Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Salt Typhoon: как CISA и Stairwell расширили обнаружение APT

3 мин
В августе Агентство по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало консультативное заключение по масштабной кампании кибершпионажа, приписываемой спонсируемому китайским государством актору с сложной целенаправленной угрозой — Salt Typhoon (также упоминается как GhostEmperor). Сообщение подчеркивало длительные операции по компрометации сетей в разных регионах с целью сбора разведывательной информации. Публикация послужила основой для дальнейшего анализа в частном секторе и стала хорошим примером взаимодействия публичной и внутренней разведки. После публикации CISA компания Stairwell взяла исходные правила YARA, приведённые в рекомендациях, и использовала их как отправную точку для собственного анализа. Первоначальное правило было нацелено на сопоставление очень специфичных байтовых шаблонов или строк из известных образцов. Это даёт низкий уровень ложных срабатываний, но ограничивает применимость правила к более широкому семейству вредоносного ПО. Оригинальные
Оглавление
Источник: stairwell.com
Источник: stairwell.com

В августе Агентство по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало консультативное заключение по масштабной кампании кибершпионажа, приписываемой спонсируемому китайским государством актору с сложной целенаправленной угрозой — Salt Typhoon (также упоминается как GhostEmperor). Сообщение подчеркивало длительные операции по компрометации сетей в разных регионах с целью сбора разведывательной информации. Публикация послужила основой для дальнейшего анализа в частном секторе и стала хорошим примером взаимодействия публичной и внутренней разведки.

Что именно сделал Stairwell

После публикации CISA компания Stairwell взяла исходные правила YARA, приведённые в рекомендациях, и использовала их как отправную точку для собственного анализа. Первоначальное правило было нацелено на сопоставление очень специфичных байтовых шаблонов или строк из известных образцов. Это даёт низкий уровень ложных срабатываний, но ограничивает применимость правила к более широкому семейству вредоносного ПО.

  • Stairwell расширила логику обнаружения, применив собственные инструменты к большому набору данных.
  • Анализ включал поиск общих строк и *структурных привязок* (structural artefacts), характерных для вредоносного ПО из семейства Salt Typhoon.
  • В результате был сгенерирован новый, более универсальный шаблон обнаружения, позволивший идентифицировать дополнительные образцы.
  • Итоговый результат — выявление 637 новых вариантов, связанных с операциями Salt Typhoon.

Технические ограничения старого подхода и их преодоление

Оригинальные YARA-правила, ориентированные на точные байтовые подписи, удобны для уменьшения False Positives, однако обладают рядом недостатков:

  • чувствительность к минимальным изменениям в бинарных образцах (адаптация вредоносного ПО ломает детекцию);
  • ограниченная способность охватывать модифицированные или производные варианты;
  • не учитывают общую структуру и семантику поведения вредоносного кода.

Stairwell преодолела эти ограничения за счёт: анализа общих строк, выделения структурных паттернов и генерации более абстрактных правил, которые учитывают семейственные признаки, а не только точные байтовые подписи.

Почему это важно для организаций

Кейс демонстрирует практическую ценность сочетания общедоступной разведки и внутренних аналитических усилий. Основные выводы для защитников:

  • Публичные advisories (например, CISA) — ценный источник индикаторов, но их нужно адаптировать под собственную инфраструктуру.
  • Базовые YARA-правила стоит расширять: добавлять эвристики на основе общих строк и структурных признаков, применять fuzzy matching и мультифакторную валидацию сигнатур.
  • Проактивный threat hunting и ретроспективный анализ (hunting across historical telemetry) повышают вероятность обнаружения скрытых или модифицированных вариантов.
  • Комбинирование сигнатурного и поведенческого обнаружения снижает риск пропуска целенаправленных атак.

Рекомендации для защитников

  • Интегрировать публикации CISA и других trusted sources в процессы обработки Threat Intelligence.
  • Пересматривать YARA-правила: добавлять шаблоны на основе общих строк, структурных признаков и контекстных условий.
  • Использовать инструменты для автоматизированной генерации и валидации правил на собственных данных (test on historical telemetry).
  • Вести активный threat hunting по подозрительным строкам, конфигурациям и связям между компонентами ПО, а не только по жёстким хэщам.
  • Обеспечивать обмен индикаторами внутри отрасли и с государственными органами для скорейшего выявления новых вариантов.

Вывод

Публикация CISA по Salt Typhoon стала отправной точкой для частных аналитиков, которые сумели расширить возможности обнаружения и идентифицировать сотни дополнительных вариантов угрозы. Это подтверждает: публичная разведка наиболее эффективна, когда её данные адаптируются и дополняются внутренними аналитическими методами. Совершенствование правил обнаружения, проактивный hunting и комбинированный подход — ключевые элементы защиты от сложных целенаправленных угроз, спонсируемых государствами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Salt Typhoon: как CISA и Stairwell расширили обнаружение APT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются