Обзор Group-IB Threat Intelligence & Attribution

Дата: 01.09.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Обзоры средств защиты информации, Статьи по информационной безопасности
Обзор Group-IB Threat Intelligence & Attribution

В начале мая взлом сети американского трубопровода Colonial Pipeline потряс, без преувеличения, весь мир. В результате атаки программы-вымогателя были парализованы поставки нефтепродуктов на значительной части Восточного побережья США. Компания была вынуждена перевести злоумышленникам выкуп в размере 4,5 млн долларов для продолжения своей работы. Из-за 5-дневного простоя возникла нехватка бензина, дизеля и авиакеросина; власти объявили чрезвычайную ситуацию в 16 штатах.

Атака была совершена с помощью вредоносного ПО DarkSide. От него же пострадали Toshiba, немецкий концерн Brenntag и ещё более сотни компаний из разных отраслей. Общая прибыль хакерской группировки, судя по анализу биткойн-кошельков, составила более 90 млн долларов. 

Можно ли было ещё до новостей о первом взломе узнать, что предприятию грозит опасность от этого вирусного ПО? Да, если бы компания следила за состоянием защищенности информационных систем и применяла специализированные решения, такие, как Group-IB Threat Intelligence & Attribution (TI&A).

Group-IB Threat Intelligence & Attribution – это система исследования и атрибуции кибератак, содержащая структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI&A позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов. Это результат объединения 18-летнего опыта Group-IB по сбору и анализу информации об инцидентах ИБ, атаках, злоумышленниках и их инфраструктуре. Group-IB TI&A признана лучшей в своём классе аналитическими агентствами IDC, Forrester, Gartner.

Возможности Group-IB Threat Intelligence & Attribution 

Построение персонализированного ландшафта угроз

Специалисты Group-IB настраивают выдачу конкретных рисков, относящихся к отрасли работы компании, её партнерам и клиентам. Отсеивается неактуальная информация, оперативно добавляются релевантные данные о киберугрозах. Если хакерская группа сменила цели, и ваша компания может подвергнуться атакам злоумышленников – Group-IB Threat Intelligence & Attribution сообщит об этом.

Обзор Group-IB Threat Intelligence & Attribution

Рисунок 1.Интерфейс ландшафта угроз

Ландшафт угроз позволяет получить информацию для стратегического планирования ИБ, более тонко настроить фильтрацию данных и отчёты. Интерфейс представляет собой таблицу из четырёх разделов, каждый из которых содержит карточки хакерских группировок, нацеленных на: 

  • Company.

Те, кто угрожали или угрожают конкретно компании-пользователю Group-IB TI&A.

  • Partners.

Злоумышленники, с которыми сталкивались партнеры, клиенты или контрагенты.

  • Industry.

Группировки, атаковавшие другие компании в той же сфере деятельности.     

  • Others.

Хакеры, не попавшие в предыдущие разделы, но из-за каких-либо корреляций представляющие интерес или угрозу.

В интерфейсе отображается общее количество атак, число известных индикаторов компрометации, тип группы (обычные преступники или аффилированные с государством), количество дней, прошедших с момента последней активности.

Досье на киберпреступников и их методы

В Group-IB TI&A содержится информация о хакерских группировках, как активных, так и прекративших деятельность:

  • история и последовательность атак с подробными отчётами по матрице  MITRE ATT&CKБ®;
  • техники, тактики и процедуры, используемые в этих атаках, включая конкретные IPкомандных серверов и CVE проэксплуатированных уязвимостей;
  • активность на текущий момент.
Обзор Group-IB Threat Intelligence & Attribution

Рисунок 2. Краткая информация о хакерских группировках

Перечисленная информация обновляется командой экспертов и аналитиков Group-IB.

Профили группировок распределяются по разделам: криминалитет или прогосударственные преступники.

Обзор Group-IB Threat Intelligence & Attribution

Рисунок 3. Подробная информация о группировке Oceanlotus

По обоим типам группировок в интерфейсе представлена следующая информация:

  1. Таймлайн.

Динамика активности хакерской группировки. Можно выбрать конкретный временной период для отображения.

2. Атаки.

Все отчёты об известных инцидентах или событиях, связанных с преступными группами – новости, публикация IoC, подробная аналитика.

3. Подробная информация о хакерских группах:

  • Info. Общее описание группировки.
  • ATT&CK Matrix. Оценка по MITRE ATT&CK®.
  • Network Indicators. Сетевые следы злоумышленников: IP-адресы, URL, доменные имена.
  • Files. Список всех файлов, связанных группировкой, хэш-суммы, связь с конкретным вредоносным ПО, отчеты анализа файла из sandbox-системы Polygon.
  • Malware. Используемое вредоносное ПО.
  • Tools. Используемые тулкиты и утилиты.
  • CVE. Список эксплуатируемых при зафиксированных атаках уязвимостей.
  • Contacts. Связанные с группировкой email-адресы, ники.
  • Partners & clients. Связанные с выбранной группировкой хакеры или хакерские группы.
  • Accounts on Forums. Активность на darkweb-площадках, включая ники, дату регистрации и количество сообщений.

Аналитика и отчеты

Обзор Group-IB Threat Intelligence & Attribution

Рисунок 4. Интерфейс раздела Аналитика и отчеты

Дополнительный раздел с консалтинговой информацией от Group-IB: 

  • Созданные по запросу заказчика аналитические отчеты от Group-IB. Отчеты в сервисе Group-IB Threat Intelligence & Attribution являются персональными и не предоставляются другим компаниям. В подписку включена работа аналитиков Group-IB.
  • Ежегодный отчет об угрозах и трендах Hi-Tech Crime Trends. Сводный перечень угроз и динамики инцидентов ИБ за прошедший год, прогнозы на следующий.
  • Ежемесячные и ежеквартальные отчеты по рискам. Дайджесты новостей и исследований по соответствующим периодам.
  • Дополнительные исследования киберугроз. Например, при возникновении значимой угрозы – вредоносного ПО, масштабной атаки – эксперты Group-IB выпускают отчёты, доступные в данном разделе.

Противодействие фишинговым атакам:

  • детектирование фишинга на начальных стадиях;
  • анализ и выявление мошеннических страниц и точек рассылки, а также инфраструктуры управления;
  • оперативная реакция на фишинговые атаки;
  • выявление скомпрометированных в результате атаки данных.
Обзор Group-IB Threat Intelligence & Attribution

Рисунок 5. Детальная информация по фишинговой атаке

Проанализированная информация из даркнета

Эксперты Group-IB проводят анализ информации и в даркнете, значительно сокращая трудозатраты специалистов заказчика. Group-IB Threat Intelligence & Attribution позволяет просматривать данные из закрытых хакерских форумов. Отображается следующая информация:

  • отфильтрованные сообщения и профили киберпреступников;
  • цепь их контактов;
  • структурированные данные, доступные для собственного анализа.
Обзор Group-IB Threat Intelligence & Attribution

Рисунок 6. Профиль хакера, составленный по информации из даркнета

Удобный графовый анализ сетевой инфраструктуры 

Автоматически может быть построена взаимосвязь между:

  • доменными именами;
  • IP-адресами;
  • телефонами, email, сообщениями на форумах (в том числе из даркнета); 
  • SSL-сертификатами и SSH-ключами;
  • файлами (через хэш-суммы).
Обзор Group-IB Threat Intelligence & Attribution

Рисунок 7. Визуализация связей между скомпрометированными и внешне безопасными сайтами

То, что перечисленные объекты взаимосвязаны, может быть определено по совокупности множества признаков. Среди них: 

  • данные регистратора доменных имён;
  • DNS-записи;
  • хосты, домены;
  • сходные признаки в сервисах (SSL-сертификаты, cookies, баннеры сервисов, параметры бэкенд-серверов);
  • история изменений данных;
  • связанные файлы.

Граф может быть построен по всем накопленным данным (глубиной более 10 лет) или по выбранному временному промежутку. Можно настроить глубину построения, включить очистку нерелевантных данных.

По построенному сетевому графу можно раскрыть, например, сайты или домены, которые на данный момент не представляют опасности, но позднее могут быть использованы злоумышленниками для фишинговых атак. Раскрытие неочевидных связей поможет, во-первых, занести индикаторы компрометации в правила обнаружения и блокирования своих средств ИБ, а, во-вторых, использовать обнаруженные сведения в криминалистических целях.

Обогащение информации в других системах

С помощью API или обмена JSON можно поставлять информацию в SIEM или antifraud-системы, улучшая точность их реагирования. Доступны к отправке:

  • IP-адресы, доменные имена, URL;
  • хэш-суммы вредоносного ПО;
  • данные скомпрометированных аккаунтов или кредитных карт;
  • IMEI скомпрометированных устройств.

Платформа для детонации и анализа вредоносного ПО

Group-IB TI&A также предоставляет доступ к облачной версии Polygon без ограничения по количеству отправляемых на проверку файлов.

Polygon — это не просто очередная антивирусная песочница для анализа подозрительных файлов. Polygon — модуль продукта Group-IB Threat Hunting Framework, позволяющий осуществлять поведенческий анализ файлов, извлекаемых из электронных писем, сетевого трафика, файловых хранилищ, персональных компьютеров и автоматизированных систем посредством интеграции через API или загружаемых вручную. Polygon может автоматически подбирать дополнительные ОС для углубленного анализа. Эмулируется огромное количество различных вариантов – пользовательская активность, переменные среды, время запуска и паузы в работе. Это позволяет, во-первых, с бóльшей гарантией сдетонировать, то есть «разбудить» вредоносное ПО, а, во-вторых, не дать вирусу обнаружить, что он в виртуальном окружении.

Функции Polygon:

  • детонация вредоносного ПО с автоматическим использованием дополнительных образов ОС, параметров или функций для выявления всех вредоносных возможностей анализируемого объекта;
  • ретроспективный анализ файлов и ссылок для выявления отложенных атак;
  • защита от противодействия поведенческому анализу;
  • вскрытие запароленных архивов с учетом внешних контекстов.

Доступ к Group-IB Threat Intelligence & Attribution 

Group-IB TI&A реализован в виде облачного SaaS-сервиса, доступного через веб-интерфейс. Интеграция со сторонними системами осуществляется через API, JSON или STIX. Доступ предоставляется по годовой подписке.

Источники информации

Наполнение Group-IB TI&A данными – сложный аналитический процесс. Краткий перечень источников представлен ниже: 

  • компьютерная криминалистика и совместные расследования с международными правоохранительными органами (в частности, Интерполом и Европолом);
  • обмен информацией со специалистами по Threat Intelligence и Threat Hunting;
  • CERT Group-IB;
  • внедрение на darkweb-площадки;
  • Group-IB Threat Hunting Framework;
  • Fraud Hunting Platform от Group-IB; 
  • сеть Honeypot, спам-коллекторов;
  • реверс-инжиниринг и эмуляция вредоносного ПО;
  • система для глобальной охоты за угрозами, обнаружения инфраструктуры злоумышленников и получения данных об угрозах; 
  • общедоступные песочницы (sandbox);
  • анализ командных серверов злоумышленников;
  • анализ доступных для продажи данных скомпрометированных банковских карт;
  • система проверки скомпрометированных данных;
  • анализ файловых хостингов, репозиториев кода;
  • поиск по Telegram и соцсетям.

Полный перечень источников представлен в таблице ниже.

1. Данные из первых рук2. Анализ вредоносного ПО
Реагирование на инциденты
Реверс-инженеры, аналитики
Совместные операции с правоохранительными органами
Внедренные агенты в теневом интернете
Доступ к закрытым каналам коммуникации преступников
Обмен информацией в сообществе инормационной безопасности
Сетевые сенсоры на уровне провайдеров
Ловушки спама
Техники и технологии «ловушек» для ВПО
Эмуляторы ВПО
Решения для обнаружения глобальной инфраструктуры атакующих
Системы извлечения и анализа данных с другими вендорами и решениями
3. Анализ данных4. Открытые источники
Извлечения данных из ботнетов и фишинга
Извлечение данных из командных серверов злоумышленников
Точки перехвата данных с фишинговых страниц
Данные с магазинов по продаже краденных банковских карт
Анализаторы скомпроментированных данных
Утекшие базы данных
Репозитории кода
Сайты по обмену и продвижению ссылок и тестовых данных
Мессенджеры
Социальные сети
Данные по уязвимостям и эксплойтам

Выводы

Всеобщий технологический прогресс и ускорившиеся пандемией коронавируса цифровизация открывают новые потенциальные угрозы информационной безопасности. В 2021 году мы наблюдаем следующие изменения на рынке ИБ:

  • Информационная безопасность становится наиболее актуальной из-за увеличения количества потенциальных угроз и хакерский группировок;
  • Необходимость обеспечения информационной безопасности стала очевидной для все большего количество компаний и пользователей;
  • Информационная безопасность переходит из абстрактного инструмента в реальные механизмы для защиты интересов компаний и государства для большего количества лица, принимающих решений, что стимулирует рост рынка ИБ.

Для защиты компании от кибератак необходимо не только привлекать высококвалифицированных специалистов и проводить повышение осведомленности сотрудников по вопросам ИБ, но и использовать инструменты для защиты активов и противодействия внешним угрозам.  Именно таким инструментов является Group-IB Threat Intelligence & Attribution. Подписка на сервис Group-IB Threat Intelligence & Attribution позволяет уменьшить количество угроз информационной безопасности и размер потенциального ущерба в случае возникновения угрозы. Данные об атаках позволяют специалистам по ИБ контролировать внешние угрозы, своевременно принимать меры по защите активов компании.

Решение Group-IB Threat Intelligence & Attribution позволяет специалистам SOC, Red Teaming и Threat Hunting не только оперативно получать актуальную информацию из «мира ИБ», но и повышать KPI службы ИБ – количество отраженных кибератак.

Решение Group-IB TI&A предназначено не только для специалистов по ИБ, но и лиц, принимающих решения. Руководители компаний и подразделений могут получить подробный обзор текущих проблем и инцидентов. Таким образом, продукт Group-IB TI&A позволит определить ИБ-стратегию компании и решить, как эффективно защитить компанию, ее активы и сотрудников.

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *