Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Sākumlapa » Aizsardzība » Threat Intelligence Portal: kā kļūt par kiberdetektīvu

Threat Intelligence Portal: kā kļūt par kiberdetektīvu

Ikreiz pēc kārtējās vīrusu epidēmijas tiek publicētas analītiķu atskaites. No šiem pētījumiem iespējams uzzināt daudz interesanta: no kurienes kaitēklis parādījies, kādas iekļūšanas metodes tas izmanto, kādi ir uzbrucēju mērķi… Un, protams, jums ieteiks atjaunināt jūsu aizsardzības risinājumus un datu bāzes, lai turpmāk novērstu šāda veida draudus. Taču iespējams, ka tobrīd jums jau būs par vēlu, jo būsiet jau kļuvis par uzbrukuma upuri. Jo īpaši – ja tas ir bijis vairāku pakāpju uzbrukums dažādu mērķu sasniegšanai.

Bet tagad iedomājieties, ka jums nevajag gaidīt trešās puses analītiķu atskaites. Tā vietā jūs varat veikt jebkura aizdomīga faila izpēti pašu spēkiem – tūdaļ pēc tam, kad šis fails parādījies jūsu sistēmā. Tādā veidā jūs nodrošināsiet operatīvu reaģēšanu un apturēsiet ielaušanos, pirms vēl jūsu organizācijai būs nodarīts vērā ņemams kaitējums.

 

 

Šinī publikācijā mēs ar reālu piemēru nodemonstrēsim, kā ātri un efektīvi veikt šādus pētījumus ar Kaspersky Lab apdraudējuma analīzes portāla Threat Intelligence Portal palīdzību.

 

 

Portāla sākumlapā ir daudz sadaļu, taču tādēļ, ka mūsu piemērā jau ir “lietišķais pierādījums” (aizdomīgs fails), mēs uzreiz dosimies uz galvenās izvēlnes saiti Cloud Sandbox. Tā ir mākonī iekārtotā “smilšu kaste”, kura aizdomīgus objektus iedarbina atsevišķā virtuālajā mašīnā un analizē to uzvedību, pievēršot uzmanību kaitnieciskām darbībām. Virtuālā vide ir izolēta no darba infrastruktūras, tādēļ eksplozija poligonā nevar nodarīt reālu kaitējumu. Vienkārši augšupielādējam failu, izvēlamies vajadzīgo vidi (mūsu gadījumā tā ir Windows 7), norādām izpildes ilgumu (pieņemsim, ka tas būs 100 sekundes) un sākam faila izpildi.

 

 

“Smilšu kaste” ir efektīvs līdzeklis to kaitīgo failu atklāšanai, kuri spēj apiet statistisko analizatoru – tieši šī iemesla dēļ jūsu antivīruss varētu būt palaidis garām šādu failu. Arī tajos gadījumos, kad antivīruss atzīst failu par “sliktu”, lielākā daļa antivīrusu programmu nespēs jums paskaidrot, kas failā slikts un ko šāds fails spēj nodarīt sistēmai. Bet mūs jau interesē tieši šādi sīkumi, vai ne? Paskatīsimies, kas notiek poligonā pēc detonācijas.

 

 

Faila izpildes laikā “smilšu kaste” apkopoja artefaktus, izanalizēja tos un iznesa savu spriedumu. Lūk, analīzes rezultāti: pamanīti kaitēkļi (6), aizdomīgas darbības (12), atarhivēti faili (17) un novērota aktivitāte tīklā (0). Tas nav vienkārši “slikts” fails — tas veic daudz nevēlamu lietu, taču mums viss ir fiksēts.

 

 

Cilnē Results jūs varat arī redzēt faila izpildes laikā uzņemtos ekrānšāviņus. Dažas kaitīgas programmas mēģina izvairīties no automātiskās analīzes “smilšu kastē” – tās, piemēram, pieprasa lietotājam veikt noteiktas darbības (ievadīt paroli, pārskatīt dokumentu, pārvietot peli). Tomēr mūsu Cloud Sandbox atpazīst daudzus izvairīšanās paņēmienus un izmanto cilvēka darbības imitācijas tehnoloģijas, kas palīdz atklāt šāda veida kaitīgos failus. Arī ekrānšāviņi var izrādīties noderīgi: pētnieks redz, kas notiek viņa “mēģenē” no lietotāja skatupunkta.

Tagad pāriesim uz cilni Extracted files, lai noskaidrotu, kādus failus lejuplādējis, atarhivējis un ierakstījis šis kaitēklis.

 

 

Tālāk par šo etapu klasisko poligonu iespējas parasti nesniedzas: jūs iedarbinājāt failus, ieguvāt aizdomīgu darbību datus – tas principā arī ir viss. Tomēr gadījumā ar Kaspersky Lab portālu drošības eksperts var nekavējoties pāriet pie meklētāja Threat Lookup, lai saņemtu detalizētu apdraudējuma analīzi un noskaidrotu papildus kopsakarības.

Meklētājs Threat Lookup satur aptuveni piecus petabaitus draudu analīzes datu, kurus Kaspersky Lab apkopojis vairāk nekā 20 gadu ilgā laika posmā: failu jaucējkodus, statistisko un taktisko raksturojumu, WHOIS/DNS datus, URL adreses, IP adreses, un tā tālāk.

Pēc aizdomīgā faila analīzes “smilšu kastē” mēs varam nekavējoties izmantot iegūtos rezultātus kā meklēšanas parametrus meklētājā Threat Lookup – ir samērā vienkārši noklikšķināt uz vajadzīgā objekta (mūsu piemērā tas ir jaucējkods MD5).

 

 

Tagad mēs esam ieguvuši vēl detalizētāku atskaiti. Pāršķirstīsim meklējumu rezultātus un noskaidrosim, pie kādām URL adresēm vērsās mūsu pētāmais kaitnieks.

 

 

Izvēlamies URL ar marķējumu “bīstams”. Un vēlreiz izmantosim Threat Lookup, lai iegūtu vairāk informācijas par šo adresi.

 

 

Kā redzat, kaitīgais URL izrādījās saistīts ar mērķēto uzbrukumu! Kaspersky Lab portāls piedāvā lejupielādēt analītisko atskaiti, kura attiecas uz šo APT uzbrukumu. Fails ietver vispārēju aprakstu, tehniskas detaļas un inficēšanās simptomu sarakstu. Tagad jūs varat pārbaudīt, vai jūsu organizācijā kaut kas tamlīdzīgs nav jau noticis.

 

 

 

 

Kas tālāk?

Protams, ar to notikumi vēl nav galā: reālus atgadījumus nepieciešams izmeklēt daudz nopietnāk. Tomēr tas bija uzskatāms piemērs, kā drošības speciālists var organizēt pats savu kiberapdraudējumu atklāšanas darba procesu, lai efektīvi veiktu sarežģītu izmeklēšanu. Kaspersky Lab vienkārši ir apkopojis vienuviet vairākus derīgus instrumentus šādam darbam.

Poligons mākonī, meklēšana pēc inficēšanās pazīmēm, mērķētu uzbrukumu analīze, informācijas plūsmas par jauniem uzbrukumiem… kādus vēl pakalpojumus būtu vēlams iekļaut šajā portālā? Pēc mūsu domām, portālā Threat Intelligence Portal jāiekļauj arī:

  • “smilšu kasti” URL adresēm;
  • sakaru vizualizāciju grafiskā attēlojumā;
  • kaitēkļu binārā koda līdzības pārbaudi;
  • apdraudējuma datu meklēšanu atklātos avotos un sociālajos medijos;
  • pielāgotas atskaites par apdraudējumiem;
  • ekspertu pakalpojumus, tajā skaitā – kaitēkļu padziļinātu analīzi, pamatojoties uz klientu piemēriem.

Bet tas viss jau ir nākotne.

Vairāk par Kaspersky Threat Intelligence Portal uzzināsiet, noskatoties 27 minūšu vebināru “Kaspersky Technical Talks Series – Threat Intelligence Portal: How to use it”.

 

 


 

Papildus informācijai lasiet “Kaspersky Threat Intelligence Services” (PDF, 14 lpp., angļu val.) un “Kaspersky Threat Intelligence Portal: Building a threat intelligence workflow” (PDF, 4 lpp., angļu val.). Ar jautājumiem par bezmaksas izmēģinājumu, cenu piedāvājumu un konsultācijām produktam Kaspersky Threat Intelligence Portal jāvēršas pie Kaspersky Lab officiālā izplatītāja vai partneriem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

+ 58 = 62

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu