Чем запомнился первый день PHDays VII

Чем запомнился первый день PHDays VII

Чем запомнился первый день PHDays VII

В известной карикатуре от Joy of Tech поумневшая кухонная техника регулярно занята в атаках злоумышленников и требует плату то за разблокировку холодильника, то за включение отопления. События седьмого Positive Hack Days неслучайно объединены темой «Противостояние: враг внутри»: эта реальность уже приходит в наши офисы и квартиры.

В первый день на международном форуме по практической безопасности собрались более 4000 человек из разных стран, чтобы выступить с докладами, принять участие в мастер-классах, круглых столах, хакерских конкурсах. Эксперты демонстрировали процесс заражения криптолокерами, создавали экспериментальный ботнет из маршрутизаторов, показывали процесс взлома электрических подстанций и аккаунтов WhatsApp, техники перехвата SMS и телефонных разговоров.

Массовое заражение российских государственных организаций вирусом в мае 2016 года — очередной повод обсудить защищенность корпоративной инфраструктуры. Согласно исследованию Positive Technologies, в 55% случаев нарушитель с минимальными знаниями может преодолеть внешний периметр, а в 76% корпоративных систем есть возможность получить полный контроль над отдельными критически важными ресурсами; средний возраст наиболее устаревших неустановленных обновлений составляет более шести лет. Надо что-то делать! Ключевые факторы состояния защищенности коммерческих компаний и госорганизаций обсуждали на пленарном заседании PHDays «Открытие ИБ сегодня: блеск и нищета корпоративной безопасности». Вел дискуссию заместитель генерального директора Positive Technologies по развитию бизнеса Борис Симис.

Сергей Лебедь (руководитель службы информационной безопасности Сбербанка) напомнил о 14 апреля, когда хакеры The Shadow Brokers выложили архивы с модулями, на базе одного из которых был сделан WannaCry. Сергей тогда выступал на одной из конференций. «Я спросил коллег, хорошо ли прошли их выходные, — потому что мы круглые сутки разбирали эти модули и готовили рекомендации для наших специалистов по безопасности. Однако многие на профильной даже не слышали об этой утечке! Часть специалистов по ИБ существуют словно в отрыве от практической безопасности», — вспоминает Сергей Лебедь.

«Показательна недавняя история, когда выяснилось, что хакеры стали перехватывать одноразовые банковские пароли через SS7. Мы два года показывали телекомам, что так может случиться, но операторы отвечали, что все под контролем», — рассказал Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies.

Сергей Гордейчик («Лаборатория Касперского») отметил, что «своего периметра не знает никто». Чем крупнее корпорация, тем сложнее все охватить. Однако нельзя и перекладывать ответственность на пользователей: «Все должны осознать, что гражданин не может самостоятельно обеспечить свою безопасность — ни цифровую, ни физическую. За карточный фрод должны отвечать банки, а защищенность электронного правительства и его пользователей должно контролировать государство».

Как не закричать от WannaCry

Начальник отдела обеспечения информационной безопасности ПАО «МТС» Андрей Дугин выступил с докладом «SOC в большой корпоративной сети. Challenge accepted». Он рассказал об этапах построения Security Operations Center в компании «МТС» в докладе «SOC: позавчера-вчера-сегодня-завтра». В компании «МТС» SOC существует с 2005 года, и основное его развитие пришлось на период с 2010 по 2015 год. Посетители форума узнали о технологиях, которые были использованы, о штате операторов и выстроенных процессах. В последние два года компания оттачивает технологии и оптимизирует процессы, а операторы с режима работы 8х5 перешли на 24х7. Не обошлось без обсуждения горячей темы WannaCry. Андрей Дугин поделился информацией о том, как команда SOC отразила атаку. В «МТС» сделали ставку на проактивные действия — на patch management, резервное копирование, работу с пользователями, мониторинг событий ИБ — в журналах собственных систем и в мире.

Продолжили дискуссию на тему SOC в секции «Эволюция SOC — 2017: план развития». Олег Бакшинский (IBM), Александр Лесников (Сбербанк), Алексей Новиков (Positive Technologies), Аркадий Прокудин и Алексей Шабанов (SAP), Эльман Бейбутов (IBM), Александр Бондаренко (R-Vision), Владимир Дрюков (Solar Security), Дмитрий Пудов (ANGARA), Владимир Шадрин (ПАО «Ростелеком») и Сергей Солдатов («Лаборатория Касперского») поделились опытом построения и эксплуатации центров по мониторингу и реагированию на инциденты ИБ.

