В начале мая взлом сети американского трубопровода Colonial Pipeline потряс, без преувеличения, весь мир. В результате атаки программы-вымогателя были парализованы поставки нефтепродуктов на значительной части Восточного побережья США. Компания была вынуждена перевести злоумышленникам выкуп в размере 4,5 млн долларов для продолжения своей работы. Из-за 5-дневного простоя возникла нехватка бензина, дизеля и авиакеросина; власти объявили чрезвычайную ситуацию в 16 штатах.
Атака была совершена с помощью вредоносного ПО DarkSide. От него же пострадали Toshiba, немецкий концерн Brenntag и ещё более сотни компаний из разных отраслей. Общая прибыль хакерской группировки, судя по анализу биткойн-кошельков, составила более 90 млн долларов.
Можно ли было ещё до новостей о первом взломе узнать, что предприятию грозит опасность от этого вирусного ПО? Да, если бы компания следила за состоянием защищенности информационных систем и применяла специализированные решения, такие, как Group-IB Threat Intelligence & Attribution (TI&A).
Group-IB Threat Intelligence & Attribution – это система исследования и атрибуции кибератак, содержащая структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI&A позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов. Это результат объединения 18-летнего опыта Group-IB по сбору и анализу информации об инцидентах ИБ, атаках, злоумышленниках и их инфраструктуре. Group-IB TI&A признана лучшей в своём классе аналитическими агентствами IDC, Forrester, Gartner.
Возможности Group-IB Threat Intelligence & Attribution
Построение персонализированного ландшафта угроз
Специалисты Group-IB настраивают выдачу конкретных рисков, относящихся к отрасли работы компании, её партнерам и клиентам. Отсеивается неактуальная информация, оперативно добавляются релевантные данные о киберугрозах. Если хакерская группа сменила цели, и ваша компания может подвергнуться атакам злоумышленников – Group-IB Threat Intelligence & Attribution сообщит об этом.
Рисунок 1.Интерфейс ландшафта угроз
Ландшафт угроз позволяет получить информацию для стратегического планирования ИБ, более тонко настроить фильтрацию данных и отчёты. Интерфейс представляет собой таблицу из четырёх разделов, каждый из которых содержит карточки хакерских группировок, нацеленных на:
- Company.
Те, кто угрожали или угрожают конкретно компании-пользователю Group-IB TI&A.
- Partners.
Злоумышленники, с которыми сталкивались партнеры, клиенты или контрагенты.
- Industry.
Группировки, атаковавшие другие компании в той же сфере деятельности.
- Others.
Хакеры, не попавшие в предыдущие разделы, но из-за каких-либо корреляций представляющие интерес или угрозу.
В интерфейсе отображается общее количество атак, число известных индикаторов компрометации, тип группы (обычные преступники или аффилированные с государством), количество дней, прошедших с момента последней активности.
Досье на киберпреступников и их методы
В Group-IB TI&A содержится информация о хакерских группировках, как активных, так и прекративших деятельность:
- история и последовательность атак с подробными отчётами по матрице MITRE ATT&CKБ®;
- техники, тактики и процедуры, используемые в этих атаках, включая конкретные IPкомандных серверов и CVE проэксплуатированных уязвимостей;
- активность на текущий момент.
Рисунок 2. Краткая информация о хакерских группировках
Перечисленная информация обновляется командой экспертов и аналитиков Group-IB.
Профили группировок распределяются по разделам: криминалитет или прогосударственные преступники.
Рисунок 3. Подробная информация о группировке Oceanlotus
По обоим типам группировок в интерфейсе представлена следующая информация:
- Таймлайн.
Динамика активности хакерской группировки. Можно выбрать конкретный временной период для отображения.
2. Атаки.
Все отчёты об известных инцидентах или событиях, связанных с преступными группами – новости, публикация IoC, подробная аналитика.
3. Подробная информация о хакерских группах:
- Info. Общее описание группировки.
- ATT&CK Matrix. Оценка по MITRE ATT&CK®.
- Network Indicators. Сетевые следы злоумышленников: IP-адресы, URL, доменные имена.
- Files. Список всех файлов, связанных группировкой, хэш-суммы, связь с конкретным вредоносным ПО, отчеты анализа файла из sandbox-системы Polygon.
- Malware. Используемое вредоносное ПО.
- Tools. Используемые тулкиты и утилиты.
- CVE. Список эксплуатируемых при зафиксированных атаках уязвимостей.
- Contacts. Связанные с группировкой email-адресы, ники.
- Partners & clients. Связанные с выбранной группировкой хакеры или хакерские группы.
- Accounts on Forums. Активность на darkweb-площадках, включая ники, дату регистрации и количество сообщений.
Аналитика и отчеты
Рисунок 4. Интерфейс раздела Аналитика и отчеты
Дополнительный раздел с консалтинговой информацией от Group-IB:
- Созданные по запросу заказчика аналитические отчеты от Group-IB. Отчеты в сервисе Group-IB Threat Intelligence & Attribution являются персональными и не предоставляются другим компаниям. В подписку включена работа аналитиков Group-IB.
- Ежегодный отчет об угрозах и трендах Hi-Tech Crime Trends. Сводный перечень угроз и динамики инцидентов ИБ за прошедший год, прогнозы на следующий.
- Ежемесячные и ежеквартальные отчеты по рискам. Дайджесты новостей и исследований по соответствующим периодам.
- Дополнительные исследования киберугроз. Например, при возникновении значимой угрозы – вредоносного ПО, масштабной атаки – эксперты Group-IB выпускают отчёты, доступные в данном разделе.
Противодействие фишинговым атакам:
- детектирование фишинга на начальных стадиях;
- анализ и выявление мошеннических страниц и точек рассылки, а также инфраструктуры управления;
- оперативная реакция на фишинговые атаки;
- выявление скомпрометированных в результате атаки данных.
Рисунок 5. Детальная информация по фишинговой атаке
Проанализированная информация из даркнета
Эксперты Group-IB проводят анализ информации и в даркнете, значительно сокращая трудозатраты специалистов заказчика. Group-IB Threat Intelligence & Attribution позволяет просматривать данные из закрытых хакерских форумов. Отображается следующая информация:
- отфильтрованные сообщения и профили киберпреступников;
- цепь их контактов;
- структурированные данные, доступные для собственного анализа.
Рисунок 6. Профиль хакера, составленный по информации из даркнета
Удобный графовый анализ сетевой инфраструктуры
Автоматически может быть построена взаимосвязь между:
- доменными именами;
- IP-адресами;
- телефонами, email, сообщениями на форумах (в том числе из даркнета);
- SSL-сертификатами и SSH-ключами;
- файлами (через хэш-суммы).
Рисунок 7. Визуализация связей между скомпрометированными и внешне безопасными сайтами
То, что перечисленные объекты взаимосвязаны, может быть определено по совокупности множества признаков. Среди них:
- данные регистратора доменных имён;
- DNS-записи;
- хосты, домены;
- сходные признаки в сервисах (SSL-сертификаты, cookies, баннеры сервисов, параметры бэкенд-серверов);
- история изменений данных;
- связанные файлы.
Граф может быть построен по всем накопленным данным (глубиной более 10 лет) или по выбранному временному промежутку. Можно настроить глубину построения, включить очистку нерелевантных данных.
По построенному сетевому графу можно раскрыть, например, сайты или домены, которые на данный момент не представляют опасности, но позднее могут быть использованы злоумышленниками для фишинговых атак. Раскрытие неочевидных связей поможет, во-первых, занести индикаторы компрометации в правила обнаружения и блокирования своих средств ИБ, а, во-вторых, использовать обнаруженные сведения в криминалистических целях.
Обогащение информации в других системах
С помощью API или обмена JSON можно поставлять информацию в SIEM или antifraud-системы, улучшая точность их реагирования. Доступны к отправке:
- IP-адресы, доменные имена, URL;
- хэш-суммы вредоносного ПО;
- данные скомпрометированных аккаунтов или кредитных карт;
- IMEI скомпрометированных устройств.
Платформа для детонации и анализа вредоносного ПО
Group-IB TI&A также предоставляет доступ к облачной версии Polygon без ограничения по количеству отправляемых на проверку файлов.
Polygon — это не просто очередная антивирусная песочница для анализа подозрительных файлов. Polygon — модуль продукта Group-IB Threat Hunting Framework, позволяющий осуществлять поведенческий анализ файлов, извлекаемых из электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем посредством интеграции через API или загружаемых вручную. Polygon может автоматически подбирать дополнительные ОС для углубленного анализа. Эмулируется огромное количество различных вариантов – пользовательская активность, переменные среды, время запуска и паузы в работе. Это позволяет, во-первых, с бóльшей гарантией сдетонировать, то есть «разбудить» вредоносное ПО, а, во-вторых, не дать вирусу обнаружить, что он в виртуальном окружении.
Функции Polygon:
- детонация вредоносного ПО с автоматическим использованием дополнительных образов ОС, параметров или функций для выявления всех вредоносных возможностей анализируемого объекта;
- ретроспективный анализ файлов и ссылок для выявления отложенных атак;
- защита от противодействия поведенческому анализу;
- вскрытие запароленных архивов с учетом внешних контекстов.
Доступ к Group-IB Threat Intelligence & Attribution
Group-IB TI&A реализован в виде облачного SaaS-сервиса, доступного через веб-интерфейс. Интеграция со сторонними системами осуществляется через API, JSON или STIX. Доступ предоставляется по годовой подписке.
Источники информации
Наполнение Group-IB TI&A данными – сложный аналитический процесс. Краткий перечень источников представлен ниже:
- компьютерная криминалистика и совместные расследования с международными правоохранительными органами (в частности, Интерполом и Европолом);
- обмен информацией со специалистами по Threat Intelligence и Threat Hunting;
- CERT Group-IB;
- внедрение на darkweb-площадки;
- Group-IB Threat Hunting Framework;
- Fraud Hunting Platform от Group-IB;
- сеть Honeypot, спам-коллекторов;
- реверс-инжиниринг и эмуляция вредоносного ПО;
- система для глобальной охоты за угрозами, обнаружения инфраструктуры злоумышленников и получения данных об угрозах;
- общедоступные песочницы (sandbox);
- анализ командных серверов злоумышленников;
- анализ доступных для продажи данных скомпрометированных банковских карт;
- система проверки скомпрометированных данных;
- анализ файловых хостингов, репозиториев кода;
- поиск по Telegram и соцсетям.
Полный перечень источников представлен в таблице ниже.
Выводы
Всеобщий технологический прогресс и ускорившиеся пандемией коронавируса цифровизация открывают новые потенциальные угрозы информационной безопасности. В 2021 году мы наблюдаем следующие изменения на рынке ИБ:
- Информационная безопасность становится наиболее актуальной из-за увеличения количества потенциальных угроз и хакерский группировок;
- Необходимость обеспечения информационной безопасности стала очевидной для все большего количество компаний и пользователей;
- Информационная безопасность переходит из абстрактного инструмента в реальные механизмы для защиты интересов компаний и государства для большего количества лица, принимающих решений, что стимулирует рост рынка ИБ.
Для защиты компании от кибератак необходимо не только привлекать высококвалифицированных специалистов и проводить повышение осведомленности сотрудников по вопросам ИБ, но и использовать инструменты для защиты активов и противодействия внешним угрозам. Именно таким инструментов является Group-IB Threat Intelligence & Attribution. Подписка на сервис Group-IB Threat Intelligence & Attribution позволяет уменьшить количество угроз информационной безопасности и размер потенциального ущерба в случае возникновения угрозы. Данные об атаках позволяют специалистам по ИБ контролировать внешние угрозы, своевременно принимать меры по защите активов компании.
Решение Group-IB Threat Intelligence & Attribution позволяет специалистам SOC, Red Teaming и Threat Hunting не только оперативно получать актуальную информацию из «мира ИБ», но и повышать KPI службы ИБ – количество отраженных кибератак.
Решение Group-IB TI&A предназначено не только для специалистов по ИБ, но и лиц, принимающих решения. Руководители компаний и подразделений могут получить подробный обзор текущих проблем и инцидентов. Таким образом, продукт Group-IB TI&A позволит определить ИБ-стратегию компании и решить, как эффективно защитить компанию, ее активы и сотрудников.
