Dziś nikt nie ma wątpliwości, że cyberataki stanowią poważne ryzyko dla organizacji, z którym należy się liczyć i przed którym trzeba się bronić. Przykładowo, atak na Twittera umożliwił hackerom uzyskanie dostępu nie tylko do niektórych popularnych kont, ale również wewnętrznych narzędzi używanych przez firmę. Stosunkowo powszechne są również naruszenia typu ransomware, których ofiarą padła m.in. firma Garmin. Pod koniec 2020 roku dużym zainteresowaniem mediów cieszyły się działania hackerów, których celem były podmioty związane z łańcuchem dostaw. Dzisiaj przeanalizujemy, jak właściwie działają ataki cybernetyczne.

Ogólnie rzecz biorąc, cyberataki mają na celu naruszenie poufności, integralności lub dostępności pewnego zakresu informacji. Naruszenie poufności oznacza, że atakujący uzyskuje dostęp do wrażliwych danych firmy, niezależnie od tego, czy są to dokumenty wewnętrzne, czy dotyczące klientów. W przypadku naruszenia integralności hacker zmienia przechowywane dane, takie jak uprawnienia użytkownika, saldo na koncie lub po prostu usuwa pliki. W przypadku naruszenia dostępności, system informatyczny przestaje działać na określony czas.

Konkretna forma ataku i jego cel zależą przede wszystkim od tego, kim jest atakujący. Możemy podzielić ich na kilka grup według różnych aspektów:

  • Początkujący (script kiddies) – są to atakujący bez większej wiedzy technicznej, którzy korzystają z narzędzi ogólnodostępnych w Internecie. Naruszenia mogą polegać na skanowaniu publicznie dostępnych usług i znanych luk w zabezpieczeniach lub zgadywaniu danych uwierzytelniających. Tymi osobami zwykle kieruje ciekawość, chęć zdobycia doświadczenia lub dokonania rekonesansu otoczenia.
  • Aktywiści (haktywiści) – zazwyczaj kierują się pobudkami politycznymi i szukają rozgłosu. Ich ataki często polegają na skoordynowanym przeciążeniu i tymczasowym wyłączeniu strony internetowej należącej do rządu lub korporacji. W bardziej wyrafinowanych przypadkach zmieniają treść stron internetowych czy uzyskują poufne informacje.
  • Cyberprzestępcy – ich celem jest uzyskanie korzyści finansowych. Mogą na przykład instalować oprogramowanie ransomware, uzyskiwać dostęp do bankowości internetowej lub numerów kart kredytowych, wykorzystywać moc przejętego komputera do wydobywania kryptowalut lub podłączać komputer do botnetu (sieci kontrolowanych urządzeń atakujących inne cele). Ataki często nie mają jednego specyficznego celu i skierowane są do dużej liczby użytkowników. Ostatnio jednak coraz częściej dochodzi do bardziej wyrafinowanych ataków wymierzonych w konkretne organizacje, takie jak szpitale.
  • Insiderzy – ci atakujący znają wewnętrzną sieć organizacji i mają do niej dostęp. Może to być niezadowolony pracownik lub osoba, która już nie świadczy usług w danej firmie, ale wciąż ma dostęp do jej systemów. Taki hacker może szukać zemsty lub osobistych korzyści, np. w formie możliwości przekazania dokumentów firmowych konkurencji.
  • Atakujący działający na zlecenie państw – obejmuje to różne profesjonalne grupy hakerów, które uważa się za kontrolowane przez państwa i zaangażowane w szpiegostwo. Ten rodzaj zagrożenia jest często określany jako APT (advanced persistent threat), czyli wykorzystujący precyzyjnie ukierunkowane ataki i zaawansowane techniki, takie jak luki typu zero-day – nieujawnione do tej pory podatności. Hackerzy mogą poruszać się po zainfekowanych sieciach przez długi czas bez wykrycia i w ten sposób uzyskiwać poufne informacje. Obrona przed tego typu naruszeniami jest bardzo złożona, szczególnie z uwagi na to, że atakujący koncentrują się przede wszystkim na strategicznie ważnych celach.

Zaawansowane ataki składają się z kilku następujących po sobie faz. Fazy te mogą odbywać się automatycznie, jak w przypadku ataków ransomware (kombinacja złośliwego oprogramowania Emotet-TrickBot-Ryuk odpowiedzialna za ataki na czeskie szpitale), lub mogą być częściowo kontrolowane ręcznie, jak w przypadku ataków APT. Poszczególne fazy naruszenia można opisać np. w ramach metodologii Cyber kill chain lub Miter ATT & CK, która stanowi również bazę danych zawierającą przegląd technik stosowanych przez różne złośliwe oprogramowania lub grupy APT. W dalszej części tego artykułu opiszemy główne etapy cyberataku, takiego jak atak ransomware lub atak hakerski.

Rekonesans i przygotowania

Zanim atakujący rozpocznie działanie, wybiera swój cel i próbuje dowiedzieć się o nim jak najwięcej. Mogą obrać za cel konkretną organizację lub lukę w zabezpieczeniach, np. brak konkretnej poprawki na serwerze. Jeśli hacker wybierze daną firmę, często jest w stanie znaleźć wiele informacji na jej temat w Internecie, takich jak adresy e-mail i inne kontakty do pracowników, adresy serwerów lub informacje o używanych technologiach. Atakujący skanuje urządzenia i usługi dostępne z Internetu pod kątem znanych luk w zabezpieczeniach. Może również dostosować zawartość złośliwego kodu (malware) do konkretnego ataku.

Pierwsza próba uzyskania dostępu

Aby atakujący mógł przeprowadzić atak, musi najpierw połączyć się z systemem. Interesujące systemy zawierające poufne informacje często znajdują się w sieci lokalnej i nie są bezpośrednio dostępne z Internetu lub umożliwiają połączenie dopiero po wprowadzeniu danych logowania. Przestępca może obejść ten problem na kilka sposobów.

Po pierwsze, może znaleźć luki w dowolnym interfejsie dostępnym online, takim jak zapora sieciowa, serwer poczty e-mail lub podatności w przekierowanych portach. Jednak ten wektor ataku na sieć wewnętrzną jest raczej rzadki, ponieważ elementy są często dobrze zabezpieczone, a istniejące luki nie pozwalają na dostęp do sieci wewnętrznej.

Ponadto atakujący może próbować odgadnąć hasło czy login, aby połączyć się z VPN, zdalnym pulpitem, pocztą e-mail lub inną zdalnie dostępną aplikacją. Taki sposób naruszenia jest łatwy, jeśli w danej usłudze zostawiono domyślne sposoby poświadczenia (np. admin/admin) lub użytkownik używa bardzo słabego hasła. Wielu hackerów „testuje” różne kombinacje. Standardowym sposobem ochrony przed tego typu naruszeniem jest blokowanie danego konta po kilku nieudanych próbach. Ale przestępcy i na to znaleźli sposób. Stosując technikę ataku „password spraying”, wykrywają kilkanaście-kilkadziesiąt loginów (zazwyczaj w formie adresów e-mail) i próbują uzyskać dostęp do konta, używając kilku popularnych haseł dla każdego z nich (np. Leto2020). W ten sposób unikają potencjalnej blokady. Atakujący może również wypróbować pary nazw użytkowników i haseł, które wyciekły z innego źródła (tzw. credential stuffing). Jeśli ktokolwiek użyje tej samej pary login i hasło na kilku różnych stronach, przegrywa.

Hacker może również przypuścić atak na zazwyczaj najsłabsze ogniwo bezpieczeństwa – użytkownika – i po prostu sprytnie poprosić go o dostęp do jego konta. Ataki wykorzystujące elementy socjotechnik to m.in. phishing. Przykładowo, w ramach fałszywej wiadomości e-mail atakujący próbuje nakłonić użytkownika do uruchomienia załączonego pliku (np. rzekomo niezapłaconej faktury) lub wprowadzenia danych logowania na stronie podszywającej się pod portal jakiejś znanej firmy. Spersonalizowany  atak phishingowy z treścią dostosowaną do konkretnego użytkownika nazywany jest spear phishingiem. Można je przeprowadzać również za pośrednictwem telefonu – tzw. vishing. Ta technika została wykorzystana do przeprowadzenia ataku na Twittera.

Tego typu ataki przeprowadzane za pośrednictwem dostawcy, który został zhakowany, mogą być znacznie skuteczniejsze. Wielu z nich może bowiem mieć dostęp do wewnętrznych sieci innych firm. Alternatywnie, hacker może włamać się do procesu opracowywania i dystrybucji aktualizacji oprogramowania, i dodać swój złośliwy kod do nowej wersji software’u, jak to miało miejsce w przypadku SolarWinds.

Wykonanie kodu

Gdy atakujący zmusza użytkownika do uruchomienia złośliwego oprogramowania, uzyskuje dostęp do jego komputera. To może być np. wykonywalny plik binarny, skrypt czy nawet makro MS Office.

Po otworzeniu tego pliku, kod zawarty w nim zazwyczaj łączy się z serwerem atakującego i pobiera dodatkowe instrukcje oraz moduły. Ponieważ uruchomiony plik nie zawiera bezpośrednio złośliwego skryptu, a jedynie instrukcje jego pobrania, proste skanowanie antywirusowe może go nie wykryć. Atakujący używają jednak innych metod, aby uniknąć wykrycia lub odwrócić uwagę użytkownika (takich jak szyfrowanie lub uruchamianie kodu bezpośrednio w pamięci).

