книги хакеры / журнал хакер / 200_Optimized

Зачастую такие спецоперации могут длиться годами, и жертва может даже не догадываться о присутствии постороннего в ее собственной ИТ-инфра- структуре. Однако самое печальное, что о существовании, целях и средствах злоумышленников могут уже знать эксперты, которые пристально следят за активностью киберпреступных групп и развитием их инструментов и, кроме того, участвуют в расследовании аналогичных инцидентов, где использовались подобные средства. Более того, уже могут быть опубликованы материалы исследований инструментов, обнаруженных при проведении той или иной APT-атаки, и в этих материалах, кроме текста о том, как исследователь копался в исходном коде малвари, зачастую может содержаться куда более ценная информация, которая окажется полезной для «харденинга» IT-инфраструктуры.

КОГДА НЕ УСПЕВАЮТ ПАТЧИ

Carbanak. Как много это слово значит для администратора IT-инфраструктуры

иИБ банков. APT-кампания, о которой мы писали ранее, позволила киберпреступникам провернуть кражу в размере, по предварительным оценкам, приближающемуся к миллиарду долларов.

Помимо масштаба украденного, на фоне других угроз эта APT выделяется техниками, которые злоумышленники использовали для изучения своих жертв и закрепления в их инфраструктурах. Киберпреступники проводили разведку в ручном режиме, пытаясь взломать нужные компьютеры (например, компьютеры администраторов) и применяя инструменты, обеспечивающие дальнейшее заражение компьютеров в сети. При этом параллельно эксперты антивирусных компаний расследовали инциденты, за которыми стояли участники преступной группы Carbanak, и поспешно уведомляли жертв, у которых был обнаружены вредоносные компоненты.

Впоследствиипорезультатамрасследованиябылопубликованотчет(https:// securelist.com/files/2015/02/Carbanak_APT_eng.pdf), в котором, помимо прочей информации, содержались так называемые индикаторы компрометации. Данные индикаторы предназначены для того, чтобы любой желающий при помощи специализированных инструментов смог проверить наличие вредоносных компонентов Carbanak в своей инфраструктуре и принять соответствующие меры для повышения ее защищенности. Однако приложения, в которых публикуется данная информация, очень часто остаются без нужного внимания, потому что читатель попросту не знает, что делать с различными IOC, YARA rules

ипрочими структурами данных, представленных в подобных отчетах.

ОПЕРАТИВНАЯ ИНФОРМАЦИЯ КАК СРЕДСТВО СНИЖЕНИЯ РИСКОВ

Владельцам IT-инфраструктур необходимо регулярно проверять свои информационные ресурсы на наличие в них вредоносных компонентов, которые мо-

•детали о цели и жертвах;

•время активности;

•перечень узлов (IP-адреса) жертв;

•текущая активность;

•показатели компрометации (IOC, YARA rules);

•инструменты, которые использовали злоумышленники;

•описания инфраструктуры командных центров (C&C);

•MD5-хеши вредоносных компонентов.

Среди технической информации о деталях проведения той или иной APT-кам- пании для администратора безопасности информационной системы наибольший практический интерес представляют «показатели компрометации». Данная структурированная информация предназначена для импорта в автоматизированные средства проверки инфраструктуры на наличие признаков заражения.

ПОКАЗАТЕЛИ КОМПРОМЕТАЦИИ

Показатель компрометации (indicator of compromise, IOC) — это артефакт, который при помощи специальных утилит позволяет определить факт заражения и может находиться как на конкретном узле сети, так и в сетевом трафике. Унифицированный формат описания данных индикаторов по-прежнему остается открытым вопросом, однако в индустрии широкое распространение и поддержку получили несколько типов структурированных данных.

IOC

IOC — данные для записи, определения и распространения информации об угрозах, позволяющие определить ее наличие в инфраструктуре посредством автоматизированного анализа программными средствами.

Простые сценарии использования подразумевают поиск специфичных файлов в системе по различным признакам: MD5-хешу, имени файла, дате создания, размеру и прочим атрибутам. Кроме того, можно искать различные специфичные признаки в памяти или специфичные записи в реестре операционной системы Windows.

личные защитные решения:

•средства защиты класса Endpoint Security;

•SIEM;

•IDS/IPS;

•HIDS/HIPS.

Инструменты для расследования инцидентов

СуществуетмножествокоммерческихрешенийдляработысIOC,однаковряде случаев достаточно возможностей их «опенсорсных» аналогов для проверки целевой системы на наличие признаков заражения. Например, Loki — IOC-ска- нер, распространяющийся по лицензии GPL, который позволяет искать в целевой системе различные артефакты в результате вредоносной активности.

Перечень MD5-хешей компонентов Carbanak APT в файле hash-iocs сканера Loki

Для проверки системы достаточно распаковать архив с утилитой и добавить нужные IOC-атрибуты. В папке приложения signature находятся следующие категории IOC:

•filename-iocs — текстовый файл, в котором содержатся списки атрибутов файловой системы, являющихся результатом активности той или иной угрозы;

нентов, которые присутствуют в системе после ее заражения;

• falsepositive-hashes — список исключений MD5, SHA-1 и SHA-256 хешей, которые при детекте соответствующих компонентов помечаются сканером как ложное срабатывание.

В качестве примера возьмем опубликованный отчет об исследовании APT Carbanak (https://securelist.com/files/2015/02/Carbanak_APT_eng.pdf). На странице 36 данного отчета содержится перечень MD5-хешей всех вредоносных компонентов, которые могут оказаться в системе после ее заражения. Откроем файл hash-iocs сканера и внесем соответствующее правило в следующем формате: <MD5>;<description>.

Затем в текстовом файле filename-iocs, описывающем атрибуты вредоносных компонентов в файловой системе, создадим индикатор в формате

#COMMENT

#REGULAREXPRESSION;SCORE

OC дляфайловой системы вперечне filename-iocs сканера Loki

Процесссканирования утилитой Loki

и, если потребуется, назначать его запуск для всех хостов при помощи Active Directory: User configuration -> Windows configuration -> Scenarios ->Logon.

STIX/JSON

Structured Threat Information Expression (STIX) — унифицированный язык для структурированной записи информации об угрозах. STIX разработан для эффективного применения данных об угрозах и используется для задач анализа вредоносного ПО, составления индикаторов, оперативного реагирования на инциденты и публикации информации об угрозах.

Огромное количество защитных решений поддерживают правила STIX и JSON для развертывания их в инфраструктуре, в их числе:

•SIEM;

•защитные решения, основанные на индикаторах (например, сканеры);

•forensic-платформы;

•решения класса Endpoint Security и прочее.

STIX-отчета можно импортировать в популярное SIEM-решение IBM QRadar, используя специально подготовленный Python-скрипт:

./stix_import.py -f STIXDocument.xml -i 192.168.56.2

-t XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX -r MyReferenceSet

где -f определяет расположение локального STIX-документа, -i определяет хост с установленной QRadar-консолью, -t задает сервис-токен для QRadar.

JSON — один из наиболее популярных форматов представления данных, который также часто прилагается к отчетам. Применение данных в формате JSON зависит от задач администратора и особенностей программного решения, в которое импортируются эти данные. Например, если есть IP-адреса командных центров, к которым подключаются зараженные рабочие станции, администратору защищаемой инфраструктуры имеет смысл внести эти IP-а- дреса в черный список своего файрвола.

КТО ВЛАДЕЕТ ИНФОРМАЦИЕЙ, ТОТ...

Данный материал должен еще раз напомнить (а для кого-то и открыть) читателям нашего ресурса тот факт, что отчеты об исследовании той или иной угрозы несут в себе куда больше полезной информации, чем может показаться на первый взгляд. Они должны быть полезны не только для администратора, который вынужден постоянно искать актуальную информацию об угрозах, но и для защищаемой им инфраструктуры, которая должна оперативно реагировать на появление новых угроз. Ведь, в конце концов, кто владеет информацией, тот снижает риски быть взломанным.