Lazarus group: алгоритмы борьбы с целевыми атаками для всех

Бизнес

Одной из главных проблем в области защиты от целевых атак можно назвать безразличие к ним организаций, которые не считают себя привлекательной мишенью для злоумышленников. Причиной уверенности в том, что «за нами не придут» может быть относительно небольшой размер бизнеса, не самая прибыльная сфера деятельности. Или просто банальное незнание о существовании в природе таких кампаний, не смотря на регулярные попытки ИБ-компаний привлечь внимание к этой проблеме.

Недавно «Лаборатории Касперского» совместно с рядом других ИБ-компаний удалось установить, что за цепочкой целевых атак последних лет стоит одна и та же группа — Lazarus. Теперь уже точно известно, что одному и тому же перу принадлежит целая плеяда разработок, среди которых Operation Troy, DarkSeoul, Hangman/Peachpit, Volgmer, WildPositron, Duuzer.

От работы группы пострадали компании самых разных индустрий. Финансовые, производственные, издательские организации, — список предприятий самого разного размера, затронутых за несколько лет активности группы можно продолжать долго. «Сердцем» недавно обнаруженного кластера стал вайпер Destover. Производные от него применялись в атаках, перечисленных выше.

Для целевых атак не существует неинтересных целей. Не задумывающиеся о подобных угрозах небольшие компании могут быть включены в цепочку поставок крупных корпоративных игроков и стать удобной стартовой площадкой для атак на них. В этом случае не избежать как минимум репутационных издержек. В худшем же случае и само небольшое предприятие может стать конечной целью, даже если её собственные данные не представляют ценности для злоумышленников и коммерциализировать украденную информацию сложно. Разнообразие целей Lazarus подтверждает то, что проблема целевых атак касается абсолютно любых организаций.

Банально – не значит неэффективно

Подавляющее большинство целевых атак начинаются с очень стандартных, но от того не менее действенных шагов: рассылки специально подготовленных писем с прикрепленными зараженными файлами. Или заражения популярных в организации сайтов, чтобы затем инфицировать компьютеры сотрудников через уязвимости в браузерах. Не надо считать эти приемы глупыми или избитыми, раз за разом они показывают свою эффективность при правильном выборе отправителя писем, их содержания или URL веб-сайтов.

Конечно, способ борьбы с этой бедой существует: обучение сотрудников, повышения уровня их грамотности в области информационной безопасности – еще один необходимый шаг в борьбе с целевыми атаками, наряду с избавлением от мысли «нас это не коснется». Обучать сотрудников необходимо, т.к. каких-то других внешних признаков правильно составленной атаки, помимо подозрительных писем или сообщений браузера, пользователь может и не увидеть вплоть до самой активации вайпера. Или шифровальщика-вымогателя, требующего деньги за расшифровку данных на пораженной машине.

Хотя за прошедшее с момента заражения время зловред уже успел скачать свои модули с серверов управления, забрал с машины пользователя все данные, интересные атакующим, а также распространился на соседние ПК. Все это может не иметь никаких заметных проявлений для пользователя (но не для специализированных защитных систем), так что значительно легче бороться со зловредом на этапе проникновения.

main

Как защищают специализированные системы?

За счет чего ИБ-продукты помогут обнаружить атаку даже в случае, если по каким-то причинам начальное заражение ИТ-инфраструктуры уже произошло? В общем случае ответ тот же, что и на вопрос как «Лаборатории Касперского» с партнерами удалось связать воедино атаки, происходившие в течение последних лет. Серьезная математика и машинное обучение. Кластеризация файлов, т.е. их разделение по целому ряду признаков на «белые» и «черные» или «серые» на основе анализа огромного количества уже разделенных на кластеры образцов, дает огромное преимущество при борьбе с ранее неизвестными атаками.
Авторы семейства вайперов могут сколько угодно модифицировать свою разработку, но единожды обнаруженный Destover позволит обучающимся системам отнести к «черным» и все его варианты.

Работающие на стороне ИБ-компаний системы машинного обучения – не единственный рубеж обороны. В целевых атаках регулярно используются уязвимости нулевого дня (0-day). Найденные серьезные дыры в популярных продуктах стоят на черном рынке дорого (десятки тысяч долларов), но доходы от атак окупают эти затраты. Для борьбы с 0-day также существуют эвристические технологии защиты, обнаруживающие их по типовому подозрительному поведению эксплойтов.

Помимо эвристических методов обнаружения зловредов в защитные системы вносятся и признаки уже раскрытых атак. Для каждой из них существуют признаки заражения (Indicators of Compromise), однозначно указывающие на известную вредоносную активность. В виде правил, добавляемых в продукты безопасности, ИБ-компании распространяют эту информацию среди своих заказчиков. Например, если мы говорим о работе Lazarus, то признаками будут использование 0-day для корейского текстового процессора Hangul, наличие в модуле атаки контроля его исполнения на виртуальных машинах с определенными именами (включая специфические, не являющиеся стандартными для популярных гипервизоров), архивация модулей с одинаковыми паролями, ошибка в содержащейся в коде модуля строке с названием браузера — ‘Mozillar’.

К способу защиты от вайперов можно отнести и правильную организацию резервного копирования, позволяющую восстановить удаленные данные с минимальными потерями. Несмотря на то, что резервное копирование не относится непосредственно к сфере ответственноит службы информационной безопасности и исторически за него отвечает ИТ-департамент, но использовать его как дополнительный уровень в мультиуровневой стратегии защиты можно.’

Борьба с целевыми атаками может быть только комплексной, включающей в себя организационные меры (обучение персонала, регулярные тренинги, разработанные политики безопасности), работу системных администраторов (запрет ненужных протоколов на маршрутизаторах, внимательная раздача пользователям необходимых привилегий) и офицеров безопасности (развертывание специализированных продуктов, постоянный мониторинг обстановки в единой консоли). Так что помимо всех перечисленных выше методов существует еще целый набор мер, описанных в отдельном документе. Подавляющее большинство рекомендованных мер, относящихся к специализированному защитному ПО, реализовано в продуктах и услугах «Лаборатории Касперского».

 

Дополнительные материалы: