Каждый раз после очередной вирусной эпидемии выходят отчёты аналитиков. Из этих исследований можно узнать много интересного: откуда появился зловред, какие методы проникновения он использует, каковы цели атакующих… И конечно, вам посоветуют обновить ваши защитные решения и базы, чтобы предотвратить такую угрозу в будущем. Но возможно, к этому времени вам будет уже поздно «пить боржоми», если вы уже стали жертвой атаки. Особенно если это была многоступенчатая целевая атака.
Однако представьте, что вам не нужно ждать отчёты сторонних аналитиков. Вместо этого вы можете провести исследование любого подозрительного файла самостоятельно – сразу же после того, как этот файл появился в вашей системе. Таким образом вы обеспечите оперативное реагирование и остановите вторжение до того, как вашей организации будет нанесён существенный урон.
В этой статье мы покажем на реальном примере, как быстро и эффективно провести такое исследование с помощью нашего портала для анализа угроз Threat Intelligence Portal. Запросить доступ к нему можно вот здесь.
На стартовой странице портала много разделов, но поскольку в нашем примере уже имеется «вещественное доказательство» (подозрительный файл), мы сразу перейдём по ссылке Cloud Sandbox в главном меню. Это наша облачная песочница, которая запускает подозрительные объекты на отдельной виртуальной машине и анализирует их поведение, отслеживая вредоносные действия. Виртуальная среда изолирована от рабочей инфраструктуры, поэтому детонация в песочнице не принесёт реального вреда. Просто загружаем файл, выбираем нужную среду (Windows 7 в нашем случае), указываем время выполнения (пусть будет 100 секунд) и запускаем выполнение файла:
Песочница является эффективным средством выявления тех вредоносных файлов, которые обходят статистический анализатор – вот почему ваш антивирус вполне мог пропустить такой файл. Но даже если файл детектируется антивирусом как «плохой», большинство антивирусов не смогут вам объяснить, что в нём плохого и что он может сделать в системе. А нам интересны именно такие детали, верно? Посмотрим, что же происходит в песочнице после детонации:
В процессе исполнения файла песочница собрала артефакты, проанализировала их и вынесла вердикт. Вот её результаты: задетектированные вредоносы (6), подозрительные активности (12), извлеченные файлы (17) и сетевые действия (0). Это не просто «плохой» файл — он делает множество плохих вещей, но у нас все ходы записаны.
Во вкладке Results вы также можете увидеть скриншоты, сделанные во время исполнения файла. Некоторые вредоносные программы пытаются уклониться от автоматического анализа в песочнице – например, они требуют определённых действий пользователя (введение пароля, прокрутка документа, перемещение мышки). Однако наш Cloud Sandbox знает многие техники уклонения и использует технологии имитации человеческих действий, что позволяет выявлять такую заразу. Но и скриншоты могут быть полезны: исследователь видит, что происходит у него «в пробирке» с точки зрения пользователя.
Теперь давайте перейдём на вкладку Extracted files, чтобы посмотреть, какие файлы скачал, распаковал и записал на диск этот вредонос:
На данном этапе обычно заканчиваются возможности классических песочниц: вы запустили файл, получили данные о подозрительной активности – вот собственно и всё. Однако в случае нашего портала эксперт по безопасности может сразу перейти к поисковому движку Threat Lookup, чтобы получить более детальную аналитику угрозы и выявить дополнительные взаимосвязи.
Поисковик Threat Lookup содержит около пяти петабайт аналитических данных об угрозах, которые «Лаборатория Касперского» собирала более 20 лет: хэши файлов, статистические и поведенческие характеристики, данные WHOIS/DNS, URL-адреса и IP-адреса, и так далее.
После анализа подозрительного файла в песочнице мы можем сразу же использовать полученные результаты в качестве параметров для поискового запроса в Threat Lookup – достаточно просто кликнуть по заданному объекту (в нашем примере это хэш MD5):
Теперь мы получили более детальный отчёт. Давайте полистаем результаты поиска и посмотрим, к каким URL-адресам обращался исследуемый вредонос:
Выберем URL, помеченный как «Опасный». И вновь используем Threat Lookup, чтобы получить больше информации об этом адресе:
Как видите, вредоносный URL оказался связан с целевой атакой! Наш портал предлагает скачать аналитический отчёт по этой APT-атаке. Файл включает общее описание, технические детали и список индикаторов компрометации. Теперь вы можете проверить, не происходило ли что-нибудь подобное в вашей организации.
Что будет дальше?
Конечно, на этом история не кончается: реальные инциденты требуют более серьёзного расследования. Однако это был хороший пример того, как специалист по безопасности может организовать собственный рабочий процесс анализа угроз для эффективного проведения сложных расследований. Мы просто собрали в одном месте несколько полезных инструментов для такой работы.
Облачная песочница, поиск по индикаторам компрометации, аналитика целевых атак, потоки данных о новых угрозах… какие ещё сервисы стоит добавить на этот портал? С нашей точки зрения, Threat Intelligence Portal должен также включать:
- Песочницу для URL-адресов,
- Визуализацию связей в виде графа,
- Проверку сходства бинарного кода вредоносов,
- Поиск данных по угрозам в открытых источниках и социальных медиа,
- Кастомизированные отчеты об угрозах,
- Экспертные сервисы, включая продвинутый анализ вредоносов по сэмплам клиентов.
Но это дело будущего.