Презентация о Cyber Threat hunting на BIS Summit в секции, посвященной киберразведке угроз (Threat intelligence)

1. Сергей Солдатов, эксперт BISA
«… ИДЕТ ОХОТА!»
В. Высоцкий «Охота на волков»

2. СКАЖИТЕ, КАК ЕГО…?
А. Рыбников/Ю. Энтин «Буратино»
2
Руководитель Центра мониторинга кибер безопасности:
Превратить «искусство» в «ремесло» : практически реализовать и
предложить «Threat hunting» в РФ
Обеспечить адаптивную защиту для клиентов
Повысить качество продуктов
Руководитель операционных подразделений ИБ
Эксперт/архитектор по ИТ-инфраструктуре и ИБ в ИТ-проектах
Разработчик ПО
Спикер на технических и бизнес-конференциях
Автор/соавтор ряда статей
Музыкант
Спортсмен

3. «…ЧТО БУДЕТ»
М.Дунаевский/Л.Дербенев «Гадалка»
В чем идея и зачем это?
В чем отличие от того, что
было?
Что надо, чтобы это делать?
Как это работает?
Примеры из жизни
Если останется время (снова
теория) …

4. ЗАТВОРЯЮТ МЫСЛИ В РАМКИ
ЧайФ «За полшага»
* http://reply-to-all.blogspot.ru/2012/04/blog-post_19.html
С уменьшением объема качество
обнаружения возрастает
(Законы физики работают везде*)
Дополнительные плюшкисы:
это фактические Ваши угрозы

5. НЕ ВЕДЬМА, НЕ КОЛДУНЬЯ КО МНЕ ЯВИЛАСЬ В ДОМ…
Ария «Там высоко»
РискИБдопримененияконтролей
Автоматизи-
рованные
средстваСервисОстаточныйриск
Alerting
Threat
hunting
Бизнес:
Минимизировать Остаточный риск
Технически:
Обнаружение нового ВПО
Обнаружение атак (в т.ч. APT) независимо
от применения в них ВПО
Получение дополнительной информации
при расследовании

6. ЛИШЬ ВЧЕРА МНЕ МИР ОБЪЯТЬЯ РАСКРЫВАЛ…
А. Пугачева «Белая дверь»
ALERTING:
Реактивно – обнаружение
известного
Уничтожает после поиска
сигнатуры
HUNTING (MINING):
Проактивно – обнаружение
неизвестного
Хранит все данные –
многократная проверка
http://reply-to-all.blogspot.ru/2016/07/blog-post.html
Вендор
ITW
IRAlerting
Предположение Hunting
MA
DF
Alerting IR
Вендор
ITW

7. А ЧТО НАМ НАДО?
Серьга «А что нам надо?»
Данные
в т.ч. «Большие»
Инструменты
Люди
интуиция
Инструменты
алгоритмы
Взаимное дополнение
Машины и Человека

8. ТО ЛИ ПТИЦЫ ЛЕТЯТ ПЕРЕЛЕТНЫЕ,
ТО ЛИ КРЫСЫ БЕГУТ С КОРАБЛЯ
Воскресение «Я ни раз за морем не был»
Что «нормально», а что «подозрительно»?
Инструменты администрирования (psexec? Teamviewer?)
Стандартная операционная среда (tor? Openvpn?)
Сегментация сетей, принадлежность АРМ («Сломали админа AD»
vs. «Сломали техника АХО»)
…
Ложные срабатывания: http://reply-to-all.blogspot.ru/2016/07/blog-post_25.html
Контекст: http://reply-to-all.blogspot.ru/2014/10/blog-post_27.html
СУИБ из практики: http://reply-to-all.blogspot.ru/2013/01/blog-post.html

9. А Я МИЛОГО УЗНАЮ ПО…
Г. Сукачев «Я милого узнаю по походке»
Старт неизвестного или не доверенного исполняемого файла
Создание секции на исполнение
Инсталляция неизвестного или не доверенного драйвера
Запуск неизвестного или не доверенного jar файла через командную строку java*.exe
Получение неизвестного или не доверенного почтового вложения
Скачивание неизвестного или не доверенного файла
Обнаружение неизвестного или не доверенного файла во время проверки объектов
автозапуска
Входящее или исходящее сетевое соединение
Детектирование AV базами
Исходящее HTTP соединение
Внедрение в код чужого процесса
…

