Топ взлома. Составляем рейтинг самых популярных хакерских техник
Life-Hack [Жизнь-Взлом]/ХакингТехники кибератак совершенствуются год от года. Если ты интересуешься информационной безопасностью или трудишься в этой сфере, важно быть в курсе, каким арсеналом пользуются современные киберпреступники. Сегодня поговорим о самых популярных в последние годы техниках и средствах хакеров.
Техника кибератак на компьютерные системы определяет, как действуют атакующие, и здесь всегда можно придумать что‑нибудь новенькое. В той же матрице MITRE ATT&CK с 2019 года количество техник из 244 трансформировалось в 196, но теперь они включают 411 субтехник (по состоянию на третий квартал 2023 года). То есть общее число техник фактически увеличилось вдвое. С другой стороны, ранее проторенные атакующими дорожки никто не отменял. Их тоже активно используют, какие‑то чаще, какие‑то чуть реже. Давай попробуем их отыскать.
Для начала покопаемся в аналитических отчетах, оперирующих TTP, за последние несколько лет. В качестве наиболее авторитетных репортов мы будем использовать материалы от Red Canary, Trellix, Picus Labs и других Брайанов Кребсов известных на рынке ИБ компаний, в том числе российских. Начнем с 2019 года, для которого, правда, доступен только один сводный отчет — «Threat detection report. First edition | 2019» от Red Canary. Но с каждым годом авторитетных источников становилось все больше, за 2022 год имеется с десяток публичных репортов.
КАК ОПРЕДЕЛЯЛСЯ РЕЙТИНГ
Первый момент, который потребуется учесть: в большинстве аналитических отчетов уже используются агрегированные показатели, которые нужно корректно сопоставлять между собой. Мы подсчитаем занимаемые той или иной техникой позиции в имеющихся рейтингах. Если места заняты субтехниками, то в расчете учтем ту технику, с которой она ассоциирована.
Например, техника T1059 Command and Scripting Interpreter за 2022 год трижды занимала первое место, по одному разу второе, третье и девятое места. В итоге она возглавила топ 2022 года.
Если тебе интересна техническая сторона вопроса, поясню: массив входных данных из различных отчетов формировался в ручном режиме (создавался единый CSV-файл), а уже табличные данные анализировались с использованием библиотеки Pandas для Python.
ДИНАМИКА С 2019-ГО ПО 2022 ГОД ВКЛЮЧИТЕЛЬНО
2019 год
Начать стоит с того, что ключевая проблема здесь не только в ничтожной выборке из единственного отчета, но и в изменении MITRE ATT&CK за это время. Дело в том, что, как любой «живой» проект, матрица постоянно обновляется и с 2019 года сменила не одну версию. В результате мне пришлось руками перемапить «старые» техники в «новые», а это в том числе повлияло на сокращение рейтинга с десяти позиций до восьми. Нам интересен этот топчик в первую очередь как отправная точка для дальнейших исследований. Итак, самые популярные техники 2019 года:
- T1059 Command and Scripting Interpreter;
- T1218 System Binary Proxy Execution;
- T1090 Proxy;
- T0865 Spearphishing Attachment;
- T1036 Masquerading;
- T1003 OS Credential Dumping;
- T1547 Boot or Logon Autostart Execution;
- T1569 System Services.
На что здесь стоит обратить внимание, так это на технику T0865 Spearphishing Attachment, которая была популярна у крайне активных на тот момент группировок Carbanak и FIN7, а также в рамках других целевых кампаний, доля которых, по мнению ряда исследователей, в 2019 году стала превалирующей. В последующие годы эта техника также будет присутствовать на радарах, но уже за пределами агрегированных топ-10.
2020 год
На следующий год хит‑парад немного изменился:
- T1055 Process Injection;
- T1574 Hijack Execution Flow;
- T1059 Command and Scripting Interpreter;
- T1053 Scheduled Task/Job;
- T1562 Impair Defenses;
- T1134 Access Token Manipulation;
- T1021 Remote Services;
- T1003 OS Credential Dumping;
- T1036 Masquerading;
- T1083 File and Directory Discovery.
Здесь, как и в 2019 году, пришлось учесть версионность матрицы ATT&CK, но в меньшем объеме.
Это первый год пандемии коронавируса и, как следствие, роста популярности удаленной работы. В результате среди лидеров появилась техника T1021 Remote Services. Из остальных техник интерес представляет T1574 Hijack Execution Flow, которая чаще всего используется в сочетании c техниками T1055 Process Injection и T1053 Scheduled Task/Job, что и подтверждается нашим рейтингом.
2021 год
Рейтинг 2021 года выглядит следующим образом:
- T1059 Command and Scripting Interpreter;
- T1027 Obfuscated Files or Information;
- T1218 System Binary Proxy Execution;
- T1055 Process Injection;
- T1555 Credentials from Password Stores;
- T1543 Create or Modify System Process;
- T1083 File and Directory Discovery;
- T1486 Data Encrypted for Impact;
- T1053 Scheduled Task/Job;
- T1547 Boot or Logon Autostart Execution.
Ворвавшаяся в топ техника T1486 Data Encrypted for Impact отражает то рекордное количество кибератак с использованием программ‑шифровальщиков, которое было зафиксировано в 2021 году. Свою роль сыграла и популяризация схемы «Шифровальщик как услуга» (Ransomware as a Service, RaaS) на примере следующих вредоносных программ:
Из интересного здесь следует отметить технику T1555 Credentials from Password Stores, использованную в одной из самых нашумевших кибератак на цепочку поставок SolarWinds.
2022 год
В 2022 году представлен расширенный топ-20, поскольку это самый интересный для нас год и данных было достаточно для составления развернутого рейтинга.
- T1059 Command and Scripting Interpreter;
- T1082 System Information Discovery;
- T1036 Masquerading;
- T1003 OS Credential Dumping;
- T1071 Application Layer Protocol;
- T1218 System Binary Proxy Execution;
- T1083 File and Directory Discovery;
- T1588 Obtain Capabilities;
- T1047 Windows Management Instrumentation;
- T1486 Data Encrypted for Impact;
- T1190 Exploit Public-Facing Application;
- T1566 Phishing;
- T1055 Process Injection;
- T1021 Remote Services;
- T1098 Account Manipulation;
- T1105 Ingress Tool Transfer;
- T1110 Brute Force;
- T1547 Boot or Logon Autostart Execution;
- T1112 Modify Registry;
- T1505 Server Software Component.
Здесь есть как уже знакомые нам «лица», так и новички. Например, на втором месте техника T1082 System Information Discovery, которая позволяет атакующему не только грамотно развить кибератаку, но и собрать данные на будущее, что не может не настораживать.
Отметим технику T1190 Exploit Public-Facing Application, занявшую 11-е место, но лидирующую на стадии Initial Access в 2022-м.
Теперь можно посмотреть динамику изменений в топ-10 за четыре года на условной тепловой карте, где более «горячие» техники — это соответствующие лидеры.