Запобігання атакам типу ATO. Частина 1: етапи, типи, методи виявлення

За матеріалами Спирос Псарріс (Spiros Psarris), reblaze.com/blog

ATO відбуваються в тому випадку, коли зловмисники намагаються отримати контроль над легітимними акаунтами користувачів. Після зламу облікових записів кіберзлочинці або викрадають критично важливу інформацію, або використовують їх для виконання інших зловмисних дій.

АТО є однією з найсерйозніших кіберзагроз, з якою сьогодні стикаються організації. Згідно зі звітом Verizon (verizon.com) про розслідування витоків даних у 2022 році, використання викрадених облікових даних є дуже поширеним методом проникнення в систему. Дійсно, АТО були задіяні у кількох останніх резонансних кібератаках. Злам інформаційної системи в компанії Colonial Pipeline у 2021 році почався саме з того, що зловмисники скомпрометували старий обліковий запис користувача, який відкрив їм доступ до внутрішньої мережі компанії. Cisco зіткнулася з подібним інцидентом у травні 2022 року — зловмисники отримали доступ до VPN клієнта, скомпрометувавши особистий Google-акаунт одного зі співробітників.

Зловмисники мають у своєму розпорядженні різноманітні методи для здійснення атак на облікові записи, тому надійна система безпеки має передбачати кілька типів запобігання ATO. Далі ми розповімо:

• які є етапи у атак АТО,
• які є види атак АТО,
• які підходи застосовуються до виявлення АТО-атак,
• які найпотужніші методи протидії АТО-атакам можна застосувати.

Етапи АТО

Атаку типу АТО можна розділити на два етапи:

• Захоплення. Тут зловмисники ще не мають валідних даних для будь-яких облікових записів користувачів. Причиною цьому, можливо, є те, що вони наразі не отримали жодних наборів даних із системи, яку атакують. Або вони можуть мати певні набори облікових даних (наприклад, викрадені під час системних зломів інших сайтів), але ще не перевірили, які з них працюватимуть у цільовій системі.
• Експлуатація. Після отримання або підтвердження дійсних наборів облікових даних зловмисник може видати себе за легітимного користувача, власника цього акаунта, увійти в систему та виконувати різноманітні шкідливі дії, застосовуючи будь-які привілеї, що користувачі мають у цільовій системі.

У серії статей ми зосередимося на першому етапі, коли зловмисники ще не можуть ідентифікувати особу користувача, але намагаються отримати таку можливість. Також розповімо про конкретні методи захисту та проаналізуємо низку найкращих практик.

Види атак АТО

Як ми згадували вище, під час проведення атаки типу АТО хакери використовують різноманітні методи. Експерти відзначають кілька основних.

(1) Груба сила (Brute Force). Як випливає з назви, брутфорс є доволі прямою та нехитрою — стандартний перебір всіх варіантів логінів/паролів. Це вимагає від зловмисника надсилання великого обсягу трафіку до цільової системи.

• Перебір облікових даних (Credential stuffing) — один із найпоширеніших видів, коли зловмисник має список наборів облікових даних, отриманих з інших сайтів (викрадених безпосередньо під час зламу чи куплених у даркнеті). Хакер використовує автоматизоване програмне забезпечення, щоб переглядати список і вводить набори облікових даних у форми входу в цільовій системі, щоб перевірити, чи спрацюють якісь з них.
• Словникові атаки. У цьому випадку хакери спираються на той сумний факт, що багато людей все ще використовують слабкі паролі для своїх облікових записів. Отже вони аналізують «словник» паролів, тобто перелік секретних слів, які часто використовуються, щоб перевірити, які з них спрацюють для входу в систему.

(2) Соціальна інженерія

• Фішинг. Такий метод ATO змушує користувачів ненавмисно надати свої облікові дані зловмиснику. Це може статися через перехід на фішингові сайти або в разі відповіді на ретельно сформульовані електронні листи, які виглядають як легітимні, наприклад від їхнього банку або ІТ-адміністратора.
• Цільовий фішинг (Spear phishing) — це фішингова атака, спрямована на конкретних користувачів і тому ретельно під них налаштована. За умови правильного виконання вірогідність успішності таких атак може бути високою.

