24 июня 2014 г.
Хакерский инструментарий и методы имеют целью обмануть системы безопасности, но по некоторым, хотя и малозаметным признакам можно узнать о вероятном присутствии злоумышленников в сети. Фирма Trustwave, специализирующаяся на защите от взлома, опубликовала ежегодный отчет, в котором приводит десять таких признаков, которые могут свидетельствовать о присутствии киберпреступников в корпоративной сети и потенциальной краже данных.
Нужен тонкий анализ
Киберпреступники всегда оставляют признаки взлома (indicators of compromise), когда «закрепятся» в инфицированной системе. К таким признакам относятся определенные действия, нетипичный трафик и другие манипуляции, выполняемые под контролем взломщика.
Организации могут научиться выявлять эти настораживающие признаки и блокировать атакующего до того, как украдены данные, указывает Trustwave. Ее специалисты, изучив более 691 расследования взломов, произошедших в 2013 году, пришли к выводу, что многие преступные группы используют авторизованный инструментарий для проведения атак. Примерно в 85% всех случаев взлома использовались уязвимости в дополнительных плагинах, в том числе Java, Adobe Flash и Acrobat Reader.
Доля краж с кредитных карт остается высокой. В то же время, кражи финансовых идентификационных данных, внутрикорпоративных контактов, идентифицирующей личность информации, сведений о заказчиках и др. неуклонно растут и составили 45% всех краж данных в 2013 году, согласно отчету Trustwave Global Security 2014 года.
Нетипичное поведение аккаунта
После того, как киберпреступник утвердит свое присутствие в системе, следующий его шаг обычно — добиться повышения системных привилегий или перейти на аккаунт пользователя с более высокими полномочиями. Системный мониторинг может дать базовую информацию: к системам какого типа регулярно осуществляется доступ, а также когда и какие файлы вызывались и были изменены.
Любые подозрительные действия должны немедленно изучаться, взломанные аккаунты блокироваться, а обманные — удаляться, указывает Trustwave. Двухфакторная аутентификация и более сложные пароли могут охладить пыл хакера или же, если он сохраняет свои намерения, заставить его потратить больше времени на проникновение, что увеличивает шанс его обнаружения.
Подозрительный исходящий трафик
Персонал, отвечающий за безопасность сети, должен быть обучен мониторингу межсетевых экранов и систем обнаружения/предотвращения вторжений, чтобы выявлять исходящий трафик к подозрительным серверам. Злоумышленники стремятся также использовать скрытые порты, чтобы обойти существующие механизмы фильтрации. Их цель — провести свой трафик через сетевые устройства как законный. Вредоносный трафик может сигнализировать о захвате системы ботнетом и коммуникации с командным сервером. Закрыв ненужные порты, вы блокируете вредоносную коммуникацию и повысите видимость сети в целом, указывает Trustwave.
Подозрительные новые файлы
Вредоносные файлы могут быть запрограммированы запустить выполнение в определенный момент либо оставаться скрытыми, пока работает определенное ПО или пока не произойдет определенное действие пользователя. Персонал реагирования на инциденты сетевой безопасности может создать контрольные копии подозрительных файлов для последующего расследования и затем удалить или изолировать эти файлы, пишет Trustwave.
Неизвестный источник доступа
Один из признаков злонамеренной попытки удаленного доступа к системе — это регистрация, предпринятая из неизвестного места. Новейшее ПО управления идентификацией и доступом содержит функции мониторинга аккаунтов, делающие «снимки» типичного поведения пользователей логинов. На их основе можно задать уведомление системного администратора или дополнительную проверку пользователя, если выявлены нетипичные попытки зарегистрироваться, — вплоть до блокирования аккаунтов до проведения тщательного расследования или запрещения удаленного доступа к системам, пишет Trustwave.
Изменения в реестре Windows
После инфицирования системы вредоносное ПО может через реестр Windows узнать, какие приложения на ней установлены. Внося изменения в реестр, злонамеренная программа может начать выглядеть как законное ПО для систем безопасности. Неожиданные изменения в реестре должны немедленно расследоваться. Следует сохранить образ для тщательного изучения, а саму систему, возможно, придется даже полностью стереть и восстановить заново, пишет Trustwave.
Подделка системных журналов
Хакеры манипулируют также с системными журналами, чтобы замести свои следы. Для критически важных систем можно сконфигурировать удаленный сервер журналов с ограниченным доступом, а резервирование журналов позволит снизить способность атакующего манипулировать ими, говорят эксперты. Наконец, процесс, называемый созданием цепочки хеширования (hash chaining), обеспечит дополнительную защиту от манипуляций. Подделанные логи могут свидетельствовать о серьезной проблеме и должны быть тщательно изучены, пишет Trustwave.
Обход антивируса
Вредоносное ПО часто содержит компонент, который способен блокировать либо повредить антивирус, работающий на инфицированной системе. Многие пакеты защиты точек подключения к сети корпоративного класса содержат механизмы, противодействующие такому манипулированию, но атакующий, тем не менее, может прибегнуть к изменению функций и настроек, чтобы ослабить эффективность сканирования либо совсем его отключить. Персонал реагирования на ИБ-инциденты должен проверить антивирус и заново прогнать сканирование и проанализировать журналы, пишет Trustwave.
Неизвестные системные службы
Вредоносное ПО может запустить дополнительные службы на инфицированной системе либо приостановить или отключить какие-то системные службы. Необходимо обеспечить, чтобы на системах использовались только порты, протоколы и службы, связанные с конкретными бизнес-процессами. Удалите или отключите службы неизвестного назначения и связанные с ними исполнимые файлы, советует Trustwave.
Нарушения работы платежных систем
Случаи мошенничества, связанные с POS-терминалами, также оказались в центре внимания после инцидента с Target. Впрочем, киберпреступники с финансовым прицелом всё чаще атакуют системы И-коммерции, сообщает Trustwave и другие фирмы, анализирующие кражи данных кредитных карт. Trustwave указывает, что все сервисы должны своевременно обновляться и что администраторам следует немедленно изучить состояние нарушенного платежного шлюза, восстановить его исходную конфигурацию и проверить, что никакой код не был внедрен в ПО покупательской корзины.
Доступ к консоли администратора
Неожиданный случай доступа к административной консоли вебсайта или веб-приложения должен быть тщательно изучен. Киберпреступники вторгаются в веб-консоли администратора с помощью автоматизированного инструментария и используя грубый взлом слабых паролей и перебор паролей по умолчанию. Необходимо повысить сложность паролей и регулярно их менять, советует Trustwave.
© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Роберт Уэстервельт, CRN/США