4 Декабря, 2018

Знакомство с процессом Threat Hunting

Panda Security в России и СНГ
Все большее число компаний осознают необходимость опережать новые тенденции кибер-атак в стремительно изменяющемся ландшафте угроз. По этой причине Threat Hunting становится все более популярным.

Как мы объясняли в предыдущем блоге , что действительно выделяет Threat Hunting, так это то, что он подразумевает активный поиск угроз в отличие от традиционных методов, которые просто фокусируются на расследованиях после того как инциденты уже случились.  Такой подход основан на применении алгоритмов искусственного интеллекта и машинного обучения, чтобы сократить время воздействия атак без человеческого вмешательства, пока угрозы не являются слишком сложными или системы способны адекватно реагировать на них.
Изменение в реализации инструментария с точки зрения «охоты на угрозы» - это ответ на тот ландшафт угроз, с которыми в наши дни сталкиваются многие компании: популярность безфайловых атак или атак, в рамках которых не используются вредоносные программы, использование легитимных инструментов для выполнения атаки, криптоджекинг или «живой» взлом.

Ниже мы попробуем объяснить процесс Threat Hunting подробнее, а также представить реальный случай, в котором данный сервис, предоставляемый компанией Panda Security, использовался для защиты компьютеров компании.
Threat Hunting : процесс
Данный сервис предназначен для того, чтобы опережать самые передовые и сложные угрозы, а также обнаруживать вредоносное поведение максимально быстро, даже когда кибер-преступники используют такие  техники, как вышеупомянутые безфайловые атаки. Для этого существуют определенные шаги в поиске угроз:
1. Генерация гипотезы. Первый шаг при формулировании расследования – это создание гипотезы. Цель этой гипотезы – найти доказательства присутствия угрозы прежде, чем она будет эксплуатирована, или установить те угрозы, которые уже стали использовать.
2. Проверка гипотезы. Как только гипотеза была определена, необходимо проверить ее достоверность. Затем нам нужно искать существование угроз, которые соответствуют этой гипотезе. На данном этапе обычно некоторые гипотезы отбрасываются, в то время как исследование других гипотез является приоритетным в силу их более высокой вероятности или критичности.
3. Поиск доказательств. Из результатов, полученных в рамках предыдущего поиска, нам необходимо проверить, реально ли существует угроза. Ложные срабатывания и ошибки в конфигурации откладываются, а все усилия фокусируются на проверенных гипотезах.
4. Обнаружение новых закономерностей. Атака реконструируется, чтобы найти любые новые шаблоны и тактики, использованные для ее проведения.
5. Уведомление и обогащение. Используя знания, сгенерированные во время процесса Threat Hunting, автоматические системы обнаружения обогащаются и улучшаются. Таким образом, глобальная безопасность организации повышается, благодаря открытиям, сделанным во время расследования.
Bondat : анализ реального случая
А теперь, после того как мы вкратце рассмотрели работу процесса Threat Hunting, перейдем к анализу примера угрозы из реальной жизни, которая была обнаружена и нейтрализована командой экспертов Panda.
Bondat – невидимый червь.  Первый шаг в расследовании – это фаза изучения. После обнаружения червя эксперт Threat Hunting анализирует его семейство и изучает его характеристики, обнаружив следующее:
  • Это червь, написанный на JavaScript или VBScript.
  • Он распространяется через съемные устройства (флэшки, жесткие диски и пр.) путем создания ярлыков LNK.
  • Он размещается в автозагрузке системы для того, чтобы явно попытаться быть более устойчивым, чтобы его сложнее было удалить.
  • C&C-сервер управления обновляет его код.
  • Он включает анти-дебуг, анти-виртуальную машину и средства анти-эмуляции. Все эти меры включаются для того, чтобы избежать попыток анализа червя.
  • Его код в последних версиях червя слишком сложный и запутанный - вот еще одно средство, чтобы код сложно было проанализировать.
  • Его очень сложно обнаружить статически или при использовании сигнатур.
  • Он распространяется в сети очень быстро.
  • Очень сложно вылечиться от него после его распространения по сети.
На первом шаге, предпринятым командой Threat Hunters, осуществляется генерация нескольких гипотез, основанных на возможных коммуникациях с C&C-серверами управления, на типе сокрытия, типе выполнений и типе событий. С этого момента гипотезы проверяются, и обнаруживается, что червь скачивает и выполняет команды PowerShell – этого никогда ранее не было в данном семействе червей. Также наблюдается, что он скачивает JavaScript и интерпретатор PHP. Затем он делает запрос на другой сайт, для получения другого PHP-кода для исполнения.

Со всей этой информацией теперь стало возможным выдать себя за зараженную машину, в результате чего собирать данные по действиям злоумышленников и используемым ими средствам и файлам.

Было установлено какие атаки совершил данный червь. Они включали в себя атаки типа brute force против списка сайтов на базе WordPress для их заражения троянами, скачивающими майнеров для генерации критовалют, и DoS -атаками против NRS (Национальная стрелковая ассоциация США).
Благодаря этой информации стало возможным сгенерировать новые индикаторы атаки (IOA), сгенерировать контент для нового обнаружения и уведомить клиентов, которые могли пострадать. С этого момента стало возможным предпринимать меры для исправления любой проблемы, вытекающей из этой атаки, а также недопущения повторения данной ситуации впредь.

Цель Panda Security заключается в том, чтобы решения безопасности были способны автоматически классифицировать 99,98% угроз, оставляя всего лишь 0,02% из их числа для ручного анализа нашими аналитиками. Таким образом, мы можем сконцентрироваться на действительно опасных атаках.

Оригинал статьи: Getting to know the Threat Hunting process

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru