9 июня, 2020
Свет мой, зеркальце! Скажи. Да всю правду доложи (с)
Текст в заголовок мне навеял недавно прошедший День Пушкина, но на этом поэтическая тема данного поста полностью исчерпывается :) Здесь и дальше снова будет про мировое кибер-зловредство и новые интересные технологии борьбы с ним.
Далеко не всегда защита кибер-инвентаря сводится только к отражению атак. Это особенно верно для корпоративного сектора (а здесь и далее будет как раз про APT-угрозы для крупных огранизаций). Частенько по результатам особо болезненных инцидентов необходимо проводить анализ последствий, оценивать ущерб, анализировать причины «пробоя» и планировать «ремонтные работы».
Если по какой-то досадной причине в сетевую инфраструктуру залетел случайный кибер-воришка — это ерунда. Вычистить, отмыть поражённые сектора «мылом и хлоркой», поставить на вид сотрудникам-неряхам, не соблюдающим элементарные правила цифровой гигиены – и всё на этом. Но если вдруг в святая святых обнаружено весьма хитроумное изделие, которое аккуратно шифруется и прячет свою активность, которое что-то подслушивает, поднюхивает, высматривает и отправляет мега/гигабайты сетевых пакетов куда-то за «тридевять земель» неведомому адресату, то это будет совершенно другая сказка. Скорее всего, счастливого конца у неё сложно ожидать, но зато можно сделать её интереснее.
А именно.
Помимо всех необходимых «очистных» работ любопытно и крайне полезно узнать – а откуда именно в наши сети прилетел этот незваный гость? Кто именно может стоять за данным конкретным инцидентом?
(придумайте подпись!)
Сразу и прямо следует сказать, что атрибуция (указание на автора конкретной атаки) в кибер-пространстве – это весьма тонкая материя. Здесь крайне легко ошибиться, показать пальцем и обвинить совершенно непричастных к данному инциденту, да и ложные «отпечатки пальцев» налепить – дело несложное (и такое тоже бывает, пример будет ниже).
Так вот, технически говоря, по конкретному образцу зловредного кода обвинить кого-то именно в кибер-атаке – это крайне скользкая позиция. Для этого нужно быть настоящим джентельменом, которому всегда верят на слово… но такое в наше не самое спокойное время бывает нечасто и нерегулярно.
Но нет причины унывать! Ведь технически говоря (да-да, опять!) мы можем очень многое рассказать о практически любом кибер-зловреде. И, если без лишней скромности, – здесь нам нет равных. Мы держим под колпаком все достаточно крупные хакерские группы и их операции (600+ штук), причём вне зависимости от их аффилированности и намерений (потому что «вор должен сидеть в тюрьме» ©). Мы знаем про их технологии, привычки и поведение практически всё. За много лет наблюдений в наших архивах накопилось так много данных о цифровой гадости и её повадках, что мы решили ими поделиться. В хорошем смысле :) Ведь по этим сигналам (поведение, оформление кода, прочее другое и разное) – по таким не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.
Итак, о чём это. Внимание на следующую строчку ->
На днях мы выпустили новый сервис для экспертов по кибербезопасности — Kaspersky Threat Attribution Engine (далее KTAE – запомнить можно по «ктаэтатам?» :). Этот сервис анализирует подозрительные файлы и определяет из какой хакерской группы у данной кибератаки растут ноги.
А зная врага в лицо, заказчикам гораздо проще с ним бороться: принимать осведомлённые решения, разрабатывать план действий, расставлять приоритеты, ну и в целом правильно реагировать на чрезвычайные ситуации с минимальным риском для бизнеса.
Как это делается?
У кибератак есть множество чисто технических характеристик, «флаги»: время компиляции файлов, IP-адреса, метаданные, эксплойты, программный код, пароли, рабочий язык, шаблоны именования файлов, отладочные пути, инструменты обфускации, методики расшифровки и пр. По отдельности эти характеристики полезны разве что политикам для наброса против своих партнёров оппонентов на международной арене или журналистам, охочим до быстрых сенсаций.
Кроме того, флаги подделываются или эмулируются. Например, хакеры из группы Lazarus наивно пытались сбить экспертов с толку при помощи русских слов к коде:
А вот хакеры из Hades (авторы нашумевшей атаки против инфраструктуры зимних Олимпийских игр 2018г.) наоборот искусно расставили флаги так, что даже многие эксперты сначала ошибочно показали на Lazarus.
C другой стороны, ручной анализ сотен характеристик, их сравнение с почерками сотен других хакерских групп… ну это практически невозможно в разумные сроки, с ограниченными ресурсами и с приемлемым качеством результата. А хочется! Хочется быстро и качественно препарировать новую кибер-зверюгу, пригвоздить все её щупальца, чтобы не лезли куда не надо и рассказать всем как надо защищаться.
Несколько лет назад мы разработали для внутренних нужд систему для автоматического анализа файлов. Из подозрительного файла извлекается «генотип» — короткие фрагменты кода – и по специальному алгоритму сравнивается с 60+ тыс. APT-вредоносов из нашей базы данных по всему спектру характеристик. На выходе выдаются наиболее вероятные версии происхождения кибератаки, описания хакерских групп и ссылки на платные и открытые ресурсы для получения более подробной информации и разработки стратегии противодействия.
Вы спросите – и какова надёжность поиска? За 3 года система ни разу не ошиблась!
Из наиболее известных расследований, в которых применялась система могу привести в пример iOS имплант LightSpy, TajMahal, ShadowHammer, ShadowPad и Dtrack. Во всех случаях результат полностью совпадал с оценками наших экспертов. А теперь этим инструментом могут воспользоваться и наши заказчики!
Kaspersky Threat Attribution Engine поставляется в виде Linux-дистрибутива, который разворачивается на компьютере заказчика. При этом решение не устанавливает никаких связей с внешним миром, чтобы обеспечить максимальную конфиденциальность расследований. Обновления базы данных генотипов хакерских атак можно производить с помощью проверенных USB-флэшек, что соответствует строгим правилам изоляции режимных сетей. Кроме того, в базу данных KTAE можно добавлять собственные записи, а также подключать решение по специальному API к другим системам, в том числе корпоративному SOC (Security Operations Center- Центру управления киберинцидентами).
В заключении хочу сделать очень важное замечание. Как и любой инструмент автоматического анализа вредоносной деятельности, KTAE не даёт гаранированного результата принадлежности кабератаки. Его главная цель – дать эксперту подсказку в каком направлении копать и проверить рабочие версии. Несмотря на победные рефрены о победах искусственного интеллекта (которого ещё нет), существующие системы, даже самые умные, пока не способны к полностью «автономному плаванию» без вмешательства человека. Именно синергия машины, данных и эксперта («humachine») помогает сегодня эффективно бороться даже с самыми сложными киберугрозами.
Кому стало интересно посмотреть на живую демонстрацию продукта и у кого возникли дополнительные вопросы – приглашаю 17 июня пообщаться с нашими экспертами на вебинаре.
На этом всё, более подробная информация о KTAE на продуктовой странице и white paper. Очень рекомендую также вот этот пост одного из «отцов-основателей» продукта Костина Райю, где он подробно рассказал об истории разработки и особенностях KTAE.
P.S. Если подобные технологии можно было бы адаптировать к биологическим вирусам, то мы бы моментально сообщили с какой конкретно летучей мыши прискакал этот злобный био-вирюга, после которого только сейчас начинает сниматься с карантина Европа.