Мой кабинет

Petya.A / NotPetya – это кибероружие с ИИ, TTP ведут к APT-группе Sandworm


0
794
Июль 03, 2017

В этом году для индустрии безопасности особенно жаркое лето: предполагаемый вирус-шифровальщик Petya.A менее чем за неделю обернулся в нечто гораздо большее и много опаснее. Исследователи ИБ по всему миру по праву назвали его NotPetya и EternalPetya, поскольку это вредоносное ПО никогда не предназначалось для требования выкупа – это было просто маскировкой для «вайпера», компонента зачистки APT-атаки. Мы провели почти 16 человеко-дней лабораторных и полевых исследований в эпицентре кибервойны в Украине и готовы опубликовать предварительные TTP (Tactics, Techniques & Procedures). В то время как большая часть мира успешно справилась с очередным клоном WannaCry, Украина была поражена, возможно, первым кибероружием, использующим ИИ. Если оперировать более традиционной терминологией – это можно назвать APT-кампанией с автономным компонентом-червем, хотя еще многое предстоит изучить. На сегодняшний день с помощью наших партнеров, клиентов и дружественных исследователей ИБ наша команда собрала TTP, которые указывают на печально известную APT-команду Sandworm. Те же действующие лица, которые стояли за атакой BlackEnergy, приведшей к отключениям электроэнергии в Украине. Давайте вспомним, что такое TTP:

Все значения хэшей, IP и доменов вы можете посмотреть в отчетах о реверс-анализе от Microsoft, украинской компании ISSP Labs и в теме на гитхабе от Vulners. Далее для описания TTP мы будем использовать открытую методологию MITRE ATT&CK которая обновляется ежедневно.

Чтобы полностью описать атаку и установить ее виновников, нам необходимо добавить фазу доставки (Delivery), а для этого необходимы доказательства, собранные на местах, где физически произошли инциденты. Что обозначают цвета на иллюстрациях? В сфере безопасности отсутствует стандарт описания деталей атаки. Конечно, существует STIX и его реализация от TIP, но к NotPetya и WannaCry он не очень хорошо подходит, не так ли? Поэтому в этой статье я хотел бы представить вам новый открытый стандарт. Во время таких вспышек мы опираемся на различные индикаторы компрометации (IOCs) и методы, и потому в сфере ИБ царит полный хаос в отношении того, какие образцы являются релевантными, а какие – нет, не говоря уже о IOCs. Я предлагаю использовать следующий открытый стандарт для маркировки IOCs (не путать с TLP!):

Цвет: СЕРЫЙ, вес: 1 — гипотеза. В основном это кто-то что-то устанавливает и говорит: «эй, я знаком с такими угрозами, поэтому возможно следующее». Например: Ransomware часто использует Tor, поэтому стоящие за APT-атакой также это делают, следовательно, мы должны проверять соединения с Tor. Также я видел APT, использующее DNS-туннелирование в качестве резервного канала, поэтому также можно искать его.

Цвет: ЖЕЛТЫЙ, вес: 2 — IOCs от внешних источников Threat Intelligence (TI), песочниц, OTX и т.д. Хотя они могут быть намного лучше, чем СЕРЫЕ, они все еще не на 100% достоверны. Мы можем подделать данные OTX. Исследователи могут ошибиться во время «гонки», пытаясь первыми объявить об угрозе. Добавление 1 + 2 в SIEM увеличит вес. Например, мы знаем, что Ransomware использует Tor, и в TI опубликованные IP:порт помечены как C2 (Command and Control) и Tor.

Цвет: СИНИЙ, вес: 3 — IOCs с полей (например, от Синих команд). Это доказательства, собранные на месте инцидента, и предоставляемые жертвами атаки данные в любой форме. Это то, что мы получаем, просматривая данные за три месяца в SIEM (если повезло), с помощью LogParser’а на восстановленных компьютерах или разбирая системные журналы. СИНИЕ доказательства будут обладать гораздо более высокой точностью, чем доказательства из TI. Также это позволит отличить такую информацию от сообщений поставщиков антивирусов об угрозе, которая произошла в другой части мира.

Цвет: КРАСНЫЙ, вес 4 — IOCs от Красной команды. Их тяжелее всего получить, они – самые точные и являются базой для правил SIEM, основанных на SIGMA и IOCs.

Это приводит нас к правилам смешивания цветов

ЖЕЛТЫЙ + КРАСНЫЙ = ОРАНЖЕВЫЙ

ЖЕЛТЫЙ + СИНИЙ = ЗЕЛЕНЫЙ. Ценный проверенный Threat Intelligence, который вы можете использовать для SOC и реагирования на инциденты.

СИНИЙ + КРАСНЫЙ (если это когда-либо случается) = ФИОЛЕТОВЫЙ. Эпические находки (как в World of Warcraft, lol).

Затем, если мы добавим все веса, получим общее значение 10 (можно использовать для корреляции в SIEM). И нужно определиться с финальным цветом, коричневый звучит не очень, поэтому пусть это будет ЗОЛОТОЙ. На изображении выше есть 2 ЗОЛОТЫХ индикатора — $admin & PsExe, которые в настоящий момент подтверждены КРАСНЫМИ и СИНИМИ доказательствами (журналы событий на месте инцидента), Threat Intelligence и, конечно, теоретической возможностью.

Возможно, вы заметили, что BlackEnergy в фазе Разведки (Reconnaissance) отмечен ЗОЛОТЫМ . Считаете, что это спорное допущение? Чтобы объяснить это, вместе с СЕРЫМИ доказательствами нам придется сравнить TTP, просмотрев все методы BlackEnergy в ATT&CK, и добавив фазу доставки (Delivery) из Cyber Kill Chain от Lockheed Martin, а также вспомнить наше собственное расследование этого инцидента. Прежде чем мы это сделаем, давайте рассмотрим диаграмму выше, добавив в нее доставку. Назовем это пока что Extended Cyber Kill Chain.

Как видите, мы с помощью описанного выше метода цветовой маркировки обозначили обновление M.E.Doc ЗЕЛЕНЫМ. Об этом сообщали во внешних исследованиях (хотя телеметрия от Microsoft является убедительным доказательством, а также серьезной проблемой безопасности), и мы также перерыли сеть и журналы Active Directory из SIEM жертв APT в поиске СИНИХ доказательств, которые четко указывают на активные подключения M.E.Doc в день атаки. Более того, давайте извлечем шаблон интеллекта APT-червя и посмотрим, насколько это действительно ИИ.

Имеющиеся данные свидетельствуют о том, что нападающие создали кибероружие, используя знания об инфраструктуре целей. Если мы сопоставим эти данные с названиями пострадавших компаний, то увидим, что очень многие из них были жертвами атаки BlackEnergy в 2015/2016 году (СМИ, энергетика, государственный сектор, транспорт). СИНЕЕ доказательство: мы обнаружили соединения от компьютеров с M.E.Doc к Active Directory, использовавшие учетные записи Microsoft SCCM. Мы провели расследование в 2 компаниях, и у обоих из них есть записи о PsExec с использованием учетных данных SCCM. Главный вопрос – как было принято решение работать с учетными данными SCCM? Нет никаких КРАСНЫХ отчетов о реверс-анализе, которые бы доказывали это. Таким образом, либо в определенный момент происходила фаза C2, либо нам не хватает критической части доказательств / образцов. Отсюда СЕРЫЕ предположения о C2 через Tor / DNS-туннелирование / HTTP. Также можно заметить, что у атакующих обширные знания о Windows. Давайте визуализируем все методы, которые мы знаем (191 метод):

Есть из чего выбрать, да? Sandworm и BlackEnergy используют вложения электронной почты.

Они также используют расширенные возможности обнаружения файлов и каталогов, и атака была на 65 критичных файлов, таких как хранилища паролей, в отличие от сотен файлов, на которые обычно «охотятся» вирусы-шифровальщики.

Sandworm и BlackEnergy также характерны сканирования.

Известные APT-группы не используют буткиты (bootkit). Petya использовал? Хорошая маскировка для APT.

Угадайте, кто считается экспертом по PsExec и WMI?

Wevtutil для очистки журнала событий = удаление индикатора на хосте согласно ATT&CK

И запланированная задача перезагрузки, используемая на этапе Execution.

Перед уничтожением данных с помощью компонента «вайпера». KillDisk удалял данные и записывал 0, NotPetya уничтожает их через шифрование без сохранения ключа Salsa20. По-моему, это то же самое, что и уничтожение данных.

И все мы знаем, что целью атаки BlackEnergy было не удалить данные, но извлечь их во время второй фазы атаки.

Стоят ли за этой атакой те же действующие лица? Действительно ли Sandworm существует? Можно ли это назвать кибер-оружием с ИИ? По крайней мере, у нас теперь есть система AI Expert, которая поможет нам ответить на эти вопросы…

P.S.
Я хотел бы сослаться на недавнюю цитату другого исследователя ИБ, посвятившего свою карьеру борьбе с такими угрозами, как BlackEnergy: «Темная сторона едина». Мне больше нечего к этому добавить. Настало время джедаям безопасности снова объединить свои силы.

Related Posts