Как поймать чёрного лебедя в собственной сети?

Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов — поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо.  В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

Что ещё?

Учитывая какие нынче стоя́т времена, мы по мере сил поддерживаем силы света (такой уж каламбур). В начале глобального «корона-шухера» мы предложили бесплатные лицензии для медицинских учреждений, на этот раз помогаем НКО — аналитическим центрам, борцам за различные права (полный список тех, кто уже согласился, здесь). Для них тренинги будут бесплатными.

Почему? Да потому что часто они работают с очень «чувствительной» информацией, и велика вероятность оказаться мишенью целевой атаки (как вот в этом случае) , А содержать целый штат ИБ-экспертов могут далеко не все.

Теперь по пунктам, что же будет прекрасного в курсе:

  • Обучение 100 % онлайн в удобном для каждого темпе и с уютного домашнего дивана. Можно за пару вечеров пройти, а хочешь месяц растягивать удовольствие.
  • Сочетание теории и практики — в распоряжении всех участников виртуальная среда, в которой можно вволю натренироваться писать правила и искать образцы малвары в нашей коллекции.
  • Практические занятия на примерах реальных кибершпионских атак.
  • Особый блок — про искусство поиска того, о чём не имеешь точного представления. Когда интуиция подсказывает, что где-то засел злодей, а где и кто именно — непонятно.
  • Каждый выпускник получает сертификат, подтверждающий его (или её) новый статус YARA-ниндзи. Как утверждают выпускники предыдущих курсов – очень помогает в профессиональной карьере.

Такие вот у нас новости — как видите, в самоизоляции не скучаем. Всех, кто хочет попробовать найти чёрного лебедя у себя в сети, прошу проследовать на сайт тренинга. А мы продолжим свои кибердетективные расследования, чтобы можно было и дальше делиться самым актуальным опытом.

Прочитать комментарии 0
Оставить заметку