10. ИГРАЙ, КАК МОЖЕШЬ СЫГРАЙ…
ДДТ «Метель»
4624 / 528 с типом 10. Логин по RDP
4697 / 601 / 7045. Создание нового сервиса
5154 / 5155 / 861. Приложение попыталось начать прослушивание порта
106, 129, 200, 201. Работа планировщика заданий
1102 / 517 / 104. Очистка EventLog
4740 / 644. Блокировка по причине многократной неправильной аутентификации
4657. Изменение реестра
4648 / 552. Попытка входа с явно заданной УЗ
…

11. НА ЗВЕРЯ СТРАШНОГО НАЙДЕТСЯ СВОЙ…
Мельница «Волкодав»
Уровень 1:
«TI Farm»
Уровень 2:
«Cases»
Объекты
(MD5, FQDN)
Действия в
системе и IPC
(может использовать
метки на объектах)
Метки характеристик
Промаркированные
объекты и системы,
«сырые
нотификации»
Уровень 3:
Аналитик
DF, IR
MA

12. ИЩУТ ЧАДА, НЕ ЖАЛЕЯ СИЛ…
Калинов мост «Золотое толокно»
Уровень 1: «TI Farm»
Фиды: IoC, C2, pDNS
«Белые списки»
Популярность!
Похожесть
Уровень 2: «Cases» - TTP
Контекст!
Практика мониторинга
Отчеты об известных [APT]-атаках*
Практика DF, IR, MA
Практика тестов на проникновение
Уровень 3: Аналитик
Результаты авто обработки
(навешанные метки)
Связи (по нотификациям)
Поведение (по нотификациям)
Эмуляция, песочница
Вторая линия: DF, MA
* Здорово, если есть доступ к непубличным источникам

13. СКОВАННЫЕ ОДНОЙ ЦЕПЬЮ
Наутилус Помпилиус «Круговая порука»
Связи файлов
Комбинации событий ОС
И то и другое
Файл 1 Файл 2
Файл 3
Файл 2
Запускал
Создавал
Скачивал
……..
Файл 4
Есть
Событие ОС 1
Отсутствует:
Событие ОС 2
Или:
Событие ОС 4
Файл 1
Событие ОС 1
Файл 2
Событие ОС 2
Файл 3
Время
Есть:
Событие ОС 3

14. ТАК БЫЛО ВСЕГДА ЛЕГКО ГОВОРИТЬ…
Машина времени «В добрый час»

15. ПРИМЕР №1: «ХАКЕР-САМОУЧКА»
15
Периодические
обращения к
серверам
TeamViewer
Процесс:
notepad.exe
Что еще на
этой машине?
Неправильные
аутентификации
Запуск редактора
реестра от system
Изменение
состава группы
«Администраторы»
Запуск
psexec
HTTP-обращения
на сайты вида:
http://vugffdtokzeww/

16. ПРИМЕР №2: «ШАНХАЙСКИЙ СЮРПРИЗ»
16
Открыт
пользователем
Записал себя в
AppData/Roaming/
<другое имя>.doc
.doc по почте
Запись .dll в
AppData/Roaming/<не
важно что>.<не dll>
Запись в автозагрузке
запуска этого файла
Скачивание новых
PE с HTTP Периодические
отстуки по
известным C&C
Их запуск…
… и много другого интересного…

17. И ТОТ, КТО ШЕЛ ЗА МНОЙ - ПУСТЬ ПОСПЕШИТ НЕМНОГО,
УСПЕВ ВСЕ ТО, ЧЕГО МНЕ НЕ УСПЕТЬ
Машина времени «Скажи, мой друг...»/Памяти Леннона
17
ТН – единственный эффективный способ противостоять
кастомизированным угрозам
ТН – замкнутый цикл через IR/DF/MA
ТН не может быть полностью автоматизирован
ТН потребляет всевозможный TI
Для ТН нужны:
данные
«человекомашина» = инструменты + аналитики

18. Сергей Солдатов, CISA, CISSP
www.linkedin.com/in/sergeysoldatov
reply-to-all.blogspot.ru
НА ВСЕ ВОПРОСЫ…
Пикник «Иероглиф»