(3) Експлуатація системи

• Атаки типу «людина посередині» (Man-in-the-middle, MitM). Зловмисники проникають до мереж, щоб перехопити трафік між пристроями та серверами. Це може призвести до викрадення API-токенів, імен користувачів і паролів, які надсилаються не через зашифровані з’єднання. У загальнодоступному інтернеті MitM менш поширений, ніж раніше завдяки активному використанню протоколу HTTPS, але ці атаки все ще можуть спрацювати за деяких обставин.
• Сеансові атаки. Власне атака із захопленням сесії не обов’язково є формою ATO, оскільки зловмисник не завжди отримує облікові дані користувача. Однак може мати той же ефект через те, що зловмисник може імітувати ідентифікацію користувача протягом сеансу.
• Крадіжка даних, віруси та зловмисне програмне забезпечення — хакери можуть отримати облікові дані під час витоку даних або через спеціалізовані шпигунські програми, як от клавіатурні шпигуни (keyloggers), що збирають інформацію із комп’ютерів користувачів.

Комплексна стратегія безпеки для запобігання ATO включатиме кілька рівнів захисту для протидії всім цим типам атак. Крім того, ці загрози не є взаємовиключними. Для прикладу, експерти Reblaze часто спостерігають складні, багатоетапні атаки ATO, коли хакери випробовують різні стратегії та тактики в рамках однієї події.

Виявлення атак АТО

Багато організацій не помічають спроб атак типу АТО спрямованих на їхню інфраструктуру. Але в основі захисту від ATO лежить знання того, як визначити, що атака вже відбувається. Найнадійніші засоби запобігання АТО використовують інструменти автоматизації, завдяки яким можна виявити аномальну активність на підставі загальних показників:

• Багато невдалих спроб входу для одного користувача часто вказують на атаку за словником.
• Високий рівень невдалих спроб входу для кількох користувачів може свідчити про те, що відбувається атака шляхом введення облікових даних (стафінг).
• Спроби входу для кількох користувачів з однієї IP-адреси також є червоним прапорцем, особливо якщо вони спостерігаються протягом короткого періоду часу.
• Спроби входу мають тривожити, наприклад, коли вони надходять з азіатських чи африканських IP-адрес для облікового запису користувача, зареєстрованого в Європі.
• Підозрілі ідентифікатори клієнтських машин: безліч запитів від пристроїв, які не надають відомі ідентифікатори або використовують загальні параметри, є ще одним показником того, що трафік нелегітимний.
• Підозріла поведінка клієнта: легітимний користувач зазвичай дотримується впізнаваних моделей поведінки. Наприклад, вхід у веб-програму завжди починається із запиту GET, а потім POST. Кіберзлочинець під час атаки намагається працювати швидко, і тому часто порушує ці моделі поведінки. Для прикладу, він може масово надсилати запити POST без попередніх GET.
• Велика кількість надсилання форм для входу (login) може свідчити про атаку типу ATO, навіть якщо інші показники не здаються аномальними.

Як запобігти атакам АТО

Незважаючи на те, що ATO є складною загрозою, від цієї атаки можна успішно відбиватися за допомогою надійної системи безпеки. Зокрема, рішення від Reblaze забезпечує надійний захист облікових записів користувачів та клієнтів і є основною частиною комплексного програмного забезпечення для веб-безпеки. Продукт блокує несанкціоновані спроби використання або виявлення облікових даних, доступ до облікових записів користувачів, компрометації активних сеансів та інших форм ATO.

Reblaze використовує багатовимірний аналіз, ідентифікуючи трафік загрози не лише за його джерелом, але й за ідентифікатором, поведінкою та наміром. Платформа розгортається у виділеній VPC (віртуальній приватній хмарі), розташованій безпосередньо перед захищеною мережею, і тому блокує зловмисний трафік із майже нульовою затримкою.

Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням з вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!

Запобігання атакам типу ATO. Частина 2: багатофакторна автентифікація

Запобігання атакам типу ATO. Частина 3: протидія фішингу

Запобігання атакам типу ATO. Частина 4: обмеження швидкості

Reblaze — кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API

Cloudflare VS Reblaze: порівняння платформ