الخوف والكراهية المخابرات التهديد أو 8 نصائح عملية منظمة الشفافية الدولية

كان لدينا اشتراكان تجاريان في APT وعشرة تبادل للمعلومات وحوالي عشر خلاصات مجانية وقائمة عقدة خروج Thor. وأيضاً خمسة معكوسين قويين ، ماجستير في النصوص البرمجية powerhell ، وماسح ضوئي لوكي واشتراك مدفوع في Virustotal. ليس الأمر أن مركز المراقبة لا يعمل بدون هذا ، ولكن إذا كنت معتادًا على اصطياد الهجمات المعقدة ، فيجب عليك الذهاب إلى هذه الهواية. والأهم من ذلك كله ، كنا قلقين بشأن الأتمتة المحتملة للتحقق من مؤشرات التوافق. لا يوجد شيء غير أخلاقي من الذكاء الاصطناعي ، ليحل محل شخص في العمل حيث تحتاج إلى التفكير. لكننا أدركنا أنه مع زيادة عدد العملاء ، فإننا سنغرق فيه عاجلاً أم آجلاً.

يقول الكثيرون أن Threat Intelligence لذيذ ، ولكن لا يفهم الجميع كيفية طهيه. حتى عدد أقل من الذين يفهمون العمليات التي يجب بناؤها لكي تعمل منظمة الشفافية الدولية وتحقيق الربح. وقلة قليلة من الناس يعرفون كيفية اختيار مزود الخلاصة ، ومكان التحقق من مؤشر السقوط وما إذا كان من الضروري حظر النطاق الذي أرسله الزميل إلى WhatsApp.

لعدة سنوات من العمل المستمر مع TI ، تمكنا من السير على أشواط مختلفة واليوم نريد أن نقدم بعض النصائح العملية التي ستساعد المبتدئين على تجنب الأخطاء.

نصيحة رقم 1. ليس لديك آمال كبيرة في الإمساك بعلامة التجزئة: معظم البرامج الضارة كانت منذ فترة طويلة متعددة الأشكال

في المقالة الأخيرة ، تحدثنا عن ماهية TI وأعطينا بعض الأمثلة لكيفية تنظيم عملية العمل. دعني أذكرك بأن المعلومات المتعلقة بالتهديدات (ذكاء التهديدات) تأتي بتنسيقات ووجهات نظر مختلفة: يمكن أن تكون عناوين IP لمراكز التحكم في الروبوتات ، وعناوين البريد الإلكتروني لمرسلي رسائل البريد الإلكتروني الاحتيالية ، ومقالات تصف تقنيات تجاوز الأمان التي تستخدمها مجموعات APT -التي ستبدأ في استخدامها. بشكل عام ، تحدث الكثير من الأشياء.

لتبسيط كل هذا الخزي ، قبل بضع سنوات ، اقترح ديفيد بيانكو ما يسمى "هرم الألم" . يصف بشكل جيد العلاقة بين أنواع المؤشرات التي تستخدمها للكشف عن المهاجم ومقدار الألم الذي ستجلبه للمهاجم إذا كان بإمكانك اكتشاف نوع معين من المؤشرات.



على سبيل المثال ، إذا كنت تعرف تجزئة MD5 لملف ضار ، فيمكن اكتشافه بسهولة واكتشافه بدقة. ومع ذلك ، فإن هذا سيسبب القليل من الألم للمهاجم - فقط أضف 1 بت من المعلومات إلى الملف ، وتجزئة مختلفة بالفعل.

نصيحة رقم 2. حاول استخدام هذه المؤشرات ، التي سيكون تغييرها صعبًا من الناحية الفنية أو الاقتصادية غير المربحة للمهاجم

توقعًا للسؤال حول كيفية معرفة ما إذا كان هناك ملف به هذه التجزئة على محطات العمل في مؤسستنا ، أجيب: هناك طرق مختلفة. أحد أسهل الطرق هو تثبيت Kaspersky Security Center ، الذي يحتوي على قاعدة بيانات تجزئات MD5 لجميع الملفات القابلة للتنفيذ في المؤسسة ، والتي يمكنك إجراء SELECT إليها.