Новая еда для ботнетов

Важно понимать, что интернет вещей придуман не только для того, чтобы утром со смартфона запустить кофеварку. IoT, например, уже сейчас активно используется в медицине. Один из примеров — имплантаты для мониторинга сердцебиения. О темной стороне интернета вещей рассказали специалисты Positive Technologies во время пресс-брифинга, продемонстрировав, как злоумышленники могут взломать самые разные устройства. По данным экспертов Positive Technologies, в мире более 3,5 млн уязвимых камер. Для доступа к видеозаписям камеры отдельно взятого пользователя достаточно 60 секунд, пары запросов в Shodan и одного запроса в Google. Кроме того, более 90% всех камер видеонаблюдения, которые используются в корпоративной среде, имеют критически опасные уязвимости. Не менее удобны для заражения домашние роутеры. Пароли примерно 15 из 100 таких девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар логин—пароль (в тройку входят admin:admin, support:support, admin:0000), можно получить доступ к «админке» каждого десятого устройства.

Сегодня все боятся DDoS-атак, и тема защиты IoT поэтому особенно важна. Тяжелую поступь взломанных устройств уже прочувствовали в Spotify, Twitter, Github и PayPal: множество интеллектуальных термостатов и видеокамер легко вывели из строя сайты гигантов интернет-индустрии. Артем Гавриченков, CTO в Qrator Labs, объяснил, каким образом ситуация в области DDoS-атак кардинально изменилась буквально за один год, и в чем заключаются новые подходы к борьбе с подобными атаками. Говоря о необходимом запасе прочности для объектов в сейсмически опасных районах, он привел любопытный пример. Инженер одной из японских АЭС, которая была расположена ближе к эпицентру памятного цунами, чем знаменитая Фукусима, — лично настоял на дамбе высотой 14 метров, хотя нормы предусматривали высоту лишь 12 метров... В результате 13-метрового цунами станция не пострадала — в отличие от Фукусимы.

Говорить об IoT продолжили участники секции «(Не)безопасность интернета вещей», модерировал которую эксперт в области информационной безопасности Алексей Лукацкий. Он поднял тему мотивации злоумышленника. По словам Павла Новикова, руководителя группы исследований телекоммуникационных систем Positive Technologies, вскоре атакующие найдут достаточно много причин для эксплуатации IoT помимо идейного хулиганства: «В начале 2000-x годов встречались "черви", которые уничтожали винчестеры, однако широкого распространения они не получили, так как у злоумышленников не было никакой стратегии монетизации. Но стоит вспомнить недавние проблемы со связью одного из сотовых операторов, приведшие к остановке множества шлагбаумов, которые сегодня открываются зачастую с помощью мобильных телефонов. Что будет, если после массового внедрения систем умных городов такие инциденты начнут происходить со светофорами? Очевидным способом монетизации тогда станет простое вымогательство».

Армия из маршрутизаторов

Эксперт по ИБ должен плавать как рыба в воде в проблемах создателей ботнетов, чтобы эффективно бороться со злоумышленниками. У «ботнетовода» множество задач: найти интернет-трафик и подготовить инфраструктуры для эксплойтов и dropzone, арендовать «пуленепробиваемый» хостинг, зашифровать вредоносный бинарный файл для антивирусов, создать протоколы управления, запустить C2 и при этом постоянно скрываться за несколькими комбинированными слоями VPN, SSH и прокси. Но есть способ обойти острые углы. Как хакер может упростить создание своей армии зомби-компьютеров, рассказали Максим Гончаров и Илья Нестеров в докладе «Вивисекция: анатомия ботнета из маршрутизаторов».

«Ботнетоводам сегодня не хватает маршрутизаторов, которые можно легко перепрошить, — рассказывают исследователи. — Для большинства роутеров сложно написать свой код: надо знать версию Linux и библиотеки. Например, в ситуации с 5 млн роутеров Deutsche Telekom злоумышленники не могли сменить прошивку, в результате восстановить нормальную работу роутера можно было просто выключив его из розетки и подождав 30 секунд. Однако есть, к примеру, такие девайсы, как OpenWRT производства NetGear: для них прошивку написать можно».

