. Недавно компания McAfee выпустила отчет, в котором указывается, что эти атаки могут быть взаимосвязаны и проводятся в рамках более масштабной операции в течение некоторого времени. Специалисты McAfee дали таким атакам название Operation Shady RAT (Remote Access Tool), подробную информацию об этом можно найти по адресу www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf). Не совсем ясно, что означает APT и грозит ли опасность всем компаниям, подключенным к Интернету. Рассмотрим подробнее истинное значение APT и способы защиты от подобных атак.

Происхождение и значение

Происхождение термина APT неясно, но многие считают, что его начали использовать в 2006 году в ВВС США для инструктажа персонала, не имеющего допуска от служб безопасности. Термин предполагалось применять как условное обозначение источника и стиля атак против США. Каждое составляющее этот сложный термин слово выбрано не произвольно, а имеет особое значение.

  • Advanced (целенаправленная). Источник атаки — хорошо финансируемая организация, располагающая достаточными ресурсами, вычислительной техникой и квалифицированным персоналом для проведения атаки. Исполнители атаки, как правило, превосходно обучены и обладают навыками проникновения в компьютерные системы; это отнюдь не обычные подростки, экспериментирующие со сценариями.
  • Persistent (устойчивая). Атакующий проявляет терпение, действует явно с определенной целью и готов приложить значительные усилия для достижения своей цели. Если один путь атаки оказывается неудачным, предпринимается попытка достичь результата другим способом. В отличие от обычного взломщика, цель выбирается тщательно и атака может длиться месяцами и даже дольше.
  • Threat (угроза). Источник атаки представляет собой признанную угрозу интересам США. Нападение проводит группа лиц, работающих на иностранное государство. Считается, что термин впервые применен для обозначения взломщиков из университетов и военных училищ в КНР.

С тех пор термин APT использовался для обозначения многих атак, сообщения о которых появлялись в прессе, в том числе не подходящих под первоначальное определение APT. В результате некорректного употребления за этим термином может скрываться любой взломщик, в результате чего у многих возникает неверное представление об APT.

К сожалению, термин APT начинает проникать и в маркетинговые материалы, так как компании стараются продавать продукты и услуги, запугивая потребителя. Более того, в этих рекламных публикациях часто бывают представлены существующие продукты и службы, в которых не предусмотрены какие-либо новые функции для отражения APT-угроз.

Специфические характеристики APT-атак

Выяснив значение термина APT, можно понять, в чем заключается уникальность подобных атак. APT-атаки отличаются не только обширными ресурсами, направленностью на конкретную цель и терпением взломщиков, но и проводятся иначе, нежели нападения обычных хакеров или киберпреступников.

Большинство взломщиков опрашивают компьютеры и сети в поисках уязвимых мест; обнаружив лазейку, они пытаются воспользоваться ею. Как правило, конечная цель — доступ к таким данным, как информация о кредитных картах, именах пользователей и паролях, или иным личным данным, которые можно выгодно продать. Хакеры также пытаются взломать приложения с использованием таких методов, как SQLi (встроенные команды SQL) для доступа к базам данных, составляющим основу веб-приложений. Другая типичная атака — XSS (запуск сценариев между сайтами), в ходе которой вредные приложения JavaScript выполняются в браузере и получают доступ к cookie-файлам и другим данным, среди которых могут быть имена пользователя и пароли, без ведома жертвы. Получив, что нужно, взломщики обычно завершают атаку, иногда устанавливая программу для доступа к данным в будущем.

В APT может использоваться любой из этих методов, но чаще всего применяются все методы в сочетании с другими приемами, например попытками обманным путем заставить пользователя запустить вредную программу или раскрыть учетные данные для доступа к конфиденциальным системам (spear-phishing).

