15 февраля 2016

На что способна киберразведка. Часть 1. Тактика и стратегия

Оригинал статьи на SecurityLab

Разведка является важнейшим видом боевого обеспечения действий войск. Она представляет собой совокупность мероприятий по организации, добыванию и изучению сведений о противнике, местности и районе предстоящих действий, необходимых для успешного выполнения поставленных перед подразделениями и частями задач.

Требования предъявляемые к разведке: целеустремлённость, непрерывность, активность, своевременность и оперативность, скрытность, достоверность, точность определения координат. В соответствии с масштабами своей деятельности и характером решаемых задач военная разведка делится на стратегическую, оперативную и тактическую.

Учебное пособие «Организация работы командира взвода во всех видах боевых действий»

15 февраля 2015 года в результате целевой атаки на торговый терминал с использованием вредоносной программы Corkow (aka Metel) курс доллара к рублю внутри торгового дня поднялся на 15%. Сама атака длилась 14 минут, но подготовка к ней заняла полгода. Попав на компьютер с торговой системой в сентябре 2014, программа постоянно обновлялась, избегая обнаружения средствами антивирусной защиты, которые были установлены и корректно работали в банке. Все это время злоумышленники получали информацию о пользователях устройства, процессах, запущенных на нем, и другие данные, необходимые для планирования атаки.

Сценарий кибератаки
Иллюстрация из отчета Group-IB «Атаки на банковские и расчетные системы»

Каждый компьютер ботнета является не только боевой единицей, но и источником данных, элементом разведовательной сети, направленной на поиск уязвимостей и изучение возможностей их использования злоумышленниками. Успешно отражать атаки изобретательного противника с собственной системой разведки можно, только располагая аналогичными разведданными о его целях, тактике, инструментарии, изучая его активность, выстраивая прогнозы развития угроз. Именно этим занимается Threat Intelligence.

Threat Intelligence

Gartner определяет TI как совокупность знаний, построенных на наблюдениях, включающую в себя контекст, механизмы, индикаторы, последствия и рекомендации о существующей или возможной угрозе.

Качество данных об угрозах напрямую зависит от их актуальности, и в этом смысле время на стороне преступников: арсенал их инструментов развивается гораздо быстрее, чем укрепляется оборона жертв. В компаниях с масштабной IT-инфраструктурой внедрение новых технологий и политик растягивается на месяцы, а новые версии вредоносных программ, методики атак, сервисы Cyber-Crime-to-Cyber-Crime появляются каждую неделю. TI помогает компенсировать этот разрыв, давая службам безопасности актуальную информацию для принятия операционных и технических решений.

Как и военная разведка, TI предполагает работу с тремя типами данных: тактическими, оперативными и стратегическими.

Тактические индикаторы

В индустрии информационной безопасности в последние несколько лет выстроился культ индикаторов компрометации – IoC (indicator of compromise). Это дискретные данные, которые могут служить для выявления признаков вредоносной активности в инфраструктуре. С их помощью можно выявлять зараженные объекты, процессы, сетевые соединения, рабочие станции и сервера.

IoC удобно добывать: достаточно получить образец вредоносного объекта или действия, классифицировать и идентифицировать его. IoC удобно использовать для реагирования на угрозы и «тушения пожаров», для определения факта компрометации инфраструктуры. Их можно импортировать в SIEM, устройства сетевой безопасности, специализированные утилиты для поиска зараженных объектов, и в этом они хороши – их просто применять. Точное совпадение свойства объекта с IoC обычно говорит о вероятности инцидента в инфраструктуре, а совпадение нескольких IoC одновременно – о высокой степени возможности наличия вредоносного объекта.

Но то, что является силой IoCов, одновременно является их же слабостью. Представьте себе двухмерный график, отображающий ход какого-либо процесса. График функции можно отождествить с процессом кибератаки. IoC можно представить как точку на этом графике – он позволяет сказать, что нам известно, как себя проявляет атака на определенном участке ее реализации. При этом, по наличию совпадения IoCа с объектом в инфраструктуре зачастую невозможно понять, как начиналась атака, каким образом она была проведена и какой ущерб она могла нанести. Фактически, IoC решают задачу детектирования факта кибератаки, но слабо применимы в решении задачи ее предотвращения или анализа, то есть в решении задач, свойственных разведывательной деятельности.

Примером может служить ряд инцидентов с атакой Corkow (aka Metel). Выявление присутствия вредоноса в сети, например, с помощью YARA-правила ниже, даст только информацию о факте заражения объекта корпоративной сети.

rule CorkowDLL
{
meta:
description = «Rule to detect the Corkow DLL files» strings:
$mz = { 4d 5a }
$binary1 = {60 [0-8] 9C [0-8] BB ?? ?? ?? ?? [0-8] 81 EB ?? ?? ?? ??
[0-8] E8 ?? 00 00 00 [0- 8] 58 [0-8] 2B C3}
$binary2 = {(FF 75 ?? | 53) FF 75 10 FF 75 0C FF 75 08 E8 ?? ?? ?? ?? [3-9] C9 C2 0C 00}
$export1 = «Control_RunDLL»
$export2 = «ServiceMain»
$export3 = «DllGetClassObject»
condition:
($mz at 0) and ($binary1 and $binary2) and any of ($export*)
}

Оперативные данные

Как и в военной разведке, сформировать базу разведывательных (threat intelligence) данных, которая даст реальное преимущество перед противником, из одних индикаторов его активности невозможно. Если быть более точным, то иметь для работы подразделения информационной безопасности актуальные индикаторы компрометации необходимо, но, к сожалению, недостаточно.

Оперативные данные TI позволяют заранее подготовиться к атаке, отслеживая появление новых векторов угроз, «цепей атаки» (kill chain), способов компрометации информационных процессов и другие изменения в инструментарии и тактике злоумышленников.

В качестве примера таких данных можно привести сообщение системы киберразведки Group-IB о новой spear phishing рассылке от преступной группы Buhtrap, направленной на заражение рабочих станций банковских работников.

Сервис киберразведки Bot-Trek Intelligence
Уведомление Bot-Trek Intelligence, 23 октября 2015 года

Стратегическая информация

Формирование политики информационной безопасности, оценка инвестиций в обеспечение защиты от киберугроз требует знаний о том, как и в каком направлении они развиваются. Стандартным способом формирования и доставки этих сведений являются отчеты об угрозах, содержание которых зачастую недооценено.

Так, в отчете о тенденциях развития высокотехнологичных преступлений за 2014 год мы отмечали сигналы переориентации хакеров на мобильные платформы, а в прогнозах упоминали развитие троянов с функцией автозалива для SMS-банкинга. В прошлом году мы увидели появление сразу 10 новых групп, работающих с троянами под Android, почти в каждом из которых используется технология автозалива.

Стратегическая информация дает возможность максимально эффективно производить регулярный пересмотр и модернизацию политик и систем информационной безопасности, осознанно отбирать и внедрять методы защиты, которые позволят противостоять угрозам не только сегодняшнего, но и завтрашнего дня.

О том, как можно эффективно использовать тактические, оперативные и стратегические Threat Intelligence данные – расскажем в следующей статье.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, расследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре. Центры исследования киберугроз компании находятся на Ближнем Востоке (Дубай), в Азиатско-Тихоокеанском регионе (Сингапур), в Европе (Амстердам) и в России (Москва).

Система сбора данных о киберугрозах Group-IB Threat Intelligence & Attribution признана одной из лучших в мире по версии Gartner, Forrester, и IDC. Решение Group-IB Threat Hunting Framework (ранее — TDS) для проактивного поиска и защиты от сложных и неизвестных киберугроз получило признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader». Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Fraud Hunting Platform получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Решение Digital Risk Protection для выявления и устранения цифровых рисков, а также противодействия атакам с неправомерным использованием бренда получило престижную премию Innovation Excellence от глобального консалтингового агентства Frost & Sullivan.

В основе технологического лидерства компании и ее возможностей в сфере научных исследований и разработки — 18-летний практический опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики, департаменте расследований и круглосуточном центре оперативного реагирования CERT-GIB.

Компания является резидентом «Сколково» и Иннополиса. Group-IB — партнер Europol.

Опыт Group-IB в поиске угроз и киберразведке был интегрирован в спектр решений, объединивший чрезвычайно сложное программное и системное обеспечение, с целью мониторинга, обнаружения и предотвращения кибератак.

Миссия Group-IB — защищать наших клиентов в киберпространстве, создавая и используя инновационные продукты и решения.

>

Сообщить об инциденте

Центр круглосуточного реагирования на инциденты
информационной безопасности +7 495 984-33-64

Отправляя форму, даю согласие на обработку своих персональных данных в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ
Спасибо, мы свяжемся с Вами в самое ближайшее время
Сообщить об инциденте