Готовимся к вымогателям

О шифровальщиках как о проблеме номер один еще полтора года назад говорили аналитики Palo Alto Networks, IBM X-Force, TrendMicro и других компаний. Сегодня, когда вирус-вымогатель WannaCry заразил сотни тысяч компьютеров более чем в 150 странах, доклад Моны Архиповой «Инциденты с использованием ransomware. Расследование» звучит особенно актуально. Руководитель направления архитектуры и мониторинга информационной безопасности компании Acronis шаг за шагом воспроизвела процесс заражения конечного ПК программой Osiris, показав наблюдателям слабые места в системе защиты. Для снижения риска Мона посоветовала регулярно проверять работоспособность агентов антивирусов, DLP и других систем, тестировать восстановление из бэкапов и иметь резервные рабочие станции для критически важных пользователей.

Взламываем MacBook

Пользователи Windows регулярно хватаются за голову, но владельцам макбуков тоже не стоит расслабляться. В Москве выступил экс-сотрудник АНБ и NASA Патрик Уордл с технический обзором нового вредоносного ПО для macOS. Доклад включал в себя обсуждение свойств, векторов заражения и механизмов устойчивости «яблочных» зловредов. Уордл представил универсальные методы обнаружения атак (generic detections), которые обеспечивают безопасность macOS. «Не надо верить маркетологам Apple, утверждающим, что у них самые защищенные системы на свете», — призывает Патрик Уордл. Он рассказал о первом шифровальщике KeRanger для macOS. Вначале злоумышленники воспользовались веб-уязвимостью, взломав сайт популярного торрент-трекера Transmission, после чего разместили в этой свободно распространяемой программе свой код. Вредоносная версия провисела на официальном сайте несколько ночных часов. От пользователей, загрузивших Transmission, торрент-трекер требовал один биткойн, в противном случае угрожая блокировать все файлы на жестком диске. Патрик также привел несколько случаев эксплуатации стороннего ПО. Например, на предварительно инфицированную систему для повышения привилегий можно удаленно установить старую версию межсетевого экрана для macOS — Little Snitch. Экран одновременно имеет необходимые сертификат и уязвимость, позволяющие выполнять операции на уровне ядра.

Перехватываем аккаунты в WhatsApp и Telegram

Сегодня для получения доступа к секретам крупной компании зачастую достаточно взломать аккаунт сотрудника в популярном мультиплатформенном мессенджере, куда переносится все больше корпоративных чатов. Эксперт по вопросам информационной безопасности компании Check Point Роман Заикин рассказал об интересной уязвимости в WhatsApp и Telegram. Атакующий, направив безобидный с виду файл с вредоносным кодом, сможет прочитать все старые чаты пользователя и наблюдать за новыми сообщениями, получить список контактов, а также все загруженные в мессенджеры видеоролики и фотографии.

«Сквозное шифрование, используемое современными мессенджерами, выглядит очень красиво: только у двух участников дискуссии есть ключи, — рассказывает Роман Заикин. — На странице WhatsApp написано, что даже они сами не могут получить доступ к переписке. Но зачем ломать сквозное шифрование, если можно его использовать? Мы можем действовать ниже радара. В список допустимых файлов DOC_MIMES веб-интерфейса WhatsApp web.whatsapp.com можно самостоятельно добавить разрешение загружать Text/HTML. Затем жертве отправляется любой файл, в том числе JavaScript. После этого пользователь нажимает на файл, который ворует реквизиты пользователя и запускает мессенджер уже в нашем браузере. В результате все информацию в мессенджере пользователя, поступающую на его мобильный телефон, наблюдает и атакующий в своем браузере».

Для тех людей, кто не нажимает на все подряд, исследователи создали гибрид картинки и HTML-файла, который можно оправить в чат с множеством участников.

Противостояние

Форум Positive Hack Days — это не только дискуссии, выступления или мастер-классы. Наиболее яркая его часть — приближенная к реальности битва за город между атакующими и защитниками Противостояние. В распоряжении участников Противостояния оказался целый полигон с моделью мегаполиса, в котором помимо офисов, телеком-операторов, банка, ТЭЦ и прочих объектов находится множество IoT-устройств. В первый день одна из команд атакующих вырвалась вперед благодаря взлому интернет-магазина.

Желающие почувствовать себя банковскими взломщиками боролись за виртуальные деньги в конкурсе «Большой куш», организованном при участии компаний ARinteg и QIWI. В этом году «Большой куш» превратился в полноценную финансовую систему, включающую банки, банкоматы, киоски самообслуживания, интернет-магазины. Как известно, злоумышленники могут также добраться до денег, эксплуатируя уязвимости сотовых сетей. На площадке PHDaysбыл построен собственный оператор мобильной связи. Участники конкурсаMITM Mobile пробовали перехватить SMS и USSD, клонировать мобильные телефоны и прослушивать телефонные разговоры.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Киберпреступники применяют ИИ в половине техник кибератак

Как показало исследование Positive Technologies, киберпреступники начали активно внедрять искусственный интеллект (ИИ) в свою деятельность. Уже в самом ближайшем будущем киберпреступники смогут найти ИИ применение во всех тактиках из базы MITRE ATT&CK, а также в 59% ее техник.

Как отмечают авторы исследования, до недавнего времени злоумышленники применяли ИИ не очень активно: он использовался лишь в 5% техник MITRE ATT&CK и еще для 17% применение такого инструментария признавалось перспективным.

Все изменило появление больших языковых моделей (LLM) и инструментов вроде ChatGPT, которые легальны и общедоступны. После выхода ChatGPT 4 количество фишинговых атак за год выросло в 13 раз.

Как особо обратили внимание аналитики, популярности инструментов ИИ у киберпреступников способствует также тот факт, что LLM не имеют ограничений, которые бы препятствовали генерации с их помощью вредоносного кода или инструкций. В итоге такие инструменты довольно широко используются для создания различных программных зловредов.

Обращение к большим языковым моделям помогает начинающим киберпреступникам,  ускорять подготовку к атакам. Злоумышленник может с их помощью уточнить, не упустил ли он чего-то или изучить различные подходы к реализации определенных шагов в ходе той иной акции.

Продвинутые инструменты поиска помогут начинающему злоумышленнику подобрать необходимую информацию и найти ответы на базовые вопросы. Особенно авторы исследования обращают внимание на ситуацию в развивающихся странах, где компании и госучреждения защищены хуже.

Среди методов атак, где малоопытные злоумышленники применяют ИИ наиболее широко, авторы исследования выделили фишинг, социальную инженерию, атаки на веб-приложения и слабые пароли, SQL-инъекции, а также сетевой сниффинг. Они не требуют глубоких технических знаний и их легко осуществлять с помощью публично доступных инструментов.

Благодаря ИИ уже на текущем уровне технологий можно автоматически генерировать фрагменты вредоносного кода, фишинговые сообщения, разного рода дипфейки, которые делают более убедительными привычные сценарии атак социальной инженерии, автоматизировать отдельные этапы кибератак, среди которых авторы исследования особо выделили управление ботнетами. Однако развить и создать новые инструменты ИИ для автоматизации и масштабирования кибератак пока могут только опытные злоумышленники.

«Пока что ни об одной атаке нельзя сказать, что она была полностью проведена искусственным интеллектом. Тем не менее мир информационной безопасности постепенно движется к автопилотированию как в защите, так и в атаке. Мы прогнозируем, что с течением времени киберпреступные инструменты и модули с ИИ будут объединяться в кластеры для автоматизации все большего числа этапов атаки, пока не смогут покрыть большую часть шагов», — предупреждают авторы исследования.

 

Если злоумышленникам удастся автоматизировать проведение атак на выбранную цель, следующим шагом может стать применение инструментов для самостоятельного поиска целей. Опытным киберпреступникам ИИ даст инструментарий для сбора данных о потенциальных жертвах из разных источников, причем в короткие сроки.

ИИ активно применяется при эксплуатации уязвимостей, причем потенциал данных инструментов реализован еще далеко не полностью. ИИ помогает создавать ботов, с высокой степенью точности имитирующих поведение людей. Активно используются в ходе атак и дипфейки, которые уже достигли довольно высокого уровня правдоподобия. Их применяют в ходе атак как на обычных людей, так и на компании.

«Высокий потенциал искусственного интеллекта в кибератаках — не повод для паники, — комментирует ситуацию аналитик исследовательской группы департамента аналитики Positive Technologies Роман Резников. — Нужно реалистично смотреть в будущее, изучать возможности новых технологий и системно заниматься обеспечением результативной кибербезопасности. Логичная контрмера атакующему ИИ — более эффективный ИИ в защите, который поможет преодолеть нехватку специалистов для защиты от кибератак через автоматизацию многих процессов».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru