«Another nightmare for the NSA? Smart system administrator who actually reads the logs and pays attention to what they say».

Rob Joyce@Enigma Conference

 

Приветствую, друзья! Представляю Вашему вниманию перевод статьи журнала The Register — NSA’s top hacking boss explains how to protect your network from his attack squads.

В целом,  ничего нового глава Tailored Access Operations не рассказал, но тем не менее, достаточно интересно услышать это из уст главного хакера АНБ.

 National Security Agency (NSA) является общеизвестной организаций, деятельность которой никогда не придавалась широкой огласке. Однако на недавно прошедшей конференции Usenix Enigma глава элитного подразделения Tailored Access Operations (TAO) выступил с докладом, в котором рассказал ИБ-специалистам о том, как сделать жизнь его команды профессиональных взломщиков тяжелее.

Роб Джойс (Rob Joyce) более четверти века прослужил в рядах «No Such Agency». В 2013 году он возглавил TAO. Основная задача этого подразделения – взлом компьютеров, телекоммуникационных сетей и другого оборудования дружественных (и не совсем) правительств и компаний.

Презентация Джойса по безопасности сетевой инфраструктуры сводилась к одному простому совету:

«Если вы действительно хотите защитить свою сеть, вы обязаны знать ее досконально — все используемые сетевые устройства и технологии, на которых она построена».

По его словам, во многих случаях специалисты TAO знают о целевой сети гораздо больше, чем специалисты, которые ее спроектировали и администрируют.

Условно, процесс взлома цели киберспецназом NSA можно разделить на 6 основных этапов: разведка (reconnaissance), начальная эксплуатация (initial exploitation), установление присутствия (establish persistence), установка инстурментов (install tools), продвижение вглубь (move laterally) и последний этап – сбор, анализ и использование полученной информации (collect, exfiltrate and exploit the data).

На этапе разведки (reconnaissance) агенты чаще всего исследуют цель с помощью специального ПО и инструментов, но в некоторых случаях прибегают и к физическому воздействию. Они определяют ключевые фигуры в обслуживающем персонале, собирают информацию об аккаунтах сотрудников, узнают адреса электронной почты, определяют границы атакуемой сети и постоянно контролируют ее до тех пор, пока, наконец, не обнаружат брешь в системе.

«Наша главная цель — найти точку входа. Мы будем искать ее на протяжении продолжительного времени. Мы будем пытаться вновь и вновь, потом ждать подходящего момента и снова пытаться получить доступ. Мы не остановимся до тех пор, пока не проберемся внутрь. Именно поэтому атаки такого рода получили название APT – Advanced persistent threat (развитая устойчивая угроза)».

Цель атакующих — слабые места системы. Это могут быть как дыры в сетевой инфраструктуре организации, так и персонал, который работает из дома или пользуется неразрешенными устройствами. Также велика вероятность, что сеть имеет стыки с другими системами, например, системами управления отоплением или вентиляцией, которые могут сыграть на руку атакующим.

Компании должны уделять особое внимание облачным провайдерам.

«Однажды воспользовавшись услугами такой организации, вы по сути передали им свои данные и полностью доверились им и их системе безопасности».

Глава ТАО предупредил, что в таких случаях дополнительная осмотрительность не помешает.

На этапе начальной эксплуатации (initial exploitation) ключевыми векторами атак являются вредоносные вложения в электронных письмах, атаки класса injection на сайтах и переносные носители информации – последние бывают очень полезны при проникновении в обособленные (air-gapped) системы, которые не имеют связи с «внешним миром». Иран испытал всю прелесть неразрешенных ЗУ на своей шкуре в истории со Stuxnet.

Другой распространённый вектор атаки это CVE (common vulnerabilities and exposures), которые не были во время пропатчены. Чтобы эффективно противостоять взломщикам, автоматическое обновление уязвимых систем должно стать нормой. Что же касается 0day, то, по словам Роба Джойса, их роль переоценена.

«Многие считают, что свои операции NSA проводят на zeroday-ях, однако на самом деле это далеко не всегда так. Существует огромное количество векторов атак, реализация которых проще, продуктивнее и гораздо менее рискованна. В больших корпоративных сетях упорство атакующих и постоянный контроль над целью позволяют попасть внутрь, не прибегая к использованию уязвимостей нулевого дня».

 Что же касается собственной коллекции 0day-эксполйтов, Джойс заметил, что в арсенале агентства они имеются, но в очень ограниченном количестве. Степень критичности каждой новой обнаруженной уязвимости оценивается специально созданным комитетом, который и принимает решения об информировании (или неинформировании) вендоров. Джойс подчеркнул, что АНБ не принимает окончательного решения по данному вопросу.

Для защиты от атак на этапе начальной эксплуатации (initial exploitation), администраторам необходимо вести белый список приложений, грамотно управлять доступом, вовремя патчить обнаруженные уязвимости и внедрять системы поведенческого анализа. Если на вид легитимный пользователь проявляет не свойственную активность, например, впервые обращается к сети — на этот факт следует обратить пристальное внимание, т.к. скорее всего его аккаунт скомпрометирован. Джойс объяснил, что инструменты, основанные на поведенческом анализе, особенно полезны против ранее неизвестного вредоносного ПО. Антивирус, полагающийся только на сигнатурный анализ, едва ли защитит вас от нового вредоносна.

Удивительно, но очень часто несущественные на первый взгляд мелочи позволяют получить доступ к целевой системе. Такие банальные вещи, как учетные данные администратора в скриптах, отсутствие сегментации сети и незамеченная аномальная активность в логах системы позволяют атакующим относительно легко пробраться внутрь. Не редки случаи, когда специалисты NSA, после тестирования на проникновение и предоставления доклада об уязвимостях, спустя несколько лет, снова находили всё те же дыры, т.к. никто просто-напросто их не закрыл. По словам Роба Джойса, первое, что делают агенты АНБ, при повторном пентесте – пытаются найти обнаруженные ранее уязвимости.

«Просто невероятно, но большое количество уязвимостей так и остаются незакрытыми, несмотря на заблаговременное предупреждение об их наличии».

Следующий этап — закрепление в скомпрометированной системе. Он заключается в запуске на атакуемой системе «специализированного» ПО, и/или патчинге уже существующих приложений для добавления необходимого функционала. По словам Джойса, создание белых списков ПО – ключевой момент в противостоянии этой фазе вторжения.

Следующий шаг: сбор данных и скрытый вынос полученной информации из здания.

Запуск инструментов для эксплуатации уязвимостей и сбора необходимой информации – следующий этап. Самым первым делом устанавливается ПО-дроппер, которое по необходимости доустанавливает дополнительные модули с нужным функционалом. Обнаружить это администраторы могут по логами системы и тщательному их изучению на предмет аномальной активности, паразитного траффика и других нетипичных сообщений.

Если доступ получен, а установленные тулзы остались незамеченными — злоумышленник может двигаться вглубь. Обособление систем, содержащих конфиденциальную информацию, и грамотно настроенные механизмы разграничения доступа позволят предотвратить утечку данных. Эти меры заключаются не только в ограничении доступа пользователей в определенные сегменты сети, они также подразумевают, что администраторы должны точно знать, чем в данный момент занят пользователь, и какое устройство он использует. Кроме того, даже грамотно построенная инфраструктура бесполезна, если пользователи могут беспрепятственно подключать к сети различные устройства.

И наконец, атакующий должен собрать, отфильтровать нужные данные и стянуть их, оставаясь незамеченным. Разделение сети на сегменты, постоянный мониторинг сетевой активности и анализ журналов – ключевые моменты, которые позволят обнаружить злоумышленника и, возможно, вовсе предотвратить утечку конфиденциальной информации.

Следует уделять должное внимание резервному копированию. Каково это остаться без данных и без бэкапов, можно узнать по печальному опыту Aramco и Sony. Уничтожение данных –  основной вектор атаки правительственных взломщиков. Поэтому, по словам Джойса, регулярное резервное копирование данных необходимо.

«В конце концов, всё приведенные выше рекомендации сводятся к одному — доскональному знанию сети. Крайне необходимо, чтобы все администраторы приняли участие в игре, навязываемой АНБ, не расслаблялись и никогда не исключали возможность атаки».

До того, как возглавить ТАО, Джойс являлся сотрудником Information Assurance Directorate (IAD). Главная задача этого подразделения – защита национальной информационной инфраструктуры Соединенных Штатов от атак. Он признался, что мысли о безопасности SCADA-систем не давали ему покоя на протяжении многих ночей.

Комментарии автора (Iain Thomson)

ОК, я, кажется знаю, о чем Вы сейчас подумали. Агентство заслужило дурную славу в результате раскрытия информации Сноуденом. Этот парень – главный хакер АНБ и почему я должен ему доверять?

Тем не менее, Джойс заслужил небольшой кредит доверия: во-первых, он выступил на конференции, большинство участников которой мягко говоря не испытывают восторга от деятельности АНБ; во-вторых, он дал хорошие советы собравшимся и не ударил лицом в грязь, отвечая на каверзные и временами враждебные вопросы аудитории. Конечно, кое-какие интересные детали он опустил, но почти всё его выступление оказалось полезным.

В конце презентации он предложил слушателям просканировать QR-код для получения дополнительной информации по теме, пошутив – «Да кто вообще по-настоящему доверяет информации такого рода от АНБ».

Выступление на конференции Enigma явилось смелым поступком. И к счастью, в презентации Джойса отсутствовал всякого рода черный пиар. Именно этим его доклад выгодно отличался от других выступлений представителей NSA на конференциях Black Hat, RSA, DEFCON.

Конечно, всю информацию стоит воспринимать с некоторой долей скептицизма, но в его выступлении есть немало полезных вещей, и, кажется, Джойс действительно знает, о чем говорит.

Еще полезные ссылочки по теме:

  1. Собственно само выступление на youtube. USENIX Enigma 2016 — NSA TAO Chief on Disrupting Nation State Hackers
  2. Аккуратнее с игрушками из Steam. Ребята из АНБ в них тоже играют. Head of NSA’s hacker squad explains how to armor networks against the likes of him
  3. Еще один обзор выступления. NSA Top Hacker: Here’s How to Make My Life Hard