Свет мой, зеркальце! скажи, да всю правду доложи

Мы выпустили новый сервис для экспертов, который позволяет анализировать сходства в коде и дает техническое подтверждение авторства атак.

Текст в заголовок мне навеял недавно прошедший день рождения Александра Сергеевича Пушкина, но на этом поэтическая тема данного поста полностью исчерпывается :) Здесь и дальше снова будет про мировое киберзловредство и новые интересные технологии борьбы с ним.

Далеко не всегда защита киберинвентаря сводится только к отражению атак. Это особенно верно для корпоративного сектора (а здесь и далее будет как раз про APT-угрозы для крупных организаций). Частенько по результатам особо болезненных инцидентов необходимо проводить анализ последствий, оценивать ущерб, анализировать причины «пробоя» и планировать «ремонтные работы».

Если по какой-то досадной причине в сетевую инфраструктуру залетел случайный киберворишка — это ерунда. Вычистить, отмыть пораженные сектора «мылом и хлоркой», поставить на вид сотрудникам-неряхам, не соблюдающим элементарные правила цифровой гигиены – и все на этом. Но если вдруг в святая святых обнаружено весьма хитроумное изделие, которое аккуратно шифруется и прячет свою активность, которое что-то подслушивает, поднюхивает, высматривает и отправляет мега-/гигабайты сетевых пакетов «за тридевять земель» неведомому адресату, то это будет совершенно другая сказка. Скорее всего, счастливого конца у нее сложно ожидать, но зато можно сделать ее интереснее.

А именно.

Помимо всех необходимых «очистных» работ, любопытно и крайне полезно узнать – а откуда именно в наши сети прилетел этот незваный гость? Кто именно может стоять за данным конкретным инцидентом?

Сразу и прямо следует сказать, что атрибуция (указание на автора конкретной атаки) в киберпространстве – это весьма тонкая материя. Здесь крайне легко ошибиться, показать пальцем и обвинить совершенно непричастных к данному инциденту, да и ложные «отпечатки пальцев» налепить – дело несложное (и такое тоже бывает, пример будет ниже).

Так вот, технически говоря, по конкретному образцу зловредного кода обвинить кого-то именно в кибератаке – это крайне скользкая позиция. Для этого нужно быть настоящим джентльменом, которому всегда верят на слово… но такое в наше не самое спокойное время бывает нечасто и нерегулярно.

Но нет причины унывать! Ведь, технически говоря (да-да, опять!), мы можем очень многое рассказать о практически любом киберзловреде. И если без лишней скромности – здесь нам нет равных. Мы держим под колпаком все достаточно крупные хакерские группы и их операции (600+ штук), причем вне зависимости от их аффилированности и намерений (потому что «вор должен сидеть в тюрьме» ©). Мы знаем про их технологии, привычки и поведение практически все. За много лет наблюдений в наших архивах накопилось так много данных о цифровой гадости и ее повадках, что мы решили ими поделиться. В хорошем смысле :) Ведь по этим сигналам (поведение, оформление кода, прочее другое и разное) – по таким не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.

Итак, о чем это. Внимание на следующую строчку.

На днях мы выпустили новый сервис для экспертов по кибербезопасности — Kaspersky Threat Attribution Engine. Этот сервис анализирует подозрительные файлы и определяет из какой хакерской группы у данной кибератаки растут ноги.

А зная врага в лицо, заказчикам гораздо проще с ним бороться: принимать осведомленные решения, разрабатывать план действий, расставлять приоритеты, ну и в целом правильно реагировать на чрезвычайные ситуации с минимальным риском для бизнеса.

Интерфейс решения Kaspersky Threat Attribution Engine

Как это делается?

У кибератак есть множество чисто технических характеристик, «флагов»: время компиляции файлов, IP-адреса, метаданные, эксплойты, программный код, пароли, рабочий язык, шаблоны именования файлов, отладочные пути, инструменты обфускации, методики расшифровки и прочее. По отдельности эти характеристики полезны разве что политикам для наброса против своих партнёров оппонентов на международной арене или журналистам, охочим до быстрых сенсаций.

Кроме того, флаги подделываются или эмулируются. Например, хакеры из группы Lazarus наивно пытались сбить экспертов с толку при помощи русских слов в коде.

Ложные флаги в коде группировки Lazarus

А вот хакеры из Hades (авторы нашумевшей атаки на инфраструктуру зимних Олимпийских игр 2018), наоборот, искусно расставили флаги так, что даже многие эксперты сначала ошибочно показали на Lazarus.

C другой стороны, ручной анализ сотен характеристик, их сравнение с почерками сотен других хакерских групп… ну это практически невозможно в разумные сроки, с ограниченными ресурсами и с приемлемым качеством результата. А хочется! Хочется быстро и качественно препарировать новую киберзверюгу, пригвоздить все ее щупальца, чтобы не лезли куда не надо, и рассказать всем, как надо защищаться.

Несколько лет назад мы разработали для внутренних нужд систему для автоматического анализа файлов. Из подозрительного файла извлекается «генотип» – короткие фрагменты кода – и по специальному алгоритму сравнивается с более чем 60 тыс. APT-вредоносов из нашей базы данных по всему спектру характеристик. На выходе выдаются наиболее вероятные версии происхождения кибератаки, описания хакерских групп и ссылки на платные и открытые ресурсы для получения более подробной информации и разработки стратегии противодействия.

Вы спросите: и какова надежность поиска? За три года система ни разу не ошиблась!

Из наиболее известных расследований, в которых применялась система, могу привести в пример iOS-имплант LightSpy, TajMahal, ShadowHammer, ShadowPad и Dtrack. Во всех случаях результат полностью совпадал с оценками наших экспертов. А теперь этим инструментом могут воспользоваться и наши заказчики!

Принцип работы Kaspersky Threat Attribution Engine

Kaspersky Threat Attribution Engine поставляется в виде Linux-дистрибутива, который разворачивается на компьютере заказчика. При этом решение не устанавливает никаких связей с внешним миром, чтобы обеспечить максимальную конфиденциальность расследования. Обновления базы данных генотипов хакерских атак можно производить с помощью проверенных USB-флэшек, что соответствует строгим правилам изоляции режимных сетей. Кроме того, в базу данных можно добавлять собственные записи, а также подключать решение по специальному API к другим системам, в том числе корпоративному SOC (Security Operations Center — Центру управления киберинцидентами).

В заключение хочу сделать очень важное замечание. Как и любой инструмент автоматического анализа вредоносной деятельности, Kaspersky Threat Attribution Engine не дает гарантированного результата в определении принадлежности кибератаки. Его главная цель – подсказать эксперту, в каком направлении копать и проверять рабочие версии. Несмотря на рефрены о победах искусственного интеллекта (которого еще нет), существующие системы, даже самые умные, пока не способны к полностью «автономному плаванию» без вмешательства человека. Именно синергия машины, данных и эксперта («humachine») помогает сегодня эффективно бороться даже с самыми сложными киберугрозами.

Кому интересно посмотреть на живую демонстрацию продукта и у кого возникли дополнительные вопросы – приглашаю 17 июня пообщаться с нашими экспертами на вебинаре.

На этом все, более подробная информация о Kaspersky Threat Attribution Engine на продуктовой странице и white paper. Очень рекомендую также вот этот пост одного из «отцов-основателей» продукта, Костина Райю, где он подробно рассказал об истории разработки и особенностях решения.

P.S. Если подобные технологии можно было бы адаптировать к биологическим вирусам, то мы бы моментально сообщили, с какой конкретно летучей мыши прискакал этот злобный био-вирюга, после которого только сейчас начинает сниматься с карантина Европа.

Советы