Wir hatten zwei kommerzielle APT-Abonnements, zehn Informationsaustausche, ungefähr zehn kostenlose Feeds und Thors Exit-Node-Liste. Und außerdem fünf starke Reverser, ein Meister der Powershell-Skripte, ein Loki-Scanner und ein kostenpflichtiges Abonnement für Virustotal. Es ist nicht so, dass das Überwachungszentrum ohne dies nicht funktioniert, aber wenn Sie es gewohnt sind, komplexe Angriffe zu fangen, müssen Sie den ganzen Weg zu diesem Hobby gehen. Vor allem waren wir besorgt über die mögliche Automatisierung der Überprüfung auf Kompromissindikatoren. Es gibt nichts Unmoralischeres als künstliche Intelligenz, die eine Person in der Arbeit ersetzt, bei der man nachdenken muss. Wir haben jedoch verstanden, dass wir uns mit zunehmender Anzahl von Kunden früher oder später darauf einlassen würden.
Viele sagen, dass Threat Intelligence köstlich ist, aber nicht jeder versteht, wie man es kocht. Noch weniger, die verstehen, welche Prozesse aufgebaut werden müssen, damit TI funktioniert und Gewinn bringt. Und nur sehr wenige Menschen wissen, wie man einen Feed-Anbieter auswählt, wo der Indikator auf Stürze überprüft wird und ob es notwendig ist, die Domain zu blockieren, die der Kollege an WhatsApp gesendet hat.
Während unserer jahrelangen ständigen Arbeit mit TI haben wir es geschafft, auf verschiedenen Rechen zu laufen, und heute möchten wir einige praktische Ratschläge geben, die Anfängern helfen, Fehler zu vermeiden.
Tipp Nummer 1. Hoffen Sie nicht, einen Hash zu fangen: Die meiste Malware ist seit langem polymorph
Im letzten Artikel haben wir darüber gesprochen, was TI ist, und einige Beispiele für die Organisation des Arbeitsprozesses gegeben. Ich möchte Sie daran erinnern, dass Informationen zu Bedrohungen (Bedrohungsinformationen) in verschiedenen Formaten und Ansichten vorliegen: Dies können die IP-Adressen von Botnet-Kontrollzentren und die E-Mail-Adressen von Absendern von Phishing-E-Mails sowie Artikel sein, in denen Sicherheitsumgehungstechniken beschrieben werden, die APT gruppiert -das wird anfangen zu verwenden. Im Allgemeinen passieren viele Dinge.
Um all diese Schande zu rationalisieren, schlug David Bianco vor einigen Jahren die sogenannte
"Schmerzpyramide" vor. Es beschreibt ziemlich gut die Beziehung zwischen den Arten von Indikatoren, mit denen Sie den Angreifer erkennen, und dem Schmerz, den Sie dem Angreifer zufügen, wenn Sie eine bestimmte Art von Indikator erkennen können.
Wenn Sie beispielsweise den MD5-Hash einer schädlichen Datei kennen, kann dieser recht einfach erkannt und genau erkannt werden. Dies wird dem Angreifer jedoch nur sehr wenig Schmerzen bereiten. Fügen Sie der Datei nur 1 Bit Information hinzu, und der Hash ist bereits anders.
Tipp Nummer 2. Versuchen Sie, diese Indikatoren zu verwenden, deren Änderung für den Angreifer technisch oder wirtschaftlich unrentabel sein wird
Ich antizipiere die Frage, wie ich herausfinden kann, ob auf den Arbeitsstationen unseres Unternehmens eine Datei mit diesem Hash vorhanden ist, und antworte: Es gibt verschiedene Möglichkeiten. Eine der einfachsten Möglichkeiten ist die Installation von Kaspersky Security Center, das eine Datenbank mit MD5-Hashes aller ausführbaren Dateien im Unternehmen enthält, auf die Sie SELECT setzen können.
Kehren wir zur Pyramide des Schmerzes zurück. Im Gegensatz zur Hash-Erkennung ist es produktiver, wenn Sie die TTP (Taktik, Technik, Vorgehensweise) des Angreifers erkennen können. Es ist komplizierter und erfordert mehr Aufwand, aber Sie werden mehr Schmerzen liefern.
Wenn Sie beispielsweise wissen, dass eine APT-Gruppe, die sich an Ihren Wirtschaftszweig richtet, Phishing-E-Mails mit * .HTA-Dateien verteilt, wird die Entwicklung einer Erkennungsregel, die nach Dateien in E-Mails mit ähnlichen Anhängen sucht, den Angreifer schwer treffen. Er muss die Taktik des Mailings ändern und vielleicht sogar $ $ in den Kauf von 0-Tage- oder 1-Tage-Exploits investieren, und das ist nicht billig ...
Tipp Nummer 3. Hoffen Sie nicht auf die Erkennungsregeln, die nicht von Ihnen entwickelt wurden. Sie müssen auf falsch positive Ergebnisse überprüft und geändert werden
Bei der Entwicklung von Erkennungsregeln ist es immer verlockend, vordefinierte Regeln zu verwenden. Ein kostenloses Beispiel ist das
Sigma- Repository, ein SIEM-unabhängiges Erkennungsregelformat, das Regeln von Sigma in ElasticSearch-Abfragen und Splunk- oder Arcsight-Regeln übersetzt. Gleichzeitig enthält das Repository etwa 200 Regeln, von denen ~ 130 Angriffe auf Windows beschreiben. Auf den ersten Blick ist es sehr cool, aber der Teufel steckt wie immer im Detail.
Schauen wir uns eine
der Mimikatz-Erkennungsregeln
im Detail an:
Die Regel erkennt Prozesse, die versucht haben, den Speicher des Prozesses lsass.exe zu lesen. Mimikatz tut dies, wenn er versucht, NTLM-Hashes abzurufen, und die Regel Malware erkennt.
Für uns als Spezialisten, die nicht nur Vorfälle erkennen, sondern auch darauf reagieren, ist es jedoch äußerst wichtig, dass dies wirklich ein Mimikatz ist. Leider gibt es in der Praxis viele andere legitime Prozesse, die den Speicher von lsass.exe mit denselben Masken lesen (z. B. einige Virenschutzprogramme). In einer realen Kampfumgebung bringt eine solche Regel daher mehr falsch positive als gute Ergebnisse.
Es gibt noch interessantere Vorfälle im Zusammenhang mit der automatischen Übersetzung von Regeln von Sigma in SIEM-Regeln:
Bei einem der Webinare zeigten Kollegen von SOC Prime, die Regeln für die bezahlte Erkennung bereitstellten, ein nicht funktionierendes Beispiel für eine solche Übersetzung: Das Feld deviceProduct in SIEM muss sowohl Sysmon als auch Microsoft Windows entsprechen, was unmöglich ist.
Ich möchte niemandem die Schuld geben und einen Finger stechen - jeder ist verrückt, das ist in Ordnung. Verbraucher von Threat Intelligence müssen jedoch verstehen, dass eine erneute Überprüfung und Verfeinerung der Regeln, die sowohl aus offenen als auch aus geschlossenen Quellen stammen, weiterhin erforderlich ist.
Tipp 4: Überprüfen Sie Domänennamen und IP-Adressen nicht nur auf dem Proxyserver und der Firewall, sondern auch in den DNS-Serverprotokollen auf Malware, und achten Sie dabei sowohl auf erfolgreiche als auch auf erfolglose Lösungsversuche
Schädliche Domänen und IP-Adressen sind ein optimaler Indikator für die einfache Erkennung und den Schmerz, den Sie einem Angreifer zufügen. Aber bei ihnen ist alles nur auf den ersten Blick einfach. Zumindest fragen Sie sich möglicherweise, woher das Domain-Protokoll stammt.
Wenn Sie sich darauf beschränken, nur Proxy-Server-Protokolle zu überprüfen, können Sie Malware verpassen, die versucht, direkt auf das Netzwerk zuzugreifen, oder einen nicht vorhandenen Domänennamen anfordert, der von DGA generiert wird, ganz zu schweigen von DNS-Tunneln - all dies ist nicht in Unternehmens-Proxy-Protokollen enthalten.
Tipp Nummer 5. "Sie können den Monitor nicht blockieren" - Setzen Sie ein Komma erst, nachdem Sie wissen, um welche Art von Anzeige es sich handelt, und erkennen Sie die möglichen Folgen einer Blockierung
Jeder praktizierende Wachmann stand vor einer schwierigen Frage: Die Bedrohung blockieren oder überwachen und, falls es positive Ergebnisse gibt, eine Untersuchung einleiten? Einige Vorschriften und Anweisungen blockieren direkt - und manchmal ist diese Aktion fehlerhaft.
Wenn der Indikator der von der APT-Gruppierung verwendete Domänenname ist,
setzen Sie ihn nicht auf eine Sperre , sondern starten Sie die Überwachung. Moderne Taktiken für gezielte Angriffe implizieren die Existenz eines zusätzlichen verdeckten Backup-Kommunikationskanals, der nur während einer detaillierten Untersuchung identifiziert werden kann. Das automatische Blockieren behindert in diesem Fall die Suche nach diesem Kanal, und Kameraden auf der anderen Seite der Barrikade werden schnell verstehen, was Sie über ihre Aktivitäten gelernt haben.
Wenn der Indikator hingegen eine Verschlüsselungsdomäne ist,
sollte er bereits
gesperrt sein . Vergessen Sie jedoch nicht, erfolglose Versuche, auf blockierte Domänen zuzugreifen, zu überwachen. In die Verschlüsselungskonfiguration können mehrere Adressen von Verwaltungsservern integriert werden. Einige von ihnen fehlen möglicherweise in den Feeds und werden daher nicht blockiert. Früher oder später wird die Malware sie kontaktieren, um einen Schlüssel zu erhalten, den der Host sofort verschlüsselt. Nur eine umgekehrte Analyse der Stichprobe kann garantieren, dass Sie alle Adressen des Verwaltungsservers blockiert haben.
Tipp Nummer 6. Überprüfen Sie alle eingehenden Indikatoren auf Relevanz, bevor Sie sie für die Überwachung oder Blockierung festlegen.
Denken Sie daran, dass Informationen über Bedrohungen von Personen erstellt werden, die dazu neigen, Fehler zu machen, oder von Algorithmen für maschinelles Lernen, die davon noch stärker betroffen sind. Wir haben bereits gesehen, wie verschiedene Anbieter von bezahlten Berichten über die Aktivitäten von APT-Gruppen versehentlich rechtmäßige Stichproben in die Liste der böswilligen MD5s aufgenommen haben. Selbst wenn bezahlte Bedrohungsberichte Indikatoren von geringer Qualität enthalten, was können wir über Indikatoren sagen, die durch Informationen in offenen Quellen erhalten wurden? TI-Analysten überprüfen die von ihnen erstellten Indikatoren nicht immer auf falsch positive Ergebnisse, da eine solche Überprüfung auf die Schultern des Verbrauchers fällt.
Wenn Sie beispielsweise die IP-Adresse der nächsten Zeus- oder Dimnie-Änderung erhalten haben, bevor Sie sie in Erkennungssystemen verwenden,
überprüfen Sie ,
ob sie Teil des Hostings
oder Dienstes ist, auf dem Ihre IP angegeben ist . Andernfalls ist es unangenehm, eine große Anzahl von Fehlalarmen zu analysieren, wenn Benutzer einer auf diesem Hosting gehosteten Site zu völlig harmlosen Sites gehen. Eine ähnliche Überprüfung kann leicht durchgeführt werden mit:
- Kategorisierungsdienste, die Sie über die Art der Aktivitäten der Website informieren. Zum Beispiel schreibt ipinfo.io direkt den Typ "Hosting".
- Services Reverse IP, die angibt, wie viele Domains unter dieser IP-Adresse registriert sind. Wenn es viele davon gibt, ist es sehr wahrscheinlich, dass Sie Websites hosten.
So sieht beispielsweise das Ergebnis der Überprüfung des Indikators so aus, dass es ein Indikator für die Cobalt APT-Gruppe ist (gemäß dem Bericht eines angesehenen TI-Anbieters):
Wir Antwortspezialisten verstehen, dass die Herren von Cobalt diese IP-Adresse verwendet haben müssen. Dieser Indikator bietet jedoch keinen Nutzen - er ist irrelevant, da er zu viele Fehlalarme liefert.
Tipp Nummer 7. Automatisieren Sie alle Prozesse so weit wie möglich mit Bedrohungsinformationen. Beginnen Sie mit einer einfachen Methode - automatisieren Sie die Überprüfung auf Fehlalarme über die Stoppliste vollständig, indem Sie in SIEM weitere streifenfreie Indikatoren für die Überwachung festlegen
Um eine große Anzahl von Fehlalarmen im Zusammenhang mit Informationen zu verhindern, die aus offenen Quellen stammen, kann eine vorläufige Suche dieser Indikatoren in Stopplisten (Warnlisten) durchgeführt werden. Solche Listen können auf der Grundlage der Alexa-Bewertung (Top-1000), Adressen interner Subnetze, Domains großer Dienstanbieter wie Google, Amazon AWS, MS Azure und anderer Hosting-Dienste erstellt werden. Sehr effektiv wird auch eine Lösung sein, die Stopplisten, die aus den Top-Domains / IP-Adressen bestehen, die von Mitarbeitern des Unternehmens in der letzten Woche oder im letzten Monat besucht wurden, dynamisch ändert.
Die Entwicklung solcher Listen und eines Verifizierungssystems kann für den durchschnittlichen SOC schwierig sein. Daher ist es sinnvoll, über die Implementierung der sogenannten Threat Intelligence-Plattformen nachzudenken. Vor ungefähr einem halben Jahr hatte Anti-malware.ru einen guten
Überblick über kostenpflichtige und kostenlose Lösungen dieser Klasse.
Tipp Nummer 8. Durchsuchen Sie das gesamte Unternehmen nach Hostindikatoren, nicht nur nach Hosts, die mit SIEM verbunden sind
Aufgrund der Tatsache, dass in der Regel nicht alle Unternehmenshosts mit SIEM verbunden sind, ist es nicht möglich, nur mit der Standard-SIEM-Funktionalität nach einer schädlichen Datei mit einem bestimmten Namen oder Pfad zu suchen. Sie können auf folgende Weise aus dieser Situation herauskommen:
- Verwenden Sie IoC-Scanner wie Loki . Sie können es auf allen Hosts des Unternehmens über dasselbe SCCM ausführen und die Ausgabe in einen öffentlichen Netzwerkordner umleiten.
- Verwenden Sie Schwachstellenscanner. Einige von ihnen verfügen über Kompatibilitätsmodi, in denen Sie auf einem bestimmten Pfad nach einer bestimmten Datei suchen können.
- Schreiben Sie ein Powershell-Skript und führen Sie es über WinRM aus. Wenn Sie selbst Faulheit schreiben, können Sie eines der vielen Skripte verwenden, zum Beispiel dieses.
Wie eingangs erwähnt, enthält dieser Artikel keine umfassenden Informationen zur korrekten Arbeit mit Threat Intelligence. Nach unserer Erfahrung können Anfänger jedoch auch nach diesen einfachen Regeln nicht auf den Rechen treten und sofort mit der effektiven Arbeit mit verschiedenen Kompromissindikatoren beginnen.