2017-12-11

IOC is dead: Lazarus, Autumn 2017

Czy wskaźniki kompromitacji to przeszłość?

Zaczniemy od tego co najpopularniejsze by w końcu pokazać najbardziej wartościowe informacje, które mogą nieść IOC (ang. Indicator of Compromise).

IOC powiązane z grupą Lazarus (upolowane przez White Cat Security)
Powyższy zrzut IOC (wersja tekstowa znajduje się tutaj) prawdopodobnie różni się od tego co można znaleźć w popularnych oraz płatnych żródłach IOC, dlatego śpieszę wytłumaczyć kolejne kolumny oraz jak czytać takie zestawienie.


  • Kill Chain Phase - jest to faza ataku, z którą powiązany jest dany IOC. Ma pozwolić określić stopień zaawansowania ataku, a tym samym może on zostać użyty do nadawania priorytetu alarmu wywołanego odnalezieniem IOC w organizacji. Faza Instalacji lub komunikacji z serwerami Command&Control powinna wzbudzić większe zainteresowanie niż np. faza Rekonesansu
  • Impact - wskazuje potencjał narzędzia skojarzonego z IOC, w tym przypadku jest to możliwość  m.in. wysyłania danych do serwera C2, wg przyjętej nomenklatury - Eksfiltracja
  • tool (hash: md5/sha1/sha256) - hash próbek, z którymi skojarzony jest dany IOC wraz z informacją o tym za pomocą którego algorytmu wyliczono hash. Preferujemy by był podany hash wyliczony z pomocą wszystkich trzech algorytmów, ponieważ w różnych systemach bezpieczeństwa mamy czasem różne możliwości aplikowania IOC. Zdarza się, że udostępniane na rynku IOC w postaci hashy plików, są wyliczane wyłącznie z pomocą algorytmy sha256 bez udostępniania próbki, co często ma wymiar wyłącznie PR'owy, gdyż stosunkowo mało narzędzi pozwala aplikować IOC w tej formie hasha. Nasza rekomendacja jest następująca: jeśli nie chcesz udostępniać próbki, udostępnij jej hash wyliczony za pomocą wszystkich trzech algorytmów. Ironia losu, natomiast w tym zestawieniu, całkiem realnym, nie możemy udostępnić skrótów tych próbek ani próbek - życie.
  • tool (type) - typ narzędzia powiązanego z IOC ma podpowiedzieć do czego służy. Z jednej strony można by pomyśleć, że już opis fazy ataku (Kill Chain Phase) oraz jego potencjalnego wpływu (Impact) to tłumaczy, natomiast z naszego doświadczenia, używanie sporo dłużej funkcjonującej nomenklatury pozwala uzupełnić opis i dać lepsze zrozumienie pojawienia się danego IOC w firmie
  • type (IP) - wskazuje do czego używany jest IP, w tym przypadku do C2 (Command&Control)
  • IOC type: IP - wskazuje na typ samego IOC (adres IP) oraz na wartość tego IP zarazem
  • date - wskazuje na dzień, w którym dany IOC występował w przyrodzie, w tym przypadku w adresacji IP dostępnej w sieci Internet

Czytając wiersz po wierszu możemy dojść do wniosków, że:

29 września 2017 roku, pod adresem IP 200.119.114.170, pojawił sie serwer służący do kontroli przejętego komputera z zainstalowanym oprogramowaniem typu backdoor, które pozwala na m.in. eksfiltrację (kradzież) danych

Co  możemy z tym zrobić dalej?

Przeszukać występowanie adresu IP 200.119.114.170 w zdarzeniach pozwalających wykryć komunikację z siecią Internet z dnia 29 września 2017 roku. Ewentualnie rozszerzyć okno czasowe o nie mniej niż 72h (3 dni) przed i po tej dacie - jest to dobra praktyka. Okres 1, w porywach do 7 dni, z którego trzeba przeszukać zdarzenia brzmią lepiej niż "zobacz za ostatni miesiąc albo... cokolwiek, nie wiem", kiedy nie wiemy w jakim okresie dany IOC miał znaczenie, prawda? 

Co jeśli nie mamy tak precyzyjnych danych?

Czas spróbować wzbogacić to co mamy do formy możliwie zbliżonej do tej, która został przedstawiona w tym artykule. Zamawiając lub wybierając dostawcę IOC, warto stawiać wymagania pozwalające efektywnie używać przekazywanych informacji. Wg White Cat Security najlepiej by "gołe" IOC w postaci np. adresów IP, były wzbogacone informacjami, które przedstawiliśmy w artykule. Mamy wtedy do czynienia już z wiedzą na temat zagrożenia, potrafimy ocenić jego krytyczność, a tym samym priorytet.

Korelacja

Korelacje czasowe pozwalają budować hipotezy, czasem pomagając zwiększyć ich prawdopodobieństwo. Poniżej obrazek, który podpowiada korelacje pomiędzy nim, a naszym przykładowym (choć realnym) zestawieniem IOC.

Źródło: http://baesystemsai.blogspot.co.uk/2017/10/taiwan-heist-lazarus-tools.html

Czy dostrzegasz korelację?

Podsumowanie

W tym artykule podsumowaliśmy jeden z przykładów jak efektywniej używać IOC oraz jakie informacje towarzyszące powinny zawierać źródła IOC. Są to przykłady nie wyczerpujące tematu. W White Cat Security nie jesteśmy największymi fanami IOC, natomiast jeśli ich używamy to z możliwie rozszerzonym kontekstem jak w tym artykule. O tym dlaczego preferujemy jeszcze inne podejście niż IOC można przeczytać w naszych innych artykułach (linki na samym dole).


Krótki oświadczenie

Arkusz kalkulacyjny (.xls) z IOC dotyczącymi kampanii grupy Lazarus/Bluenoroff, z przełomu roku 2016 i 2017, rozdawany za darmo przez White Cat Security każdej firmie, która się zgłosiła do nas, zawierał wyłącznie IOC zebrane ze źródeł typu OSINT. Jak tłumaczyłem podczas prezentacji w Katowicach (spotkanie ISACA Katowice), IOC w takiej formie są trudne do aplikowania, mogą zawierać błędy, czasem celowo prezentowane w danej postaci, nie są preferowane przez White Cat Security. Próba weryfikacji i rozszerzenia kontekstu zakończyła się sukcesem tylko w części przypadków. Oświadczenie to wydane jest w związku z nieprawdziwymi informacji powtarzanymi publicznie przez jednego z badaczy, który nigdy nie zapytał nas o zawartość ani kontekst przedmiotowych IOC. Nie powinien też mieć do nich dostępu gdyż on jak i jego pracodawca, nigdy się o nie do nas nie zwrócił. Wiemy, że grupa IP (o których wspomina badacz) oraz kilka domen (o których nie wspomina) jest błędnych w zestawieniu, natomiast nie ingerowaliśmy w to zestawienie by stanowiło ono lekcję o IOC - jak niskiej jakości krążą IOC w kontekście incydentu, który się wydarzył i dotknął m.in. sektor finansowy w Polsce.


Linki


Brak komentarzy:

Publikowanie komentarza