Nous avions deux abonnements commerciaux à APT, dix échanges d'informations, une dizaine de flux gratuits et la liste des nœuds de sortie de Thor. Et aussi cinq inverseurs puissants, un maître des scripts PowerShell, un loki-scanner et un abonnement payant à virustotal. Ce n'est pas que sans cela, le centre de surveillance ne fonctionne pas, mais si vous avez l'habitude d'attraper des attaques complexes, vous devez aller jusqu'à ce passe-temps. Surtout, nous étions préoccupés par l'automatisation potentielle de la vérification des indicateurs de compromis. Il n'y a rien de plus immoral que l'intelligence artificielle, remplaçant une personne au travail où il faut penser. Mais nous avons compris qu'avec une augmentation du nombre de clients, tôt ou tard nous y plongerions.
Beaucoup disent que Threat Intelligence est délicieux, mais tout le monde ne comprend pas comment le cuisiner. Encore moins qui comprennent quels processus doivent être construits pour que TI fonctionne et génère des bénéfices. Et très peu de gens savent comment choisir un fournisseur de flux, où vérifier l'indicateur de chutes et s'il est nécessaire de bloquer le domaine que le collègue a envoyé à WhatsApp.
Pendant plusieurs années de travail constant avec TI, nous avons réussi à marcher sur différents râteaux et aujourd'hui nous voulons donner quelques conseils pratiques qui aideront les débutants à éviter les erreurs.
Astuce numéro 1. N'espérez pas attraper un hachage: la plupart des malwares sont polymorphes depuis longtemps
Dans le dernier article, nous avons parlé de ce qu'est TI et donné quelques exemples de l'organisation du processus de travail. Permettez-moi de vous rappeler que les informations sur les menaces (renseignement sur les menaces) se présentent sous différents formats et vues: il peut s'agir des adresses IP des centres de contrôle de botnet, des adresses e-mail des expéditeurs d'e-mails de phishing et des articles décrivant les techniques de contournement des outils de protection que les groupes APT -qui va commencer à utiliser. En général, beaucoup de choses se produisent.
Pour rationaliser toute cette honte, il y a quelques années, David Bianco a proposé la soi-disant
«pyramide de la douleur» . Il décrit assez bien la relation entre les types d'indicateurs que vous utilisez pour détecter l'attaquant et la douleur que vous causerez à l'attaquant si vous pouvez détecter un type d'indicateur spécifique.
Par exemple, si vous connaissez le hachage MD5 d'un fichier malveillant, il peut être assez facilement détecté et détecté avec précision. Cependant, cela apportera très peu de douleur à l'attaquant - il suffit d'ajouter 1 bit d'informations au fichier, et le hachage est déjà différent.
Astuce numéro 2. Essayez d'utiliser ces indicateurs, dont le changement sera difficile techniquement ou économiquement non rentable pour l'attaquant
Anticipant la question de savoir s'il existe un fichier avec ce hachage sur les postes de travail de notre entreprise, je réponds: il existe différentes manières. L'un des plus simples consiste à installer Kaspersky Security Center, qui contient une base de données de hachages MD5 de tous les fichiers exécutables de l'entreprise, dans laquelle vous pouvez créer SELECT.
Revenons à la pyramide de la douleur. Contrairement à la détection de hachage, il sera plus productif si vous pouvez détecter le TTP (tactique, technique, procédure) de l'attaquant. C'est plus compliqué et nécessite plus d'efforts, mais vous causerez plus de douleur.
Par exemple, si vous savez qu'un groupe APT destiné à votre secteur économique distribue des e-mails de phishing avec des fichiers * .HTA, le développement d'une règle de détection qui recherche les fichiers dans le courrier avec des pièces jointes similaires frappera durement l'attaquant. Il devra changer la tactique du mailing, peut-être même investir $ $ dans l'achat d'exploits de 0 ou 1 jour, et ce n'est pas bon marché ...
Astuce numéro 3. N'ayez pas grand espoir concernant les règles de détection qui n'ont pas été développées par vous; elles devront être vérifiées pour les faux positifs et modifiées
Lors du développement de règles de détection, il est toujours tentant d'utiliser des règles prédéfinies. Un exemple gratuit est le référentiel
Sigma , un format de règle de détection indépendant de SIEM qui traduit les règles de Sigma en requêtes ElasticSearch et en règles Splunk ou Arcsight. Dans le même temps, le référentiel contient environ 200 règles, dont environ 130 décrivent des attaques sur Windows. À première vue, c'est très cool, mais le diable, comme toujours, est dans les détails.
Jetons un coup d'œil à l'
une des règles de détection de mimikatz
en détail:
La règle détecte les processus qui ont tenté de lire la mémoire du processus lsass.exe. Mimikatz le fait lorsqu'il essaie d'obtenir des hachages NTLM et que la règle détecte les logiciels malveillants.
Cependant, pour nous, en tant que spécialistes qui sont impliqués non seulement dans la détection, mais aussi dans la réponse aux incidents, il est extrêmement important que ce soit vraiment du mimikatz. Malheureusement, dans la pratique, il existe de nombreux autres processus légitimes qui lisent la mémoire de lsass.exe avec les mêmes masques (certains antivirus, par exemple). Par conséquent, dans un environnement de combat réel, une telle règle apportera plus de faux positifs que de bien.
Il existe des incidents encore plus intéressants liés à la traduction automatique des règles de Sigma en règles SIEM:
Lors d'un des webinaires, des collègues de SOC Prime fournissant des règles de détection payantes ont montré un exemple non fonctionnel d'une telle traduction: le champ deviceProduct dans SIEM doit être égal à Sysmon et à Microsoft Windows, ce qui est impossible.
Je ne veux blâmer personne et me faire un doigt - tout le monde est fou, ça va. Cependant, les consommateurs de Threat Intelligence doivent comprendre que la revérification et le raffinement des règles obtenues à partir de sources ouvertes et fermées sont toujours nécessaires.
Astuce n ° 4: vérifiez les noms de domaine et les adresses IP pour les logiciels malveillants non seulement sur le serveur proxy et le pare-feu, mais également dans les journaux du serveur DNS, en faisant attention aux tentatives de résolution réussies et infructueuses
Les domaines et adresses IP malveillants sont un indicateur optimal en termes de facilité de détection et de quantité de douleur que vous livrez à un attaquant. Mais avec eux, tout n'est simple qu'à première vue. Au minimum, vous vous demandez peut-être où obtenir le journal de domaine.
Si vous vous limitez à vérifier uniquement les journaux du serveur proxy, vous pouvez passer à côté de logiciels malveillants qui tentent d'accéder directement au réseau ou demandent un nom de domaine inexistant généré par DGA, sans parler des tunnels DNS - tout cela ne sera pas dans les journaux de proxy d'entreprise.
Astuce numéro 5. "Vous ne pouvez pas bloquer le moniteur" - ne mettez une virgule qu'après avoir connu le type d'indicateur et avoir compris les conséquences possibles d'un blocage
Chaque agent de sécurité en exercice était confronté à une question difficile: bloquer la menace ou surveiller et, s'il y a des points positifs, lancer une enquête? Certaines réglementations et instructions écrivent directement - bloquent, et parfois cette action est erronée.
Si l'indicateur est le nom de domaine utilisé par le groupement APT,
ne le mettez pas sur un verrou , mais lancez la surveillance. Les tactiques modernes d'attaques ciblées impliquent l'existence d'un canal de communication de secours caché supplémentaire, qui ne peut être identifié qu'au cours d'une enquête détaillée. Dans ce cas, le blocage automatique gênera la recherche de cette chaîne et les camarades de l'autre côté de la barricade comprendront rapidement ce que vous avez appris sur leurs activités.
En revanche, si l'indicateur est un domaine de chiffrement, il
doit déjà
être verrouillé . Mais n'oubliez pas de surveiller les tentatives infructueuses d'accès aux domaines bloqués - plusieurs adresses de serveurs de gestion peuvent être intégrées dans la configuration du chiffreur. Certains d'entre eux peuvent manquer dans les flux et ne seront donc pas bloqués. Tôt ou tard, le malware les contactera pour obtenir une clé que l'hôte chiffrera instantanément. Seule une analyse inverse de l'échantillon peut garantir que vous avez bloqué toutes les adresses du serveur de gestion.
Astuce numéro 6. Vérifiez la pertinence de tous les indicateurs entrants avant de les configurer pour la surveillance ou le blocage.
