14.06.2013

»ндикаторы проникновени€ в систему при экспертизе пам€ти

image

¬о врем€ реакции на инцидент экспертиза пам€ти предоставл€ет ценную информацию дл€ расследовани€ киберугроз.

—ертификаци€ GIAC (GCFE) Gold

јвтор: „эд –обертсон (Chad Robertson), chad@rocacon.com

 онсультант: “им ѕроффитт (Tim Proffitt)

¬ведение

¬о врем€ реакции на инцидент экспертиза пам€ти предоставл€ет ценную информацию дл€ расследовани€ киберугроз. ѕредоставл€€ механизмы дл€ подтверждени€ угрозы с использованием уже известных индикаторов, а также методы по открытию дополнительных индикаторов, экспертиза пам€ти может быть использована более эффективно дл€ идентификации, отслеживани€, изолировани€ и устранени€ последствий проникновени€ в систему.

1.0 ¬ведение

«а последнее врем€ произошло заметное увеличение доступной информации в отношении вредоносных программ. „асто выкладываютс€ в общий доступ новые IP-адреса, имена хостов, MD5-хэши, значени€ мьютексов (объектов с функцией взаимного исключени€) и друга€ информаци€ о злоумышленниках. —уществует много централизованных и сетевых систем дл€ использовани€ этой информации: системы обнаружени€/предотвращени€ угроз, фаерволы, антивирусы и списки достоверных файлов. ” этих решений есть свои преимущества, однако они могут потерпеть неудачу при подтверждении заражени€ системы.

  примеру, рассмотрим антивирус. ¬ статье, опубликованной 11 июл€ 2012, MIT

Technology Review смело провозгласил «Ёпоха антивирусов закончилась». ћикко ’иппонен (Mikko Hypponen), главный исследователь компании F-Secure, написал: Ђблистательный провал нашей компании и антивирусной индустрии в целомї (Hypponen, 2012, см. раздел —сылки). ¬ распор€жении компании оказались образцы Flame, одного из наиболее изощренных вредоносов когда-либо попадавших к ним в руки и существовавшего как минимум в течение двух лет (Hypponen, 2012, см. раздел —сылки). ƒалее в той же статье, мистер ’иппонен за€вл€ет: Ђ¬с€ правда в том, что попул€рные антивирусы не могут защитить против специфических вредоносов, созданных государствами с квалифицированными кадрами и огромными бюджетамиї. ѕодобные антивирусы могут защитить вас против заур€дных вредоносов: банковских тро€нов, кейлоггеров, почтовых червей. ќднако при целенаправленных атаках делаетс€ все возможное, чтобы избежать обнаружени€ антивирусами. “акже эксплоиты нулевого дн€, используемые во врем€ этих атак, не известны антивирусным компани€м (Hypponen, 2012, см. раздел —сылки). ¬ статье журнала SC Magazine “ом  росс (Tom Cross) утверждает: Ђ’от€ базовые средства защиты, как и антивирусы, всегда будут пользоватьс€ спросом, они не смогут защитить системы от целенаправленных, изощренных атакї (Cross, 2012, см. раздел —сылки) ЂЌеобходимо вручную анализировать искусные и часто непредсказуемые схемы нападений. “аким образом, наилучша€ стратеги€ заключаетс€ в вооружении аналитиков инструментами дл€ мониторинга и предотвращени€ адресных атакї (Cross, 2012, см. раздел —сылки).

Ђ“ак каков же должен быть инструмент следующего поколени€? ¬ будущем необходимо делать упор на исследование поведени€ вредоносных программї, - говорит ƒеннис ѕоллатро (Dennis Pollutro), президент и основатель компании Taasera, разрабатывающей продукты дл€ безопасности облачных вычислений. ¬ то врем€ как Ђсканирование по сигнатурам всегда будет в модеї, решени€ в области безопасности должны двигатьс€ в сторону детектировани€ вредоносных программ по их поведению, а не по внешнему виду (то бишь сигнатурам)ї (Rashid, 2012, см. раздел —сылки).

