Kami memiliki dua langganan APT komersial, sepuluh pertukaran informasi, sekitar sepuluh feed gratis, dan daftar simpul keluar Thor. Dan juga lima pembalik yang kuat, master skrip PowerShell, loki-scanner dan berlangganan berbayar untuk virustotal. Bukannya tanpa ini pusat pemantauan tidak berfungsi, tetapi jika Anda terbiasa menangkap serangan kompleks, Anda harus pergi jauh-jauh ke hobi ini. Yang terpenting, kami khawatir tentang potensi otomatisasi memeriksa indikator kompromi. Tidak ada yang lebih tidak bermoral daripada kecerdasan buatan, menggantikan seseorang dalam pekerjaan di mana Anda perlu berpikir. Tetapi kami memahami bahwa dengan bertambahnya jumlah pelanggan, cepat atau lambat kami akan terjun ke dalamnya.
Banyak yang mengatakan Threat Intelligence itu lezat, tetapi tidak semua orang mengerti cara memasaknya. Bahkan lebih sedikit lagi yang mengerti proses apa yang perlu dibangun agar TI bekerja dan mendatangkan keuntungan. Dan sangat sedikit orang yang tahu bagaimana memilih penyedia pakan, di mana untuk memeriksa indikator jatuh dan apakah perlu untuk memblokir domain yang dikirim oleh rekan kerja ke WhatsApp.
Selama beberapa tahun bekerja terus-menerus dengan TI, kami berhasil berjalan di garu yang berbeda dan hari ini kami ingin memberikan beberapa saran praktis yang akan membantu pemula menghindari kesalahan.
Kiat nomor 1. Jangan memiliki harapan tinggi untuk menangkap hash: sebagian besar malware telah lama bersifat polimorfik
Pada artikel terakhir, kami berbicara tentang apa itu TI dan memberikan beberapa contoh bagaimana proses kerja diatur. Biarkan saya mengingatkan Anda bahwa informasi tentang ancaman (intelijen ancaman) hadir dalam berbagai format dan tampilan: dapat berupa alamat IP pusat kendali botnet, alamat email pengirim email phishing, dan artikel yang menggambarkan teknik untuk memintas alat perlindungan yang dilewati kelompok APT -yang akan mulai digunakan. Secara umum, banyak hal terjadi.
Untuk merampingkan semua aib ini, beberapa tahun yang lalu, David Bianco mengusulkan apa yang disebut
"piramida rasa sakit" . Itu cukup baik menggambarkan hubungan antara jenis indikator yang Anda gunakan untuk mendeteksi penyerang dan berapa banyak rasa sakit yang akan Anda bawa ke penyerang jika Anda dapat mendeteksi jenis indikator tertentu.
Misalnya, jika Anda mengetahui hash MD5 dari file jahat, itu dapat dengan mudah dideteksi dan dideteksi secara akurat. Namun, ini akan membawa sangat sedikit rasa sakit kepada penyerang - cukup tambahkan 1 bit informasi ke file, dan hash sudah berbeda.
Kiat nomor 2. Cobalah untuk menggunakan indikator-indikator itu, yang perubahannya akan sulit secara teknis atau ekonomis tidak menguntungkan bagi penyerang
Mengantisipasi pertanyaan tentang bagaimana mencari tahu apakah ada file dengan hash ini di workstation perusahaan kami, saya menjawab: ada berbagai cara. Salah satu yang termudah adalah menginstal Kaspersky Security Center, yang berisi database hash MD5 dari semua file yang dapat dieksekusi di perusahaan, yang dapat Anda buat SELECT.
Mari kita kembali ke piramida rasa sakit. Tidak seperti deteksi hash, akan lebih produktif jika Anda dapat mendeteksi TTP (taktik, teknik, prosedur) penyerang. Ini lebih rumit dan membutuhkan lebih banyak usaha, tetapi Anda akan memberikan lebih banyak rasa sakit.
Misalnya, jika Anda tahu bahwa grup APT yang ditujukan untuk sektor ekonomi Anda mendistribusikan email phishing dengan file * .HTA, mengembangkan aturan deteksi yang mencari file dalam surat dengan lampiran yang sama akan memukul penyerang dengan keras. Dia harus mengubah taktik pengiriman surat, bahkan mungkin menginvestasikan $ $ dalam pembelian eksploitasi 0 hari atau 1 hari, dan ini tidak murah ...
Kiat nomor 3. Jangan berharap banyak tentang aturan deteksi yang tidak Anda kembangkan, mereka harus diperiksa apakah ada kesalahan positif dan modifikasi
Saat mengembangkan aturan deteksi, selalu tergoda untuk menggunakan aturan yang telah ditentukan sebelumnya. Contoh gratis adalah repositori
Sigma , format aturan deteksi SIEM-independen yang menerjemahkan aturan dari Sigma ke kueri ElasticSearch dan aturan Splunk atau Arcsight. Pada saat yang sama, repositori berisi sekitar 200 aturan, yang ~ 130 menjelaskan serangan pada Windows. Pada pandangan pertama, ini sangat keren, tetapi iblis, seperti biasa, ada dalam detailnya.
