WedÅ‚ug badaÅ„ przeprowadzonych w Europie i Stanach Zjednoczonych, pracownicy firm tracÄ… do 30% swojego czasu pracy na prywatne sprawy. Mnożąc liczbÄ™ godzin spÄ™dzanych na wykonywaniu czynnoÅ›ci niezwiÄ…zanych z pracÄ… przez Å›redni koszt godziny roboczej, analitycy oszacowali, że firmy tracÄ… z tego tytuÅ‚u miliony dolarów rocznie. Straty poÅ›rednie mogÄ… być jeszcze wyższe. Jeżeli tacy pracownicy - nieumyÅ›lnie bÄ…dź nie - pomagajÄ… w przeprowadzeniu ataków hakerskich i kradzieży tożsamoÅ›ci, szkodzÄ… reputacji lub naruszajÄ… prawo autorskie, koszty te mogÄ… być nawet wyższe.      

Pracownicy często wykorzystują komputery biurowe, aby komunikować się za pośrednictwem portali społecznościowych, udostępniać odsyłacze do rozrywki online lub pobierać pliki z podejrzanych zasobów. Jednocześnie, portale społecznościowe są aktywnie wykorzystywane przez cyberprzestępców do przeprowadzania ataków phishingowych i rozprzestrzeniania szkodliwego oprogramowania. Wiele prywatnych blogów, stron oferujących rozrywkę oraz serwisów współdzielenia plików, serwisów śledzenia torrentów oraz pobieranych z nich plików jest zainfekowanych szkodliwym oprogramowaniem. Hasła do kont e-mail są regularnie łamane i kradzione.

ArtykuÅ‚ ten opisuje kilka problemów, jakie mogÄ… wyniknąć z niewÅ‚aÅ›ciwego wykorzystywania komputerów biurowych, i pokazuje, w jaki sposób można zapobiec podobnym incydentom w sieci korporacyjnej.  

Ataki ukierunkowane

Zagrożenia, z jakimi sykajÄ… siÄ™ użytkownicy każdego dnia, zwykle sÄ… przeznaczone dla "odbiorców" masowych, dlatego zainstalowane na ich komputerach rozwiÄ…zanie antywirusowe w zupeÅ‚noÅ›ci poradzi sobie z odparciem wiÄ™kszoÅ›ci ataków. Inaczej jest w przypadku ataków ukierunkowanych: sÄ… przeprowadzane ukradkiem, czÄ™sto z zastosowaniem niestandardowego podejÅ›cia; sÄ… niezwykle wyrafinowane i dobrze zorganizowane. W celu osiÄ…gniÄ™cia swoich celów oszuÅ›ci stosujÄ… najskuteczniejszÄ… broÅ„, przy pomocy której mogÄ… wykorzystać istniejÄ…ca lukÄ™ w oprogramowaniu lub portalu spoÅ‚ecznoÅ›ciowym.    

Socjotechnika

W 2009 roku ponad 20 najwiÄ™kszych firm z branży oprogramowania, takich jak Google, Adobe, Juniper oraz Yahoo, padÅ‚o ofiarÄ… ataku ukierunkowanego Operation Aurora. W jednej z odmian tego ataku pracownicy firmy zostali zwabieni na szkodliwe strony za poÅ›rednictwem portali spoÅ‚ecznoÅ›ciowych i komunikatorów internetowych. Przy pomocy socjotechniki oszuÅ›ci zapoznawali siÄ™ ze swoimi potencjalnymi ofiarami, zdobywali ich zaufanie i robili wszystko, co niezbÄ™dne, aby zmusić swoje ofiary do klikniÄ™cia odsyÅ‚acza. DoÅ›wiadczenie pokazuje, że w tym celu wystarczy:       

1. Zebrać z portali społecznościowych powszechnie dostępne informacje na temat użytkownika, jego zainteresowań, preferencji i kontaktów;
2. Stworzyć konto w oparciu o zainteresowania ofiary i jej dane osobowe (rok i miejsce urodzenia, szkoła, uczelnia wyższa);
3. Zostać "przyjacielem" osób z listy kontaktów ofiary;
4. Skontaktować się z ofiarą przy pomocy stworzonej wcześniej "przykrywki".