- ѕеред нарушением работы зараженного компьютера или кражей данных должно произойти несколько вещей, что дает оборон€ющемус€ на мониторинг Ђпару сотен процессовї, - добавл€ет ѕоллатро. ¬о врем€ атаки администратор может обнаружить типичное поведение: создание директорий или соединение с IP-адресом, который ранее был помечен как подозрительныйї (Rashid, 2012, см. раздел —сылки).

¬редоносную программу можно идентифицировать по использованию распространЄнных инструментов, техник и процедур во врем€ разработки и инфицировани€. Ёти взаимосв€зи помогают аналитику лучше пон€ть противника и составить его портрет, после чего мы можем сделать определенные выводы дл€ более эффективного противодействи€ атакам.

” разных исследователей отличаютс€ способы ранжирование техник. ƒэвид ‘ренч (David French), старший исследователь CERT, предлагает подход, ориентированный на вредоносы. – ƒл€ выражени€ взаимосв€зей между файлами, мы используем концепцию Ђсемейство вредоносовї, котора€ приблизительно означает Ђнабор файлов св€занных объективным критерием, проистекающим от самих файловї. »спользу€ это определение, мы можем примен€ть различные критерии к различным наборам файлов дл€ образовани€ семействаї (French, 2012, см. раздел —сылки).

ћайкл  лопперт (Michael Cloppert) старший член группы по расследованию компьютерных происшествий компании Lockheed Martin предлагает подход, больше ориентированный на злоумышленника. Ц Ќаилучший способ Ц поведенческое описание атакующего, как он или она выполн€ет свою работу, работу по компрометированию данных. “аким образом, мы описываем анатомию атаки (Cloppert, 2009, см. раздел —сылки). ћы, как аналитики, ищем наиболее статические из всех показателей [которые ближе всего к нападающему], однако часто довольствуемс€ теми показател€ми, имеют мало отношени€ к атакующему до тех пор, пока те ключевые элементы помогают вы€вл€ть угрозы (Cloppert, 2009, см. раздел —сылки).

√рег ’еглунд (Greg Hoglund), основатель HBGary, говорит: ЂЌе имеет смысла раздел€ть человека и созданный им вредонос. Ёто противоположные границы одного и того же спектра, а не черна€ и бела€ наука; это работает, потому что человечество несовершенно со своими привычками и склонностью использовать то, что ему знакомо. Ћюди используют одни и те же утилиты каждый день и не переписывают вредоносные программы каждое утро. »х способы сокрыти€ действий несовершенны. ”же давно они оставили цифровые отпечатки в »нтернете, и найти их Ц дело нескольких кликов.  аждое вторжение €вл€етс€ отражением его автора. Ёто необходимо учитывать (Greg Hoglund, 2011, см. раздел —сылки).

ѕо за€влению организации MITRE Corporation: Ђдл€ упреждени€ атак защитникам киберпространства необходимо полностью изменить модели и начать действовать на опережение перед тем, как злоумышленники начнут использовать эксплоиты. “ребуетс€ перейти от защитной стратегии, основанной реакции и расследовании по факту возникновени€ инцидента, к активным разведывательным действи€м киберугрозї (The MITRE Corporation, 2012, см. раздел —сылки).

»дентификаци€ индивидуальных характеристик вредоносных программ в будущем поможет автоматизировать задачи по их детектированию. „асто вредоносы одного семейства раздел€ют эти характеристики, что помогает аналитикам опознавать соответствующие файлы. Ёти характеристики могут использоватьс€ аналитиками дл€ организации вредоносов в репозитории, вылечивать компьютеры в сети или находить новые версии вредоносных программ.

Ёкспертиза пам€ти позвол€ет аналитикам Ђвоссоздавать состо€ние первоначальной системы, например, какие приложени€ были запущены, какие файлы были использованы, какие сетевые подключени€ были активными и многие другие признакиї (Michael Ligh, 2010, см. раздел —сылки). јналитику доступны многие свободно распростран€емые утилиты дл€ создани€ образа локальной пам€ти, а также несколько корпоративных решений дл€ удаленного создани€ образов. ќдновременно с этим экспертизу пам€ти не следует рассматривать как замену любой другой технологии в области безопасности.  онечно, это ценный инструмент, однако он €вл€етс€ лишь частью ѕоваренной  ниги ¬ирусного јналитика и Ђчрезвычайно важен во врем€ реакции на инцидентї (Michael Ligh, 2010, см. раздел —сылки). ¬ этом документе рассказываетс€ об анализе вредоносных программ. «десь не описываетс€ разработка безопасной и эффективной рабочей среды вирусного аналитика. ≈сли это нова€ дл€ вас область, и вы хотите попробовать примеры, описанные в этом документе, потратьте некоторое врем€ на вы€снение того, как это сделать безопасно.

2.0 ÷ели и допущени€ насто€щего документа

¬ данном исследовании в основном рассказываетс€ о создании сигнатур, чтобы помочь ускорить анализ пам€ти во врем€ реакции на инцидент. Ёти сигнатуры не следует использовать в централизованных средствах защиты, поскольку может быть много ложных срабатываний. ≈сли стоит задача разработки сигнатур дл€ систем, защищающих все клиентские машины, - каждое правило следует тщательно проверить, поскольку любое ложное срабатывание может оказать негативное вли€ние на пользовател€. ¬ этом исследовании сигнатуры создаютс€ аналитиками дл€ аналитиков и помогают ускорить идентификацию, локализацию и ликвидацию угрозу.

ћы коснемс€ многих тем, имеющих отношение к анализу вредоносных программ и экспертизе пам€ти. ƒл€ ограничени€ рамок в этой статье не рассматриваютс€ специфические техники, используемые вирусными аналитиками. ћы будем опиратьс€ на общедоступные материалы, которые помогут лучше пон€ть нашу тему. ≈сли вирусна€ аналитика вам интересна, в разделе —сылки и ѕриложении ј привод€тс€ дополнительные ресурсы.

¬ насто€щем документе упоминаетс€ много утилит. ƒетальное их описание выходит за рамки статьи, однако ссылки на эти инструменты включены в ѕриложение ј.

3.0 Ќахождение индикаторов

»ндикаторы можно найти в различных источниках. —уществует множество блогов, посв€щенных исследованию и анализу вредоносных программ: ЂMalwaremustdieї, ЂJoe Security LLCї,

и ЂHooked on Mnemonics worked for meї и т. д. (см. ѕриложение ј). “акже многие компании рассказывают общественности о своих находках. “акие организации как Mandiant, Fireeye и Dell Secureworks €вл€ютс€ отличными источниками подробных отчетов, содержащих индикаторы.

≈ще одни источник получени€ индикаторов: образцы вредоносных программ. ѕредприимчивые и активные аналитики могут доставать подобные образцы в »нтернете. —уществует р€д сайтов (см. ѕриложение ј), упоминающих об источниках активности вредоносов, которые могут быть загружены вручную или через скрипт (например, maltrieve, см. ѕриложение ј) дл€ автоматического пополнени€ коллекции. ¬ качестве альтернативы можно установить ловушку-ханипот (например, Dionea, см. ѕриложение ј) дл€ получени€ актуальных версий вредоносов через »нтернет, позволив злоумышленникам получить доступ к €кобы у€звимым службам.

≈ще один способ: множество веб-сайтов, предоставл€ющих доступ к скачиванию вредоносных программ. Ќапример, virusshare.com, malwr.com, malware.lu, offensivecomputing.net,

и contagiodump.blogspot.com предоставл€ют доступ к миллионам примеров (см. ѕриложение ј).

3.1 YARA

„тобы упростить поиск индикаторов нападени€ в образцах пам€ти, мы будем использовать утилиту под названием YARA. ЂYARA Ц инструмент, помогающий вирусным аналитикам опознавать и классифицировать примеры вредоносных программ. ѕри помощи YARA вы можете описывать семейства вредоносов, основанные на текстовых и бинарных паттернах, содержащихс€ в примерах этих семейств.  аждое описание содержит набор строк и булево выражение, которое определ€ет логику его работыї (YARA in a nutshell, 2013, см. ѕриложение ј).

” YARA есть механизмы, которые позвол€ют свер€ть индикаторы (строки или шестнадцатеричные значени€) внутри участков пам€ти.

