Автоматизированное извлечение конфигураций вредоносного ПО: методология TDR

Эта статья служит введением к первой части серии из четырёх материалов, в которых подробно описана методология команды Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В центре внимания — систематический подход к идентификации и обработке данных конфигурации из образцов вредоносного ПО разных семейств, включая .NET и бинарные образцы, а также использование инструментов вроде Capstone для дизассемблирования.

Ключевые компоненты методологии

Методология опирается на несколько взаимосвязанных компонентов и практик, которые обеспечивают масштабируемость и адаптивность процесса извлечения конфигураций:

• Assemblyline — платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline структурирует процесс анализа в виде набора сервисов.
• ConfigExtractor — служба внутри Assemblyline, ответственная за извлечение конфигураций (domains C2, IP-адреса, URL-адреса, криптографические материалы и т.д.).
• Библиотека ConfigExtractor на Python, которая используется для реализации конкретных экстракторов конфигураций.
• Инструменты дизассемблирования, в том числе Capstone, применяемые для анализа нативных бинарных образцов.
• Механизмы автоматического обновления экстракторов: извлечение новых экстракторов из приватного Git-репозитория и установка зависимостей.
• Интеграция с внешними системами через API, позволяющая автоматически отправлять образцы из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline.
• Поддержка нескольких платформ извлечения; команда TDR использует MACO для своих экстракторов.

«Служба ConfigExtractor играет жизненно важную роль в рабочем процессе, обеспечивая автоматизированное извлечение конфигураций, которые непосредственно используются для обогащения сигнатур и правил обнаружения».

Организация рабочего процесса в Assemblyline

Assemblyline делит анализ на независимые сервисы, каждый из которых отвечает за конкретную задачу. Это даёт несколько преимуществ:

• Лёгкость масштабирования обработки большого потока образцов.
• Возможность быстрой интеграции новых экстракторов и публичных репозиториев, расширяющих возможности извлечения.
• Автоматизация: от приёма образца (через API) до извлечения и публикации структурированных артефактов конфигурации.

Применение методики на примере Kaiji

В статье разбирается конкретный вариант вредоносного ПО под именем Kaiji, написанный на Go и ориентированный преимущественно на Linux-системы и устройства IoT. Ключевые элементы анализа Kaiji включают:

• Методы распространения: перебор SSH-учётных записей (brute-force) и эксплуатация уязвимостей, таких как CVE-2022-7954 и CVE-2023-1389.
• Статический анализ бинарного образца для понимания структуры программы и способов, которыми она получает доступ к конфигурациям C2.
• Примечание: анализируемый двоичный файл не был обфусцирован, что значительно упростило обратное проектирование.

Подход к извлечению конфигураций C2

Команда TDR использует детализированный и воспроизводимый процесс извлечения конфигураций. Основные шаги:

• Выполнение статического анализа для выявления точек, где программа загружает или хранит параметры C2.
• Дизассемблирование (по необходимости) с использованием Capstone для понимания потоков данных внутри бинаря.
• Итерация по извлечённым строкам из образца и применение регулярных выражений для поиска элементов конфигурации.
• Фокус на строках с префиксом «use ParseCertificate» — именно в таких строках обнаруживались закодированные данные.
• Декодирование найденных значений в Base64 и последующий синтаксический парсинг полученных данных для извлечения доменов C2 и портов.

Такой структурированный подход позволяет автоматически выделять значимые артефакты (domains C2, IP-адреса, URL-адреса, криптографические материалы) и передавать их в последующие этапы обработки и корреляции.

Почему это важно для SOC и Threat Hunting

Автоматизация извлечения конфигураций даёт операционным центрам безопасности и охотникам за угрозами ряд преимуществ:

• Ускорение времени реакции — конфигурации попадают в базы IOC гораздо быстрее, чем при ручном анализе.
• Широта охвата — поддержка множества платформ и интеграция с публичными репозиториями позволяют покрывать новые семьи вредоносного ПО.
• Повышение качества детекции — извлечённые параметры используются для обогащения правил обнаружения и корреляции событий.

Вывод

Первая часть серии закладывает основу для подробного разбора методики TDR команды Sekoia. Комбинация Assemblyline, ConfigExtractor, Capstone и практик автоматического обновления экстракторов демонстрирует масштабируемый и адаптивный путь к автоматизации извлечения конфигураций. Анализ примера Kaiji иллюстрирует, как эти инструменты и процессы применяются на практике: от статического анализа до декодирования Base64 и извлечения доменов C2.

В следующих частях серии ожидайте глубже погружения в технические детали реализации экстракторов, примеры правил регулярных выражений и практические рекомендации по интеграции полученных артефактов в процессы детекции и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.