دعنا نعود إلى هرم الألم. على عكس الكشف عن التجزئة ، سيكون أكثر إنتاجية إذا تمكنت من اكتشاف TTP (التكتيكات ، التقنية ، الإجراء) للمهاجم. إنه أكثر تعقيدًا ويتطلب المزيد من الجهد ، لكنك ستسبب المزيد من الألم.

على سبيل المثال ، إذا كنت تعلم أن مجموعة APT التي تستهدف قطاعك الاقتصادي توزع رسائل البريد الإلكتروني المخادعة مع ملفات * .HTA ، فإن تطوير قاعدة الكشف التي تبحث عن الملفات في البريد بمرفقات مماثلة ستصيب المهاجم بشدة. سيتعين عليه تغيير تكتيكات البريد ، وربما حتى استثمار $ $ في شراء 0 يومًا أو يوم واحد ، وهذا ليس رخيصًا ...

نصيحة رقم 3. ليس لديك آمال كبيرة فيما يتعلق بقواعد الكشف التي لم تقم بتطويرها ؛ يجب التحقق من وجود نتائج إيجابية خاطئة وتعديلها

عند تطوير قواعد الكشف ، من المغري دائمًا استخدام قواعد محددة مسبقًا. مثال مجاني هو مستودع Sigma ، وهو تنسيق قاعدة كشف مستقل عن SIEM يترجم القواعد من Sigma إلى استعلامات ElasticSearch وقواعد Splunk أو Arcsight. في الوقت نفسه ، يحتوي المستودع على حوالي 200 قاعدة ، منها 130 تقريبًا تصف الهجمات على Windows. للوهلة الأولى ، إنه رائع جدًا ، لكن الشيطان ، كما هو الحال دائمًا ، يكمن في التفاصيل.

دعونا نلقي نظرة على واحدة من قواعد الكشف عن mimikatz بالتفصيل:


تكتشف القاعدة العمليات التي حاولت قراءة ذاكرة عملية lsass.exe. تقوم Mimikatz بذلك عندما تحاول الحصول على تجزئات NTLM ، وتكتشف القاعدة البرامج الضارة.

ومع ذلك ، بالنسبة لنا ، كمتخصصين لا ينخرطون في الاكتشاف فحسب ، بل في الاستجابة أيضًا للحوادث ، من المهم للغاية أن يكون هذا حقًا محاكاة. لسوء الحظ ، من الناحية العملية ، هناك العديد من العمليات المشروعة الأخرى التي تقرأ ذاكرة lsass.exe بنفس الأقنعة (بعض مضادات الفيروسات ، على سبيل المثال). لذلك ، في بيئة قتالية حقيقية ، ستجلب هذه القاعدة إيجابيات خاطئة أكثر من الخير.

هناك حوادث أكثر إثارة للاهتمام تتعلق بالترجمة التلقائية للقواعد من قواعد Sigma إلى SIEM:


في أحد الندوات عبر الإنترنت ، أظهر الزملاء من SOC Prime الذين يقدمون قواعد كشف مدفوعة الأجر مثالاً غير عملي لمثل هذه الترجمة: يجب أن يكون حقل productProduct في SIEM مساويًا لكل من Sysmon و Microsoft Windows ، وهو أمر مستحيل.

لا أريد أن ألوم أحداً وأن أضع إصبعًا - كل شخص مجنون ، فلا بأس. ومع ذلك ، يحتاج عملاء Threat Intelligence إلى فهم أن إعادة التحقق من القواعد التي تم الحصول عليها من المصادر المفتوحة والمغلقة وصقلها ما زالت ضرورية.

نصيحة رقم 4: تحقق من أسماء النطاقات وعناوين IP بحثًا عن البرامج الضارة ليس فقط على الخادم الوكيل وجدار الحماية ، ولكن أيضًا في سجلات خادم DNS ، مع الانتباه إلى كل من محاولات الحل الناجحة وغير الناجحة

تعد المجالات الضارة وعناوين IP مؤشرًا مثاليًا من حيث سهولة الكشف ومقدار الألم الذي تسببه للمهاجم. لكن معهم كل شيء بسيط للوهلة الأولى فقط. على الأقل ، قد تتساءل من أين تحصل على سجل المجال.

إذا كنت تقيد نفسك بفحص سجلات الخادم الوكيل فقط ، يمكنك تفويت البرامج الضارة التي تحاول الوصول إلى الشبكة مباشرة أو تطلب اسم نطاق غير موجود تم إنشاؤه بواسطة DGA ، ناهيك عن أنفاق DNS - لن يكون كل هذا في سجلات الوكيل للشركة.

نصيحة رقم 5. "لا يمكنك حظر الشاشة" - ضع فاصلة فقط بعد أن تعرف نوع المؤشر وتدرك العواقب المحتملة للحظر

واجه كل حارس أمني ممارس سؤالًا صعبًا: منع التهديد أو المراقبة ، وإذا كان هناك أي إيجابيات ، فابدأ التحقيق؟ تقوم بعض اللوائح والتعليمات بالكتابة مباشرة ، وأحيانًا يكون هذا الإجراء خاطئًا.

إذا كان المؤشر هو اسم المجال الذي تستخدمه مجموعة APT ، فلا تضعه في قفل ، ولكن ابدأ في المراقبة. تشير التكتيكات الحديثة للهجمات المستهدفة إلى وجود قناة اتصالات احتياطية إضافية سرية ، والتي لا يمكن تحديدها إلا خلال تحقيق مفصل. سيؤدي الحظر التلقائي في هذه الحالة إلى إعاقة البحث عن هذه القناة ، وسيفهم الرفاق على الجانب الآخر من الحاجز بسرعة ما تعلمته عن أنشطتهم.

من ناحية أخرى ، إذا كان المؤشر مجال تشفير ، فيجب قفله بالفعل. ولكن لا تنس مراقبة المحاولات غير الناجحة للوصول إلى المجالات المحظورة - يمكن بناء العديد من عناوين خوادم الإدارة في تكوين المشفر. قد يكون بعضها مفقودًا من الخلاصات وبالتالي لن يتم حظره. عاجلاً أم آجلاً ، ستتصل بهم البرامج الضارة للحصول على مفتاح سيشفره المضيف على الفور. فقط التحليل العكسي للعينة يمكن أن يضمن أنك قمت بحظر جميع عناوين خادم الإدارة.

نصيحة رقم 6. تحقق من جميع المؤشرات الواردة لمعرفة مدى ملاءمتها قبل ضبطها للمراقبة أو الحظر.

تذكر أن المعلومات المتعلقة بالتهديدات يتم إنشاؤها بواسطة الأشخاص الذين يميلون إلى ارتكاب الأخطاء ، أو خوارزميات التعلم الآلي ، والتي تتأثر أكثر من ذلك. لقد شهدنا بالفعل كيف يضيف العديد من مقدمي التقارير المدفوعة حول أنشطة مجموعات APT عن طريق الخطأ عينات شرعية تمامًا إلى قوائم MD5s الخبيثة. حتى إذا كانت تقارير التهديدات المدفوعة تحتوي على مؤشرات منخفضة الجودة ، فماذا يمكننا أن نقول عن المؤشرات التي تم الحصول عليها من خلال الاستخبارات في المصادر المفتوحة. لا يقوم محللو TI دائمًا بالتحقق من المؤشرات التي ينشئونها بحثًا عن الإيجابيات الكاذبة ، نتيجة لمثل هذا التحقق يقع على عاتق المستهلك.

على سبيل المثال ، إذا تلقيت عنوان IP لتعديل زيوس أو ديمني التالي ، قبل استخدامه في أنظمة الكشف ، تحقق مما إذا كان جزءًا من الاستضافة أو الخدمة التي تقول عنوان IP الخاص بك . خلاف ذلك ، سيكون من غير اللائق تحليل عدد كبير من الإيجابيات الكاذبة عندما يذهب مستخدمو موقع مستضاف على هذه الاستضافة إلى مواقع غير ضارة تمامًا. يمكن إجراء فحص مماثل بسهولة مع:

1. خدمات التصنيف التي ستخبرك بطبيعة أنشطة الموقع. على سبيل المثال ، يكتب ipinfo.io مباشرة النوع: "استضافة".
2. Services Reverse IP ، والذي سيخبرك بعدد المجالات المسجلة على عنوان IP هذا. إذا كان هناك الكثير منها ، فمن المحتمل جدًا أنك تستضيف مواقع.

لذا ، على سبيل المثال ، تبدو نتيجة التحقق من المؤشر أن هذا مؤشر لمجموعة Cobalt APT (وفقًا لتقرير أحد موردي TI المحترمين):



نحن متخصصون في الاستجابة نفهم أن السادة في Cobalt يجب أن يكونوا قد استخدموا عنوان IP هذا. ومع ذلك ، لا توجد فائدة من هذا المؤشر - إنه غير ذي صلة لأنه يعطي الكثير من الإيجابيات الزائفة.

نصيحة رقم 7. أتمتة جميع العمليات بمعلومات التهديد قدر الإمكان. ابدأ بواحد بسيط - أتمتة التحقق من النتائج الإيجابية الخاطئة تلقائيًا من خلال قائمة التوقف مع الإعداد الإضافي للمؤشرات غير الخطية للمراقبة في SIEM

لمنع عدد كبير من الإيجابيات الكاذبة المتعلقة بالذكاء والتي تم الحصول عليها من مصادر مفتوحة ، يمكن البحث الأولي لهذه المؤشرات في قوائم التوقف (قوائم التحذير). يمكن تشكيل مثل هذه القوائم على أساس تصنيف Alexa (أعلى 1000) وعناوين الشبكات الفرعية الداخلية ونطاقات مزودي الخدمة الكبار مثل Google و Amazon AWS و MS Azure وخدمات الاستضافة الأخرى. كما سيكون الحل الفعال للغاية هو الحل الذي يغير قوائم التوقف ديناميكيًا التي تتكون من أعلى المجالات / عناوين IP التي زارها موظفو الشركة في الأسبوع أو الشهر الماضي.

قد يكون تطوير مثل هذه القوائم ونظام التحقق أمرًا صعبًا بالنسبة إلى SOC العادي ، لذلك من المنطقي التفكير في تنفيذ ما يسمى منصات Threat Intelligence. منذ حوالي نصف عام ، كان Anti-malware.ru لديه نظرة عامة جيدة على الحلول المدفوعة والمجانية من هذه الفئة.

نصيحة رقم 8. افحص المؤسسة بأكملها بحثًا عن مؤشرات المضيف ، وليس فقط المضيفين المتصلين بـ SIEM

نظرًا لحقيقة أنه ، كقاعدة عامة ، ليس كل مضيفي المؤسسة متصلين بـ SIEM ، فلا يمكن التحقق من وجود ملف ضار باسم أو مسار محدد باستخدام وظيفة SIEM القياسية فقط. يمكنك الخروج من هذا الموقف بالطرق التالية:

1. استخدم ماسحات IoC مثل Loki . يمكنك تشغيله على جميع مضيفي المؤسسة من خلال نفس SCCM ، وإعادة توجيه الإخراج إلى مجلد شبكة عامة.
2. استخدم ماسحات الضعف. يحتوي بعضها على أوضاع امتثال يمكنك من خلالها التحقق من وجود ملف معين على مسار معين.
3. كتابة البرنامج النصي powerhell وتشغيله من خلال WinRM. إذا كتبت الكسل بنفسك ، يمكنك استخدام أحد النصوص العديدة ، على سبيل المثال ، هذا النص.

كما قلت في البداية ، لا تتضمن هذه المقالة معلومات شاملة حول كيفية العمل بشكل صحيح مع Threat Intelligence. ومع ذلك ، في تجربتنا ، فإن اتباع هذه القواعد البسيطة سيسمح للمبتدئين بعدم التقدم في أشعل النار والبدء فورًا بالعمل الفعال بمؤشرات مختلفة من الحلول الوسط.