Cloned Boy
Professional
- Messages
- 1,161
- Reaction score
- 884
- Points
- 113
ВЗЛОМАЛ ФИШЕРОВ.
Известный кардер Сергей Павлович продолжает беседу с сотрудниками компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками, и в восемнадцатом выпуске из серии мы встретились в офисе компании, чтобы посмотреть всё вживую, и беседуем с Александром Калининым, руководителем отдела мониторинга и реагирования на инциденты информационной безопасности (CERT) Group-IB.
Приятного чтения!
Содержание:
Отдел CERT
Руководитель:
Смотри, мы сейчас идем в SERT, там такое прикольное помещение. Это именно те ребята, которые мониторят сеть интернет, и когда там появляются фишинговые ресурсы, кто-то начинает вердоносы распространять, кого-то взломали и от его имени начинают что-то делать, именно они отзывают регистрации, забирают у хостеров данные, блокируют домены. Именно им пишут разъяренные владельцы ресурсов, типа «Вы заблокировали мой домен, за что?», а они просто не знают, допустим, что их похакали и с них разливают всякое.
Вот, а плюс именно они мониторят наши решения, наши продукты у наших клиентов. Что там и как происходит. Поэтому тот самый SERT гип заходим.
Александр Калинин – руководитель отдела CERT Group-IB
Павлович:
Ну и последний человек. Мы сегодня. Такая наша экскурсия по офису Group-IB подходит к концу. Не всех сняли, кого хотели. Кто-то уже уехал просто физически, потому что нас снимали много. И вот Александр, это он возглавляет получается SERT отдел, да. То есть это сента получается. Эмерженси респонд тим. То есть отделы реагирования получается на инциденты, да? Кибер-угрозы. Кибер-угрозы. И расскажи, чем ты занимаешься, основной твой профиль, и что у вас вообще здесь интересного?
И почему ты пришел именно вот в этот отдел?
Справка:
Александр Калинин (руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT) Group-IB.
Чем занимаются в отделе
Руководитель:
Интересного много чего. У нас отдел круглосуточный, и всегда что-то происходит, особенно у наших клиентов, которые крупнейшая организация по всему миру. Далеко не только по России, уже большинство из них как раз за рубежом у нас находится. У нас профиль в основном по двум нашим ключевым продуктам. Это thread hunting framework, где мы видим все, что происходит внутри сети, в плане которой мы защищаем. Это и релаксные файлы, и какие-то коммуникации с внешним миром, подозрительные, скажем так.
Анализ того, что происходит на компьютерах у этих компаний и у их сотрудников. И вторая часть – это наше взаимодействие с серто-организациями, подобным нам по всему миру, плюс борьба с фишингом, если по-простому.
Павлович:
Вы отслеживаете, я так понимаю, какую-то аномальную активность в сетях своих клиентов, отличную от обычной регулярной деятельности?
Руководитель:
Да, в том числе. Естественно, под каждой из модулей наших продуктов есть определенно написано правило, которые уже были созданы аналитиками за долгие года всего этого улучшения всех процессов. Плюс мы занимаемся хантингом на того, что еще не написано, новые как-нибудь угрозы вышли, ищем, нет ли их следов в сети компаний. Если у клиентов есть какие-то вопросы, отвечаем на эти вопросы, проводим доп. Анализ, снимаем данные, которые нам нужны, помогаем внутри сети.
А если что-то выходит за сферу нашей компетенции, то передаем в другие отделы, в которых ты, наверное, сегодня походил, в том числе в лаборатории.
Стоимость защиты кто пользуется услугами CERT
Павлович:
И сколько стоит такая защита? Например, понятно, что компании всех разных уровней, но какой-то минимальный там, минимальный прайс в месяц.
Руководитель:
В Threat Hunting Framework мы просто входим в пакет, поэтому нас дополнительные деньги человек не тратит.
Павлович:
Входите в пакет как? То есть акционерами компании являетесь при этом или что?
Руководитель:
Нет, я имею в виду, что если мы говорим, сколько это стоит клиенту, то напрямую клиенту ничего не стоит, когда мы говорим про Threat Hunting Framework. Они его покупают, и там уже есть поддержка от SERT. А если про антифишинг, то это входит у нас в два продукта – digital risk protection и threat intelligence and attribution. Там уже мы туда входим. Отдельно за такие наши вещи какой-то доплаты не идет.
Павлович:
Ну а кто является основными заказчиками, то есть это компании из каких сфер? Кому важно постоянно держать руку на пульсе в плане IT-безопасности?
Руководитель:
Финансы организации, естественно.
Павлович:
Банки, платежная система.
Как происходит аналитика
Руководитель:
Что здесь оно, да? Это чтобы больше представлять, как проходит дежурство аналитика. Он вот с такими данными работает. Видит, что что-то происходит в сети компании, это, естественно, демонстрационные сработки, но, тем не менее, боевые не сильно отличаются. Он видит ту часть условного пакета, либо вредоносного пона, которая сработала та или иная сигнатура, либо тот или иной маркер, и с ним уже он ведет дальнейшую работу.
Оповещает клиента о том, что здесь произошло, и рассказывает человеческому языковому, что же тут, потому что не для каждого очевидно, что такое метер, претер, что за троян и так далее. Мы ему звоним, неважно куда именно, у нас сотрудники за рубежом есть, они по местным клиентам работают, мы по российским, по русскоговорящим, рассказываем, что происходит, отвечаем на их вопросы, и если ему нужна помощь, но он не знает, что делать, то мы либо свою предлагаем, У нас есть для некоторых клиентов возможность подключения вообще к этому хосту.
Ну, типа, образно, через Steam Viewer какой-то или RDP, там другое.
Павлович:
Ну, только внутренняя система. Внутренняя, естественно.
Руководитель:
Там все логируется, то есть совершенно максимально прозрачно для клиента и только для того, кто это разрешил. Это всегда важный вопрос, поэтому я акцентирую на это внимание. И ведем с ним общение по внутренней Ticket-системе.
Павлович:
Вот здесь мы видим, что, как вы это определили, Trojan там, да, TrojanWin32, target, понятно, и remote host, куда он отстукивает.