Mari kita lihat
salah satu aturan deteksi mimikatz
secara rinci:
Aturan mendeteksi proses yang berusaha membaca memori proses lsass.exe. Mimikatz melakukan ini ketika mencoba untuk mendapatkan hash NTLM, dan aturan mendeteksi malware.
Namun, bagi kami, sebagai spesialis yang terlibat tidak hanya dalam mendeteksi, tetapi juga menanggapi insiden, sangat penting bahwa ini benar-benar mimikatz. Sayangnya, dalam praktiknya, ada banyak proses sah lainnya yang membaca memori lsass.exe dengan masker yang sama (beberapa antivirus, misalnya). Oleh karena itu, dalam lingkungan pertempuran nyata, aturan seperti itu akan membawa lebih banyak hal positif yang salah daripada kebaikan.
Bahkan ada insiden yang lebih menarik terkait dengan terjemahan otomatis aturan dari Sigma ke aturan SIEM:
Di salah satu webinar, kolega dari SOC Prime yang menyediakan aturan deteksi berbayar menunjukkan contoh terjemahan yang tidak berfungsi: bidang deviceProduct di SIEM harus sama dengan Sysmon dan Microsoft Windows, yang tidak mungkin.
Saya tidak ingin menyalahkan siapa pun dan menusuk jari - semua orang gila, tidak apa-apa. Namun, konsumen Ancaman Intelijen perlu memahami bahwa memeriksa ulang dan memperbaiki aturan yang diperoleh dari sumber terbuka dan tertutup masih diperlukan.
Kiat # 4: periksa nama domain dan alamat IP untuk malware tidak hanya pada server proksi dan firewall, tetapi juga di log server DNS, perhatikan upaya resolusi yang berhasil dan tidak berhasil
Domain berbahaya dan alamat IP adalah indikator optimal dalam hal kemudahan deteksi dan jumlah rasa sakit yang Anda berikan kepada penyerang. Tetapi dengan mereka semuanya sederhana hanya pada pandangan pertama. Minimal, Anda mungkin bertanya-tanya dari mana mendapatkan log domain.
Jika Anda membatasi diri Anda hanya untuk memeriksa log server proxy, Anda dapat kehilangan malware yang mencoba mengakses jaringan secara langsung atau meminta nama domain yang tidak ada yang dihasilkan oleh DGA, belum lagi terowongan DNS - semua ini tidak akan berada dalam log proxy perusahaan.
Kiat nomor 5. “Anda tidak dapat memblokir monitor” - beri koma hanya setelah Anda tahu indikator apa itu dan menyadari konsekuensi yang mungkin terjadi dari pemblokiran monitor.
Setiap petugas keamanan yang berlatih menghadapi pertanyaan sulit: untuk memblokir ancaman atau monitor dan, jika ada hal positif, memulai penyelidikan? Beberapa peraturan dan instruksi langsung menulis - blokir, dan terkadang tindakan ini keliru.
Jika indikatornya adalah nama domain yang digunakan oleh pengelompokan APT,
jangan letakkan di kunci , tetapi mulai pemantauan. Taktik modern serangan bertarget menyiratkan adanya saluran komunikasi cadangan tambahan rahasia, yang hanya dapat diidentifikasi selama penyelidikan rinci. Pemblokiran otomatis dalam hal ini akan menghalangi pencarian saluran ini, dan kawan-kawan di sisi lain dari barikade akan dengan cepat memahami apa yang Anda pelajari tentang kegiatan mereka.
Di sisi lain, jika indikatornya adalah domain penyandi, maka indikator tersebut
harus sudah
dikunci . Tetapi jangan lupa untuk memantau upaya yang gagal untuk mengakses domain yang diblokir - beberapa alamat server manajemen dapat dibangun ke dalam konfigurasi enkripsi. Beberapa dari mereka mungkin hilang dari umpan dan karenanya tidak akan diblokir. Cepat atau lambat, malware akan menghubungi mereka untuk mendapatkan kunci yang akan dienkripsi oleh tuan rumah. Hanya analisis balik sampel yang dapat menjamin bahwa Anda telah memblokir semua alamat server manajemen.
Kiat nomor 6. Periksa semua indikator yang masuk untuk relevansi sebelum mengaturnya untuk pemantauan atau pemblokiran.
Ingat bahwa informasi tentang ancaman dibuat oleh orang-orang yang cenderung membuat kesalahan, atau algoritma pembelajaran mesin, yang bahkan lebih terpengaruh oleh ini. Kami telah menyaksikan bagaimana berbagai penyedia laporan pembayaran tentang kegiatan kelompok APT secara tidak sengaja menambahkan sampel yang cukup sah ke dalam daftar MD5 berbahaya. Sekalipun laporan ancaman berbayar mengandung indikator berkualitas rendah, apa yang bisa kita katakan tentang indikator yang diperoleh melalui intelijen di sumber terbuka. Analis TI tidak selalu memeriksa indikator yang mereka buat untuk hasil positif palsu, karena verifikasi seperti itu berada di pundak konsumen.
Misalnya, jika Anda menerima alamat IP modifikasi Zeus atau Dimnie berikutnya, sebelum menggunakannya dalam sistem deteksi,
periksa apakah itu adalah bagian dari hosting atau layanan yang mengatakan IP Anda . Kalau tidak, akan tidak menyenangkan untuk menguraikan sejumlah besar positif palsu ketika pengguna situs yang dihosting di hosting ini akan pergi ke situs yang sama sekali tidak berbahaya. Pemeriksaan serupa dapat dengan mudah dilakukan dengan:
- Layanan kategorisasi yang akan memberi tahu Anda tentang sifat dari aktivitas situs. Misalnya, ipinfo.io langsung menulis ketik: "hosting".
- Layanan Reverse IP, yang akan memberi tahu Anda berapa banyak domain terdaftar di alamat IP ini. Jika ada banyak dari mereka, sangat mungkin bahwa Anda meng-hosting situs.
Jadi, misalnya, hasil pengecekan indikator terlihat seperti itu adalah indikator dari grup Cobalt APT (menurut laporan salah satu vendor TI yang disegani):
Kami spesialis respon memahami bahwa tuan-tuan di Cobalt harus menggunakan alamat IP ini. Namun, tidak ada manfaat dari indikator ini - tidak relevan karena memberikan terlalu banyak kesalahan positif.
Kiat nomor 7. Otomatisasi semua proses dengan informasi ancaman sebanyak mungkin. Mulailah dengan yang sederhana - mengotomatiskan pemeriksaan positif palsu melalui daftar berhenti dengan pengaturan indikator non-goresan lebih lanjut untuk pemantauan di SIEM
Untuk mencegah sejumlah besar kesalahan positif terkait intelijen dan diperoleh dari sumber terbuka, pencarian awal indikator-indikator ini dalam daftar berhenti (daftar peringatan) dapat dilakukan. Daftar tersebut dapat dibentuk berdasarkan peringkat Alexa (top-1000), alamat subnet internal, domain penyedia layanan besar seperti Google, Amazon AWS, MS Azure, dan layanan hosting lainnya. Juga sangat efektif akan menjadi solusi yang secara dinamis mengubah daftar berhenti yang terdiri dari domain / alamat IP teratas yang dikunjungi oleh karyawan perusahaan dalam minggu atau bulan terakhir.
Pengembangan daftar semacam itu dan sistem verifikasi bisa sulit untuk SOC rata-rata, sehingga masuk akal untuk berpikir tentang mengimplementasikan apa yang disebut platform Threat Intelligence. Sekitar setengah tahun yang lalu Anti-malware.ru memiliki
ikhtisar yang baik
tentang solusi berbayar dan gratis dari kelas ini.
Kiat nomor 8. Pindai seluruh perusahaan untuk indikator host, bukan hanya host yang terhubung ke SIEM
Karena kenyataan bahwa, sebagai suatu peraturan, tidak semua host perusahaan terhubung ke SIEM, tidak mungkin untuk memeriksa file jahat dengan nama atau jalur tertentu hanya dengan menggunakan fungsionalitas SIEM standar. Anda dapat keluar dari situasi ini dengan cara berikut:
- Gunakan pemindai IoC seperti Loki . Anda dapat menjalankannya di semua host perusahaan melalui SCCM yang sama, dan mengarahkan output ke folder jaringan publik.
- Gunakan pemindai kerentanan. Beberapa dari mereka memiliki mode kepatuhan di mana Anda dapat memeriksa file tertentu di jalur tertentu.
- Tulis skrip PowerShell dan jalankan melalui WinRM. Jika Anda menulis kemalasan sendiri, Anda dapat menggunakan salah satu dari banyak skrip, misalnya, yang ini.
Seperti yang saya katakan di awal, artikel ini tidak menyiratkan informasi yang komprehensif tentang cara bekerja dengan benar dengan Threat Intelligence. Namun, dalam pengalaman kami, mengikuti bahkan aturan sederhana ini akan memungkinkan pemula untuk tidak menginjak menyapu dan segera mulai dengan pekerjaan yang efektif dengan berbagai indikator kompromi.