Безоблачная атрибуция образцов ВПО

В прошлом материале мы показывали на практическом примере, как атрибуция угрозы помогает в расследовании инцидентов, а также рассказывали о нашем движке Kaspersky Threat Attribution Engine (KTAE), позволяющем создать взвешенное предположение о принадлежности образца зловреда конкретной группировке. Для демонстрации мы использовали наш облачный инструмент Kaspersky Threat Intelligence Portal, который в составе комплексного сервиса «Анализ угроз», наряду с «песочницей» и дополнительным инструментом поиска похожих файлов (без вынесения вердикта об атрибуции), предоставляет доступ и к KTAE. Преимущество облачного сервиса очевидно — для его использования не нужно выделять оборудование, устанавливать и администрировать какой-либо софт. Но, как показывает практика, облачный вариант инструмента атрибуции подходит не всем.

Во-первых, есть организации, которые в силу регуляторных ограничений не допускают выход какой-либо информации за пределы периметра организации. ИБ-аналитики таких организаций не могут позволить себе загружать какие-либо файлы в сторонний сервис. Во-вторых, в некоторых компаниях работают настоящие исследователи киберугроз, которым необходим более гибкий инструмент, позволяющий работать не только с предоставляемой «Лабораторией Касперского» информацией об угрозах, но и с собственными данными. Поэтому наш KTAE доступен в двух вариантах — облачном и в виде поставки для локального развертывания.

Чем локальная версия KTAE лучше облачной

Во-первых, локальная версия KTAE обеспечивает полную конфиденциальность расследования. Весь анализ производится в локальной сети организации, а источником TI служит развернутая внутри периметра компании база, содержащая уникальные характеристики всех известных нашим экспертам вредоносных сэмплов, принадлежащих хакерским группировкам, а также уникальные характеристики легитимных файлов для проверки на ложноположительные связи. База периодически обновляется, но в однонаправленном режиме, то есть никакая информация не покидает сеть клиента.

Кроме того, локальная версия KTAE предоставляет эксперту возможность добавлять в базу дополнительные хакерские группировки и ассоциировать с ними самостоятельно обнаруженные файлы ВПО. Таким образом, в процессе последующей атрибуции новых файлов будут учитываться и добавленные внутренними исследователями данные. Это дает экспертам возможность самостоятельно заводить уникальные кластеры ВПО, работать с ними и находить похожие.

И еще один полезный для экспертов инструмент — для работы с локальной версией KTAE наши эксперты сделали плагин к популярному средству дизассемблирования — IDA Pro, доступный совершенно бесплатно.

Зачем нужен плагин атрибуции для дизассемблера

Дежурный аналитик для атрибуции найденного в инфраструктуре вредоносного файла просто загрузит его в сервис KTAE (будь то облачный или локальный) и получит вердикт: Manuscrypt (83%). Этого достаточно для принятия адекватных контрмер против известных инструментов той же группировки и в целом для оценки ситуации. Исследователь угроз же, возможно, не захочет слепо доверять этому вердикту или, например, задастся вопросом — какие фрагменты кода являются уникальными для всех сэмплов ВПО, используемых данной хакерской группировкой?

Плагин непосредственно в интерфейсе IDA Pro подсвечивает фрагменты дизассемблированного кода, по которым алгоритм принял решение об атрибуции (это не только позволяет проводить более экспертный анализ новых сэмплов ВПО, но также дает возможность экспертам «Лаборатории Касперского» в процессе исследования уточнять правила атрибуции). Таким образом алгоритм (и, соответственно, продукт KTAE) постоянно совершенствуется, а атрибуция выполняется все точнее и точнее.

Как настроить плагин

Плагин представляет собой скрипт на языке Python. Для работы плагина нужно иметь IDA Pro (IDA Free, к сожалению, не подходит, поскольку не поддерживает Python-плагины). Если Python еще не установлен — его придется установить, а также потребуется установить необходимые зависимости (подробнее можно прочитать в файле requirements в нашем репозитории на GitHub) и удостовериться, что в переменных окружения IDA Pro указаны корректные пути к библиотекам Python.

Далее в теле скрипта плагина нужно прописать URL для локально установленного KTAE и указать API-токен для работы с ним (токен предоставляется на коммерческой основе) — по аналогии с примером скрипта, https://support.kaspersky.com/ktae/2.3/242922.

После этого можно просто скопировать скрипт в папку с плагинами IDA Pro и запустить дизассемблер. Если все сделано правильно, то после загрузки и дизассемблирования сэмпла в меню Edit à Plugins появится возможность запустить плагин Kaspersky Threat Attribution Engine (KTAE):

Как использовать плагин

При запуске плагина происходит следующее: загруженный в IDA Pro файл отправляется по API в локально установленный сервис KTAE (URL которого вы указали в скрипте плагина), файл анализируется, и результаты анализа возвращаются обратно в IDA Pro.

В локальной сети процесс работы скрипта плагина занимает несколько секунд (в зависимости от сетевой связности с локальным сервером KTAE и размера анализируемого файла). После завершения работы плагина можно исследовать выделенные фрагменты кода — по двойному щелчку переходить в соответствующий участок ассемблерного или бинарного кода (HEX View) и анализировать его. Это дополнительные данные для анализа, которые позволяют быстро найти общие части кода, а также обнаруживать изменения во вредоносном инструментарии.

Узнать больше о Kaspersky Threat Attribution Engine и его развертывании можно в официальной документации продукта, а договориться о демонстрации или пилотировании можно, заполнив форму на сайте "Лаборатории Касперского".