Нарушить планы атакующих: как применять знания об их инфраструктуре в свою пользу
Представьте: злоумышленник уже внутри вашей сети, вредоносное ПО запущено. Но атаку можно остановить на старте. Для этого нужно лишить киберпреступников доступа к их инфраструктуре, которая служит им опорным пунктом, системой управления и хранилищем украденных данных.
Это четвертая часть руководства по применению киберразведданных и внедрению угрозоцентричного подхода. В ней мы поговорим о том, как предотвращать кибератаки, используя информацию об инфраструктуре атакующих.
Какая инфраструктура необходима атакующим
Чаще всего она представлена следующими компонентами:
- Для размещения фишинговых страниц. Эти страницы служат для получения учетных данных и доставки вредоносного ПО (ВПО) в систему жертвы. На них может размещаться ссылка для загрузки вредоносного файла или, например, инструкции для жертвы по запуску вредоносной команды — например, как в случае с подтехникой User Execution: Malicious Copy and Paste (T1204.004). Для размещения страниц злоумышленники используют как арендованную, так и скомпрометированную IT‑инфраструктуру, включая взломанные веб‑серверы.
- Для размещения ВПО и инструментов. На первом этапе ВПО часто представляет собой загрузчик, поэтому атакующим нужна инфраструктура для размещения вредоносной нагрузки. Кроме того, на разных этапах жизненного цикла атаки они могут загружать дополнительные ВПО и инструменты, используя технику Ingress Tool Transfer (T1105). Для этого применяются арендованные серверы, легитимные, но скомпрометированные сайты или другие веб-сервисы.
- Для размещения командных и прокси‑серверов. Даже после успешной доставки ВПО в систему злоумышленнику нужна возможность удаленного управления. Для этого не всегда используются специально арендованные или скомпрометированные серверы. Нередко в ход идут легитимные программы для удаленного администрирования и различные веб‑сервисы.
- Для использования служб удаленного доступа. Во многих кибератаках злоумышленники начинают не с доставки ВПО, а со входа в систему с помощью легитимных учетных данных. Часто для доступа используется не арендованный сервер, а, например, инфраструктура коммерческих VPN-провайдеров.
- Для выгрузки конфиденциальной информации. Практически все атакующие, независимо от их мотивации, стремятся получить доступ к данным. Хотя для выгрузки и хранения информации могут использоваться командные серверы, нередко применяются и альтернативные каналы, включая легитимные веб-сервисы, предназначенные для хранения больших объемов данных.
Теперь рассмотрим типы индикаторов, связанных с инфраструктурой злоумышленников, и особенности работы с ними.
Как работать с изменчивыми индикаторами: IP-адреса, домены, URL
На первый взгляд, все просто: можно заблокировать адреса элементов вредоносной инфраструктуры на межсетевых экранах или прокси. Это отрежет злоумышленников от их инфраструктуры и не позволит им доставить ВПО или инструменты, а также управлять ими.
Однако инфраструктура злоумышленников может быть очень изменчивой. Сервер, который вчера использовался в качестве командного, сегодня уже может быть легитимным. Если вредоносные доменные имена и особенно URL редко возвращаются к легитимному использованию, то для IP‑адресов это характерно.
Поставщики киберразведданных, включая портал BI.ZONE Threat Intelligence, используют TTL (time‑to‑live, время жизни) — параметр, задающий срок, по истечении которого индикатор автоматически попадает в архив. Это позволяет избежать блокировки ресурсов, которые снова стали легитимными. Срок жизни индикатора может исчисляться днями и месяцами — все зависит от того, продолжают ли злоумышленники использовать элемент инфраструктуры. Специалисты по киберразведке определяют это с помощью автоматического сканирования глобальной инфраструктуры на признаки, характерные для командных серверов конкретного ВПО, или по факту появления новых его образцов, связанных с данным IP‑адресом.
Также поможет анализ хостинг‑провайдеров, которыми часто пользуются злоумышленники. Если это небольшой провайдер в недружественной юрисдикции, есть смысл заблокировать все его IP‑адреса — вряд ли доступ к ним потребуется из корпоративной сети. Еще один вариант — блокировка редко используемых доменных зон. Атакующие часто регистрируют домены в необычных доменных зонах первого уровня, которые также можно заблокировать по умолчанию — маловероятно, что на них будут расположены критически важные для организации ресурсы.
Как атакующие злоупотребляют легитимными элементами инфраструктуры
В инфраструктуру злоумышленников могут входить и абсолютно легитимные элементы, которые применяются на разных этапах кибератаки.
Средства удаленного доступа
Иногда легитимные инструменты, например средства удаленного доступа, служат заменой ВПО. Например, кластер Rare Werewolf использовал таким образом AnyDesk, a Quartz Wolf — российскую программу «Ассистент».
Очень часто в атаках применяют инструменты для туннелирования, например, кластер Dirty Wolf использовал Localtonet, а Rainbow Hyena — Ngrok. Подробные кейсы мы описывали в исследовании Threat Zone 2025.
Часто для управления такими инструментами задействуется инфраструктура их разработчиков. К ней можно ограничить доступ для тех средств удаленного доступа, которые не применяются в организации.
Веб-сервисы
Нередко атакующие злоупотребляют различными веб-сервисами: мессенджерами и облачными хранилищами. Злоумышленники могут использовать их для хранения вредоносных файлов, адресов командного сервера или даже в качестве самих командных серверов.
Например, кластер Bloody Wolf использовал Pastebin для хранения адреса командного сервера, Red Wolf — различные облачные сервисы для получения команд и отправки результатов, а Guerrilla Hyena — бота в Telegram.
Блокировка доступа к таким веб‑сервисам может затруднить атакующим как доставку ВПО на этапе первоначального доступа, так и коммуникацию с командными серверами.
Публичные VPN-провайдеры и Tor
При использовании скомпрометированных учетных записей и злоупотреблении службами удаленного доступа атакующие часто прибегают к инфраструктуре VPN‑провайдеров и сети Tor. Если использование определенных VPN‑провайдеров и Tor в вашей IT‑инфраструктуре не предполагается, стоит рассмотреть их блокировку.
Списки соответствующих IP-адресов также часто предоставляются поставщиками киберразведданных, в том числе BI.ZONE Threat Intelligence.
Что дает работа с информацией об инфраструктуре злоумышленников
Использование киберразведданных, связанных с инфраструктурой атакующих, дает компании несколько практических преимуществ:
Уменьшается вероятность успешной доставки ВПО и инструментов. Блокировка элементов инфраструктуры может помешать злоумышленнику продвинуться по сети и реализовать цели атаки.
Ограничивается возможность управления уже доставленными инструментами. Даже если ВПО было развернуто в скомпрометированной сети, связь с ним может быть прервана, и злоумышленник потеряет контроль.
Снижается риск утечки данных. Блокировка каналов вывода информации (командные серверы, облачные хранилища, веб-сервисы) существенно затрудняет для атакующих эксфильтрацию данных.
Формируется более осмысленная политика блокировок. Вместо тотальных запретов выстраиваются продуманные политики:
- для IP-адресов и доменов;
- хостинг-провайдеров;
- TLD, VPN-провайдеров, Tor и легитимных веб-сервисов.
Растет практическая польза от данных киберразведки. Они перестают быть просто абстрактными отчетами и фидами для СЗИ, а начинают напрямую улучшать эффективность межсетевых экранов, прокси-серверов и других систем защиты.
Использование информации об инфраструктуре злоумышленников позволяет существенно осложнить для них проведение успешной кибератаки. Даже если им удалось доставить ВПО или иные инструменты в систему, они лишаются возможности ими управлять. Найти такую информацию можно, например, на портале BI.ZONE Threat Intelligence.
В следующей части руководства мы расскажем, как данные о методах и инструментах злоумышленников помогают ограничить их возможности.