Киберсигурността е игра на котка и мишка, в която нападатели и защитници водят непрекъсната битка на ума. Атакуващите използват редица тактики за избягване, за да не бъдат хванати, докато защитниците постоянно анализират и деконструират тези методи, за да предвидят по-добре и да осуетят маневрите на атакуващите.
Нека разгледаме някои от основните тактики за избягване, които нападателите използват, за да избегнат защитниците и техническите мерки за сигурност.
Криптирани услуги: Известно е, че доставчиците на криптографски услуги в тъмната мрежа предлагат криптографски услуги и услуги за замаскиране на кода, като преконфигурират известен зловреден софтуер с различен набор от сигнатури. Тъй като традиционните антивирусни филтри са базирани на сигнатури, те не могат да открият подправения зловреден софтуер, тъй като той има нова сигнатура.
Избягване на идентификатора на устройството: Някои системи за сигурност проверяват идентификатора на устройството, от което потребителят се опитва да получи достъп до определена система. Ако има несъответствие с идентификатора, IP адреса или геолокацията му, се задейства аларма. За да преодолеят това препятствие, заплахите използват софтуер за подправяне на устройства, който помага да се премине проверката на идентификатора на устройството. Дори и да не разполагат с такъв софтуер, човек може лесно да използва услуги за подправяне на устройства от тъмната мрежа.
Избягване на базата на времето: Нападателите имат възможност да създават зловреден софтуер, който забавя изпълнението си или остава неактивен, като реагира на средата, в която се намира. Тази тактика, базирана на времето, има за цел да заблуди пясъчните кутии и други среди за анализ на зловреден софтуер, като създаде впечатление, че анализираният файл е безвреден. Например, ако зловредният софтуер се внедрява на виртуална машина, което може да означава среда на пясъчна кутия, той може да бъде проектиран така, че да спре действията си или да премине в неактивно състояние. Друга техника за заобикаляне на правилата е „протакането“, при което зловредният софтуер извършва безобидно действие, маскирано като незловредна дейност: в действителност той забавя изпълнението на зловредния код, докато проверките на зловредния софтуер в пясъчната кутия приключат.
Избягване на засичане на аномалии с помощта на изкуствен интелект: Въпреки че полиморфизмът от страна на сървъра е започнал преди ерата на ИИ, ИИ може да бъде използван за синтезиране на нови мутации на зловреден софтуер в безпрецедентен мащаб. Такъв полиморфен зловреден софтуер, подсилен от ИИ, може динамично да мутира и да избягва откриването му от усъвършенствани инструменти за сигурност като EDR (откриване и реагиране на крайни точки). Освен това LLM може да се използва и за разработване на методи, които помагат на зловредния трафик да се смеси с приемливия трафик.
Подсказващо инжектиране: ИИ може да бъде внедрен за анализ на проби от зловреден софтуер и за наблюдение на аномалии. Какво става обаче, ако нападателите вмъкнат подкана в кода на зловредния софтуер, за да избегнат откриването? Този сценарий беше демонстриран чрез инжектиране на подкана в модела на ИИ на VirusTotal.
Злоупотреба с доверието в облачните приложения: Атакуващите все по-често използват популярни облачни услуги (като Google Drive, Office 365, Dropbox), за да прикрият или замаскират зловредния си трафик, което затруднява откриването на зловредните им действия от инструментите за мрежова сигурност. Освен това приложенията за обмен на съобщения и сътрудничество, като Telegram, Slack и Trello, се използват за смесване на комуникациите за управление и контрол в рамките на нормалния трафик.
HTML контрабандата е техника, при която недоброжелателите „вкарват“ зловредни скриптове във внимателно подготвени HTML прикачени файлове. Когато жертвата отвори HTML файла, браузърът динамично реконструира и сглобява отново зловредния полезен товар и го прехвърля в хост операционната система, като ефективно заобикаля откриването от решенията за сигурност.
Иновативни техники за избягване на фишинг
Заплахите винаги развиват своите тактики, за да предотвратят откриването на фишинг страници и уебсайтове от потребителите и инструментите за сигурност. Ето някои от най-добрите методи:
- Домейни от първо ниво (TLD): Подмяната на домейни е една от най-разпространените тактики за фишинг. Използвайки TLD или разширения на домейни като .app, .info, .zip и т.н., нападателите могат лесно да създават удобни за фишинг уебсайтове с подобен вид, които могат да избягват и объркват изследователите на фишинг и инструментите за борба с фишинга.
- Избягване на IP: Необходимо е само едно посещение на фишинг уебсайт, за да загубите данните си. В търсене на предимство изследователите ще посещават и ще си играят с уебсайта многократно. В отговор заплахите записват IP адресите на посетителите, така че когато този IP адрес се опита да влезе в уебсайта многократно, фишинг съдържанието се блокира.
- Проверка на прокси сървъра: Жертвите рядко използват прокси сървъри, защото не са много напреднали. Изследователите в областта на сигурността обаче използват прокси сървъри, за да анализират уебсайтове със злонамерен софтуер или фишинг. Когато заплахите открият, че трафикът на жертвата идва от известен списък с прокси сървъри, те могат да им попречат да получат достъп до това съдържание.
- Случайно избрани папки: Когато фишинг комплектите се появиха за първи път във форумите на тъмната мрежа, те бяха оборудвани със специфична структура на папки, която анализаторите по сигурността можеха да проследят и блокират. Съвременните фишинг комплекти вече създават произволни директории, за да предотвратят идентифицирането им.
- FUD връзки: Повечето антиспам и антифишинг решения разчитат на репутацията на домейна и оценяват URL адресите на популярни облачни услуги (като GitHub, Azure и AWS) като нискорискови. Този пропуск позволява на нападателите да използват репутацията на домейна на доставчика на облачни услуги и да създават FUD (напълно неоткриваеми) връзки, които могат да разпространяват фишинг съдържание и да избягват откриване.
- Използване на Captcha и QR кодове: Инструментите за проверка на URL адреси и съдържание са в състояние да проверяват прикачени файлове и URL адреси за злонамереност. В резултат на това нападателите преминават от HTML към PDF файлове и включват QR кодове. Тъй като автоматизираните скенери за сигурност не могат да решат предизвикателството на пъзела CAPTCHA, заплахите използват проверката CAPTCHA, за да прикриват зловредно съдържание.
- Механизми за борба с отстраняването на грешки: Изследователите на сигурността често използват вградените в браузъра инструменти за разработчици, за да анализират изходния код. Съвременните комплекти за фишинг обаче имат вградени механизми за борба с отстраняването на грешки, които няма да показват фишинг страница, когато прозорецът на инструмента за разработчици е отворен, или ще инициират изскачащ прозорец, който пренасочва изследователите към доверени и легитимни домейни.
Какво могат да направят организациите, за да ограничат тактиките за избягване на откриване
По-долу са дадени препоръки и ефективни стратегии за организациите за идентифициране и противодействие на тактиките за избягване:
1. Намаляване на повърхността на атаката: Прилагане на нулево доверие, използване на мрежова сегментация, изолиране на критични активи, ограничаване на привилегирования достъп, редовно обновяване на системите и софтуера, внедряване на гранулирани ограничения за наемателите и действията, използване на превенция на загубата на данни (DLP), преглед на конфигурациите и неправилните конфигурации.
2. Проактивно търсене на заплахи: Операционализиране на екипите по сигурността и инструментите за проактивно търсене на заплахи сред потребителите, мрежите, крайните точки и облачните услуги. Внедряване на архитектура, базирана на облака, като например Secure Access Service Edge (SASE) за откриване на заплахи и анализиране на мрежовия трафик в инфраструктурата и работните натоварвания, без да се налага внедряване на агенти.
3. Създаване на множество точки на спиране: Създайте многобройни точки на задушаване и защита по веригата на заплахите, като използвате различни техники на няколко етапа на атаката. Вместо да усложнявате прекомерно инфраструктурата за сигурност, изберете платформено базиран подход или унифициран интерфейс, способен да инспектира целия мрежов трафик и всеки пакет, за да идентифицира злонамерено съдържание.
4. Обучение по фишинг: Осигурете обучение за повишаване на осведомеността за сигурността. Обучавайте потребителите да разпознават, блокират и докладват опити за фишинг и социално инженерство. Като повишат способността на служителите да разпознават фишинг уловките, организациите могат да смекчат началния етап на многоетапните атаки.
Неумолими в методите си, нападателите ще продължат да използват тактики за избягване на традиционните мерки за сигурност. Но чрез възприемане на най-добрите практики за намаляване на повърхността на атаките, проактивно търсене на заплахи, създаване на множество точки на прекъсване и наблюдение на цялата ИТ инфраструктура без ръчна намеса, организациите ще могат да реагират бързо на уклончивите заплахи.
Автор: Етай Маор, главен стратег по сигурността и основател на Лабораторията за изследване на киберзаплахите (CTRL) в Cato Networks. Преди това е бил главен директор по сигурността в IntSights и е заемал висши позиции в областта на сигурността в IBM и Лабораториите за изследване на киберзаплахите на RSA Security. Адюнкт-професор в Бостънския колеж, той има бакалавърска степен по компютърни науки и магистърска степен по антитероризъм и кибертероризъм от Университета Райхман (IDC Herzliya), Тел Авив.