I ПРОДВИНУТЫЕ АТАКИ ТРЕБУЮТ НОВЫХ ВИДОВ ЗАЩИТЫ ИНФОРМАЦИИ
Листеренко Ростислав Русланович, МГТУ им. Н. Э. Баумана.
E-mail: r.listerenko@gmail.com Карабатырова Валерия Германовна, МГТУ им. Н. Э. Баумана.
E-mail: looneyplatypus@gmail.com
В данной статье изучаются основные виды сетевых атак. Также рассматриваются новые и наиболее опасные разновидности, известные как продвинутые способы обхода защиты. Рассмотрены базовые идеи, стоящие за этим видом атак, и объясняется сложность противостояния им. Рассматривается понятие APT и способ взаимодействия такого вида атак с продвинутыми способами обхода. В конце статьи кратко описан возможный метод противодействия атакам, применяющийся в наиболее современных продуктах некоторых компании.
Ключевые слова: компьютерная атака, киберпреступность, интернет-протоколы.
ADVANCED ATTACKS REQUIRE I NEW FORMS OF INFORMATION SECURITY I
Rostislav Listerenko, Bauman MSTU, Moscow E-mail: r.listerenko@gmail.com Valeria Karabatyrova, Bauman MSTU, Moscow E-mail: looneyplatypus@gmail.com
This article is aimed to study basic types of computer attacks. Special attention is paid to newest and most dangerous kinds of attacks, known as advanced evasive techniques. This article contains descriptions of basic ideas behind advanced evasive techniques and explains the difficulty of countering them. Another issue mentioned is APT and its interaction with advanced evasive techniques. The end of the article contains a brief description of some methods, used for countering advanced evasive techniques in latest products of some companies.
Keywords: attack, cybercrimes, Internet protocols.
Введение
По мнению зарубежных специалистов [1], угрозы безопасности и ответы на них представляют собой порочный круг из постоянного растущего количества всё более хитрых и скрытных атак и средств защиты с увеличивающимися сложностью и стоимостью. В кибербезопасности действует негласное правило - злоумышленнику достаточно одной вашей ошибки. К сожалению, современные системы защиты не успевают подстраиваться под всё увеличивающийся круг способов взлома. Проблему усугубляет неосведомленность многих компаний о всей опасности киберпреступлений.
Главными оппонентами разработчиков средств защиты являются организованные киберпреступные группировки с солидными денежными и временными ресурсами. Они могут позволить себе использовать передовые методы атак.
В число наиболее опасных новых видов атак входят атаки, использующие так называемые продвинутые способы обхода защиты [1]. Разумно разделить атаки, направленные на обход многоуровневых систем защиты, по уровням защиты: внеш-
ние файерволы, системы обнаружения и предотвращения вторжений, фильтры веб-содержимого и конечное защитное ПО. Каждый уровень спроектирован так, чтобы препятствовать проникновению к нижележащим уязвимостям, таким как открытые порты сервера, неисправленные ошибки ОС или доверчивые пользователи.
В ежегодном отчете безопасности за 2014 год [2] компания Cisco выделила три приоритетные проблемы сферы безопасности:
1. Увеличивающееся пространство для атак: границы сети с появлением облачных сервисов и возможности доступа к ним с мобильных устройств размываются, и, в то же время, растёт ценность цифровых данных, будь то интеллектуальное имущество корпораций или персональные и финансовые данные.
2. Распространение и усложнение моделей атаки: продвинутые перманентные угрозы (Advanced Persistent Threat, далее APT) могут скрываться внутри десятков и сотен пораженных систем.
3. Сложность угроз и противодействий им: главной целью злоумышленника почти всегда является проникновение в дата-центр, содержащий огромное количество конфиденциальной и коммерчески ценной информации, что гораздо целесообразнее, нежели взлом клиентских устройств. Но обычно оно означает взлом многих систем, проникновение через несколько ДМЗ и внедрение набора различного вредоносного ПО (сборщики данных, промежуточные хранилища, системы контроля) на взламываемой системе.
«Взломщики изобретают новые методы внедрения вредоносного ПО, которое остается незамеченным долгое время, в сети, где они крадут данные или препятствуют работе критически важных систем» — пишет автор доклада Cisco. — «Используя различные методы: от основанной на социальной инженерии кражи паролей и данных для доступа до скрытного проникновения, осуществляющегося за считанные минуты, вредители продолжают использовать доступный уровень доверия для нанесения ущерба.»
Для получения доступа к дата-центрам могут использоваться двусмысленности в стандартах сетевых протоколов, сопутствующие различия в реализации сетевых стеков и ограничения большей части защитного оборудования в способности проверки пакетов.
Базовая идея, стоящая за продвинутыми способами обхода — использование в своих целях основ сетевых коммуникаций — отнюдь не нова. В конце 80-ых исследователи изучали идею скрытия вредоносных данных во внешне нормальных TCP/IP соединениях. Эта тактика превратилась из объекта академических исследований в реальное явление за последние три или четыре года. Хотя с помощью продвинутых способов отхода защиты можно внедрить любое вредоносное ПО, они из-за своей сложности обычно используются только для самых масштабных и прибыльных атак: APT.
APT: Последствия недооценивания
Национальный Институт стандартов и технологий (National Institute of Standards and Technology, далее NIST) утверждает [3], что APT характеризуются высоким уровнем квалификации и обширными ресурсами злоумышленников, что позволяет им добиваться своих целей, используя различные направления атаки: программное, физическое и обман. Продвинутые взломщики ищут способ проникнуть в систему так, чтобы иметь возможность незаметно извлекать информацию или препятствовать деятельности организации на протяжении длительного времени.
УДК 004.056.53
NIST определяет три критерия APT: они преследуют свою цель на протяжении длительного периода времени; они адаптируются к попыткам защитных систем противостоять им; они поддерживают уровень доступа, необходимый для достижения своих целей.
Для выполнения второго пункта используются продвинутые способы обхода защиты, которые дополняют APT. Они позволяют обеспечить доступ APT к важным данным и передачу данных злоумышленникам.
Определение APT по NIST отражает ещё несколько важных аспектов продвинутых способов обхода защиты. Они не только скрытые, но и адаптивные. К тому же, зачастую совместно используется несколько способов обхода для передачи вредоносных данных.
Компания Stonesoft, в прошлом году приобретенная McAfee, ввела термин «AET» (Advanced Evasive Techniques, продвинутые способы обхода защиты) и охарактеризовала его в статье [4]. Суть статьи заключается в том, что продвинутые техники обхода защиты могут существовать в любом протоколе и их можно комбинировать для создания новых подходов. Порядок, в котором совмещаются техники, важен, поэтому количество возможных комбинаций огромно.
Базовый принцип: Использование интернет-протоколов для сокрытия атак
Атаки, использующие продвинутые способы обхода защиты крайне изобретательны и созданы для использования недостатков лежащей в основе Интернета технологии. Они пользуются присущей интернет-протоколам гибкостью в описании и реализации.
Это кратко описано в основополагающем стандарте IP IETF, RFC 760 [5] (ключевые фразы отмечены курсивом) «Реализация протокола должна быть устойчивой. Каждая реализация должна быть рассчитана на взаимодействие с протоколами, созданными другими людьми. Хотя цель этой спецификации — явное и подробное описание протокола, существует возможность различных трактовок. В общем случае, реализация должна быть консервативной при отправлении и либеральной при получении. Таким образом, следует отправлять строго согласованные датаграммы и принимать любые датаграммы, которые могут быть интерпретированы.
Именно эту асимметричность между способами получения и отправки использует продвинутые способы обхода. Это делается с помощью манипуляции IP-пакетами или потоками данных уровня TCP с изменением низкоуровневых параметров, таких как TTL, длина пакета, номер последовательности или фрагментацией потоков таким образом, чтобы они выглядели нормально и безопасно для приложений защиты и операционных систем, но могли быть пересобраны во вредоносное ПО.
К. Марко в докладе [1] рассматривает два основных способа обхода защиты.
1. Обход защиты на уровне IP.
На уровне IP существуют четыре основных способа обхода сетевой защиты: внедрение пакетов, фрагментация или сегменатция пакетов, перекрытие данные и добавление в начало последовательности случайных данных. Из этих методов наиболее эффективны первые два.
В 1998 году Томасом Пташек и Тимоти Ньюшемом было сделано одно из самых ранних описаний продвинутых способов обхода защиты [6], в котором рассматривалась идея внедрения пакетов. «Средство обнаружения вторжения (далее IDS) может принять пакет, который отвергает конечная система. Таким образом, IDS совершает ошибку и считает, что конечная система приняла и обработала пакет, хотя этого
не случилось. Взломщик может воспользоваться этим состоянием, отправляя пакеты, которые конечная система не примет, а IDS посчитает корректными.
Эти посторонние данные, к примеру, необычные параметры IP или заголовки полей, могут заставить IDS пропустить известную сигнатуру атаки. Это происходит потому, что система обнаружения вторжений обычно использует основанные на совпадении шаблонов алгоритмы. Добавление случайных данных работает похожим образом, вставляя минимум 1 байт случайно сгенерированных данных перед байтами реальных данных в заголовок пакета. Конечная цель проигнорирует эти данные, но IDS может их учесть и таким образом не распознать, что данные соответствуют известной сигнатуре атаки.
Фрагментация или сегментация пакетов ещё более эффективна тем, что она использует технические ограничения самого сетевого защитного оборудования. При использовании IP-фрагментации взломщик пользуется переупорядочиванием фрагментов или переполняет систему предотвращения вторжения (далее IPS) большим количеством фрагментов. Это позволяет вредоносному ПО миновать побитовое сканирование IPS и сканирование по частям, так как фрагменты могут быть существенно разделены во времени и IDS не сможет распознать их как часть одного пакета.
Противоположностью фрагментации является перекрытие данных, при котором происходит повторение замыкающих битов одного пакета в начале следующего. Так как данные правильно помечены, они выглядят допустимыми и сетевая IDS может не удалить все дублирующиеся байты данных. Дублирующиеся данные также не позволят обнаружить известные сигнатуры атак по шаблону.
2. Обход защиты на уровне TCP или уровне приложения.
Самый эффективный способ обхода защиты на уровне TCP — использование переупорядоченных или перекрывающихся сегментов — работает подобно IP-фрагментации. Изменение порядка последовательности TCP с простого численного инкремента на случайный инкремент или декремент значительно усложняет пересборку пакетов, выполняемую IDS, и увеличивает количество информации, которую нужно буферизировать до полной обработки потокового соединения. Другие подходы уровня TCP, усложняющие пересборку TCP-потока и вынуждающие IDS пропускать пакеты, включают в себя некорректное использование параметров TCP, требование трёхэтапного согласования и использование ложного обнаружения согласования, некорректное использование SYN-пакетов, перекрытие пакетов, ошибочный разрыв соединения TCP, обработку сообщений FIN и RST и даже DoS-атаки, созданные для истощения ресурсов IDS.
На уровне приложений под прицелом оказываются самые распространенные протоколы: SMB (совместный доступ к файлам Windows), Microsoft RPC (удаленное исполнение кода) и, конечно, HTTP. В случае SMB взломщики могут разделять запись на разные сегменты, возможно даже с использованием разных сокетов по одному соединению, и последующей пересборкой их в вредоносное ПО в целевой системе. При атаке на MSRPC основной способ обхода включает в себя изменение порядка битов в соединении. Так как в Windows используется little endian, вредоносные данные, отправленные в big endian, могут проскользнуть через локальную защиту целевой системы.
HTTP обходы можно считать самыми оригинальными, так как протокол используется как канал для всё более гибкого исполняемого кода, написанного на HTML5 и JavaScript. Возможно стеганографическое кодирование изображений со встраиванием вредоносного кода в битовый поток файла изображения. Конечный пользователь
УДК 004.056.53
и фильтр содержимого видят только картинку. Расшифровывающий код, встроенный в JavaScript видит полезную цифровую нагрузку. После загрузки код/изображение должны быть расшифрованы, извлечены и выполнены в целевой системе. Здесь вступает HTMLS с его богатой поддержкой JavaScript и CSS. По существу, небольшой объем HTMLS-кода на вредоносной странице может встроить необходимые для расшифровки инструкции таким образом, что при посещении сайта жертвой невинно выглядящее изображение автоматически загружается, затем из него извлекается вредоносный код, который выполняется сразу же.
Обход защиты от вредоносного ПО на локальной машине не является чем-то сложным для взломщиков. Обычный способ включает в себя обфускацию вредоносных данных c использованием полиморфного кодировщика для избегания соответствия сигнатуре угрозы. Обфускация кода возможна даже при работе в виртуальной машине. Это довольно-таки иронично, так как некоторые системы защиты, например, VMProtect, используют виртуальную машину для создания безопасной песочницы для недоверенных приложений. Однако взломщики могут использовать тот же подход для исполнения любого кода и применять полиморфно скрытые точки входа и выхода для доступа к системным ресурсам, не поднимая тревогу.
Напрашивается вопрос: если взломщики в итоге пересобирают переданное вредоносное ПО, то почему этого не могут сделать защитные приложения? Они могут, но за счет системных ресурсов и пропускной способности. Защитные приложения должны держать весь поток атаки в памяти, чтобы засечь атаку. Но память дорога и может снизить производительность, особенно когда устройство пытается обработать миллионы подключений за секцию. В качестве упрощенного примера можно представить IDS, которая может держать в памяти каждый поток пакета 10 секунд.
Если атака разделена на два фрагмента с промежутком в 1S секунд, то она будет считаться обычными помехами и не будет обнаружена. Даже расширение буферов памяти не всегда помогает, так как продвинутые способы обхода могут комбинироваться. Например, исполняемый файл может быть обернут в закодированное изображение, отправленное по HTTP, а ключ и распаковщик могут быть переданы с использованием фрагментации пакетов и посторонних заголовков. Число возможных комбинаций измеряется миллиардами.
Вывод
Несмотря на тяжесть ситуации, большей части компаний не нужно паниковать. Продвинутые способы обхода являются в первую очередь средством организованных киберпреступников и применяются совместно с APT, направленными на очень важные цели, например, системы контроля производства, коммунальные предприятия и финансовые системы.
Обнаружение продвинутых способов обхода является сложной, но решаемой задачей. Файерволы следующего поколения от компаний Cisco, Dell (SonicWall), McAfee (Stonesoft) и Palo Alto Networks содержат технологию обнаружения атак, пытающихся использовать сложность и многоуровневость сетевых и прикладных протоколов для их обхода. Базовый подход известен как «нормализация трафика», приводящий пакеты, содержащие различные части атаки, к их начальному состоянию перед исследованием на подозрительный код и сигнатуры атаки.
В заключение следует отметить, что из-за сложности и высокой стоимости таких атак под угрозой в данный момент находятся только самые крупные корпорации и государственные структуры, однако улучшать свои средства защиты следует всем.
История развития компьютерной безопасности показывает, что методы атак и обхода защиты быстро распространяются, поэтому озаботиться защитой от самых совершенных и опасных методов надо до того, как они войдут в арсенал каждого ки-берпреступника [7].
Литература
1. Advanced Attacks Demand New Defenses [Электронный ресурс] : доклад/К. Марко — InformationWeek — Режим доступа: http://reports.informationweek.com/abstract/21/12095/ Security/Advanced-Attacks-Demand-New-Defenses.html — 2014 г.
2. Cisco 2014 Annual Security Report [Электронный ресурс] : доклад/ Cisco Systems, Inc. — Режим доступа: http://www.cisco.com/web/offers/lp/2014-annual-security-report — 2014 г.
3. Managing Information Security Risk [Электронный ресурс]: спец. публ./ The National Institute of Standards and Technology — Электрон. журн. — Режим доступа: http://csrc.nist. gov/publications/nistpubs/800-39/SP800-39-final.pdf — 2014 г.
4. Advanced Evasions Techniques for Dummies [Электронный ресурс]: белая книга/ McAfee
— Электрон. книга — Режим доступа: http://www.informationweek.com/whitepaper/ Security/Security-Administration/advanced-evasions-techniques-for-dummies-wp1382973917 — 2014 г.
5. Стандарт IP IETF, RFC 760 [Электронный ресурс]: стандарт/ Information Sciences Institute University of Southern California — Электрон. книга — Режим доступа: http://tools.ietf.org/ html/rfc760 — 2014 г.
6. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection [Электронный ресурс]: статья/ Т. Пташек, Т. Ньюшем — Secure Networks, Inc. — Электрон. журн. — Режим доступа: http://crypto.stanford.edu/cs155old/cs155-spring03/IDSpaper.pdf — 2014 г.
7. Матвеев В.А., Цирлов В.Л. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2014 г. // Вопросы кибербезопасности. 2013. № 1(1). С.61-64.
References
1. Advanced Attacks Demand New Defenses [Internet resource] : report / K. Marko — InformationWeek—Access: http://reports.informationweek.com/abstract/21/12095/Security/ Advanced-Attacks-Demand-New-Defenses.html — 2014.
2. Cisco 2014 Annual Security Report [Internet resource] : report / Cisco Systems, Inc. — Access: http://www.cisco.com/web/offers/lp/2014-annual-security-report — 2014.
3. Managing Information Security Risk [Internet resource]: spec. publ. / The National Institute of Standards and Technology — Digital magazine — Access: http://csrc.nist.gov/publications/ nistpubs/800-39/SP800-39-final.pdf — 2014.
4. Advanced Evasions Techniques for Dummies [Internet resource]: white paper/ McAfee
— E-book — Access: http://www.informationweek.com/whitepaper/Security/Security-Administration/advanced-evasions-techniques-for-dummies-wp1382973917 — 2014.
5. IP IETF standard, RFC 760 [Internet resource]: standard / Information Sciences Institute University of Southern California — E-book — Access: http://tools.ietf.org/html/rfc760
— 2014.
6. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection [Internet resource]: article/ Thomas Ptacek, Timothy Newsham — Secure Networks, Inc. — Digital magazine — Access: http://crypto.stanford.edu/cs155old/cs155-spring03/IDSpaper. pdf — 2014.
7. Matveyev V.A., Tsirlov V.L. Sostoyaniye i perspektivy razvitiya industrii informatsionnoy bezopasnosti Rossiyskoy Federatsii v 2014 g., Voprosy kiberbezopasnosti, 2013, № 1(1), pp.61-64.