3.2  лассификаци€ индикаторов

ћайкл  лопперт написал гениальный пост в 2009 году в блоге о компьютерной криминалистике компании SANS. «аголовок поста был следующим: ЂSecurity Intelligence: Attacking the Kill Chainї. ¬ посте приводилась классификаци€ индикаторов: элементарные, вычисл€емые и поведенческие.

Ќиже приводитс€ трактовка ћайкла дл€ каждой категории:

ЂЁлементарные индикаторы Ц отдельные единицы данных, характеризующие де€тельность злоумышленника: IP-адреса, адреса электронной почты, статическа€ строка канала передачи засекреченных команд и управлени€ (C2-канал) или полностью определенные доменные имена (Fully Qualified Domain Name, FQDN). — элементарными индикаторами могут возникнуть проблемы, поскольку они могут не полностью характеризовать де€тельность атакующегої (Cloppert, 2009, см. раздел —сылки).

Ђ¬ычисл€емые индикаторы Ц индикаторы, которые, конечно же, €вл€ютс€ вычисленными. Ќаиболее распространенные из которых Ц хэши вредоносных файлов. —юда же попадают индикаторы, содержащие специфические данные после расшифровки специальных C2-протоколов и т п. Ѕолее сложные IDS-сигнатуры также могут относитьс€ к этой категорииї (Cloppert, 2009).

Ђѕоведенческие индикаторы сочетают в себе другие индикаторы, включа€ другие аспекты поведени€, формирующих портрет злоумышленникаї (Cloppert, 2009).

–ассмотрим сложный поведенческий индикатор на следующем примере. јтакующий склонен использовать Ђнаправленные целевые фишинговыеї вложени€ в электронных письмах. ѕисьма присылаютс€ из определенного диапазона IP-адресов. ѕри открытии вложени€ вредоносный код дроппера пытаетс€ записать информацию в определенные ключи реестра, а затем устанавливает одну из версий бэкдора PoisonIvy. «атем злоумышленник использует Windows Credential Editor дл€ перемещени€ внутри сети. ≈ще один интересный момент: дл€ упаковки файлов использовалс€ Winrar, после чего происходила постепенна€ передача архивов по набору IP-адресов. Ёти индикаторы могли быть вы€влены во врем€ отдельных реакций на инцидент и поодиночке имели бы мало смысла. ќднако в совокупности эти индикаторы формируют более сложные поведенческие индикаторы, по которым уже можно судить об особенност€х атакующего. ¬ этой статье мы будем рассматривать нахождение элементарных и вычисл€емых индикаторов, а создание поведенческих индикаторов оставим читателю.

Ќахождение элементарных и вычисл€емых артефактов Ц самый простой шаг при анализе вредоносных программ. »сточников великое множество: уникальные строки, IP-адреса, ключи реестра, местонахождени€ файлов и все остальное, что имеет отношение к вредоносам.

3.2.1 »збегание малоинформативных индикаторов

 ак говорилось раньше Ц не все индикаторы равны между собой. Ќекоторые артефакты могут быть легко изменены злоумышленником.   примеру, рассмотрим GhostRat, весьма попул€рный бэкдор (или утилита дл€ удаленного доступа), используема€ во многих недавно задокументированных атаках. ¬от как описываетс€ GhostRat: Ђнаиболее характерный индикатор GhostRat Ц один из параметров сетевой коммуникации.  аждый раз сетевое соединение начинаетс€ с магического слова Gh0st, которое прописано по умолчанию в настройках утилитыї (Norman, 2012, см. раздел —сылки). ќднако исходные тексты Gh0stRAT наход€тс€ в свободном доступе, и модифицировать магическое слово проще простого.

–исунок 1

Ќесколько известных вариантов магического слова Gh0stRAT Ц »сточник: http://download01.norman.no/documents/ThemanyfacesofGh0stRat.pdf

4.0 Ќаписание правил дл€ YARA, основанных на индикаторах

–ассмотрим различи€ между сигнатурами централизованных систем, например, используемыми антивирусами и правилами дл€ YARA, которые используютс€ во врем€ реакции на инциденты. ѕоскольку многие антивирусные платформы работают в режиме реального времени, то подобные системы должны посто€нно мониторить файловую систему и пам€ть на наличие, как статических, так и эвристических сигнатур. “аким образом, на производительность системы оказывает вли€ние проста€ установка антивируса, вне зависимости от качества сигнатур. ≈сли сигнатуры антивирусной платформы €вл€ютс€ нечеткими, в результате этого по€вл€ютс€ дополнительные издержки, которые добавл€ют головной боли пользователю. ¬ лучшем случае происходит просто замедление системы, а в худшем Ц некорректна€ идентификаци€ вредоносных файлов, помещение их на карантин и запрета доступа пользователю до тех пор, пока не будет установлен патч.

YARA-сигнатуры, особенно используемые при экспертизе пам€ти, затрагивают только моментальный снимок пам€ти в определенный момент времени и не зависимы от хост-машины. “аким образом, ни о какой работе в режиме реального времени говорить не имеет смысла. “акже, поскольку расследовани€ инцидентов обычно проход€т на небольшом количестве систем, допускаетс€ сверка менее точных характеристик, а в некоторых случа€х, подобна€ сверка даже €вл€етс€ более предпочтительной.

»сход€ из этого, как только мы создадим сигнатуры дл€ YARA, мы будем тестировать их на целом р€де вредоносов дл€ оценки доли ложных срабатываний. ћы увидим, что в некоторых случа€х определение сигнатур, основанных на характеристиках, которые могут быть не столь информативны дл€ антивирусных платформ, €вл€ютс€ более допустимыми при анализе пам€ти.

4.1 Python и IDA

ƒл€ ускорени€ процесса создани€ правил дл€ YARA на основе дизассемблированного вредоноса мы будем прибегать к IDA и Python. ¬ файле idc.py, плагине IDA, написанном на Python, константы o_* позвол€ют идентифицировать адреса переменных в пам€ти внутри вредоносной программы. јдреса предусматривают использование специальных символов в YARA. Ќапример, при помощи скрипта, написанного  ейсом Ѕарнсом (Case Barnes) из компании Accuvant (Barnes, 2012, см. раздел —сылки) можно автоматизировать замену адресов переменных в пам€ти с использованием шаблона Ђ??ї. ¬ скрипте используютс€ следующие операнды (определены в файле idc.py): o_mem, o_phase, o_displ, o_far, o_near

–исунок 2

ќперанды, используемые в плагине idc.py Ц »сточник: —оздал автор

5.0 ѕримеры использовани€

¬ качестве опытных образцов дл€ поиска индикаторов и создани€ на основе них сигнатур дл€ поиска тех же или похожих образцов вредоносных программ среди многочисленных дампов пам€ти мы будем использовать следующие вредоносы: Stabuniq, X0rb0t и пример из APT1. ƒл€ каждого примера будут созданы индикаторы, а затем при помощи YARA мы будем сканировать несколько образов пам€ти дл€ проверки эффективности созданных правил.

5.1 Stabuniq

Stabuniq не рассматриваетс€ APT, однако из-за его доступности и интересных характеристик бэкдор €вл€етс€ прекрасным примером дл€ наших исследований. я буду ссылатьс€ на индикаторы, указанные в следующих стать€х:

1. http://quequero.org/2013/01/stabuniq-financial-infostealer-trojan-analysis/

2. http://www.symantec.com/connect/blogs/trojanstabuniq-found-financialinstitution-servers

ѕо словам представителей Symantec, впервые Stabuniq был замечен в 2011 году на серверах финансовых учреждений, банков и кредитных союзов (Gutierrez, 2012, см. раздел —сылки).  омпани€ Symantec опубликовала анализ в декабре 2012 года. ¬ том же мес€це ћила ѕаркор (Mila Parkor) из Contagio Malware Dump выложила ссылки на образцы Stabuniq (см. ѕриложение ј).

ѕервоначальный исполн€емый файл содержит еще один исполн€емый файл, который декодируетс€ и размещаетс€ в режиме реального времени. ѕоскольку нас интересует только то, что происходит в пам€ти, первоначальный файл нам малоинтересен. ƒл€ идентификации необходимых индикаторов мы должны исследовать именно второй исполн€емый файл, помещаемый в систему.

ѕосле того как вредонос запустилс€ и получен последующий образ пам€ти, похожие артефакты на те, которые были указаны в вышеупом€нутых анализах, можно увидеть при помощи Volatility. ƒл€ начала мы должны найти идентификатор инжектируемого процесса:

–исунок 3

»нжектируемые процессы Ц »сточник: —оздал автор

¬редонос использует StabililtyMutexString в качестве мьютекса, что можно увидеть, использу€ mutantscan, плагин Volatility.

–исунок 4

–езультат работы плагина mutantscan Ц »сточник: создал автор

„тобы создать правило дл€ опознавани€ этого примера по мьютексу мы должны посмотреть, как данные расположены в пам€ти. ќдин из способов Ц использовать volshell дл€ отображени€ содержимого пам€ти:

–исунок 5

–асположение мьютекса в пам€ти процесса Ц »сточник: создал автор

 ак видите, строка закодирована двум€ байтами на символ. ¬ YARA мы должны использовать модификатор Ђwideї:

–исунок 6

YARA-правило дл€ нахождени€ мьютекса в Stabuniq Ц »сточник: создал автор

ѕроверка поиска по сигнатуре:

–исунок 7

–езультаты поиска по сигнатуре Ц »сточник: создал автор

ѕоскольку им€ мьютекса легко помен€ть, мы вновь обратимс€ к исследованию на сайте quequero.org дл€ нахождени€ более предпочтительного индикатора. ¬ анализе также упоминаетс€ участок кода, используемый дл€ повторного инжектировани€ Internet Explorer. ¬есьма веро€тно, что эту функцию сложнее изменить, и, следовательно, мы можем создать более оптимальную сигнатуру.

–исунок 8

»нтересующий нас участок кода из Stabuniq Ц »сточник: http://quequero.org/2013/01/stabuniqfinancial-infostealer-trojan-analysis/

»спользу€ Python-скрипт, упом€нутый выше, мы используем этот участок кода дл€ создани€ YARA-правила:

–исунок 9

»спользование Python дл€ создани€ YARA-правила Ц »сточник: создал автор

ћожно, конечно, все сделать вручную, однако скрипт автоматически, где это необходимо, вставл€ет шаблоны (wildcards) дл€ соответстви€ адресации в пам€ти.

ƒл€ проверки правила € буду использоватьс€ общедоступные образы пам€ти, включа€ все, на которые есть ссылка с веб-сайта Volatility. “акже сюда включены некоторые инфицированные образы, полученные во врем€ исследовани€. ¬се дампы пам€ти перечислены ниже:

–исунок 10

—писок примеров образов пам€ти Ц »сточник: создал автор

–езультаты показаны ниже:

–исунок 11

–езультаты поиска по сигнатуре Ц »сточник: создал автор

 ак видно из скриншота, найдено только два образа, инфицированных Stabuniq. ƒл€ дальнейшего тестировани€ правила, мы можем извлечь вредонос из пам€ти, использу€ команду в Volatility malfind:

–исунок 12

IEXPLORE.EXE, инжектируемый процесс #1 Ц »сточник: создал автор

–исунок 13

IEXPLORE.EXE, инжектируемый процесс #2 Ц »сточник: создал автор

ѕосле сканировани€ выгруженных бинарных файлов, видим те же самые результаты:

–исунок 14

–езультат сканировани€ бинарных файлов -- »сточник: создал автор

ѕоследн€€ проверка: сканирование корпуса вредоносов от Virus Share. ѕросканировано 131073 примеров. Ќичего не обнаружено.

5.2 X0rb0t

“еперь рассмотрим общедоступный анализ, опубликованный Malware.lu с именем X0rb0t. —ам анализ можно найти здесь:

1. http://code.google.com/p/malware-lu/wiki/en_x0rb0t_analysis

ѕример этого вредоноса использует XOR-шифрование. –ассмотрим функцию шифровани€ дл€ создани€ и тестировани€ YARA-правила.

‘ункци€ показана ниже:

–исунок 15

XOR-функци€ Ц »сточник: создал автор

»тоговое YARA-правило:

–исунок 16

–езультат работы Python-скрипта в IDA Ц »сточник: создал автор

ѕри тестировании того же самого набора дампов, какие использовались при тестировании правил дл€ Stabuniq, с добавлением дампа, инфицированного X0rb0t, YARA-правило опознает только дамп, инфицированный X0rb0t:

–исунок 17

–езультат работы YARA-правила Ц »сточник: создал автор

¬о врем€ сканировани€ 131073 файлов правило сработало 8 раз. ѕри более внимательном рассмотрении результатов совпадений (503783a11080777a35b6349099fb3c3d) вы€снилось, что используетс€ та же сама€ функци€.

Ќиже справа показан участок кода X0rb0t, а слева Ц тот же самый участок из 503783a11080777a35b6349099fb3c3d:

–исунок 18

–езультат работы Python-скрипта в IDA Ц »сточник: создал автор

 ак и ожидалось, одни и те же инструкции присутствуют в обоих бинарных файлах.

5.3 APT1

¬скоре после того, как компани€ Mandiant выпустила отчет о APT1 (см. ѕриложение ј), в компании Alienvault создали несколько YARA-сигнатур дл€ идентификации вредоносов, которые, по-видимому, св€заны с этой группой. » YARA-сигнатуры и примеры вредоносных программ можно легко найти в сети (см. ѕриложение ј). ƒл€ тестировани€ эффективности YARA-правил по идентификации активности APT1 в пам€ти, из набора был выбран и запущен пример (8934aeed5d213fe29e858eee616a6ec7), а затем сделан образ пам€ти.

ƒл€ начала протестируем правила на вредоносных бинарных файлах, чтобы удостоверитьс€, что все работает:

–исунок 19

ѕроверка работы правила на известном вредоносном бинарном файле Ц »сточник: создал автор

 ак и ожидалось, правило опознает вредонос. “еперь, вредонос запускаетс€ на тестовой системе, а затем делает дамп пам€ти. ƒалее то же самое YARA-правило используетс€ дл€ сканировани€ этого дампа:

–исунок 20

ѕри помощи YARA-правила осуществл€етс€ поиск внутри дампа Ц »сточник: создал автор

«атратив лишь небольшие усили€, мы смогли вз€ть общедоступные индикаторы, которые содержатс€ в YARA-правилах и использовать их на тестовой машине. “е же самые техники можно использовать при идентификации скомпрометированных систем в рабочей среде во врем€ реакции на инцидент.

¬ывод

ћеханизм реакции на инцидент эволюционирует. јвторы вредоносов посто€нно создаютс€ новые способы компрометировани€ систем. ¬редоносные программы быстро адаптируютс€ к новым услови€м и часто обход€т наши неповоротливые, основанные на поиске по сигнатурам, устаревшие системы безопасности. —оответственно, нам необходимо подумать, как достичь такой же скорости во врем€ во врем€ реакции на инциденты. ¬озможно, наилучший способ противодействи€ современным угрозам Ц меньше полагатьс€ на эти устаревшие инструменты и начать фокусировать внимание на аналитике, человеческих ресурсах дл€ систематизации артефактов, используемых вредоносными программами.

÷ель исследовани€, которое было проведено во врем€ написани€ этой статьи, - показать, как экспертиза пам€ти может помочь во врем€ реакции на инцидент. ћы начали с обсуждени€ ограничений стандартных платформ, обеспечивающих безопасность. ƒалее, мы обсуждали, как создать поведенческие индикаторы на основе утилит, техник и процедур, используемых злоумышленниками. «атем, мы дискутировали на тему, как можно найти данные дл€ использовани€ их в индикаторах, как нам могут помочь YARA-правила, и как мы можем группировать найденные артефакты. ¬ конце концов, мы коротко рассмотрели два образца вредоносных программ и способы использовани€ общедоступных исследований дл€ их идентификации при помощи YARA.

»спользу€ техники, описанные здесь, аналитик может начать аккумул€цию и использование индикаторов, как из общедоступных, так и закрытых исследований. «атем эти индикаторы можно группировать дл€ создани€ поведенческих индикаторов с целью вывода разведки киберугроз на новый уровень. ”тилита Volatility предоставл€ет огромные возможности по анализу дампов пам€ти и получению всей необходимой информации. ¬ конце концов, инструмент YARA можно использовать дл€ опознавани€ тех индикаторов среди бинарных файлов или образов пам€ти, тем самым повыша€ скорость реакции на инциденты.

—сылки

Barnes, C. (2012). Retrieved from Accuvant: http://blog.accuvantlabs.com/blog/case-b/makingida- 1-part-one-%E2%80%93-yara-signature-creation-1

Cloppert, M. (2009). Security Intelligence: Attacking the Kill Chain. Retrieved from SANS.org: http://computer-forensics.sans.org/blog/2009/10/14/security-intelligence-attackingthe- kill-chain/

Cross, T. (2012, November 20). Is the era of anti-virus over? Retrieved from SC Magazine: http://www.scmagazine.com/is-the-era-of-anti-virus-over/article/269210/

French, D. (2012). Writing Effective YARA Signatures to Identify Malware. Retrieved from Software Engineering Institute - Carnegie Mellon: http://blog.sei.cmu.edu/post.cfm/writing-effective-yara-signatures-to-identify-malware

Gutierrez, F. (2012, Dec). Trojan.Stabuniq Found on Financial Institution Servers. Retrieved from http://www.symantec.com: http://www.symantec.com/connect/blogs/trojanstabuniqfound- financial-institution-servers

Hoglund, G. (2011). Is APT really about the person and not the malware? Retrieved from Fast Horizon: http://fasthorizon.blogspot.com/2011/04/is-apt-really-about-person-andnot.html

Honig, M. S. (2012). Practical Malware Analysis. No Starch Press.

Hypponen, M. (2012, June 2). Why antivirus companies like mine failed to catch Flame and Stuxnet. Retrieved from Arstechnica: http://arstechnica.com/security/2012/06/whyantivirus- companies-like-mine-failed-to-catch-flame-and-stuxnet/

Michael Ligh, S. A. (2010). Malware Analyst's Cookbook and DVD: Tools and Techniques for Fighting Malicious Code. Wiley.

Norman. (2012, August). The many faces of Gh0st Rat. Retrieved from norman.com: download01.norman.no/documents/ThemanyfacesofGh0stRat.pdf

Rashid, F. Y. (2012, Nov). How To Detect Zero-Day Malware And Limit Its Impact. Retrieved from Dark Reading: http://www.darkreading.com/advancedthreats/ 167901091/security/attacks-breaches/240062798/how-to-detect-zero-daymalware- and-limit-its-impact.html

The MITRE Corporation. (2012). Standardizing Cyber Threat Intelligence Information with the Structured Threat INformation eXpression (STIX(tm) ).

YARA in a nutshell. (2013). Retrieved from yara-project: http://code.google.com/p/yara-project/

ѕриложение ј

Ѕлоги, компании и утилиты, упом€нуты в этой статье:

http://malwaremustdie.blogspot.jp/ - Malware Must Die!

http://joe4security.blogspot.ch - Joe Security LLC

http://hooked-on-mnemonics.blogspot.com - Hooked on Mnemonics worked for me

http://www.mandiant.com/ - Mandiant

http://www.fireeye.com/ - FireEye

http://www.secureworks.com/cyber-threat-intelligence/blog - Dell Secureworks

https://github.com/technoskald/maltrieve - Maltrieve

http://dionaea.carnivore.it Ц Malware honeypot

http://virusshare.com/ - Virus Share

http://malwr.com/ - Malwr

http://offensivecomputing.net/ - Offensive Computing / Open Malware

http://contagiodump.blogspot.com/ - Contagio Malware Dump

http://code.google.com/p/yara-project/ - YARA Project

https://www.mandiant.com/blog/mandiant-exposes-apt1-chinas-cyber-espionage-unitsreleases- 3000-indicators/ - Mandiant’s APT1 Report

http://www.threatexpert.com/ Threat Expert automated threat analysis

или введите им€

CAPTCHA
14-06-2013 12:07:13
—пасибо. ”знал немного нового. „итать было интересно.
0 |