozás, a korszerű naplózás és naplóelemzés, valamint a rendszerekben bekövetkező szokatlan események jelzésére alkalmas rendszerek használata.

A Mandiant teljes tanulmányát egy kattintásnyira tölthetik le.