Руководитель:
Да, кто был внутри инициатором и куда он наружу это уходит. Они, вот это, стандартный вид того, что показывает сигнатура внутри, а написана она может быть на разные вещи. Вот здесь можно будет посмотреть, если интересно, как сигнатура выглядит, но suricata, она в идее одинаковая. Суриката называется? Суриката, да, это язык, на котором написана сигнатура, которая работает на сопоставлении того, что внутри пакета есть.
Павлович:
Да, но здесь сигнатура.
Руководитель:
Ну да, она могла быть написана, например, на это слово, если по-простому. Рефлексив лодер, ну вот лодер, понятно. Что-то ненормальное происходит при сети. Здесь тоже, тоже.
Павлович:
Ага, здесь понятно, сколько... Это чисто сетевая активность.
Руководитель:
Да, да, да.
Павлович:
Могла быть такая же приносная с файлов.
Руководитель:
А вот это что? Это построенная карта сети. Клиента? Клиента, да. То есть это его сеть, получается, да? Ну, то есть сама система строит, что с чем связано. И ты понимаешь, куда мог какой-нибудь редактор отстучаться. Кто может быть уже зааффектчен по той или иной угрозе. С ними локализованно уже работаешь. А не по всей сети бегаешь, думаешь.
Павлович:
Какой-то такой централизованный офис, да? Потому что так упорядочено все. Да, но вот там уже разнобой пошел. Ну да, да, да.
Руководитель:
Это всё Threat Hunting Framework. Я, наверное, по нему до конца дойду, а потом перейду немножко к фишингу. Он тоже интересный. Это, когда мы говорим про звереносное ПО, то есть какой-то сэмпл, мы либо сами его выдергиваем из трафика, с компьютера к сотруднику клиента, либо получаем ещё из... Вручную, бывает, закидают нам, чтобы мы дополнительно проверили и свой вердикт какой-то вынесли.
И вот, дайте мне, пожалуйста, клавиатуру. Просто самый живописный пример, по-моему, это все шифровальщики, которые у нас там только не бывают. Можно даже на весь экран. Что делает система? Она его запускает в специальной изолированной среде. Запускает это, прям, тоже на этом акцент, потому что далеко не каждая ПО так можно просто запустить на какую-то искусственную платформу. А, ну он локер, да?
CTB Locker, да, в данном случае.
Шифровальщики, ransomware
Руководитель:
Виртуалочка сейчас зашифрована. И не нужно у себя нигде запускать наличку вообще, благо. И клиенту тоже интересно. Здесь сразу атрибуция подтягивается, что это такое. Можно туда кликнуть, собственно, и будет описано, что это такое. Тянется данные из Threat Intelligence нашего.
Павлович:
Да, ну, шифровальщик, в общем, сейчас, видишь, после этих DarkSide, после этого бензопровода в США, конечно, все журналисты сходят с ума. У меня вчера был Нью-Йорк Таймс, завтра будет ABC Ньюз. Все хотят услышать, узнать про эти шифровальщики Ransomware.
Руководитель:
Советую отчёт, который недавно у нас вышел про Ransomware. Там прям про все, которые есть у нас, на MITRE ATT CK матрицу наложено. Реально красиво.
Павлович:
Мы оставим ссылку на ваш телеграм-канал, пусть оттуда качают.
Руководитель:
Да, кайфую. Как раз на прошлом, в конце недели, даже на это я путаться начал, для Америки и Caribbean Region рассказывал про этот отчёт. Они все сразу такие. Очень интересно, расскажите поподробнее. Что здесь показывается из такого верхнего уровня?
Маркеры шифровальщиков
Павлович:
Почему он решил, что вообще это шифровальщик?
Руководитель:
По набору маркеров, не буду сильно грузить, но вот BR, renamed 500 or more files. Обычный ВПО таким не занимается, это характерно для шифровальщиков.
Инжектируют как другие процессы. В принципе, достаточно общая тактика для ВПО, но в данном случае она добавляет веса для того, что это по себе вредоносно. Вот он здесь признаки сети блокера нашел, ну и так далее. Любую из них, естественно, можно посмотреть, что же он там сделал, с каким из процессов или файлов взаимодействовал. Отличная информация для аналитика, что с нашей стороны, что со стороны клиента, а мы еще с MSP-партнером работаем.
Удаление бэкапов. Теневые копии. Короче, поработал основательно, чтобы было восстановить крайне тяжело, чем, собственно, все шифровальщики занимаются. И эту информацию, чтобы не забыть напомнить, мы помогаем нашим MSSP-партнерам обслуживать их клиентов. То есть они покупают наши продукты, их для своих клиентов распространяют, а мы при каких-то сложных кейсах им помогаем.
Ну и обучаем их. А кто пишет больше всего дешифраторов?
Дешифраторы
Павлович:
Недавно одному моему знакомому зашифровали, и я погуглил и списался с авантом даже, по-моему, не помню с кем, с антивирусной какой-то конторы, они говорят, ну, для этого шифровальщика нифига нету. Декриптера, говорят, у нас для этого конкретно нет.
Руководитель:
Их может и не быть, то есть, зачастую это может быть основано на какой-то уязвимости. Может быть, в принципе, алгоритм шифрования был нестойкий, поэтому его определенными методами можно, ну, декриптер написать. А может быть, и он фейковый, он просто тебе пишет, что мы тебе зашифровали картинку на задний фон, а на самом деле ничего не сделал, может быть, не успел, а может быть, плохой разработчик был. У них это тоже, в принципе, проблема.
Что здесь, на этом скрине?
Graph Визуализация действий
Руководитель:
Здесь, к примеру, атрибуции с Кобальтом. Кобальт тоже известная группировка. В прошлом году, нет, даже чуть пораньше, мне кажется, отсылалось письмо от Национального банка Казахстана, в данном случае было. Нет, это Бразилия. Но домен был вот такой. Это был один из триггеров, что неплохо бы проверить.
Павлович:
КЗ, БЗ, да? Визуально невнимательный глаз, может, без проблем на КЗ. Нашел банк, да, З, что-то есть.
Руководитель:
А у нас всё в фоне, всегда проверяется с помощью, в том числе, инструментографа, который убирает лишнее, оставляет нужное и атрибутирует, когда имеется такая возможность. Ну вот, на данный случай он сказал, что это относится к кобальту. Сам домен был зарегистрирован на такую-то почту. К этой почте он нашел еще другое доменное имя, а к нему ворох файлов вредоносов. Это может быть для дальнейшего ресерча. Крайне полезная информация, что ты, например, понял, что у тебя в сэмпле есть упоминание какого-то клиента, какой-то другой компании, но вредоносов в ней еще ничего нет.
Ты зато знаешь, что на какой-то бренд будет. Это следующая мишень, да. А вот это что? Это все относится к атрибуции владельца этого доменного имени. Знаем, что у него было такое e-mail. И к нему относится, мы знаем, что у него есть 3 таких доменных имени, которые он для чего-то может потом использовать.
Павлович:
Потом можно связаться с регистраторами доменов, связаться с теми, кто им хостинг дал, то есть по-быстрому изъять все эти серверы и так далее, и так далее. В зависимости от цели, да.
Руководитель:
Можно где-то заблокировать, где-то это не полезно, даже вредно может быть что-то блокировать. Можно убрать единственный способ для расшифровки потом, может быть тяжело. Где-то синхол может быть очень полезен. Что такое синхол? Такая технология, она разными путями применяется, но чтобы попроще было, какой-то вредонос, он обращается к доменному имени и туда скидывает какие-то данные, либо ждет оттуда управления.
И ты хочешь встать вместо злоумышленника, управлять этим ботаником. Я понял, то есть куда админ отстукивает, да? Например, да, и ты можешь разными путями это управление перехватать. Если это DGA, Domain Generated Algorithm, ты можешь заранее нарегистрировать себе доменных имен, которые еще не зарегистрированы, потому что их могут быть сотни, тысячи и так далее, любой из них выбрать, и ожидать там, перехватывать трафик, и потом отдавать обратно, если ты умеешь это делать.
Это очень интересное мероприятие. Книзу потом, я думаю, перейдем, просто это все к фишингу относится. Я добьюсь здесь вот.
Атаки, вредоносные программы
Руководитель:
Здесь у нас файлы вредоносные, которые приходят к клиенту. Они вот так вот потоком и видны, то есть когда какая-то массовая атака видна, происходит на наших клиентов, мы это
Атаки на белорусских силовиков
Руководитель:
Снизу яркие примеры, в том числе прошлогодние, когда были политические события в Беларуси, злоумышленники всегда очень быстро реагируют на все такие инфоповоды.
Тут у нас, что какая-то внепланная проверка силовиков и так далее, и злоумышленники рассылали вредоносы вот таким вот образом. Здесь ссылочка на загрузчик. Загрузчик уже подтягивает то, что тебе нужно. Это либо шифровальщик был, либо удаленное управление, у них там свой какой-то написано было. Не всегда красиво и грамотно такие письма написаны, потому что им все-таки нужно делать это быстро. Это нет у тебя недели на подготовку. Нужно вот на хайпе событий это все делать.
Однако удаленное управление в шифровальщике самое то. И похожий пример, но уже от имени на лок.ru, подделка отправителя до сих пор используется. Вредонос был прямо в архиве, но запаролен, т.е. еще не каждый пистолетчик такой выловит, тут код доступ еще, а не паспорт, не пароль и т.д. И тут был, по-моему, RMS, тоже удаленное управление, которое вам потом подключится, а уже с помощью него могут и данные забрать от вас, либо что-нибудь подкинуть, что у вас, и в том числе и зашифровать.
Сейчас всё-таки это больше на хайп. Снизу показана одна из группировок фишинговая. Вот здесь как выглядит интеллиженс изнутри части фишинга.
Павлович:
Как выглядит этот ресурс. Это форма оплаты банковской карты. Да-да-да. Естественно, это какой-то поддельный сайт.
Руководитель:
Разными путями. Он типа как платёжная такая система. Много их здесь. Внутренняя атрибуция так вот названа.
Фишинговые атаки
Павлович:
Смотри, прикольно, фейк Галина написано.
Руководитель:
Да, это наш сотрудник атрибутировал его авторское название. Но почему? Потому что доменные имена, которые задействованы в этой фишинговой атаке, зарегистрированы на овнера Галина. Галина Кацубинская. Да, у нее разные постайсы есть. Вот так выглядит граф, который показывает связи между разными атаками, но которые связаны в один большой клубок. Если здесь можно будет поменьше показать. Сейчас. Это вот крайне очищенный граф, который не содержит в себе уже лишних данных.
Но вот все эти доменные имена, которые с ней связаны, они были фишинговые. Отсюда автомат там подтягивается, и там обрабатываются уже нашими фишенными сигнатурами, которых тоже в огромном количестве тысячи пишут сотрудники, чтобы это автоматом привязывалось и к бренду, и мы понимаем, что оттуда воруется, куда это уходит, и вот в целом крайне интересная работа, чтобы...
Защита домена
Павлович:
А какой вот в данном примере у вас был защищаемый домен? Потому что все, прайсинг, прайсинг, я смотрю, что-то связанное с электронной коммерцией.
Руководитель:
В данном случае это самоплатежная система была как защищаемая, но может быть и какой-то бренд, и домены ими может быть совершенно не связаны с этим брендом, потому что вот getpricing.Online, но до того в субдомене может быть что-то уже и связанное с брендом. Не буду, наверное, никаких брендов придумывать, но в субдомене это может быть использовано, и ты такое даже не найдешь, забирая все доменные имена от всех регистраторов. То есть тут еще глубже надо смотреть, passive DNS, какие-то топ-данные собирать, какие-то фиды от сторонних провайдеров и так далее.
Но главное, что мы знаем e-mail, знаем совокупность параметров, как SSH, SSL, e-mail, IP-шники, которые, если грамотно очистить, фокусируют нас на одном редакторе.
Павлович:
То есть, получается, мы ищем вот этот параметр, да, то есть мы подходим на того, кто...
Руководитель:
Он же еще далеко не всегда есть, спасибо DMCA, что все это стало скрытым во многих зонах, но не во всех, не всегда, и некоторые данные можно исторически подтягивать, многие технические данные нам позволяют обходить такие вещи, что мы знаем, если в коде страницы содержатся определенные паттерны, все мы атрибутируем к определенной фишиновой группировке.
Павлович:
То есть это просто в мое время как бы давновато это было ну редко когда группы занимались то есть кто-то фишил там от имени сбор банка к примеру определенно от имени платежных систем от благотворительных фондов даже рассылали то есть рассылка и там фейк благотворительный фонд но ты таки больше одиночная сейчас группами сюда в основном фишинги происходит или все-таки.
Руководитель:
Если про мою терминологию говорить это именно термин потому что мы же заранее не знаем сколько с находится людей, а атрибутирует нам внутри себя нужно. Когда уже их поймают, тогда будет известно, сколько там один он был, либо целая команда друзей.
Поиск фишинговых группировок
Павлович:
Ну и сколько процентов из них ловят там? Вот вы нашли, допустим, определили 100 фишинговых группировок на скамью подсудимых. В разных странах мира сколько сядет из них?
Руководитель:
Это же крайне длительный процесс. Кого-то найти, поймать и осудить потом.
Павлович:
Но в целом хоть одна из ста садится?
Руководитель:
Садятся, да. Один из статей точно, конечно, что да, поконкретнее, но надо считать, и это больше запрос к отделу расследования, которые, естественно, потом этими данными обладают и могут ими пользоваться просто сразу, не собирая доп. Данных в длительное время.
Павлович:
Здесь, я смотрю, и телефон еще определили, то есть мыло, телефон, возможно.
Руководитель:
Да, это много из опыт-дейта, не нужно было ничего, никаких незаконных манипуляций для этого не приходилось. И не всегда это доступно прямо сейчас. Мы поэтому историю собираем, любое изменение лагируется в системе. Если он хотя бы на 2 часа не убрал свои данные, то это будет нам в плюс, мы такое увидим.
Я хочу показать, наверное, как выглядит большой граф, когда аналитика еще не очень понимает, насколько... Как может работать аналитика выглядеть, когда не очень все еще очевидно? Ты нашел какой-то новый сайт, который не ясно, к чему ведет, и ты получаешь просто ворох миллион доменов, IP-адресов и прочих индикаторов, с которыми тебе потом придется работать. Ты убираешь лишние узлы. Выкинула под тебя группировку, потому что ты в ней не уверен,
может быть, убираешь лишние сертификаты, и потихонечку распутывая реальный клубок, цифровой клубок такой, больше вручную, ты хочешь атрибутировать максимально точно, чтобы не говорить, что все, что зарегистрировано таким-то регистратором, вот такая ты группировка, это будет просто неправильно, ну, непрофессионально а занимаясь вот подобной очисткой, ты приходишь в итоге к истине, назовем ее так сейчас попробую поменьше сделать и это еще довольно неплохой граф, он там туда далеко выходит
своевселенная, что здесь, что там.
Павлович:
Такая как звездная галактика, да, как звездная система.
Фейковые билеты
Руководитель:
Оно на большой взрыв походит, когда ты только начинаешь оно реально точечка, а потом разлетаться начинает, по своим группам биться по своим, по своим этим созвездиям. Тут у нас что-то еще было, наверное, из последнего, да, перед майским праздником была новость, что опять начали фейковые билеты на Сапсан продаваться на...
Павлович:
Типа фейк-сайты РЖД, да?
Руководитель:
Да, например. Для нас, как это выглядит, нашли один сайт, С помощью графа нашли связи с этим сайтом другие, билеты на Ласточку, на Сапсан, Сапсаннэк и так далее.
И их уже просто потом проверяешь.
Павлович:
А вы защищаете Сапсан в данном случае или РЖД? Или это просто какая-то личная инициатива? Это ваш клиент?
Руководитель:
Всегда по-разному. Бывает, что мы работаем не по клиентам. У нас есть горячие службы, когда к нам и звонят. Поэтому у нас на каждом рабочем месте аппарат стоит. И пишут пострадавшие. Если это входит в нашу зону компетенции, где мы можем помочь, то мы обязательно этим занимаемся. И если есть время на ресерч, то ресерч так и выпускаем.
Павлович:
И сообщаете потом жертвам, компаниям.
Руководитель:
Опять же, это может быть не только на нашей стороне, а еще и в других наших местах присутствия.
Павлович:
Я так понимаю, если я спрошу, какой отдел самый важный в вашей компании, ты скажешь, что все важные. Все важные, да. Ну, какой самый ответственный тогда? На ком лежит самая большая ответственность?
Взаимодействие отделов Group-IB
Руководитель:
Ну, слушай, это реально. У каждого свои есть огромные точки ответственности. Если у нас не будет какая-то система работать, мы будем страдать. А некоторые системы, а некоторые клиенты просто не будут защищены. Если мы не будем делать свою работу, то куча мошеннических и фишинговых сайтов будет плодиться. Не получит клиент вовремя наши поддержки, он просто не сможет ничего сделать. Тоже клиенту будет плохо. Не выйдет в лабораторию.
Не поможет с инцид-респонсом на месте, клиенты продолжатся в авианосной активности внутри компании.
Павлович:
У них будет работа с расследованием.
Руководитель:
Не поймают преступника.
Павлович:
Но если криминалисты тоже больше такое, уже расследование состоявшихся инцидентов, то у вас, наверное, все-таки больше работает на предотвращение.
Руководитель:
И на предотвращение, а вы есть в расследовании.
Продолжение следует...
Павлович:
И на раннее обнаружение. Да, все правильно. В общем, все понял. НТЗ белорусский. Лукашенко, привет. Спасибо за рассказ большой. Вот так что до встречи на экранах если что забыли можете нам позвонить.
Известный кардер Сергей Павлович продолжает беседу с сотрудниками компании Group-IB – главного российского частного борца с хакерами, кардерами и прочими киберпреступниками, и в восемнадцатом выпуске из серии мы встретились в офисе компании, чтобы посмотреть всё вживую, и беседуем с Александром Калининым, руководителем отдела мониторинга и реагирования на инциденты информационной безопасности (CERT) Group-IB.
Приятного чтения!
Содержание:
- Отдел CERT
- Александр Калинин – руководитель отдела CERT Group-IB
- Чем занимаются в отделе
- Стоимость защиты кто пользуется услугами CERT
- Как происходит аналитика
- Шифровальщики, ransomware
- Маркеры шифровальщиков
- Дешифраторы
- Graph Визуализация действий
- Атаки, вредоносные программы
- Атаки на белорусских силовиков
- Фишинговые атаки
- Защита домена
- Поиск фишинговых группировок
- Фейковые билеты
- Взаимодействие отделов Group-IB
- Продолжение следует...
Отдел CERT
Руководитель:
Смотри, мы сейчас идем в SERT, там такое прикольное помещение. Это именно те ребята, которые мониторят сеть интернет, и когда там появляются фишинговые ресурсы, кто-то начинает вердоносы распространять, кого-то взломали и от его имени начинают что-то делать, именно они отзывают регистрации, забирают у хостеров данные, блокируют домены. Именно им пишут разъяренные владельцы ресурсов, типа «Вы заблокировали мой домен, за что?», а они просто не знают, допустим, что их похакали и с них разливают всякое.
Вот, а плюс именно они мониторят наши решения, наши продукты у наших клиентов. Что там и как происходит. Поэтому тот самый SERT гип заходим.
Александр Калинин – руководитель отдела CERT Group-IB
Павлович:
Ну и последний человек. Мы сегодня. Такая наша экскурсия по офису Group-IB подходит к концу. Не всех сняли, кого хотели. Кто-то уже уехал просто физически, потому что нас снимали много. И вот Александр, это он возглавляет получается SERT отдел, да. То есть это сента получается. Эмерженси респонд тим. То есть отделы реагирования получается на инциденты, да? Кибер-угрозы. Кибер-угрозы. И расскажи, чем ты занимаешься, основной твой профиль, и что у вас вообще здесь интересного?
И почему ты пришел именно вот в этот отдел?
Справка:
Александр Калинин (руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT) Group-IB.
Чем занимаются в отделе
Руководитель:
Интересного много чего. У нас отдел круглосуточный, и всегда что-то происходит, особенно у наших клиентов, которые крупнейшая организация по всему миру. Далеко не только по России, уже большинство из них как раз за рубежом у нас находится. У нас профиль в основном по двум нашим ключевым продуктам. Это thread hunting framework, где мы видим все, что происходит внутри сети, в плане которой мы защищаем. Это и релаксные файлы, и какие-то коммуникации с внешним миром, подозрительные, скажем так.
Анализ того, что происходит на компьютерах у этих компаний и у их сотрудников. И вторая часть – это наше взаимодействие с серто-организациями, подобным нам по всему миру, плюс борьба с фишингом, если по-простому.
Павлович:
Вы отслеживаете, я так понимаю, какую-то аномальную активность в сетях своих клиентов, отличную от обычной регулярной деятельности?
Руководитель:
Да, в том числе. Естественно, под каждой из модулей наших продуктов есть определенно написано правило, которые уже были созданы аналитиками за долгие года всего этого улучшения всех процессов. Плюс мы занимаемся хантингом на того, что еще не написано, новые как-нибудь угрозы вышли, ищем, нет ли их следов в сети компаний. Если у клиентов есть какие-то вопросы, отвечаем на эти вопросы, проводим доп. Анализ, снимаем данные, которые нам нужны, помогаем внутри сети.
А если что-то выходит за сферу нашей компетенции, то передаем в другие отделы, в которых ты, наверное, сегодня походил, в том числе в лаборатории.
Стоимость защиты кто пользуется услугами CERT
Павлович:
И сколько стоит такая защита? Например, понятно, что компании всех разных уровней, но какой-то минимальный там, минимальный прайс в месяц.
Руководитель:
В Threat Hunting Framework мы просто входим в пакет, поэтому нас дополнительные деньги человек не тратит.
Павлович:
Входите в пакет как? То есть акционерами компании являетесь при этом или что?
Руководитель:
Нет, я имею в виду, что если мы говорим, сколько это стоит клиенту, то напрямую клиенту ничего не стоит, когда мы говорим про Threat Hunting Framework. Они его покупают, и там уже есть поддержка от SERT. А если про антифишинг, то это входит у нас в два продукта – digital risk protection и threat intelligence and attribution. Там уже мы туда входим. Отдельно за такие наши вещи какой-то доплаты не идет.
Павлович:
Ну а кто является основными заказчиками, то есть это компании из каких сфер? Кому важно постоянно держать руку на пульсе в плане IT-безопасности?
Руководитель:
Финансы организации, естественно.
Павлович:
Банки, платежная система.
Как происходит аналитика
Руководитель:
Что здесь оно, да? Это чтобы больше представлять, как проходит дежурство аналитика. Он вот с такими данными работает. Видит, что что-то происходит в сети компании, это, естественно, демонстрационные сработки, но, тем не менее, боевые не сильно отличаются. Он видит ту часть условного пакета, либо вредоносного пона, которая сработала та или иная сигнатура, либо тот или иной маркер, и с ним уже он ведет дальнейшую работу.
Оповещает клиента о том, что здесь произошло, и рассказывает человеческому языковому, что же тут, потому что не для каждого очевидно, что такое метер, претер, что за троян и так далее. Мы ему звоним, неважно куда именно, у нас сотрудники за рубежом есть, они по местным клиентам работают, мы по российским, по русскоговорящим, рассказываем, что происходит, отвечаем на их вопросы, и если ему нужна помощь, но он не знает, что делать, то мы либо свою предлагаем, У нас есть для некоторых клиентов возможность подключения вообще к этому хосту.
Ну, типа, образно, через Steam Viewer какой-то или RDP, там другое.
Павлович:
Ну, только внутренняя система. Внутренняя, естественно.
Руководитель:
Там все логируется, то есть совершенно максимально прозрачно для клиента и только для того, кто это разрешил. Это всегда важный вопрос, поэтому я акцентирую на это внимание. И ведем с ним общение по внутренней Ticket-системе.
Павлович:
Вот здесь мы видим, что, как вы это определили, Trojan там, да, TrojanWin32, target, понятно, и remote host, куда он отстукивает.
Руководитель:
Да, кто был внутри инициатором и куда он наружу это уходит. Они, вот это, стандартный вид того, что показывает сигнатура внутри, а написана она может быть на разные вещи. Вот здесь можно будет посмотреть, если интересно, как сигнатура выглядит, но suricata, она в идее одинаковая. Суриката называется? Суриката, да, это язык, на котором написана сигнатура, которая работает на сопоставлении того, что внутри пакета есть.
Павлович:
Да, но здесь сигнатура.
Руководитель:
Ну да, она могла быть написана, например, на это слово, если по-простому. Рефлексив лодер, ну вот лодер, понятно. Что-то ненормальное происходит при сети. Здесь тоже, тоже.
Павлович:
Ага, здесь понятно, сколько... Это чисто сетевая активность.
Руководитель:
Да, да, да.
Павлович:
Могла быть такая же приносная с файлов.
Руководитель:
А вот это что? Это построенная карта сети. Клиента? Клиента, да. То есть это его сеть, получается, да? Ну, то есть сама система строит, что с чем связано. И ты понимаешь, куда мог какой-нибудь редактор отстучаться. Кто может быть уже зааффектчен по той или иной угрозе. С ними локализованно уже работаешь. А не по всей сети бегаешь, думаешь.
Павлович:
Какой-то такой централизованный офис, да? Потому что так упорядочено все. Да, но вот там уже разнобой пошел. Ну да, да, да.
Руководитель:
Это всё Threat Hunting Framework. Я, наверное, по нему до конца дойду, а потом перейду немножко к фишингу. Он тоже интересный. Это, когда мы говорим про звереносное ПО, то есть какой-то сэмпл, мы либо сами его выдергиваем из трафика, с компьютера к сотруднику клиента, либо получаем ещё из... Вручную, бывает, закидают нам, чтобы мы дополнительно проверили и свой вердикт какой-то вынесли.
И вот, дайте мне, пожалуйста, клавиатуру. Просто самый живописный пример, по-моему, это все шифровальщики, которые у нас там только не бывают. Можно даже на весь экран. Что делает система? Она его запускает в специальной изолированной среде. Запускает это, прям, тоже на этом акцент, потому что далеко не каждая ПО так можно просто запустить на какую-то искусственную платформу. А, ну он локер, да?
CTB Locker, да, в данном случае.
Шифровальщики, ransomware
Руководитель:
Виртуалочка сейчас зашифрована. И не нужно у себя нигде запускать наличку вообще, благо. И клиенту тоже интересно. Здесь сразу атрибуция подтягивается, что это такое. Можно туда кликнуть, собственно, и будет описано, что это такое. Тянется данные из Threat Intelligence нашего.
Павлович:
Да, ну, шифровальщик, в общем, сейчас, видишь, после этих DarkSide, после этого бензопровода в США, конечно, все журналисты сходят с ума. У меня вчера был Нью-Йорк Таймс, завтра будет ABC Ньюз. Все хотят услышать, узнать про эти шифровальщики Ransomware.
Руководитель:
Советую отчёт, который недавно у нас вышел про Ransomware. Там прям про все, которые есть у нас, на MITRE ATT CK матрицу наложено. Реально красиво.
Павлович:
Мы оставим ссылку на ваш телеграм-канал, пусть оттуда качают.
Руководитель:
Да, кайфую. Как раз на прошлом, в конце недели, даже на это я путаться начал, для Америки и Caribbean Region рассказывал про этот отчёт. Они все сразу такие. Очень интересно, расскажите поподробнее. Что здесь показывается из такого верхнего уровня?
Маркеры шифровальщиков
Павлович:
Почему он решил, что вообще это шифровальщик?
Руководитель:
По набору маркеров, не буду сильно грузить, но вот BR, renamed 500 or more files. Обычный ВПО таким не занимается, это характерно для шифровальщиков.
Инжектируют как другие процессы. В принципе, достаточно общая тактика для ВПО, но в данном случае она добавляет веса для того, что это по себе вредоносно. Вот он здесь признаки сети блокера нашел, ну и так далее. Любую из них, естественно, можно посмотреть, что же он там сделал, с каким из процессов или файлов взаимодействовал. Отличная информация для аналитика, что с нашей стороны, что со стороны клиента, а мы еще с MSP-партнером работаем.
Удаление бэкапов. Теневые копии. Короче, поработал основательно, чтобы было восстановить крайне тяжело, чем, собственно, все шифровальщики занимаются. И эту информацию, чтобы не забыть напомнить, мы помогаем нашим MSSP-партнерам обслуживать их клиентов. То есть они покупают наши продукты, их для своих клиентов распространяют, а мы при каких-то сложных кейсах им помогаем.
Ну и обучаем их. А кто пишет больше всего дешифраторов?
Дешифраторы
Павлович:
Недавно одному моему знакомому зашифровали, и я погуглил и списался с авантом даже, по-моему, не помню с кем, с антивирусной какой-то конторы, они говорят, ну, для этого шифровальщика нифига нету. Декриптера, говорят, у нас для этого конкретно нет.
Руководитель:
Их может и не быть, то есть, зачастую это может быть основано на какой-то уязвимости. Может быть, в принципе, алгоритм шифрования был нестойкий, поэтому его определенными методами можно, ну, декриптер написать. А может быть, и он фейковый, он просто тебе пишет, что мы тебе зашифровали картинку на задний фон, а на самом деле ничего не сделал, может быть, не успел, а может быть, плохой разработчик был. У них это тоже, в принципе, проблема.
Что здесь, на этом скрине?
Graph Визуализация действий
Руководитель:
Здесь, к примеру, атрибуции с Кобальтом. Кобальт тоже известная группировка. В прошлом году, нет, даже чуть пораньше, мне кажется, отсылалось письмо от Национального банка Казахстана, в данном случае было. Нет, это Бразилия. Но домен был вот такой. Это был один из триггеров, что неплохо бы проверить.
Павлович:
КЗ, БЗ, да? Визуально невнимательный глаз, может, без проблем на КЗ. Нашел банк, да, З, что-то есть.
Руководитель:
А у нас всё в фоне, всегда проверяется с помощью, в том числе, инструментографа, который убирает лишнее, оставляет нужное и атрибутирует, когда имеется такая возможность. Ну вот, на данный случай он сказал, что это относится к кобальту. Сам домен был зарегистрирован на такую-то почту. К этой почте он нашел еще другое доменное имя, а к нему ворох файлов вредоносов. Это может быть для дальнейшего ресерча. Крайне полезная информация, что ты, например, понял, что у тебя в сэмпле есть упоминание какого-то клиента, какой-то другой компании, но вредоносов в ней еще ничего нет.
Ты зато знаешь, что на какой-то бренд будет. Это следующая мишень, да. А вот это что? Это все относится к атрибуции владельца этого доменного имени. Знаем, что у него было такое e-mail. И к нему относится, мы знаем, что у него есть 3 таких доменных имени, которые он для чего-то может потом использовать.
Павлович:
Потом можно связаться с регистраторами доменов, связаться с теми, кто им хостинг дал, то есть по-быстрому изъять все эти серверы и так далее, и так далее. В зависимости от цели, да.
Руководитель:
Можно где-то заблокировать, где-то это не полезно, даже вредно может быть что-то блокировать. Можно убрать единственный способ для расшифровки потом, может быть тяжело. Где-то синхол может быть очень полезен. Что такое синхол? Такая технология, она разными путями применяется, но чтобы попроще было, какой-то вредонос, он обращается к доменному имени и туда скидывает какие-то данные, либо ждет оттуда управления.
И ты хочешь встать вместо злоумышленника, управлять этим ботаником. Я понял, то есть куда админ отстукивает, да? Например, да, и ты можешь разными путями это управление перехватать. Если это DGA, Domain Generated Algorithm, ты можешь заранее нарегистрировать себе доменных имен, которые еще не зарегистрированы, потому что их могут быть сотни, тысячи и так далее, любой из них выбрать, и ожидать там, перехватывать трафик, и потом отдавать обратно, если ты умеешь это делать.
Это очень интересное мероприятие. Книзу потом, я думаю, перейдем, просто это все к фишингу относится. Я добьюсь здесь вот.
Атаки, вредоносные программы
Руководитель:
Здесь у нас файлы вредоносные, которые приходят к клиенту. Они вот так вот потоком и видны, то есть когда какая-то массовая атака видна, происходит на наших клиентов, мы это
Атаки на белорусских силовиков
Руководитель:
Снизу яркие примеры, в том числе прошлогодние, когда были политические события в Беларуси, злоумышленники всегда очень быстро реагируют на все такие инфоповоды.
Тут у нас, что какая-то внепланная проверка силовиков и так далее, и злоумышленники рассылали вредоносы вот таким вот образом. Здесь ссылочка на загрузчик. Загрузчик уже подтягивает то, что тебе нужно. Это либо шифровальщик был, либо удаленное управление, у них там свой какой-то написано было. Не всегда красиво и грамотно такие письма написаны, потому что им все-таки нужно делать это быстро. Это нет у тебя недели на подготовку. Нужно вот на хайпе событий это все делать.
Однако удаленное управление в шифровальщике самое то. И похожий пример, но уже от имени на лок.ru, подделка отправителя до сих пор используется. Вредонос был прямо в архиве, но запаролен, т.е. еще не каждый пистолетчик такой выловит, тут код доступ еще, а не паспорт, не пароль и т.д. И тут был, по-моему, RMS, тоже удаленное управление, которое вам потом подключится, а уже с помощью него могут и данные забрать от вас, либо что-нибудь подкинуть, что у вас, и в том числе и зашифровать.
Сейчас всё-таки это больше на хайп. Снизу показана одна из группировок фишинговая. Вот здесь как выглядит интеллиженс изнутри части фишинга.
Павлович:
Как выглядит этот ресурс. Это форма оплаты банковской карты. Да-да-да. Естественно, это какой-то поддельный сайт.
Руководитель:
Разными путями. Он типа как платёжная такая система. Много их здесь. Внутренняя атрибуция так вот названа.
Фишинговые атаки
Павлович:
Смотри, прикольно, фейк Галина написано.
Руководитель:
Да, это наш сотрудник атрибутировал его авторское название. Но почему? Потому что доменные имена, которые задействованы в этой фишинговой атаке, зарегистрированы на овнера Галина. Галина Кацубинская. Да, у нее разные постайсы есть. Вот так выглядит граф, который показывает связи между разными атаками, но которые связаны в один большой клубок. Если здесь можно будет поменьше показать. Сейчас. Это вот крайне очищенный граф, который не содержит в себе уже лишних данных.
Но вот все эти доменные имена, которые с ней связаны, они были фишинговые. Отсюда автомат там подтягивается, и там обрабатываются уже нашими фишенными сигнатурами, которых тоже в огромном количестве тысячи пишут сотрудники, чтобы это автоматом привязывалось и к бренду, и мы понимаем, что оттуда воруется, куда это уходит, и вот в целом крайне интересная работа, чтобы...
Защита домена
Павлович:
А какой вот в данном примере у вас был защищаемый домен? Потому что все, прайсинг, прайсинг, я смотрю, что-то связанное с электронной коммерцией.
Руководитель:
В данном случае это самоплатежная система была как защищаемая, но может быть и какой-то бренд, и домены ими может быть совершенно не связаны с этим брендом, потому что вот getpricing.Online, но до того в субдомене может быть что-то уже и связанное с брендом. Не буду, наверное, никаких брендов придумывать, но в субдомене это может быть использовано, и ты такое даже не найдешь, забирая все доменные имена от всех регистраторов. То есть тут еще глубже надо смотреть, passive DNS, какие-то топ-данные собирать, какие-то фиды от сторонних провайдеров и так далее.
Но главное, что мы знаем e-mail, знаем совокупность параметров, как SSH, SSL, e-mail, IP-шники, которые, если грамотно очистить, фокусируют нас на одном редакторе.
Павлович:
То есть, получается, мы ищем вот этот параметр, да, то есть мы подходим на того, кто...
Руководитель:
Он же еще далеко не всегда есть, спасибо DMCA, что все это стало скрытым во многих зонах, но не во всех, не всегда, и некоторые данные можно исторически подтягивать, многие технические данные нам позволяют обходить такие вещи, что мы знаем, если в коде страницы содержатся определенные паттерны, все мы атрибутируем к определенной фишиновой группировке.
Павлович:
То есть это просто в мое время как бы давновато это было ну редко когда группы занимались то есть кто-то фишил там от имени сбор банка к примеру определенно от имени платежных систем от благотворительных фондов даже рассылали то есть рассылка и там фейк благотворительный фонд но ты таки больше одиночная сейчас группами сюда в основном фишинги происходит или все-таки.
Руководитель:
Если про мою терминологию говорить это именно термин потому что мы же заранее не знаем сколько с находится людей, а атрибутирует нам внутри себя нужно. Когда уже их поймают, тогда будет известно, сколько там один он был, либо целая команда друзей.
Поиск фишинговых группировок
Павлович:
Ну и сколько процентов из них ловят там? Вот вы нашли, допустим, определили 100 фишинговых группировок на скамью подсудимых. В разных странах мира сколько сядет из них?
Руководитель:
Это же крайне длительный процесс. Кого-то найти, поймать и осудить потом.
Павлович:
Но в целом хоть одна из ста садится?
Руководитель:
Садятся, да. Один из статей точно, конечно, что да, поконкретнее, но надо считать, и это больше запрос к отделу расследования, которые, естественно, потом этими данными обладают и могут ими пользоваться просто сразу, не собирая доп. Данных в длительное время.
Павлович:
Здесь, я смотрю, и телефон еще определили, то есть мыло, телефон, возможно.
Руководитель:
Да, это много из опыт-дейта, не нужно было ничего, никаких незаконных манипуляций для этого не приходилось. И не всегда это доступно прямо сейчас. Мы поэтому историю собираем, любое изменение лагируется в системе. Если он хотя бы на 2 часа не убрал свои данные, то это будет нам в плюс, мы такое увидим.
Я хочу показать, наверное, как выглядит большой граф, когда аналитика еще не очень понимает, насколько... Как может работать аналитика выглядеть, когда не очень все еще очевидно? Ты нашел какой-то новый сайт, который не ясно, к чему ведет, и ты получаешь просто ворох миллион доменов, IP-адресов и прочих индикаторов, с которыми тебе потом придется работать. Ты убираешь лишние узлы. Выкинула под тебя группировку, потому что ты в ней не уверен,
может быть, убираешь лишние сертификаты, и потихонечку распутывая реальный клубок, цифровой клубок такой, больше вручную, ты хочешь атрибутировать максимально точно, чтобы не говорить, что все, что зарегистрировано таким-то регистратором, вот такая ты группировка, это будет просто неправильно, ну, непрофессионально а занимаясь вот подобной очисткой, ты приходишь в итоге к истине, назовем ее так сейчас попробую поменьше сделать и это еще довольно неплохой граф, он там туда далеко выходит
своевселенная, что здесь, что там.
Павлович:
Такая как звездная галактика, да, как звездная система.
Фейковые билеты
Руководитель:
Оно на большой взрыв походит, когда ты только начинаешь оно реально точечка, а потом разлетаться начинает, по своим группам биться по своим, по своим этим созвездиям. Тут у нас что-то еще было, наверное, из последнего, да, перед майским праздником была новость, что опять начали фейковые билеты на Сапсан продаваться на...
Павлович:
Типа фейк-сайты РЖД, да?
Руководитель:
Да, например. Для нас, как это выглядит, нашли один сайт, С помощью графа нашли связи с этим сайтом другие, билеты на Ласточку, на Сапсан, Сапсаннэк и так далее.
И их уже просто потом проверяешь.
Павлович:
А вы защищаете Сапсан в данном случае или РЖД? Или это просто какая-то личная инициатива? Это ваш клиент?
Руководитель:
Всегда по-разному. Бывает, что мы работаем не по клиентам. У нас есть горячие службы, когда к нам и звонят. Поэтому у нас на каждом рабочем месте аппарат стоит. И пишут пострадавшие. Если это входит в нашу зону компетенции, где мы можем помочь, то мы обязательно этим занимаемся. И если есть время на ресерч, то ресерч так и выпускаем.
Павлович:
И сообщаете потом жертвам, компаниям.
Руководитель:
Опять же, это может быть не только на нашей стороне, а еще и в других наших местах присутствия.
Павлович:
Я так понимаю, если я спрошу, какой отдел самый важный в вашей компании, ты скажешь, что все важные. Все важные, да. Ну, какой самый ответственный тогда? На ком лежит самая большая ответственность?
Взаимодействие отделов Group-IB
Руководитель:
Ну, слушай, это реально. У каждого свои есть огромные точки ответственности. Если у нас не будет какая-то система работать, мы будем страдать. А некоторые системы, а некоторые клиенты просто не будут защищены. Если мы не будем делать свою работу, то куча мошеннических и фишинговых сайтов будет плодиться. Не получит клиент вовремя наши поддержки, он просто не сможет ничего сделать. Тоже клиенту будет плохо. Не выйдет в лабораторию.
Не поможет с инцид-респонсом на месте, клиенты продолжатся в авианосной активности внутри компании.
Павлович:
У них будет работа с расследованием.
Руководитель:
Не поймают преступника.
Павлович:
Но если криминалисты тоже больше такое, уже расследование состоявшихся инцидентов, то у вас, наверное, все-таки больше работает на предотвращение.
Руководитель:
И на предотвращение, а вы есть в расследовании.
Продолжение следует...
Павлович:
И на раннее обнаружение. Да, все правильно. В общем, все понял. НТЗ белорусский. Лукашенко, привет. Спасибо за рассказ большой. Вот так что до встречи на экранах если что забыли можете нам позвонить.
