СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Блоги
Газинформсервис
2 апреля
#Статьи #ИБ

Мониторинг даркнета: отслеживание утечек корпоративных данных и учётных записей на теневых площадках

Мониторинг даркнета: отслеживание утечек корпоративных данных и учётных записей на теневых площадках

Изображение: recraft

Ваши данные внутри корпоративной системы — это больше не сейф за семью замками, а просто строчка в одном из CSV-файлов, выставленных на продажу на закрытом хакерском форуме.

Ранее используемая концепция безопасности, состоявшая исключительно из принципа обеспечения неприступности сетевого периметра, в настоящее время не является исчерпывающей в силу как логичного увеличения цифровизации корпоративных инфраструктур, так и следующего из этого расширения площади использования удаленных подключений с удаленных рабочих мест.

Иными словами, вы по-прежнему можете со всех сторон обвешать свою инфраструктуру самыми дорогими NGFW, настроить строгие белые списки и правила IPS, обложить абсолютно каждый Endpoint тяжеловесными EDR-агентами, и всё это потеряет смысл, когда ваш ведущий DevOps-инженер решит зайти в корпоративную почту или GitLab с домашнего компьютера, на котором его ребенок вчера скачал зараженный стиллером «бесплатный чит для Minecraft».

Как итог, путем нехитрых манипуляций в результате неосторожных действий пользователей вашей корпоративной инфраструктуры ваши критические данные воруются и сливаются в даркнет. И тут вопрос лишь в том, купили ли их уже конкуренты и шифровальщики, или они пока одиноко висят на витрине теневого маркетплейса, ссылка на который размещена на закрытом хакерском форуме.

В данном материале мы заглянем под капот работы современного двигателя киберразведки (Threat Intelligence) и разберем, каким образом крупные компании строят системы постоянного мониторинга даркнета, превращая хаос из терабайтов слитых логов в четкие точные actionable-алерты для своего SOC.

1. Ваша сессия истекла, или Что на самом деле ищут хакеры?

Чтобы понять, как отловить актуальную угрозу, нужно понимать, что именно является востребованным товаром. И тут нужно перепрошить свое привычное видение о взломе и забыть про старые голливудские стереотипы про хакеров, которые неделями перебирают пароли к административной учетной записи вашего «самого главного» сервера.

Современный теневой бизнес работает по принципам рыночной экономики и подчиняется законам дикого, но очень эффективного капитализма, при которых спрос рождает предложение, а выживает сильнейший из товаров. Главный товар сегодня — это не просто подобранный в течение месяца логин и пароль, а «комплексные» токены авторизации и факторы аутентификации. Они выигрывают тем, что позволяют получать доступ и подделывать личность без наличия труднодоступных знаний о количестве спецсимволов в пароле и ключевых вопросов при проверке фактора личности администратора.

В сообществе специалистов по ИБ их называют «стилер-логами» (Stealer Logs). Добываются они путем просеивания корпоративных данных через «сито» вредоносных программ класса Infostealer (например RedLine, Lumma, Raccoon). Они в свою очередь забирают с зараженной машины все возможное и пригодное для последующей продажи в качестве лота слитых данных — сохраненные пароли в браузерах, данные автозаполнения, ключи от криптокошельков и самое страшное и ценное — файлы Cookies.

Основная боль специалиста ИБ в данной тенденции заключается в следующем: простая двухфакторная аутентификация по СМС или OTP больше не является панацеей от компрометации данных доступа, поскольку если хакер покупает «стилер-лог» с активной сессионной кукой вашего сотрудника, то впоследствии он просто импортирует ее в свой «антидетект»-браузер и заходит в ваш корпоративный Slack, Jira или VPN без всяких паролей и пуш-уведомлений. Для самой же корпоративной системы это выглядит так, будто легитимный пользователь просто обновил страницу в период допустимого тайм-аута активной сессии.

Вторая по популярности каста теневого рынка — это Initial Access Brokers (IAB). Говоря проще, IAB — это «цифровые риелторы», которые самостоятельно не занимаются шифрованием серверов и не требуют выкуп. Их бизнес заключается в следующем: сначала найти открытую дверь (например, уязвимый RDP-порт, VPN-шлюз без 2FA, скомпрометированную учетную запись), потом тихо закрепиться внутри корпоративной сети и «спылесосить» токены, а затем выставить доступ на аукцион на форумах типа XSS или Exploit. Покупателями же выступают уже серьезные синдикаты типа Ransomware.

2. Telegram — это новый «облегченный» Darknet, или Куда ушли торговать киберпреступники

Давайте теперь разберемся с вопросом продажи украденных данных в даркнете и том, какова роль киберразведки (TI) в процессе обнаружения теневых лотов. Аналитики Threat Intelligence (TI) не сидят целыми днями в Tor-браузере и не читают в ручном режиме теневые форумы. Сейчас классические Onion-форумы стали медленными, неповоротливыми и полными агентов спецслужб, а сам «даркнет» постепенно переезжает в мессенджеры. И при данном раскладе Telegram и Discord стали идеальной торговой площадкой для киберпреступников, а их инфраструктура состоит из следующего:

  • Облака логов (Clouds of Logs): представляют собой закрытые VIP-каналы, куда боты в режиме 24/7 выкладывают свежие дампы от стилеров.
  • Автоматизация (API): продажа доступов и баз данных происходит через удобных Telegram-ботов с поддержкой и интеграцией криптооплаты.

Сам процесс поиска состоит из следующего: вы вбиваете в бота домен интересующей вас компании (@yourcompany.com), и он выдает вам список всех зараженных устройств и учеток сотрудников, чьи логи сейчас доступны в продаже. Средняя цена лота — 5-10 долларов за штуку.

Разберем более подробно на примерах:

Пример 1. Интерактивные боты-магазины (Stealer Shop). Представьте себе классический маркетплейс, но работающий прямо в интерфейсе мессенджера, когда пользователь отправляет боту поисковый запрос с названием домена, например, вашей компании, а алгоритм мгновенно обращается к привязанной теневой базе данных и выдает превью: количество доступных логов сотрудников с данного домена, даты последних активных сессий и ценник за «ключик». Процесс покупки в данном случае осуществляется буквально в «два клика» с автоматическим списанием криптовалюты с внутреннего баланса злоумышленника.

Пример 2. Приватные Clouds of Logs по подписке. Представьте себе закрытый VIP-канал, доступ к которому продается достаточно дорого — за тысячи долларов в месяц. В такие каналы автоматизированные скрипты в режиме реального времени (буквально каждую минуту) сбрасывают свежие архивы с данными, собранными стилерами по всему миру. Участники канала (IAB-брокеры) в свою очередь используют собственные парсеры, чтобы первыми «выхватывать» логи интересующих их корпораций, пока сессионные куки еще «живы».

При всем при этом важно понимать, что сам по себе мессенджер часто становится не только витриной для продажи, но и первичным источником утечки. Теневая сторона использования мессенджера в рабочих процессах (так называемый Shadow IT) заключается в том, что сотрудники привыкают пересылать корпоративные данные, пароли от тестовых стендов или конфигурационные файлы в «Избранное» или рабочие чаты. И тут, в случае заражения ПК таких сотрудников стилером, хакеры крадут не только куки браузера, но и выгружают активные сессии десктопного клиента Telegram (например, файлы tdata). Получив впоследствии доступ к аккаунту, злоумышленники с легкостью парсят историю переписок, извлекая из нее критичные корпоративные данные, которые затем прямиком отправляются на продажу.

Подводя итог теневой части процесса размещения учетных записей на продажу, обобщим рассмотренные ранее этапы жизненного цикла украденных данных:

  1. Заражение личного ПК сотрудника стилером;
  2. Отправка архива с Cookies на C2-сервер хакера;
  3. Автоматическая публикация лога в Telegram-боте;
  4. Покупка стилер-лога IAB-брокером;
  5. Вход злоумышленника в корпоративную сеть.

3. Под капотом Threat Intelligence: как построить собственный сборщик фрагментов «слитых» данных?

Как аналитики ИБ, мониторить весь этот объем выложенных на продажу в даркнет «слитых» данных физически невозможно. Поэтому современный мониторинг даркнета — это сложная автоматизированная Big-Data-инженерия, поэтапно реализованная специалистами по киберразведке (TI) совместно с другими представителями ИТ. Рассмотрим эти этапы.

