6. • Инструментарий
• Код и его фрагменты
• Адресное пространство
• Web-сайты
• Псевдонимы
• E-mail
• …
Автоматизация – зло… для хакера
Евгений АникинТед Банди
7. • Атрибуция отвечает на вопрос «Кто стоит за атакой?»
• Мультидисциплинарное направление, включающее в себя
знание и навыки в кибербезопасности, сетевых
технологиях, законодательстве, криминалистике,
социологии, геополитике, сборе данных, визуализации,
математике (машинном обучении)
Что такое атрибуция?
8. • Место регистрации IP-адресов и доменов, участвующих в
атаке, или предоставляющих инфраструктуру для
реализации атаки
• Трассировка атаки до ее источника
• ВременнЫе параметры
• Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса,
которые участвуют в атаке
• Изучение «почерка» программистов
Возможные методы атрибуции
9. • Стилометрия (изучение стилистики языка в комментариях
и иных артефактах)
• Обманные системы (honeypot)
• Анализ активности на форумах и в соцсетях
• Анализ постфактум (продажа украденной информации…)
• Оперативная разработка
Возможные методы атрибуции
10. • «817 of the 832 (98%)
IP addresses logging
into APT1 controlled
systems using Remote
Desktop resolved back
to China»
IP как улика (APT1)
11. Размер имеет значение (APT1)
Количество Адресные блоки Владелец
445 223.166.0.0 - 223.167.255.255 China Unicom Shanghai Network
217 58.246.0.0 - 58.247.255.255 China Unicom Shanghai Network
114 112.64.0.0 - 112.65.255.255 China Unicom Shanghai Network
12 139.226.0.0 - 139.227.255.255 China Unicom Shanghai Network
1 114.80.0.0 - 114.95.255.255 China Telecom Shanghai Network
1 101.80.0.0 - 101.95.255.255 China Telecom Shanghai Network
27 Other (non-Shanghai) Chinese IPs
12. • «Over 96% of the malware
samples we have attributed
to APT28 were compiled
between Monday and
Friday. More than 89% were
compiled between 8AM and
6PM in the UTC+4 time
zone, which parallels the
working hours in Moscow
and St. Petersburg.»
Часовой пояс
13. Кто находится в UTC+4 ±1?
• Россия
• Иран
• Ирак
• Грузия
• Азербайджан
• Армения
• Турция
• Афганистан
• Пакистан
• Сирия
• И др.
14. • «In 1,849 of the 1,905 (97%) of the Remote
Desktop sessions APT1 conducted under
our observation, the APT1 operator’s
keyboard layout setting was “Chinese
(Simplified) — US Keyboard”. Microsoft’s
Remote Desktop client configures this
setting automatically based on the selected
language on the client system. Therefore,
the APT1 attackers likely have their
Microsoft® operating system configured to
display Simplified Chinese fonts»
Раскладка клавиатуры и шрифты
15. Язык (APT28)
Locale ID Основной язык Страна / регион Число семплов APT28
0x0419 Russian (ru) Россия (RU) 59
0x0409 English (en) США (US) 27
0x0000 или
0x0800
Neutral locale / System
default locale language
Нейтральный 16
0x0809 English (en) Великобритания (GB) 1
• Ресурсы PE-файлов содержат языковую информацию
17. ”Cyberresearchers found other
clues pointing to Russia.
Microsoft Word documents
posted by Guccifer 2.0 had been
edited by someone calling
himself, in Russian, Felix
Edmundovich — an obvious nom
de guerre honoring the founder of
the Soviet secret police, Felix
Edmundovich Dzerzhinsky»
Felix Edmundovich
Тролли или подстава?
29. Adversarial Tactics, Techniques & Common
Knowledge (ATT&CK)
• Систематизированный набор данных о техниках,
тактиках и процедурах, используемых
злоумышленниками
• 10 тактик = 200 техник с подробным описанием в
формате Wiki
• «Корпоративная» версия матрицы рассчитана на
Windows, Linux и MacOS
• Разработана «Мобильная» версия
• Готовится версия для АСУ ТП
31. От ATT&CK к CAR
• Какие известные
нарушители (в базу
CARET входит
множество известных
групп - Lazarus, Cobalt,
APT28, APT3 и т.п.)
могут быть
детектированы или не
детектированы?
CARET – Cyber Analytics Repository Exploration Tool
34. Galina Antova, co-founder of Claroty
Reports about Russian actors
being behind the Dragonfly
2.0 campaign are more than
plausible.
Highly Likely?..
35. Dmitri Alperovitch, Co-founder of Crowdstrike, a
cybersecurity firm retained by the D.N.C
There’s no plausible actor
that has an interest in all
those victims other than
Russia.
Highly Likely?..
36. Передергивание фактов
«Это русские! Никаких
доказательств нет, но кто еще?
Да и Symantec говорит,
что это русские!»
«Мы не знаем кто, но
в коде есть текст на
русском и французском»
41. Основные алгоритмы машинного обучения
Входные данные Классификация Вывод
Выделение
признаков
Собака
Машинное
обучение
с учителем
Собака
Машинное
обучение
без учителя
48. Кто виноват и что делать: геополитика
- Политики не хотят
разбираться, а хотят
быстрого вердикта
- Нужен «образ
врага»
- Отсутствие
географическое
привязки в
киберпространстве
- Налаживать
взаимоотношения
Почемунельзя?
Чтоделать?
49. Кто виноват и что делать: юриспруденция
- Юрисдикции
разных стран
- Отсутствие
международных
норм
- Языковые
проблемы
взаимодействия
- Выработка
международных
норм (СНВ, НЯВ)
- Фокус локального
законодательства
на
киберпреступления
- Двусторонние
соглашения
Почемунельзя?
Чтоделать?
50. Кто виноват и что делать: техника
- Децентрализация и
распределенность
Интернет
- IPv4
- Анонимайзеры и
прокси (посредники)
- Аренда abuse-
устойчивого хостинга
- Унификация правил
мониторинга, учета и
обмена трафиком
- IPv6
- Межпровайдерские
соглашения
- ГосСОПКА
Почемунельзя?
Чтоделать?
51. Кто виноват и что делать: экономика
- Бесперебойность
функционирования и
возврат в
предатакованное
состояние превыше
безопасности
- Сознательное
скрытие следов
- Долговременность
хранения логов
- Повышение культуры
ИБ
- Ответственность за
сокрытие следов
- Мотивация
операторов связи
Почемунельзя?
Чтоделать?
52. Кто виноват и что делать: психология
- Все неизвестное
вызывает
отторжение
- Инертность
мышления
(ориентация на
«войны» и
«конфликты»)
- Повышение
культуры ИБ
- Привлечение
экспертов
Почемунельзя?
Чтоделать?
53. • Однозначная атрибуция в современном мире невозможна даже
на техническом уровне
• Техническая атрибуция позволяет определить страну и,
максимум, физическое/юридическое лицо/группировку, стоящее
за кибератакой, но не позволяет определить умысел
• В современном мире атрибуция – это скорее инструмент
геополитической борьбы, чем способ поиска доказательств вины
киберпреступников
• Это высший пилотаж ИБ, который нужен далеко не всем
В качестве резюме