Охота на угрозы на bis summit 2016

Сергей Солдатов, эксперт BISA

«… ИДЕТ ОХОТА!» В. Высоцкий «Охота на волков»

СКАЖИТЕ, КАК ЕГО…?А. Рыбников/Ю. Энтин «Буратино»

2

Руководитель Центра мониторинга кибер безопасности:

Превратить «искусство» в «ремесло» : практически реализовать и

предложить «Threat hunting» в РФ

Обеспечить адаптивную защиту для клиентов

Повысить качество продуктов

Руководитель операционных подразделений ИБ

Эксперт/архитектор по ИТ-инфраструктуре и ИБ в ИТ-проектах

Разработчик ПО

Спикер на технических и бизнес-конференциях

Автор/соавтор ряда статей

Музыкант

Спортсмен

«…ЧТО БУДЕТ» М.Дунаевский/Л.Дербенев «Гадалка»

В чем идея и зачем это?

В чем отличие от того, что

было?

Что надо, чтобы это делать?

Как это работает?

Примеры из жизни

Если останется время (снова

теория) …

ЗАТВОРЯЮТ МЫСЛИ В РАМКИЧайФ «За полшага»

* http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html

С уменьшением объема качество

обнаружения возрастает

(Законы физики работают везде*)

Дополнительные плюшкисы:

это фактические Ваши угрозы

НЕ ВЕДЬМА, НЕ КОЛДУНЬЯ КО МНЕ ЯВИЛАСЬ В ДОМ…Ария «Там высоко»

Ри

ск И

Б д

о п

ри

ме

не

ния к

онт

рол

ей

Авт

ом

ат

изи

-

ро

ва

нны

е

ср

едст

ва

Сер

вис

Ост

ат

очны

й р

иск

Alerting

Threat

hunting

Бизнес:

Минимизировать Остаточный риск

Технически:

Обнаружение нового ВПО

Обнаружение атак (в т.ч. APT) независимо

от применения в них ВПО

Получение дополнительной информации

при расследовании

ЛИШЬ ВЧЕРА МНЕ МИР ОБЪЯТЬЯ РАСКРЫВАЛ…А. Пугачева «Белая дверь»

ALERTING:

Реактивно – обнаружение

известного

Уничтожает после поиска

сигнатуры

HUNTING (MINING):

Проактивно – обнаружение

неизвестного

Хранит все данные –

многократная проверка

http://reply-to-all.blogspot.ru/2016/07/blog-post.html

Вендор

ITWIRAlerting

Предположение HuntingMA

DF

Alerting IRВендор

ITW

А ЧТО НАМ НАДО?Серьга «А что нам надо?»

Данные

в т.ч. «Большие»

Инструменты

Люди

интуиция

Инструменты

алгоритмы

Взаимное дополнение

Машины и Человека

ТО ЛИ ПТИЦЫ ЛЕТЯТ ПЕРЕЛЕТНЫЕ,ТО ЛИ КРЫСЫ БЕГУТ С КОРАБЛЯ

Воскресение «Я ни раз за морем не был»

Что «нормально», а что «подозрительно»?

Инструменты администрирования (psexec? Teamviewer?)

Стандартная операционная среда (tor? Openvpn?)

Сегментация сетей, принадлежность АРМ («Сломали админа AD»

vs. «Сломали техника АХО»)

…

Ложные срабатывания: http://reply-to-all.blogspot.ru/2016/07/blog-post_25.html

Контекст: http://reply-to-all.blogspot.ru/2014/10/blog-post_27.html

СУИБ из практики: http://reply-to-all.blogspot.ru/2013/01/blog-post.html

А Я МИЛОГО УЗНАЮ ПО…Г. Сукачев «Я милого узнаю по походке»

Старт неизвестного или не доверенного исполняемого файла

Создание секции на исполнение

Инсталляция неизвестного или не доверенного драйвера

Запуск неизвестного или не доверенного jar файла через командную строку java*.exe

Получение неизвестного или не доверенного почтового вложения

Скачивание неизвестного или не доверенного файла

Обнаружение неизвестного или не доверенного файла во время проверки объектов

автозапуска

Входящее или исходящее сетевое соединение

Детектирование AV базами

Исходящее HTTP соединение

Внедрение в код чужого процесса

…

ИГРАЙ, КАК МОЖЕШЬ СЫГРАЙ…ДДТ «Метель»

4624 / 528 с типом 10. Логин по RDP

4697 / 601 / 7045. Создание нового сервиса

5154 / 5155 / 861. Приложение попыталось начать прослушивание порта

106, 129, 200, 201. Работа планировщика заданий

1102 / 517 / 104. Очистка EventLog

4740 / 644. Блокировка по причине многократной неправильной аутентификации

4657. Изменение реестра

4648 / 552. Попытка входа с явно заданной УЗ

…

НА ЗВЕРЯ СТРАШНОГО НАЙДЕТСЯ СВОЙ… Мельница «Волкодав»

Уровень 1:

«TI Farm»

Уровень 2:

«Cases»

Объекты (MD5, FQDN)

Действия в

системе и IPC(может использовать

метки на объектах)

Метки характеристик

Промаркированные

объекты и системы,

«сырые

нотификации»

Уровень 3:

Аналитик

DF, IR

MA

ИЩУТ ЧАДА, НЕ ЖАЛЕЯ СИЛ…Калинов мост «Золотое толокно»

Уровень 1: «TI Farm»

Фиды: IoC, C2, pDNS

«Белые списки»

Популярность!

Похожесть

Уровень 2: «Cases» - TTP

Контекст!

Практика мониторинга

Отчеты об известных [APT]-атаках*

Практика DF, IR, MA

Практика тестов на проникновение

Уровень 3: Аналитик

Результаты авто обработки (навешанные метки)

Связи (по нотификациям)

Поведение (по нотификациям)

Эмуляция, песочница

Вторая линия: DF, MA

* Здорово, если есть доступ к непубличным источникам

СКОВАННЫЕ ОДНОЙ ЦЕПЬЮНаутилус Помпилиус «Круговая порука»

Связи файлов

Комбинации событий ОС

И то и другое

Файл 1 Файл 2

Файл 3

Файл 2

Запускал

Создавал

Скачивал

……..

Файл 4

Есть

Событие ОС 1

Отсутствует:

Событие ОС 2

Или:

Событие ОС 4

Файл 1

Событие ОС 1

Файл 2

Событие ОС 2

Файл 3

Время

Есть:

Событие ОС 3

ТАК БЫЛО ВСЕГДА ЛЕГКО ГОВОРИТЬ…Машина времени «В добрый час»

ПРИМЕР №1: «ХАКЕР-САМОУЧКА»

15

Периодические

обращения к

серверам

TeamViewer

Процесс:

notepad.exe

Что еще на

этой машине?

Неправильные

аутентификации

Запуск редактора

реестра от system

Изменение

состава группы

«Администраторы»

Запуск

psexec

HTTP-обращения

на сайты вида: http://vugffdtokzeww/

ПРИМЕР №2: «ШАНХАЙСКИЙ СЮРПРИЗ»

16

Открыт

пользователем

Записал себя в

AppData/Roaming/

<другое имя>.doc

.doc по почте

Запись .dll в AppData/Roaming/<не

важно что>.<не dll>

Запись в автозагрузке

запуска этого файла

Скачивание новых

PE с HTTP Периодические

отстуки по

известным C&CИх запуск…

… и много другого интересного…

И ТОТ, КТО ШЕЛ ЗА МНОЙ - ПУСТЬ ПОСПЕШИТ НЕМНОГО,

УСПЕВ ВСЕ ТО, ЧЕГО МНЕ НЕ УСПЕТЬ

Машина времени «Скажи, мой друг...»/Памяти Леннона

17

ТН – единственный эффективный способ противостоять

кастомизированным угрозам

ТН – замкнутый цикл через IR/DF/MA

ТН не может быть полностью автоматизирован

ТН потребляет всевозможный TI

Для ТН нужны:

данные

«человекомашина» = инструменты + аналитики

Сергей Солдатов, CISA, CISSP

www.linkedin.com/in/sergeysoldatov

reply-to-all.blogspot.ru

НА ВСЕ ВОПРОСЫ…Пикник «Иероглиф»