Eskalacja uprawnień

Do przeprowadzenia wielu typów ataków przestępca często potrzebuje uprawnień administratora na komputerze. W tym celu można wykorzystać różne znane luki w systemie operacyjnym lub błędy w jego konfiguracji, pozwalające na eskalację uprawnień. Ten etap jest łatwiejszy, jeśli system operacyjny nie jest regularnie aktualizowany.

Aby atakujący mógł zachować kontrolę nawet po ponownym uruchomieniu komputera, może użyć jednej z technik osiągnięcia tzw. trwałości. Na przykład, dodając proces do automatycznego uruchamiania programu po włączeniu komputera, tworząc nową usługę lub zaplanowane zadanie, tworząc nowe konto użytkownika lub manipulując innym procesem.

Uzyskiwanie danych dostępu

Krokiem, który może umożliwić naruszenie bezpieczeństwa innych urządzeń i usług, jest uzyskanie poświadczeń przechowywanych na kontrolowanym komputerze. Mając uprawnienia administratora na komputerze, możliwe jest uzyskanie skrótów haseł do systemu Windows czy Linux – dotyczy to wszystkich użytkowników, którzy logowali się na danym urządzeniu. W niektórych przypadkach takie hasło można uzyskać bezpośrednio.

Atakujący może również wykryć hasła przechowywane w przeglądarce internetowej lub przechwytywać naciśnięcia klawiszy w celu uzyskania dodatkowych danych uwierzytelniających.

Dystrybucja w sieci

W kolejnym kroku atakujący dowiaduje się, do jakich innych urządzeń i usług ma dostęp kontrolowany komputer i szuka znanych luk w zabezpieczeniach, które mógłby wykorzystać. Próbuje również wykorzystać pozyskane dane do logowania w różnych miejscach. Na przykład, jeśli hacker może ustalić poświadczenia lokalnego administratora i informacje te można wykorzystać na innych urządzeniach, może uzyskać kontrolę również nad nimi, na przykład za pośrednictwem pulpitu zdalnego lub protokołu SMB do udostępniania plików. Na innych urządzeniach, do których udało mu się uzyskać dostęp, hacker powtarza niektóre z powyższych działań, aż osiągnie swój cel. W systemie Windows takim typowym celem jest kontroler domeny, który zawiera rekordy użytkowników i po przejęciu kontroli daje atakującemu praktycznie nieograniczony dostęp do komputerów i serwerów w sieci.

Ostateczny cel ataku

Gdy atakujący uzyska wystarczającą kontrolę nad urządzeniami w sieci, może przejść do ostatniego etapu ataku. Może zbierać poufne informacje i wysyłać je niezauważenie na swój serwer. Następnie zaciera ślady swojej obecności, może też zostawić w systemie tzw. backdoora, który pozwoli mu na ponowny dostęp w przyszłości. Alternatywnie, hacker może pozostać w sieci niezauważony przez dłuższy czas (jak w przypadku APT). Możliwe jest uruchomienie oprogramowania ransomware, które zaszyfruje wybrane dane (w tym kopie zapasowe) i zażąda okupu.

Skuteczna obrona przed atakami cybernetycznymi

Skuteczna obrona przed wyrafinowanymi, spersonalizowanymi atakami wymaga więcej środków uzupełniających, które obejmują wszystkie opisane fazy. Mogą to być na przykład:

  • Regularne szkolenia użytkowników w zakresie bezpieczeństwa komputerowego,
  • Ochrona poczty elektronicznej (antyspam) i stacji użytkowników (antywirus),
  • Polityka haseł (wystarczająca złożoność, nieużywanie tych samych haseł), uwierzytelnianie wieloskładnikowe, zarządzanie kontami uprzywilejowanymi (PAM),
  • Regularna aktualizacja systemu (zarządzanie poprawkami),
  • Segmentacja sieci, ograniczenie dostępu (firewall),
  • Regularne skanowanie znanych luk w zabezpieczeniach,
  • Monitorowanie i rejestrowanie (scentralizowany system – SIEM, zespół bezpieczeństwa – SOC),
  • Ochrona wrażliwych danych (DLP).

Podjęte środki powinny być ukierunkowane na konkretne zagrożenia istotne dla organizacji. Konieczne jest zatem poznanie systemów informatycznych, infrastruktury i ich możliwych słabych punktów.

W Axians oferujemy pełne portfolio usług związanych z cyberbezpieczeństwem, od analizy ryzyka, przez implementację środków bezpieczeństwa, a kończąc na przeprowadzaniu testów penetracyjnych.

Wpis przygotowany na podstawie artykułu „How does a cyber attack work?”.

Zobacz pozostałe aktualności