Для полного понимания механизмов APT полезно изучить хорошо документированную атаку. Таких примеров несколько. Компания Google, ведущий поставщик «облачных» служб, обнародовала подробности атаки 2010 года, которую в McAfee назвали Operation Aurora, и опрашивала клиентов и другие компании, которые также могли пострадать. Предполагается, что злоумышленники наладили дружеские отношения с некоторыми сотрудниками Google через известную программу мгновенного обмена сообщениями. Взломщик, установивший дружеские отношения с жертвами, использовал поисковые инструменты, страницы на социальных веб-узлах, блоги и т. д. Данные, публиковавшиеся жертвами, помогли ему наметить уязвимые цели. Злоумышленник составил подробный профиль жертвы и мог представиться лицом с близкими интересами или даже знакомым человеком, например бывшим сослуживцем или одноклассником. После того как удавалось войти к жертвам в доверие, им отправлялись ссылки на веб-узлы, управляемые злоумышленником; на этих сайтах содержались вредные программы, которые загружались в компьютер жертвы и использовали уязвимое место в Internet Explorer (IE) 6.0. Получив контроль над компьютерами жертв, злоумышленник устанавливал шпионские программы, перехватывающие нажатия на клавиши при регистрации сотрудника на компьютере и в сети компании. Овладев учетными данными для доступа к внутренней инфраструктуре Google, злоумышленник начал искать уязвимые места в бизнес-приложениях и других программах, пытаясь повысить уровень доступа. На каждом этапе злоумышленник устанавливал дополнительные вредные программы или изменял настройки пораженных компьютеров, чтобы использовать их для запуска новых атак (такой прием часто называется pivoting). В итоге злоумышленник проник в основные компьютеры, которые были его целью, и смог получить доступ к нужным данным (в данном случае почтовым ящикам инакомыслящих и правозащитников, интересовавших правительство, на которое работал злоумышленник). Собранные данные были изъяты из Google через подконтрольный злоумышленнику сервер другого поставщика.

В другой недавней атаке жертвой стала компания RSA, изготовитель широко распространенных систем двухфакторной идентификации. Сотрудники RSA получили от злоумышленника вложенный в сообщение электронной почты файл Excel со встроенным контентом, использующим лазейку в стороннем программном пакете работы с медиафайлами. В Excel не было уязвимого места. Когда жертвы открыли вложение, их компьютеры были заражены, и злоумышленник смог установить шпионскую программу, зарегистрироваться на других компьютерах и поражать другие компьютеры в сети, пока не достиг своей цели. Прямым следствием нападения стало то, что компании RSA пришлось потратить массу усилий, чтобы убедить клиентов в безопасности использования ее продуктов (уровень защиты для клиентов, следующих рекомендациям RSA, очень высок). По запросу клиентов компания заменяла маркеры оборудования двухфакторной идентификации, даже если в этом не было реальной необходимости. С использованием информации, полученной в ходе этой атаки, злоумышленник повел наступление на оборонные предприятия, использующие систему двухфакторной идентификации, в частности Lockheed Martin. Злоумышленнику удалось успешно проникнуть в компьютеры и сети других компаний, что дало повод предполагать, что атака против RSA была лишь средством для достижений иной цели.

Не каждая организация будет мишенью для APT-атаки, но специалисты по безопасности опасаются, что средства и приемы, используемые для APT-атак, в конечном итоге попадут в руки киберпреступников и других взломщиков. Если это произойдет, изощренным атакам будут подвергаться любые организации, располагающие чем-то ценным, будь то кредитные карты и другая финансовая информация, промышленные секреты и т. д. Атаки могут проводиться как форма политического протеста, или киберактивизма (от hacktivism).

Защита от APT-атак

У описанных в предыдущем разделе APT-атак имеются общие черты. Прежде всего, атаки начинались с выбора мишеней, с которыми устанавливались дружеские отношения. Затем им посылались мгновенные сообщения с URL-указателями на вредоносные веб-узлы или сообщения электронной почты с зараженными вложениями. Злоумышленник проникал в компьютеры жертв через уязвимые места в старых и не исправленных программах. В случае с атакой Aurora, вероятно, одна или несколько жертв имели повышенные права. В результате в распоряжении злоумышленника оказались учетные данные для более широкого доступа, чем у обычных пользователей.

Уроки, извлеченные из этих атак, показывают, что на начальных этапах социальные методы играют важную роль. Взломщики внимательно изучают потенциальных жертв и выбирают слабое звено. Компании могут понизить вероятность превращения своих сотрудников в мишени, разрабатывая и внедряя социальную политику, которая запрещает сотрудникам обсуждать работодателя или публиковать подробности о своей работе на таких сайтах, как Facebook, или в блогах, не принадлежащих компании. Чем меньше у злоумышленника информации о потенциальных жертвах, тем меньше у него шансов на успех. Компании также могут запретить посещение социальных сайтов с компьютеров компании и запуск несанкционированных программ для мгновенного обмена сообщениями. Такой подход может быть очень непопулярным среди сотрудников, но, вероятно, многих устроит возможность посещения социальных сайтов и мгновенный обмен сообщения со смартфонов и планшетов. С помощью прокси-сервера или выходного фильтра технически очень просто реализовать такую политику для пользователей, подключающихся в корпоративной сети. Для удаленных и мобильных пользователей можно задействовать такие технологии, как Microsoft DirectAccess, чтобы направить весь трафик, выходящий из корпоративной сети, через одобренные прокси-серверы и брандмауэры, на которых можно применить политику.

Следующий шаг, позволяющий компаниям всех размеров снизить уязвимость для APT-атаки, — применить антивирусные фильтры в системах электронной почты и прокси-серверах и запретить в корпоративных системах мгновенного обмена доставку сообщений, содержащих URL-адреса. Пример фильтра электронной почты — Microsoft Forefront Online Protection for Exchange (FOPE), который проверяет почтовые сообщения перед доставкой в развернутую в компании или «облаке» систему электронной почты. При этом обнаруживаются опасные вложения и другой нежелательный контент, в том числе спам и фишинг.

Microsoft Forefront Threat Management Gateway (TMG) 2010 — не только очень мощный брандмауэр. Его можно применять для защиты от вредоносных веб-узлов, блокируя доступ к известным опасным сайтам и проверяя веб-контент на наличие вредоносных программ. IE 9.0 также содержит функцию, именуемую SmartScreen, которая анонимно сопоставляет URL-адреса веб-узлов с централизованным списком известных опасных сайтов и предупреждает пользователей, если они пытаются посетить такой сайт. SmartScreen также проверяет содержимое посещаемой веб-страницы, распознавая характеристики опасных программ и другого контента. Выбор IE 9.0 в качестве стандартного браузера в компании повысит надежность защиты.

В каждой компании должны быть проведены мероприятия по повышению бдительности и обучению сотрудников основам информационной безопасности, политикам, способам обнаружения и доклада о подозрительных почтовых сообщениях и веб-узлах, а также действиях, которые следует предпринять, если сотрудник заподозрил неладное. У небольших компаний нет средств для создания и выполнения таких программ или разработки собственных учебных материалов. Им можно рекомендовать такие ресурсы, как программа ENISA Awareness Raising (enisa.europa.eu), SANS (www.sans.org), Центр ресурсов компьютерной безопасности (csrc.nist.gov) Национального института стандартов и технологии и образовательные материалы по безопасности Microsoft (technet.microsoft.com/en-us/security/cc165442).

Если злоумышленник успешно отправляет почтовое сообщение с вложенным файлом или обманом завлекает жертву на вредоносный сайт, опасная программа, вероятнее всего, попытается использовать уязвимое место в распространенной программе, для которой уже существует исправление. В ходе атаки Aurora уязвимость присутствовала в IE 6.0, но не в более новых версиях IE.

Обязательно регулярно обновляйте все программные продукты в компании, а при возможности используйте новейшие версии. Службу Microsoft Update можно настроить для частой проверки, загрузки и установки обновлений всех поддерживаемых версий Windows; серверов, таких как Microsoft SQL Server и Exchange Server, и приложений, например Microsoft Office и Silverlight. Также можно использовать централизованную систему, такую как бесплатная Windows Server Update Services (WSUS) 3.0 SP2, для подготовки отчетов и выявления не обновляемых компьютеров. Необходимо также определить методы получения и применения обновлений для сторонних программных продуктов. Многие из них, в том числе Adobe Acrobat Reader и Flash, а также Oracle Java, располагают функциями обновления или регулярного поиска обновлений. Убедитесь, что такая функция активирована.

При возможности используйте 64-разрядные версии операционных систем и приложений, так как большинство вредоносных программ пока 32-разрядные и часто не функционируют, как задумано их авторами, в 64-разрядной среде, или не работают вовсе. Кроме того, в 64-разрядных программных продуктах обычно есть механизмы защиты от угроз, отсутствующие в 32-разрядных программах (например, подписанные драйверы, не позволяющие вредителям загрузиться в ядро Windows). Технология Address Space Layout Randomization (ASLR) в новейших версиях Windows (Windows Server 2008, Windows Vista и более новых) препятствует использованию вредителями уязвимых мест, находящихся по известным адресам памяти. Компонент предотвращения выполнения данных DEP, появившийся в Windows Server 2003 и Windows XP, поможет бороться с угрозами, использующими переполнение кучи и стека, например переполнение буфера. Существуют 64-разрядные версии как Windows 7, так и Office 2010.

Еще одна полезная мера — внедрение политики, запрещающей установку и использование несанкционированных программ. Следует регулярно проводить проверки, чтобы убедиться в выполнении требований политики. Неразрешенные программы часто не обновляются конечными пользователями и могут содержать уязвимые места. Собрать сведения о приложениях, установленных на компьютерах конечных пользователей, можно с помощью таких продуктов, как Microsoft System Center Configuration Manager (SCCM). Злоумышленники все чаще используют инструменты различных типов в надежде найти уязвимый программный продукт. Кроме того, обычно мишенью становятся уязвимые версии распространенных программ, часто не имеющих рабочего предназначения, например ориентированные на потребителей продукты мгновенного обмена сообщениями, программы видеовызовов и т. д. Один из способов помешать пользователям устанавливать несанкционированные программы — лишить их административных прав. Для запуска большинства современных коммерческих программ пользователю не обязательно иметь права локального администратора. Более того, новые программы обычно более надежно защищены и имеют меньше уязвимых мест, чем старые версии.

Если злоумышленнику удастся проникнуть в компьютеры сотрудников, установить шпионские программы и овладеть учетными данными, ущерб можно уменьшить, лишив пользователей прав административного уровня на их компьютерах. Следует также внедрить политику через Group Policy или аналогичный механизм, который вынуждает пользователей регулярно менять пароли. Еще одна рекомендация: следовать принципу минимальных полномочий и задействовать такие механизмы безопасности, как разграничительные списки контроля доступа (DACL), для предоставления доступа только к необходимым папкам, файлам, общим ресурсам, веб-узлам и другим хранилищам конфиденциальных данных. Серверы баз данных, например SQL Server, можно настроить на предоставление доступа к базам данных, таблицам и столбцам только пользователям, нуждающимся в этой информации, а дополнительную защиту обеспечить шифрованием баз данных.

Сотрудники, в частности системные администраторы, нуждающиеся в повышенных правах доступа к компьютерам и сетям, должны иметь отдельные учетные данные для выполнения обязанностей, связанных с расширенным доступом. При этом они не должны посещать сайты, читать электронную почту, обмениваться мгновенными сообщениями и запускать программы других типов, не связанные с их профессиональными обязанностями, с использованием повышенных полномочий. При регистрации на настольных и портативных компьютерах системные администраторы должны использовать учетные записи из локальной группы Administrators, но не группы администраторов AD (к ним относятся локальная группа Administrators на контроллерах доменов и группы Schema Admins, Enterprise Admins, Domain Admins). В идеале уникальная учетная запись локального администратора с уникальным паролем должна существовать для каждого настольного и портативного компьютера, но организовать это без специальной программы трудно.

