Угроза кибер-шпионажа растет; не только в терминах частоты появления, но и в терминах распространения. Живой пример этого - троян удаленного доступа (Remote Access Trojan, RAT). Это часто используемый и легкий для понимания инструмент для преступников, которые могут иметь более грязные планы, чем просто захват незащищенного сервера из спортивного интереса. Когда атакующий использует его для шпионажа и хочет получить доступ к большому количеству государственных фондов, то он будет использовать любые средства, которые ему доступны. Например, это простой (но очень надежный, широко распространяемый и широко доступный) программный пакет, такой как  Xtreme RAT.

Насколько прост этот пакет RAT? Посмотрите это видео, которое показывает, как его использовать. Обратите внимание, что этим кадрам уже 10 лет. Да, его легко применять.

Факт, что эти атаки такие простые, не означает, что они неэффективны. Сфера этих атак находится вне обычных границ, она необычна. RAT и другие атаки похожего типа  до недавнего времени были традиционно отличительным признаком взломщиков, действующих из Китая, пока такие атаки не начали использовать против палестинцев. Позже эти же атаки были применены против израильских целей, включая посольства и правоохранительные органы. Сейчас мы можем сделать два важных вывода: атаки типа RAT уже не являются синонимом атак из Китая и сегодняшние подобные атаки в основном имеют политическую мотивацию.

Подобные типы инцидентов могут не иметь за собой гигантской поддержки государств (см. Stuxnet, Flame), но они очень живучи и продолжительны. Этот инструмент легко приобрести, он прост в установке и его легко эксплуатировать. Взломщики также имеют время на своей стороне, ведь, как показал анализ, среднее время жизни такой угрозы до тех пор пока владельцы сервера не узнают, что кто-то имеет "ключи от их дома", составляет 312 дней.

В такой ситуации большое значение приобретает анализ, который часто используется при определении целевых устойчивых угроз (APT, advanced persistent threats). Естественно, хорошим выбором для этого типа задач является SIEM (Security Information and Event Management), но эта система не всегда может гарантировать, что обнаружит "иголку в стоге сена". Долговременное хранение потоковых данных очень полезно, поскольку позволяет сравнить информацию с существующими данными в вашем SIEM, кроме того они могут использоваться отдельно для сетевого анализа. Данные потоков занимают небольшой объем, легко сжимаются, легко структурируются, легко классифицируются и легко используются. Функциональность NetFlow есть почти в каждом маршрутизаторе, коммутаторе, а также на многих файерволах, и теперь настало время ее включить и посылать данные куда-нибудь для анализа.

Очень полезным для выполнения задачи анализа данных, да и других функций, является Lancope StealthWatch. Эта система может собирать все данные потоков в одном месте, обнаруживать анормальное поведение хостов, и передавать эти сведения в SIEM. Кроме того, он может работать как самостоятельное средство анализа и принятия решений. Данные потоков хранятся на устройствах StealthWatch неограниченное время и могут очень быстро "подняты" для идентификации определенных шаблонов трафика, свидетельствующих, что RAT или другое аналогичное средство используется с увеличивающейся частотой. Угроза класса APT очень реальна и использование нового, отличного от обычного подхода, метода выявления угроз очень важно. Сегодня больше чем когда-либо.

Вы хотите видеть и понимать, что происходит в вашей сети?

Чтобы узнать, как используется StealthWatch для отслеживания malware и противостояния APT, кликните сюда.