Gdy konto zostanie tak precyzyjnie przygotowane, istnieje duża szansa, że potencjalne ofiary kliknÄ… podejrzany odsyÅ‚acz. Jeżeli ofiara nie chwyci przynÄ™ty, oszust może zastosować bardziej wyrafinowany chwyt, wÅ‚amujÄ…c siÄ™ na konto użytkownika, do którego ofiara ma peÅ‚ne zaufanie, i wysyÅ‚ajÄ…c stamtÄ…d odsyÅ‚acze. CzÄ™sto nie jest to wcale trudne, szczególnie gdy zaufane kontakty ofiary obejmujÄ… potencjalnie podatne na wykorzystanie kategorie użytkowników - osoby starsze, dzieci i mÅ‚odzież.    

W ataku ukierunkowanym odsyÅ‚acz zazwyczaj prowadzi ofiarÄ™ na stronÄ™, która zawiera zestaw exploitów 0-day pozwalajÄ…cych przestÄ™pcom uzyskać dostÄ™p do podatnych na ataki komputerów. Nie ma wÄ…tpliwoÅ›ci, że komunikujÄ…c siÄ™ za poÅ›rednictwem portali spoÅ‚ecznoÅ›ciowych z komputera firmowego, pracownicy mogÄ… nieÅ›wiadomie pomóc hakerom przeniknąć do sieci korporacyjnej.   

Ataki typu "Watering Hole"

Niemniej groźne od ataków ukierunkowanych za poÅ›rednictwem portali spoÅ‚ecznoÅ›ciowych sÄ… ataki typu "Watering Hole". Ataki te polegajÄ… na zidentyfikowaniu i zainfekowaniu stron, które sÄ… najczęściej odwiedzane przez pracowników firmy. Ostatnio zainfekowana zostaÅ‚a strona amerykaÅ„skiego ministra pracy, przypuszcza siÄ™ jednak, że prawdziwym celem ataku byÅ‚ Departament Energii: przestÄ™pcy próbowali zainfekować komputery pracowników Departamentu Energii, którzy regularnie odwiedzali stronÄ™ Ministerstwa Pracy.    

Gdy pracownik atakowanej firmy otwiera zainfekowanÄ… stronÄ™, zaimplementowany na stronie kod ukradkowo przekierowuje przeglÄ…darkÄ™ na szkodliwÄ… stronÄ™, która zawiera zestaw exploitów 0-day. Umieszczone na zainfekowanych stronach internetowych szkodliwe oprogramowanie, np. skrypt serwera, czÄ™sto dziaÅ‚a w sposób selektywny, tak aby zaimplementować szkodliwy kod na stronach wysyÅ‚anych do użytkownika, który jest najistotniejszÄ… osobÄ… dla atakowanej firmy. DziÄ™ki temu oszuÅ›ci mogÄ… ukryć atak ukierunkowany przed firmami antywirusowymi i ekspertami z dziedziny bezpieczeÅ„stwa IT.  

OszuÅ›ci próbujÄ… infekować zaufane, legalne strony. W takich przypadkach nawet gdy użytkownicy muszÄ… wykonać dodatkowe kroki w celu uruchomienia exploita - wÅ‚Ä…czyć JavaScript, zezwolić na wykonywanie appleta Javy w celu potwierdzenia wyjÄ…tku w polityce bezpieczeÅ„stwa itd. - istnieje możliwość, że nieÅ›wiadomie kliknÄ… "Zezwól" oraz "Potwierdź". 

Ochrona

Nie ma wÄ…tpliwoÅ›ci, że użytkownicy odgrywajÄ… ważnÄ… rolÄ™ w atakach ukierunkowanych - niechcÄ…co pozwalajÄ… oszustom zaatakować system. Niestety, obecnie nie istnieje żadna technologia, która mogÅ‚aby wyeliminować bÅ‚Ä…d ludzki w dziedzinie ochrony sieci korporacyjnej. Jednak wzmocnienie polityk bezpieczeÅ„stwa kilkoma istotnymi technologiami zapewnia skutecznÄ… ochronÄ™ przed atakami ukierunkowanymi poprzez zwalczanie ich na każdym etapie - od pierwszej próby wykorzystania luki po próby naruszenia bezpieczeÅ„stwa sieci. 

Ochrona przed exploitami

Ponieważ ataki ukierunkowane wykorzystujÄ… unikatowe szkodliwe oprogramowanie, wykrywanie oparte na sygnaturach nie wystarczy do zidentyfikowania wykorzystywanego niebezpiecznego kodu. Jednak programy antywirusowe od dawna posiadajÄ… do swojej dyspozycji szerszy arsenaÅ‚ broni niż samo wykrywanie oparte na sygnaturach. Technologia automatycznej ochrony przed exploitami, która wykorzystuje mechanizmy DEP i ASLR, metody analizy heurystycznej oraz kontrola kodu wykonywalnego, potrafiÄ… zablokować uruchomienie niebezpiecznego kodu, gdy wykorzystuje on lukÄ™ 0-day.       

Gdyby oszustom udało się zaatakować system - za pośrednictwem exploita lub szkodliwego oprogramowania uruchomionego przez użytkownika - kontrola ruchu sieciowego oraz kontrola aplikacji pomoże zapobiec dalszej penetracji sieci korporacyjnej.

Kontrola ruchu sieciowego

Po tym, jak szkodliwy kod (trojan lub kod powłoki exploita) przedostanie się do systemu, zazwyczaj próbuje wykonać następujące działania (jedno lub więcej):

• ustanowić poÅ‚Ä…czenie z centrum kontroli (poÅ‚Ä…czenie wychodzÄ…ce),
• otworzyć porty dla poÅ‚Ä…czeÅ„ przychodzÄ…cych,
• pobrać dodatkowe moduÅ‚y,
• zaimplementować szkodliwy kod w innych procesach w celu utrzymania poÅ‚Ä…czenia z centrum kontroli,
• zebrać informacje dotyczÄ…ce sieci, jej systemów oraz użytkowników,
• wysyÅ‚ać zebrane informacje (adresy IT, nazwy i konta komputerów, loginy, hasÅ‚a itd.) do serwera oszustów.

Po poÅ‚Ä…czeniu siÄ™ z systemem oszuÅ›ci próbujÄ… zebrać informacje o nim oraz o sieci korporacyjnej, w której zlokalizowany jest komputer. W celu zebrania informacji lokalnych oszuÅ›ci nie potrzebujÄ… dodatkowych przywilejów - lista uruchomionych procesów, zainstalowanego oprogramowania i Å‚at, poÅ‚Ä…czonych użytkowników itd. może zostać dość Å‚atwo znaleziona. Informacje dotyczÄ…ce sieci korporacyjnej - wyszukiwanie innych podatnych na ataki systemów, systemy ochrony, foldery współdzielone, usÅ‚ugi sieciowe, serwery itd. - sÄ… zbierane przy użyciu specjalnych skryptów i narzÄ™dzi potrafiÄ…cych zamaskować swojÄ… aktywność oraz obejść systemy bezpieczeÅ„stwa. Wszystkie te informacje sÄ… wysyÅ‚ane cyberprzestÄ™pcom za poÅ›rednictwem internetu do analizy, zanim zostanie przygotowany kolejny etap ataku.           

Przy użyciu technologii kontroli ruchu sieciowego (zapora sieciowa, IPS / IDS) administratorzy systemu oraz specjaliści ds. bezpieczeństwa IT mogą nie tylko zablokować niebezpieczną aktywność sieciową, ale również wykryć wszelkie przypadki włamania do sieci korporacyjnej. Zapora sieciowa oraz IPS / IDS potrafią:

• Zablokować poÅ‚Ä…czenia przychodzÄ…ce i wychodzÄ…ce
  • wedÅ‚ug portu,
  • wedÅ‚ug nazwy domeny i adresu IP,
  • wedÅ‚ug protokoÅ‚u;
• Wygenerować analizÄ™ statystycznÄ… ruchu (Net flow) w celu zidentyfikowania anomalii;
• Zebrać podejrzany ruch sieciowy do dalszej analizy;
• Wykrywać/blokować:
  • polecenia wychodzÄ…ce lub podobne dane wyjÅ›ciowe wysyÅ‚ane za poÅ›rednictwem internetu,
  • pobrane z internetu podejrzane pliki (dodatkowe moduÅ‚y szkodliwego oprogramowania),
  • transmisje poufnych informacji (adresy IP, loginy, nazwy komputerów, dokumenty korporacyjne, numery kart kredytowych itd.).

Zapora sieciowa oraz IPS / IDS potrafiÄ… wykrywać anomalie w sposobie interakcji wÄ™złów sieci, jak tylko szkodliwy kod bÄ™dzie próbowaÅ‚ skontaktować siÄ™ z centrum kontroli, lub aktywnie skanować sieć korporacyjnÄ… w poszukiwaniu innych systemów, otwartych portów, współdzielonych folderów itd. To wykrywanie anomalii pozwala ekspertom IT szybko zareagować na zagrożenie, zapobiegajÄ…c dalszej penetracji, która mogÅ‚aby naruszyć bezpieczeÅ„stwo sieci korporacyjnej.      

Kontrola aplikacji

Po uzyskaniu dostÄ™pu do atakowanego systemu cyberprzestÄ™pcy dążą do skonsolidowania swojego sukcesu: do systemu pobierane sÄ… dodatkowe moduÅ‚y i narzÄ™dzia, a szkodliwy kod zapewniajÄ…cy poÅ‚Ä…czenie z centrum kontroli jest czÄ™sto wÅ‚Ä…czany do zaufanych procesów, takich jak .exe, csrss.exe, smss.exe itd. 

Kontrola aplikacji może zablokować uruchomienie i pobranie niezaufanych programów i modułów z zestawu hakerskiego oszusta, a polityki HIPS należy stosować w celu zablokowania niestandardowego - i potencjalnie niebezpiecznego - zachowania ze strony legalnego oprogramowania. Na przykÅ‚ad, przeglÄ…darki nie powinny otwierać portów dla poÅ‚Ä…czeÅ„ przychodzÄ…cych, procesów systemowych (explorer.exe, csrss.exe, smss.exe itd.), a inne aplikacje (calc.exe, notepad.exe itd.) nie powinny być podÅ‚Ä…czane do zewnÄ™trznych serwerów i rozprzestrzeniać szkodliwego kodu do innych zaufanych procesów - takie zachowanie powinno być zakazane.      

Aby uniemożliwić przestępcom przejęcie kontroli nad systemem, specjaliści ds. bezpieczeństwa IT powinni:

• uniemożliwić zaufanym lub potencjalnie podatnym na ataki programom zaimplementowanie kodu w innych procesach,
• ograniczać dostÄ™p aplikacji jedynie do krytycznych zasobów systemowych i plików;
• blokować potencjalnie niebezpieczne funkcje, które nie stanowiÄ… funkcji domyÅ›lnej aplikacji (dostÄ™p sieciowy, instalacja sterowników, tworzenie zrzutów ekranu, dostÄ™p do kamery sieciowej lub mikrofonu itd.).

Systemy wymagajÄ…ce najwyższego poziomu ochrony powinny być chronione przy użyciu trybu domyÅ›lnej odmowy (ang. Default Deny), blokujÄ…cego uruchomienie dowolnego programu, który nie znajduje siÄ™ na biaÅ‚ej liÅ›cie przechowywanej lokalnie lub w chmurze.   

Szyfrowanie plików

Jeżeli oszuÅ›ci przejmÄ… kontrolÄ™ nad systemem i wniknÄ… do sieci korporacyjnej, mogÄ… próbować znaleźć i przesÅ‚ać ważne pliki, które zawierajÄ… cenne informacje:  

• dokumenty firmowe, w tym polityki bezpieczeÅ„stwa,
• pliki zawierajÄ…ce dane uwierzytelniajÄ…ce,
• pliki konfiguracyjne,
• kody źródÅ‚owe,
• klucze prywatne.

Informacje te można znaleźć na głównej maszynie ofiary jak również w otwartych folderach sieciowych w innych systemach. Aby zapobiec wyciekowi poufnych danych, specjaliÅ›ci ds. bezpieczeÅ„stwa IT powinni wykorzystywać szyfrowanie pliku/dysku, które może ograniczyć lokalny dostÄ™p do poufnych (chronionych) informacji. Dane sÄ… również przesyÅ‚ane w formie zaszyfrowanej. Nawet jeÅ›li przestÄ™pcom uda siÄ™ coÅ› pobrać, nie bÄ™dÄ… mogli odczytać zawartoÅ›ci zaszyfrowanych plików.   

Polityki dotyczące bezpieczeństwa

Żadna z wyżej wymienionych technologii nie jest w stanie sama skutecznie zapobiegać atakom ukierunkowanym. Ochrona sieci korporacyjnej wymaga dobrej integracji i dokładnego dostrojenia wszystkich tych technologii.

Jednak administratorzy systemu i specjaliści ds. bezpieczeństwa IT powinni również wykorzystywać administracyjne środki ochrony:

• Edukacja użytkowników: wszyscy użytkownicy muszÄ…:
  • znać i stosować firmowe polityki bezpieczeÅ„stwa,
  • rozumieć możliwe konsekwencje zagrożeÅ„ internetowych, takich jak phishing, socjotechnika czy szkodliwe strony,
  • informować personel odpowiedzialny za bezpieczeÅ„stwo o wszelkich incydentach;
• Kontrola nad prawami i przywilejami dostÄ™pu użytkowników:
  • wszystkie prawa i przywileje powinny być przyznawane tylko wtedy, gdy jest to konieczne,
  • wszystkie prawa i przywileje (dostÄ™pu) nadane użytkownikom powinny być odnotowane;
• Skanowanie systemu w celu wykrycia luk w zabezpieczeniach oraz niewykorzystywanych usÅ‚ug sieciowych:
  • wykrywanie i analiza podatnych na ataki usÅ‚ug sieciowych i aplikacji,
  • aktualizacja podatnych na ataki komponentów i aplikacji. Jeżeli aktualizacja nie jest dostÄ™pna, korzystanie z podatnego na ataki oprogramowania powinno zostać ograniczone lub wstrzymane.

Wiele z tych dziaÅ‚aÅ„ można zautomatyzować. Na przykÅ‚ad, jeÅ›li zostanÄ… naruszone polityki bezpieczeÅ„stwa, specjalne oprogramowanie pokaże użytkownikowi komunikat ostrzegawczy. Technologia zarzÄ…dzania systemami może być wykorzystywana do szukania usÅ‚ug sieciowych i nieautoryzowanych urzÄ…dzeÅ„, luk w zabezpieczeniach oraz automatycznych aktualizacji aplikacji zawierajÄ…cych luki. 

Wnioski

Nadużywanie zasobów firmowych może prowadzić zarówno do bezpoÅ›rednich strat finansowych jak i poważnych incydentów naruszenia bezpieczeÅ„stwa IT. Podczas komunikowania siÄ™ na portalach spoÅ‚ecznoÅ›ciowych lub przeglÄ…dania stron internetowych na komputerze firmowym pracownicy mogÄ… bezwiednie stać siÄ™ ofiarami i nieÅ›wiadomymi wspólnikami przestÄ™pców, którzy planujÄ… ataki ukierunkowane.    

W drugiej części artykuÅ‚u opiszemy incydent, w którym wykorzystano prywatny e-mail, oprogramowanie i nielicencjonowane treÅ›ci w sieci korporacyjnej oraz przedstawimy Å›rodki ochrony przed takimi incydentami. 

ŹródÅ‚o: Kaspersky Lab