Можно настроить TMG, запретив учетным записям с повышенными правами просмотр внешних веб-узлов, использование программ обмена и т. д. Также можно запретить пользователям с повышенными правами запускать такие программы, как IE, Microsoft Lync и Outlook, с помощью политик ограниченного использования программ (SRP) в Windows.

Еще одна мера для защиты от атак — установить коммерческий антивирусный продукт. Сегодня предлагается много таких продуктов, в том числе Microsoft Forefront Endpoint Protection и Microsoft Security Essentials. Пакет Security Essentials предоставляется бесплатно небольшим компаниям с 10 компьютерами. Даже если антивирусный продукт первоначально не обнаружит следов атаки, скорее всего, они будут выявлены позже, когда поставщик обновит сигнатуры. После обнаружения вредоносной программы можно выяснить, что собой представляет вредитель, и нанесен ли ущерб компьютерам и сети.

Полезно также применить метод, известный как безопасная сегментация сети. Многие корпоративные сети не сегментированы, и пользователи в одной ее части видят компьютер в любой другой части сети, даже если пользователь не может пройти на ней проверку подлинности и не имеет прав доступа. Разделяя сеть на сегменты, можно ограничить доступ на сетевом уровне благодаря применению брандмауэров, маршрутизаторов и других устройств уровня 3 (L3). Если злоумышленник проникнет в одну часть сети, ему все же будет трудно добраться до цели. Сегментация наиболее эффективна, если в компании определены самые важные участки и доступ к ним ограничен. В крайних случаях можно логически отделить производственную сеть с серверами и торговыми терминалами или иными транзакционными системами от корпоративной сети, создав отдельный лес и наделив учетными данными лишь пользователей, нуждающихся в доступе к производственной сети.

Наконец, если в компании есть беспроводная сеть, рекомендуется задействовать режим Wi-Fi Protected Access 2 (WPA2). Этим будет обусловлено применение протокола Extensible Authentication Protocol — Transport Layer Security (EAP-TLS), настроенного таким образом, чтобы каждый пользователь регистрировался с уникальным сертификатом или набором учетных данных. Если используется Active Directory (AD), роль Network Policy Server (NPS) в Server 2008 можно настроить на функционирование в качестве сервера RADIUS для узлов доступа (AP) беспроводной сети или беспроводного контроллера и проверять подлинность пользователей по их имени и паролю в AD. Также можно назначить политики, ограничивающие время и место подключения пользователей к беспроводной сети, в том числе круг подключающихся лиц. Если разрешен гостевой доступ к беспроводной сети для поставщиков, подрядчиков и деловых посетителей, например партнеров и клиентов, рекомендуется создать гостевую беспроводную сеть, изолированную от корпоративной сети. Большинство современных узлов доступа и контроллеров позволяют организовать гостевую беспроводную сеть с уникальным идентификатором SSID, логически отделенную от корпоративной сети, которую можно подключить напрямую к брандмауэру и Интернету. Пока беспроводные сети не были частой мишенью для APT-атак, но остаются удобной лазейкой во многие корпоративные сети. Например, при определенных обстоятельствах и при наличии соответствующего оборудования злоумышленник может получить доступ с автостоянки возле офиса на расстоянии нескольких десятков метров.

Защищайтесь!

Не каждая компания может подвергнуться APT-атаке, но методы и инструменты APT в руках киберпреступников и политических активистов представляют проблему для любой компании. Большинство атак удастся обнаружить, замедлить или отразить, если применять новейшие версии программ и обновлений, антивирусные продукты, задействовать принцип наименьших привилегий, внедрить разумные политики и провести обучение сотрудников. Существует много других методов, с помощью которых злоумышленники могут проникнуть в компьютеры или сеть, но обычно они более дорогостоящие и сложные. В данной статье не рассматривался метод мониторинга исходящего трафика. Некоторые специалисты по безопасности рекомендуют его, но реализовать этот метод могут лишь крупные компании с очень квалифицированным персоналом.

Джон Хоуи (jhowie@microsoft.com) — менеджер центра Microsoft Security Center of Excellence. Имеет сертификаты CISSP, CISM и CISA