Этап 1: сбор и обход антифрода

Теневые форумы крайне болезненно реагируют на присутствие ИБ-исследователей и парсеры. Они защищаются жесткими капчами, Cloudflare и банами по IP. Поэтому, чтобы иметь возможность выкачивать тонны слитых данных, TI-команды строят обходные решения, автоматизированные конвейеры:

  • Скраперы и Headless-браузеры: по большей своей части представляют собой скрипты на Python (например, с использованием библиотек Playwright или Selenium), которые эмулируют реальное поведение человека — движение мышки, паузы при чтении и т. д.;
  • Прокси-фермы: реализуют подмену IP-адреса для сокрытия реальной личности специалиста. В результате запросы идут через динамические резидентные прокси, чтобы площадка не забанила скрапер;
  • Инфильтрация: для доступа на закрытые форумы TI-аналитики создают и месяцами прокачивают фейковые аккаунты хакеров, набивая им репутацию и аналогичную реальному злоумышленнику активность.

Этап 2: нормализация (Parsing)

Скрапер вытягивает с форума или из Telegram «сырой» текст в том виде, в котором его там разместили. Это может быть смесь хакерского сленга, кусков кода, разноязычных диалектов, смайликов и т. д. И дабы отобрать полезную для аналитика TI информацию, в дело вступает аналогичный к обработке событий в SIEM подход «нормализации». По большей части этап нормализации реализуется за счет написания парсеров через классические регулярные выражения (Regex) и инновационные подходы NLP (обработки естественного языка). В результате из хаоса разнородной информации извлекаются структурированные сущности — индикаторы компрометации (IOCs): IP-адреса, домены, email-адреса, хеши паролей.

Этап 3: индексация

Все очищенные IOC складываются в огромные индексируемые кластеры по типу Elasticsearch. Именно здесь хранятся и обрабатываются результаты, «спылесошенные» с даркнета, а аналитик может задать точечный запрос из разряда «Покажи мне все упоминания домена @mycompany.ru ИЛИ ip-адреса x.x.x.x за последние 24 часа на площадках Exploit и BreachForums».

Этап 4: интеграция и обогащение базы СЗИ

Собранные и проиндексированные данные не принесут практической пользы, если они будут просто лежать мертвым грузом в базе TIP. Поэтому в завершении процесса происходит самое важное — передача обработанных индикаторов компрометации (IOCs) во внутренние системы защиты информации (СЗИ) компании. Платформы киберразведки интегрируются по API с межсетевыми экранами, шлюзами веб-безопасности, решениями класса EDR и XDR и т. д.

Говоря на примерах, если на теневом форуме были обнаружены IP-адреса новых управляющих C2-серверов хакерских группировок, то эти адреса автоматически подгружаются в черные списки корпоративных средств защиты. Если выявляется факт компрометации учетной записи сотрудника, то благодаря интегрированной с СЗИ корректно заполненной «карточки» из TIP инициируется процесс отзыва токенов доступа в различных системах пользователя (например, IAM).

Таким образом, описанная синергия превращает пассивное наблюдение за даркнетом в проактивную защиту периметра. Однако важна не только техническая реализация процесса, но и грамотное управление им с последующим использованием полученных результатов в рамках построения корпоративной защиты.

О том, как выстроить мостик между автоматизированным решением по парсингу даркнет-форумов и последующей индексации данных и другими СЗИ, чтобы не парализовать работу ИБ-департамента ложными срабатываниями, поговорим далее.

4. Перспективы интеграции TI с SOC: путь слитых данных от «сырого» дампа до отлаженного Alert в SIEM

Самая большая ошибка, которую может совершить CISO с находками из даркнета, — это сразу же направить их поток в корпоративную SIEM-систему. Дело в том, что даркнет полон «мусора», когда злоумышленники перепродают старые базы 2018 года под видом свежих «сливов» или публикуют сгенерированные фейковые данные для набивания рейтинга и обмана доверчивых «комнатных» хакеров. Поэтому, если вы будете забирать и интегрировать абсолютно все без предварительной фильтрации и обработки, то ваш SOC очень быстро «ляжет» от потока ложных срабатываний.

Как должен выглядеть идеальный процесс:

  1. Первоначально полученные сырые данные нормализуются и в размапленном виде попадают в Threat Intelligence Platform (TIP).
  2. Далее система или аналитик проводит атрибуцию и верификацию структурированных данных. Например, производит проверки: актуален ли еще пароль из утечки в Active Directory? Жива ли еще сессия (cookie)?
  3. Если по результатам проверки оказалось, что угроза реальна, то в этом случае из TIP уходит точечный «алерт» в SIEM с соответствующим приоритетом. Например, «Критический инцидент: активная сессия финансового директора была обнаружена в продаже в Telegram-боте».
  4. Затем происходит обработка инцидента через SOAR. Например, скрипт или ручной режим ИБ-специалиста «убивает» все активные сессии данного пользователя, блокирует его учетную запись в AD и отправляет ему сообщение о произошедшем инциденте.
  5. В качестве финального шага стоит упомянуть проведение ретроспективного анализа (Post-Incident Review). Это когда специалисты Threat Intelligence совместно с форензиками компании анализируют, как именно учетная запись была скомпрометирована (например, выясняется, что сотрудник скачал пиратский софт на домашний ПК), после чего обновляются политики безопасности и правила мониторинга, дабы исключить повторную реализацию подобной атаки.

Таким образом, интеграция TI с SOC представляет собой эволюционный переход от работы с последствиями атаки к игре на опережение. Иными словами, зрело выстроенный процесс TI позволяет реагировать на инциденты не тогда, когда злоумышленник уже оказался внутри периметра и начал шифровать данные, а еще на этапе подготовки к атаке.

Отлаженный пайплайн, в котором информация из даркнета оперативно фильтруется в TIP и превращается в точные алерты для SIEM, экономит сотни часов работы аналитиков первой линии SOC. Опираясь на практику экспертов, можно утверждать, что попытка реализовать подобный процесс исключительно силами ручного сбора часто приводит к выгоранию команды и пропуску критичных угроз. Чтобы наглядно продемонстрировать разницу подходов, ниже представлена сравнительная таблица ручного мониторинга OSINT и использования специализированных платформ DRP (Digital Risk Protection).

Ручной мониторинг OSINT vs. автоматизированные платформы DRP (Digital Risk Protection)

Ручной OSINTКоммерческий DRP
ПокрытиеОграничено открытыми телеграм-чатами и паблик-форумамиИмеет широкий доступ к закрытым invite-only площадкам и stealer logs of cloud
Скорость реакцииНизкая. Выражается в часах/днях, пока аналитик в ручном режиме найдет нужный лотВысокая. За счет автоматического парсинга. Выражается в минутах/секундах
ТрудозатратыНеобходимо наличие выделенной команды аналитиков и бюджет на их содержаниеНеобходим бюджет на SaaS подписку с API-доступом и прокси-сервера
Ложные срабатыванияРиск выше среднего, зависит от человеческого фактора, поскольку все данные проверяются вручнуюРиск ниже среднего, поскольку данные очищаются правилами вендора, все зависит от актуальности правил и их соответствия актуальным угрозам

Заключение: Даркнет как зеркало вашего Zero Trust

Таким образом, мониторинг даркнета сегодня — это не развлечение для гиперответственных параноиков и не красивая строчка при выделении бюджета ИБ. Прежде всего, это критически важный инструмент раннего предупреждения возможной атаки, нейтрализовав который, дело до самой попытки осуществления атаки на вашу инфраструктуру может и не дойти. Иначе говоря, если вы не знаете, что о вас активно говорят и продают от вас «ключи» на теневых форумах, значит, вы играете в кибербезопасность без разведки в условиях ограниченной видимости ландшафта возможных угроз.

В современных реалиях слепая вера в корпоративный периметр должна уступить место архитектуре нулевого доверия (Zero Trust). Например, внедрение многофакторной аутентификации на базе аппаратных ключей (FIDO2) сделает ваш периметр практически невосприимчивым к краже сессий и фишингу. Также стоит уделять время и ресурсы на строгий контроль времени жизни токенов и файлов Cookies (TTL), что позволит обесценить их в качестве товара на доступ в ваш периметр.

Однако самое главное (в рамках статьи) — это принять как данность то, что данные ваших сотрудников уже текут за пределы компании, а ваша задача (как ИБ-специалистов) — узнать об этом раньше, чем хакер попытается при помощи купленных в ТГ-канале данных подобрать «ключик» к консоли вашего администратора.

Автор: ведущий инженер-аналитик аналитического центра кибербезопасности компании «Газинформсервис» Максим Федосенко.

Газинформсервис
Автор: Газинформсервис
«Газинформсервис» — отечественный разработчик программного обеспечения и оборудования для защиты информационной безопасности и комплексной инженерно-технической охраны.
Комментарии: