Как поймать черного лебедя в собственной сети?

Евгений Касперский рассказывает о наших новых онлайн-тренингах для экспертов по кибербезопасности, которые начинаются курсом по YARA.

Онлайн-тренинг для экспертов по кибербезопасности

Давненько у человечества не было такого года, как 2020-й. Да что там, не было на моей памяти ни одного года с такой концентрацией черных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непредсказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «черных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удается.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «черных лебедей». И речь в этом посте пойдет об одном из этих способов — поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними и теми же ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самых разных рыб. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот, YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про нее не известно.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашел в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провел расследование и буквально из спичек и желудей соорудил YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась, — мы видим, что запрос такой по-прежнему есть.

Запрос очень понятный, так как кибер-жулье придумывает все более изощренные способы атак, и удаленка им тут дает больше творческого пространства, чем когда-либо. В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

Онлайн-тренинг для экспертов по кибербезопасности: Hunt APTs with YARA like GReAT ninja

Что еще?

Учитывая, какие нынче стоя́т времена, мы по мере сил поддерживаем силы света (такой уж каламбур). В начале глобального «корона-шухера» мы предложили бесплатные лицензии для медицинских учреждений; на этот раз помогаем НКО — аналитическим центрам, борцам за различные права (полный список тех, кто уже согласился, здесь). Для них тренинги будут бесплатными.

Онлайн-тренинг для экспертов по кибербезопасности: практика по созданию правил YARA

Почему? Да потому, что часто они работают с очень «чувствительной» информацией, и велика вероятность оказаться мишенью целевой атаки (как вот в этом случае), а содержать целый штат ИБ-экспертов могут далеко не все.

Теперь по пунктам, что же будет прекрасного в курсе:

  • Обучение 100 % онлайн в удобном для каждого темпе и с уютного домашнего дивана. Можно за пару вечеров пройти, а хочешь — на месяц растягиваешь удовольствие.
  • Сочетание теории и практики: в распоряжении всех участников виртуальная среда, в которой можно вволю натренироваться писать правила и искать образцы малвары в нашей коллекции.
  • Практические занятия на примерах реальных кибершпионских атак.
  • Особый блок — про искусство поиска того, о чем не имеешь точного представления. Когда интуиция подсказывает, что где-то засел злодей, а где и кто именно — непонятно.
  • Каждый выпускник получает сертификат, подтверждающий его (или ее) новый статус YARA-ниндзи. Как утверждают выпускники предыдущих курсов, очень помогает в профессиональной карьере.

Онлайн-тренинг для экспертов по кибербезопасности: упражнение на примере BlueTraveller

Такие вот у нас новости — как видите, в самоизоляции не скучаем. Всех, кто хочет попробовать найти черного лебедя у себя в сети, прошу проследовать на сайт тренинга. А мы продолжим свои кибердетективные расследования, чтобы можно было и дальше делиться самым актуальным опытом.

Советы