Меня зовут Анастасия Гаранжа, я аналитик центра мониторинга и реагирования на инциденты МТС RED SOC.

Недавно мы столкнулись с интересной атакой, которая еще раз показала, что эффективность выявления инцидентов кибербезопасности практически всегда зависит от экспертизы и скорости реакции аналитиков. Но автоматизация и даже ОСИНТ иногда они беспомощны, и такой случай может оказаться критическим.

Одним из основных и наиболее важных доказательств того, что мы имеем дело с инцидентом информационной безопасности, является срабатывание базы данных «Индикаторы компрометации» (IoC).

Основными индикаторами являются IP-адреса и хеши вредоносных файлов.

Эти IP-адреса идентифицируют:

  • Командные серверы

  • домены и сайты, с которых распространяются вредоносные файлы

  • адреса, с которых сканируются порты на наличие уязвимостей

Хэш файла — это уникальный идентификатор любого файла. Таким образом, хэш-триггер в базе данных IoC четко указывает на то, что объект является вредоносным.

База данных «Индикатор компрометации» обеспечивает основу для автоматизации обнаружения инцидентов информационной безопасности. При этом, если средство безопасности, например антивирус, сообщает об угрозе, но ее нет в базе данных IoC, расследование должен провести аналитик из команды SOC. Это необходимо сделать как можно быстрее — с одной стороны, скорость реагирования часто определяет, насколько компания в конечном итоге пострадает от атаки, а с другой стороны, у SOC есть сроки для предоставления информации об инциденте и рекомендации по реагированию, указанные в договоре. с клиентом.

Одним из основных инструментов аналитика при расследовании события информационной безопасности в любом SOC является поиск информации в открытых источниках – OSINT. Чаще всего мы обращаемся к следующим сайтам:

  • VirusTotal.com — сервис, работающий с 2004 года. Virus Total аккумулирует информацию о реакции различных антивирусов на тот или иной файл или ресурс. На данный момент Virus Total использует более 70 антивирусов от разных производителей. Но стоит учитывать, что информация от провайдеров не доходит до Virus Total мгновенно по разным причинам. Поэтому бывают ситуации, когда антивирусное ПО реагирует, но «Интернет по-прежнему пуст».

  • otx.alienvault.com — общедоступная база данных индикаторов компрометации, действующая с 2012 года. На основе данных, полученных от пользователей.

  • abuseipdb.com — общедоступная база данных «отзывов» об IP-адресах, основанная на отчетах пользователей.

ЧИТАТЬ   Лидеры ЕС на саммите в Брюсселе осудили разрушение Каховской ГЭС, но не назвали виновных

Инцидент

Все началось 10 января 2024 года, когда антивирус обнаружил в инфраструктуре клиента подозрительный файл C:\Windows\System32\fundapiext.dll с хеш-суммой 39C87D0ACF4B3BD569C385156CBBB4C6B92A36BB01337C616C6425F135428573.

Журнал детекций за 10 января 2024 г.

Журнал детекций за 10 января 2024 г.

На момент расследования в открытых источниках еще не было информации о файле с именемfundapiext.dll, равно как и упоминаний о таком хэше, а подпись UDS:Trojan.Win64.Agent.a носит слишком общий и расплывчатый характер и лишь сообщает нам, что найденное вредоносное ПО предназначено для 32- и 64-битных платформ Windows.

Дата первой загрузки этого файла в VirusTotal — 30 января 2024 года, однако некоторое время он оставался в «зеленом» статусе, поскольку информация от поставщиков еще не поступала. Данные о том, что этот файл является вредоносным, появились на VirusTotal только в конце февраля 2024 года, и то без подробностей о поведении и связях (вкладки «Отношения» и «Поведение»).

А информации об Alient Vault нет даже в конце апреля.

Дата поведенческого анализа дела по VT — 6 марта 2024 года.

Дата поведенческого анализа дела по VT — 6 марта 2024 года.

Статус файлаfundapiext.dll на otx.alienvault.com по состоянию на 25.04.2024

Статус файлаfundapiext.dll на otx.alienvault.com по состоянию на 25.04.2024

Итак, у нас есть файл, который антивирус считает подозрительным, но в открытых источниках о нем нет упоминаний. Ложная сигнализация?

Давайте начнем расследование

Если в такой ситуации оповещение оставить без внимания и закрыть как ложное срабатывание, SOC рискует пропустить реальный инцидент. Хотя на момент обнаружения информации об объекте в открытых источниках не было и файл не проявлял активности на хосте, мы понимали, что это не означает, что он безвреден. А ждать неделями, а то и месяцами появления информации в открытых источниках абсолютно нереально с точки зрения задач SOC. Поэтому мы начали расследование.

Обнаруженный файл Fundapiext.dll содержал в своих метаданных следующую информацию:

ЧИТАТЬ   Япония отозвала Хиросиму и Нагасаки в ООН, но не сказала, кто их бомбил.
Информация об авторстве файла

Информация об авторстве файла

Нет ничего тревожного; метаданные делают файл легитимным. Однако мы пошли немного дальше и, поискав информацию в открытых источниках, обнаружили, что библиотека cryptlib 3.4.3 устарела и больше не поддерживается. Также в метаданных мы нашли оригинальный файл библиотеки с точно таким же авторством — cl64.dll.

9de993e5967bbc07c30eda2672b3393e
Анализ исходного файла на Virus Total

Анализ исходного файла на Virus Total

Однако cl64.dll иfundapiext.dll имеют разные даты компиляции: 16.12.2015. оригинальный файл и 03.11.2022 — в предмет фальшивый.

Скорее всего, они попытались замаскировать вредоносную библиотеку под легальную библиотеку. На этом этапе стало довольно интересно, так что пора приступить к декомпиляции файла.

Мы копаем глубже

При обратном проектировании файла Fundapiext.dll аналитики MTS RED SOC и их коллеги из CICADA8 получили следующую информацию:

Для работы библиотекеfundapiext.dll необходим файл C:\ProgramData\Microsoft\Vault\cache871.db:

Обнаружен доступ к файлу кэш871.db

Обнаружен доступ к файлу кэш871.db

Это не похоже на поведение криптобиблиотеки. После прочтения файла он запускается деобфускация — «распутать» код.

А вот файл C:\ProgramData\Microsoft\Vault\cache871.db, в свою очередь, тесно связан с C:\Windows\System32\assocnet.inf:

Обнаружен доступ к файлу assocnet.inf

Обнаружен доступ к файлу assocnet.inf

INF — это файл конфигурации, содержащий домены C&C. К ним будет обращаться вредоносное ПО во время своей активности.

Декомпиляция файла assocnet.inf

Декомпиляция файла assocnet.inf

Таким образом, мы обнаружили следующий IoC:

Командные домены:

IP адрес:

  • 103.30.145[.]66

  • 222.165.255[.]196

  • 146.112.61[.]108

  • 14.63.166[.]22

Изучив IoC, извлеченные из открытых источников, наша команда обнаружила признаки компрометации, связанные с деятельностью под названием unc2970которая связана с северокорейской группой Lazarus Group (также известной как Hidden Cobra или Zinc).

Индикатор sede.lamarinadevalencia[.]com существует в AlienVault, но файл на клиентском хосте не проявлял активности. Это означает, что доступ IoC не был обнаружен в сетевом трафике этого хоста. Чтобы убедиться в принадлежности файла вредоносному ПО, необходимо было быстро декомпилировать найденный файл Fundapiext.dll.

ЧИТАТЬ   Создание DSL в Python с помощью библиотеки textx

При этом остальные извлеченные из файла IoC вообще не были обнаружены открытыми источниками. Например, вот результаты по доменам:

d38e6501a68266b66e380d856b26ef90
b7cee07aadb1c0f533f29d93d079a078
bd33fab80f8717d01f13180845981870
80ec5e23f1dcb75dceffee215e12d164

По IP-адресам даже в конце апреля ситуация такая же «зеленая».

Вывод по данному делу можно сделать следующий: информацию из открытых источников можно использовать при расследовании инцидентов, но нельзя полностью полагаться на нее для определения безопасности файла или ресурса.

В сообществах по информационной безопасности существует практика составления конкретных списков DLL-файлов, используемых хакерскими группами. А это, как показывает наш случай, отчасти и не нужно. Злоумышленники могут легко переименовать файл или внести другие незначительные изменения, чтобы изменить сумму хеш-функции.

Пример такого поста в популярном сообществе

Пример такого поста в популярном сообществе

Поэтому, если вы столкнулись с потенциально вредоносным файлом, отсутствие информации о нем в этих базах данных и других открытых источниках — не повод не беспокоиться. Мы советуем вам всегда анализировать файл самостоятельно. Только это поможет вам понять, с чем именно вы имеете дело.

Source

От admin