TI на коленке или как исследовать угрозу с помощью браузера
Всем привет! В этой статье мы не будем рассуждать на тему что такое Threat Intelligence, и с чем его едят, а сразу перейдем к делу.
TL DR В этой небольшой заметке будет показано, как можно провести разведку угрозы и атрибутировать группировку имея лишь письмо и браузер, не прибегая к техническому анализу и вот это вот все. Матерым разведчикам такая статья может показаться скучной, но молодым ребятам и девчатам, кто ничинает свой путь в TI, может быть любопытно взглянуть на mindset при проведении разведки.
Вводная
Одному из наших заказчиков прилетело незателейвое письмо от, якобы, администрации г. Горловка об имуществе Минобороны. Взглянув на такое письмо, начинаешь думать, что злодеи совсем обленились =(.
Содержание письма
Вложение
Для TI неплохо также просматривать заголовки письма, но в этом случае все заголовки валидны. Злодей просто зарегистрировал легитимную почту на mail.ru и отправил с него письмо.
Шаг первый. Просмотр вложения.
Никогда, я повторюсь, никогда не анализируйте все, что пахнет вредоносом на своем персональном или рабочем хосте. Используйте виртуалку, так безопаснее и всегда можно откатиться. В данном случае можно было ожидать подлянку в виде CVE-2023–38831 для WinRar, но ничего такого не было и злодеи просто прислали запороленный архив во вложении. Внутри архива лежит интересный исполняемый файл, который у обычного пользователя будет выглядеть вот так:
Как выглядит содержимое архива при дефолтных настройках Windows
Конечно, винда намекает в столбце Тип, что это приложение, но кто ж это читает…
Итак, вложение посмотрели, видим, что это точно что-то нелегитимное, и нужно понять, что этот семпл делает. Первое что нужно помнить, работая аналитиком — не нужно изобретать велосипед. Делаем самое простое — вычисляем хеш (это можно сделать как стандартными командами ОС, так и с помощью 7zip), и отправляем на virustotal.
md5: 30515ea717c237b124625707b66290ef
sha1: d3901874b08f3e1d1832232a54ea5be1978f368c
sha256: 36220391efa0de0d81bee5b8d8813b6f2c89e81c78091387d05946e184b967c8
Результат сканирования virustotal.
Бинго! Можно закрывать кейс с громкими словами, что атака предотвращена и красивым отчетом руководству. Однако в работе как TI так и SOC аналитиков важно руководствоваться следующим принципом:
Нельзя быть ни в чем уверенным на 100%.
Поэтому мы капаем дальше со следующими вопросами:
Может кто-то в организации все-таки открыл письмо?
Чего хотели те, кто нам это прислал, и кто это вообще? Может накатаем на них за 273 УК РФ?
А можем ли мы защититься от таких угроз в будущем?
Шаг второй. Смотрим функционал и связи.
С этими вопросами погружаемся в серфинг сети. В тегах семпла на вирустотал уже можно увидеть немного функционала и техник семпла.
Доверяй, но проверяй. Как уже было сказно, верить на 100% ничему нельзя.
Поэтому идем смотреть, что делает ВПО. Начнем с раздела Behavior.
Здесь можно увидеть огромное количество технической информации, тактики и техники, ключи реестра…
Вот мой топ, на что обращать внимание:
эвристические паттерны sigma, suricata и иже с ними. Но необходимо помнить, что это сигнатуры, и они могут фолсить;
созданные процессы и выполненные команды;
открытые сетевые соединения;
На мой взгляд достаточно важная эвристика. Не стоит полностью полагаться на показатель вредоносности на VT. Иногда, индикаторы с большим количеством сработок оказываются чистыми. Чаще всего такое происходит, когда история по индикатору не успевает обновиться. И наоборот, свежие индикаторы, особенно сетевые, могут долгое время оставаться «зелеными», хотя через них в моменте могут быть взломаны сотни организаций. Доверяй, но проверяй!
Исследуя поведение, мы найдем много интересного:
два вида закрепления;
выполненные команды в cmd;
открытые сетевые соединения (кстати, среди сетевых соединений можно найти актуальный центр управление ВПО и поставить его на контроль на межсетевом экране организации, чтобы посмотреть, а не ходит ли кто-то из нашей сети на C2);
куча дропнутых файлов, которые тоже можно «пробить»;
и т.п.
Но нам, как TI аналитикам, важно остановиться на чем-то характерном и специфичном. Это может быть конкретная процедура, название артефакта, уникальные строки и т.п. Для этого посмотрим, какие команды выполнялись.
Интересная процедура
Как видно на скриншоте, мое внимание привлек поиск специфичных строк (а не exe’шник с половым органом в названии). В интернете можно быстро найти, что эти строки являются названием антивирусных средств. Но в моей голове возник вопрос, а почему именно их проверяют. Да и по опыту, часто в семплах одного семейства встречается проверка на одни и те же или похожие средства защиты. Поэтому попробуем загуглить эту команду.
Результат поиска по команде
Помимо ссылок на песочницы, где мы можем дополнительно подчерпнуть детали по анализу ВПО, мы находим ссылку на исследование группировки Sticky Werewolf.
Если мы продолжим гуглить про эту группировку, то увидим, что методы, которые мы увидели на virustotal, подозрительно совпадают с методами, которые используют злодеи в нашем кейсе. Более того, если почитать вот эту статью, то можно найти много схожего.
Читатель может поупражняться в реверсе или просто глянуть на вирустотал, найти актуальный адрес C2, и удивиться, что в той же подсети по 24 маске были ранее известные центры управления этой группировки.
Выводы
Вспоминая три вопроса, которые мы поставили себе в начале анализа можно просуммировать:
Вооружившись вредоносным письмом и гуглом мы нашли большое количество дополнительных индикаторов, которые мы можем пустить на мониторинг в сети заказчика.
В ходе исследования мы определили злодеев, и выяснили, что взыскать с них штраф будет не так то просто.
Мы определили еще один кластер угроз, который нацелен на заказчика, что поможет и ему подстроить свою политику ИБ и нам подстроить средства защиты и мониторинг. Кроме того, эта угроза достаточно неплохо описана, можно много чего повытаскивать.
Конечно, если у вас есть ресурсы и вы умеете в реверс, то такие навыки только помогут в более детальном исследовании, и, иногда, такие скилы просто необходимы для понимания ситуации. Но бывают случаи, когда даже не имея много времени/сил/компетенций/чего угродно на исследование инцидента или угрозы, с помощью современных сервисов даже без платных подписок можно много чего найти и понять.
Очевидно, что путь определения группировки по индикатору был не один и не только через вирустотал, все ограничивается вашей фантазией. Поэтому внедряйте TI в ваши процессы безопасности, иногда это очень упрощает жизнь =).
Habrahabr.ru прочитано 2399 раз
