В Уроке 2 мы оценивали различные методы обнаружения атак, которые могут использоваться для отражения последних. Сейчас мы обратим наше внимание на то действие (payload), которое осуществляется после того, как проникновение (exploit) в сеть произошло.

Различие между Exploit и Payload
Для начала разберемся в различии между этими двумя терминами. Exploit - это метод обхода системы безопасности, а payload - то, что делается после осуществления доступа в сеть.

Обнаружение Payload
Ранее мы обсуждали, что атаки могут обнаруживаться путем проверки состава трафика (обнаружение на основе сигнатур) или его активности (обнаружение на основе анализа поведения). Подобные сигнатуры могут быть написаны и для обнаружения как exploit, так и payloads.

Сетевые payloads
Существует несколько различных вредоносных действий, которые осуществляются после проникновения в сетевые ресурсы.

Нарушение сервиса.
Вероятно, наиболее часто упоминаемое атакующее действие (payload) связано с нарушением оказания услуг. Атака типа denial-of-service (DoS) предназначена для препятствия серверу осуществлять свою функцию. В 1995 году печально известная атака DoS, названная "The Ping of Death", была запущена в быстро растущий Интернет. Вследствие посылки пакетов данных, значительно большего размера, чем обычный пакет ping (> 1000x), атакованная система переставала отзываться до тех пор, пока ее не перезагружали. Более привычный тип атак класса DoS заключается в посылке значительно большего количества запросов на обслуживания, чем сервер может физически обслужить. Когда географически распределенные компьютеры скоординировано атакуют хост атакой типа denial-of-service, то такое воздействие называется  "распределенной атакой типа отказа от обслуживания" (distributed denial-of-service, DDoS).
Атаку DoS "Ping of Death" можно обнаружить с помощью использования сигнатуры. А для обнаружения DoS типа "избыточного количества запросов" можно использовать только анализ аномалий/поведения трафика. Например, когда тысячи зараженных компьютеров (известных как ботнет или "зомби-сеть"), управляемые хакером, обращаются с запросом в атакуемый хост с максимально возможной частотой. Обнаружение на базе сигнатуры или эвристическое детектирование не сработает, поскольку состав трафика будет вполне нормальным (запрос к сайту), враждебной действие заключается в отклонении от нормальной частоты запросов.

Ботнеты
Успешная сетевая атака может быть не более, чем "вербовка" нового рекрута в сообщество. Иногда изощренные атаки используются для получения контроля над мощным сервером. Когда хакеры получают полный доступ к компьютеру, они называют это "овладеть" машиной. Чаще, чем стараться овладеть крупным сервером, атакующие просто рекрутируют пешек. По всему миру хакеры устанавливают свое шпионское ПО на тысячи компьютеров, получая таким образом армию компьютеров, стоящих в ожидании команды к действию. Одиночный компьютер, зараженный подобным образом, называется "бот". Все вместе компьютеры, находящиеся под контролем атаковавшего их, называются "ботнет" или иногда "зомби-сеть". Ботнеты используются для различных целей, начиная от рассылки спама и подавления онлайн-рекламщиков (click fraud), заканчивая DDoS и маскировкой инфильтрации в сеть.
С тех пор, как компании стали позволять своим сотрудникам подключать собственные устройства (ноутбуки, планшеты, смартфоны) в сеть (политика, носящая название "bring-your-own-device" или BYOD), они стали использоваться хакерами для создания ботов внутри сети, недоступной иным способом. Так же как очень сложно определить, когда до сих пор лояльный солдат стал предателем, очень трудно обнаружить бот, когда он неактивен. Обнаружение на базе сигнатур полагается на обнаружение коммуникаций с интернет-адресом из списка "плохих" сайтов, чтобы обнаружить, что внутренний хост подает сигнал своему контролеру (известному, как command-and-control server). Но, поскольку преступники в киберпространстве могут перемещаться намного легче, чем их аналоги в физическом мире, то это делает такие списки (и сигнатуры) малоэффективными. Методы обнаружения на базе анализа поведения могут заметить новые типы соединений, которые идут от недавно инфицированных хостов и обеспечить возможность своевременно отреагировать на инцидент.

Потери данных
Если возможность иметь в своей сети компьютеры, управляемые кем-то снаружи, вас пугает, то предположение, что ваша конфиденциальная информация отсылается на сервер, принадлежащий преступникам (или конкурентам), может вызвать у вас "понос и золотуху". Когда компьютер в вашей сети куда-то отсылает информацию, которая не должна покидать пределы сети, это называется "потеря данных или data loss". В сегодняшних условиях, когда усиливается ответственность за утерю персональных данных, данных кредитных карт или медицинской информации, любая неавторизованная утечка данных может серьезно повредить организации. Система защиты от утечек на базе сигнатур может выискивать образцы (patterns) SSN или кредитных карт в исходящем трафике. Они могут также проверять названия файлов, передаваемых по сети. Хакеры очень скоро обнаружили, что некоторые методы шифрования, которые используются для защиты от их атак, могут с успехом использоваться для обхода систем защиты от утечек на базе сигнатур. Используя зашифрованный коммуникационный канал для пересылки защищенной информации из сети, можно стать невидимым для сигнатурных систем. Поскольку поведенческие системы не нуждаются в просмотре передаваемых данных, они могут отловить компьютеры с защищенной информацией, которые начинают вести себя ненормально. Вместо обычного для сигнатурных систем сигнальных сообщений типа "Пересылаются подозрительные SSN-данные", поведенческая система будет сигнализировать об "Обнаружении подозрительных данных" или "Возможная потеря данных", основываясь на анализе отклонений в нормальном поведении трафика.

Заключение

Мы сделали краткий обзор того, что могут преступники сделать после проникновения через защитные механизмы. На следующем уроке мы рассмотрим, как имея более "интеллигентные" системы, чем у атакующих, можно эффективно защитить свою сеть.