N'oubliez pas que les informations sur les menaces sont créées par des personnes qui ont tendance à faire des erreurs, ou des algorithmes d'apprentissage automatique, qui sont encore plus affectés par cela. Nous avons déjà vu comment divers fournisseurs de rapports payants sur les activités des groupes APT ajoutent accidentellement des échantillons tout à fait légitimes aux listes de MD5 malveillants. Même si les rapports de menace payés contiennent des indicateurs de faible qualité, que pouvons-nous dire des indicateurs obtenus grâce au renseignement dans des sources ouvertes. Les analystes TI ne vérifient pas toujours les indicateurs qu'ils créent pour les faux positifs, car une telle vérification tombe sur les épaules du consommateur.
Par exemple, si vous avez reçu l'adresse IP de la prochaine modification Zeus ou Dimnie, avant de l'utiliser dans des systèmes de détection,
vérifiez si elle fait partie de l'hébergement ou du service qui indique votre IP . Sinon, il sera désagréable d'analyser un grand nombre de faux positifs lorsque les utilisateurs d'un site hébergé sur cet hébergement iront sur des sites totalement inoffensifs. Une vérification similaire peut être facilement effectuée avec:
- Services de catégorisation qui vous renseigneront sur la nature des activités du site. Par exemple, ipinfo.io écrit directement le type: «hébergement».
- Services Reverse IP, qui vous dira combien de domaines sont enregistrés sur cette adresse IP. S'il y en a beaucoup, il est fort probable que vous hébergiez des sites.
Ainsi, par exemple, le résultat de la vérification de l'indicateur ressemble à celui d'un groupe Cobalt APT (selon le rapport d'un fournisseur TI respecté):
Nous, spécialistes de la réponse, comprenons que les messieurs de Cobalt doivent avoir utilisé cette adresse IP. Cependant, cet indicateur ne présente aucun avantage - il n'est pas pertinent car il donne trop de faux positifs.
Astuce numéro 7. Automatisez tous les processus avec des informations sur les menaces autant que possible. Commencez par un simple - automatisez entièrement la vérification des faux positifs à travers la liste d'arrêt avec le réglage supplémentaire d'indicateurs non striés pour la surveillance dans SIEM
Pour éviter un grand nombre de faux positifs liés à l'intelligence et obtenus à partir de sources ouvertes, une recherche préalable de ces indicateurs dans les listes d'arrêt (listes d'avertissement) peut. Ces listes peuvent être formées sur la base de la notation Alexa (top 1000), des adresses de sous-réseaux internes, des domaines de grands fournisseurs de services comme Google, Amazon AWS, MS Azure et d'autres services d'hébergement. Une solution extrêmement efficace sera également une modification dynamique des listes d'arrêt comprenant les principaux domaines / adresses IP visités par les employés de l'entreprise au cours de la dernière semaine ou du dernier mois.
Le développement de telles listes et d'un système de vérification peut être difficile pour le SOC moyen, il est donc logique de penser à mettre en œuvre les plates-formes dites Threat Intelligence. Il y a environ six mois, Anti-malware.ru avait un bon
aperçu des solutions payantes et gratuites de cette classe.
Astuce numéro 8. Analyser l'ensemble de l'entreprise pour les indicateurs d'hôte, pas seulement les hôtes connectés à SIEM
En raison du fait que, en règle générale, tous les hôtes d'entreprise ne sont pas connectés à SIEM, il n'est pas possible de rechercher un fichier malveillant avec un nom ou un chemin spécifique en utilisant uniquement la fonctionnalité SIEM standard. Vous pouvez sortir de cette situation des manières suivantes:
- Utilisez des scanners IoC comme Loki . Vous pouvez l'exécuter sur tous les hôtes de l'entreprise via le même SCCM et rediriger la sortie vers un dossier réseau public.
- Utilisez des scanners de vulnérabilité. Certains d'entre eux ont des modes de conformité dans lesquels vous pouvez rechercher un fichier spécifique sur un chemin spécifique.
- Écrivez un script PowerShell et exécutez-le via WinRM. Si vous écrivez vous-même la paresse, vous pouvez utiliser l'un des nombreux scripts, par exemple, celui- ci .
Comme je l'ai dit au début, cet article n'implique pas d'informations complètes sur la façon de fonctionner correctement avec Threat Intelligence. Cependant, selon notre expérience, suivre même ces règles simples permettra aux débutants de ne pas marcher sur le râteau et de commencer immédiatement avec un travail efficace avec divers indicateurs de compromis.