В современном мире все, кто так или иначе работает с данными об угрозах, регулярно сталкиваются с широким спектром нейминга вредоносных активностей. В каких-то случаях это просто вердикт антивирусного продукта для конкретного вредоноса, в других — имена целых кластеров и групп, стоящих за сложными целевыми атаками на протяжении многих лет.
Каждый вендор ИБ зачастую вводит свои собственные наименования уже известных активностей. Нередко это объясняют маркетинговыми причинами - мол, таким образом он пытается выделиться среди других. Однако в уникальный нейминг группировок заложен (должен быть заложен) прежде всего утилитарный смысл. Когда исследователи обнаруживают неизвестную вредоносную кампанию и относят ее к новой группе X, только им одним известно, где начинаются активности группы X и где они заканчиваются. При появлении каких-то новых индикаторов, только в их компетенции атрибутировать новую активность к той же группе, так как только они знают изначальный смысл, вкладываемый в наименование кластера Х. Это может быть обозначение конкретной организации, стоящей за обнаруженными атаками и использующей совершенно разное ВПО, а может быть обозначение ее отдельной структуры или даже нескольких атак, проведенных одним злоумышленником с переиспользованием сетевой инфраструктуры. Для сообщества эти тайные смыслы, как правило, неочевидны, так как далеко не все исследователи придерживаются принципов таксономии, то есть строгой классификации и систематизации вредоносной активности, отражаемых в том числе и в нейминге. Чаще названия возникают спонтанно и скорее демонстрируют эмоциональное восприятие аналитиками тех или иных аспектов деятельности злоумышленников.
Кроме того, иногда ИБ-провайдеры не готовы публично делиться чувствительными деталями атрибуции, поскольку такие детали, например, могут составлять коммерческую тайну. Это еще больше усложняет попытки сообщества построить связи новых индикаторов с группой Х. Именно поэтому нужно проявлять осторожность при атрибуции к группе, обозначенной другими исследователями, и уместнее всего в этом случае говорить о конкретных пересечениях и сходстве разных вредоносных операций.
Неправильная атрибуция вредоносной атаки к группировке в лучшем случае может привести к путанице в головах специалистов по защите организаций, в худшем – к неправильным выводам и принятию неточных и неадекватных мер по защите инфраструктуры от конкретных группировок.
Исходя из этого, для ИБ-провайдера своя собственная таксономия вредоносных активностей — это не маркетинговое излишество, а технический инструмент дифференциации группировок и операций, который необходим для грамотной организации данных об угрозах и доставки их до клиента и сообщества в целом.
Сегодня мы расскажем о своей концепции классификации и наименования киберугроз, которой придерживаемся в наших исследованиях еще с конца 2023 года.
Таксономия 4RAYS
Эксперты центра исследования киберугроз Solar 4RAYS непрерывно получают и анализируют потоки данных об атаках, поступающие с наших продуктовых сенсоров и в рамках расследования инцидентов. Данные агрегируются на стороне нашей инфраструктуры и анализируются как автоматически, так и силами аналитиков для последующего обновления баз наших продуктов и уведомления клиентов об актуальных угрозах.
Чтобы помочь нашим клиентам упорядочить предоставляемые знания об угрозах, мы разработали свою концепцию таксономии и нейминга, основанного на переплетении образов из астрономии и мифологии. Следуя этой концепции, мы сможем предоставлять данные о киберугрозах в организованном, запоминающемся и легко узнаваемом виде. В данный момент мы активно наращиваем нашу продуктовую линейку и использование единообразной таксономии, синхронизированной между всеми элементами нашей экосистемы, поможет ИБ-инженерам без труда ориентироваться в бесчисленном разнообразии актуальных угроз.
Для обозначения APT-группировок (профессионалов, действующих обычно в интересах какого-либо государства) мы подробно изучили мифологию разных регионов и выбрали характерных для них персонажей. Например, Zmiy (змий) часто встречается в восточно-европейской мифологии, и именно поэтому мы используем этого монстра для обозначения деятельности групп, предположительно происходящих из этого региона. Mogwai (или дьявол) “родом” из Азии, потому именно это имя мы берем для обозначения деятельности восточно-азиатских группировок.
Для не-APT-кластеров, преследующих другие цели, в качестве дифференциатора выступает не регион происхождения, а мотивация атакующих. Например, киберкриминальные группировки мы называем Trickster (мифический персонаж, который обычно совершает какие-то аморальные и противоправные поступки). Таблица ниже демонстрирует конкретные примеры нашего нейминга, и будет дополняться нами по мере введения новых категорий.
|
Категория |
Имя категории |
|---|---|
|
APT: Восточная Азия |
Mogwai |
|
APT: Восточная Европа |
Zmiy |
|
Киберкриминал |
Trickster |
|
Хактивисты |
Zealot |
Чтобы дифференцировать разные группы внутри одной категории, мы используем прилагательные, характеризующие отдельно взятую группу. Прилагательные мы выбираем, опираясь на нашу оценку выдающихся характеристик конкретных групп. Например, мы выбрали прилагательное Obstinate (упрямый, настырный) для Obstinate Mogwai, потому что в одном из расследований мы видели, как группировка упорно возвращалась в атакованную сеть, несмотря на то, что раз за разом мы обнаруживали ее и выкидывали. Группировка Shedding Zmiy получила своё прилагательное (линяющий, сбрасывающий кожу), поскольку в ходе расследования ее деятельности, мы видели, как для каждой новой атаки они чуть ли не полностью меняли набор используемых тактик и инструментов – словно змеи, меняющие кожу.
|
Имя категории |
Имя отдельной группы из категории |
|---|---|
|
Mogwai |
Obstinate Mogwai |
|
Zmiy |
Shedding Zmiy |
Кроме того, далеко не всегда можно сразу выстроить полный профайл атакующей группы. Чаще всего он формируется на основе анализа нескольких волн вредоносных кампаний, детально разобранных и атрибутированных к одной и той же группе злоумышленников. Поэтому для обозначения первичных кластеров, которые мы пока не можем отнести к определенному профайлу злоумышленников, мы используем акроним NGC с уникальной комбинацией из четырех цифр (подобно тому, как это делают Mandiant и Microsoft). В астрономии NGC – New General Catalogue – каталог объектов глубокого космоса (галактики, туманности, звездные скопления и т.д.). В нашей интерпретации NGC — New Generic Cluster.
|
Имя категории |
Имя отдельной группы из категории |
|---|---|
|
NGC |
NGC1050 |
|
NGC2180 |
Как мы писали выше, другие ИБ-провайдеры зачастую используют свою систему нейминга, поэтому при наличии четких пересечений между исследуемыми нами активностями и уже известными под другими именами, мы будем стараться приводить конкретное сходство с конкретной группой. Характерный пример тут — снова группировка Shedding Zmiy. В ходе расследования мы обнаружили множество сходств и пересечений с другой известной группой – exCobalt, однако Shedding Zmiy применял множество инструментов и тактик, которые ранее не относились к exCobalt. По совокупности этих причин мы выделили Змия в отдельную группу.
Жизненный цикл профиля группы
Как это часто бывает, оперируя всего несколькими первоначальными сэмплами, мы не можем сразу определить полный профиль атакующих. Он состоит из множества атрибутов, таких как регион происхождения, цели атаки, технический уровень подготовки, основная мотивация и т.д. Как правило, такую информацию можно собрать проанализировав несколько атак группировки, используемый инструментарий и инфраструктуру, а также определив интересы злоумышленников и их конкретных жертв. До этого момента мы пользуемся NGC-неймингом. Но, как только у нас накапливается достаточно данных о группе, мы выделяем ее в отдельный профиль с новым именем, который замещает ранее созданный NGC-кластер.
Мы заинтересованы в постоянной трансформации NGC-кластеров в полноценные профили группировок, но к сожалению, это задача не всегда решаема, и порой “временные” NGC-имена остаются таковыми навсегда. Возможно, это была единичная активность, или она слишком оторвана от основных активностей группы, или проблема в отсутствии у нас дополнительного контекста, проливающего свет на полный профиль — причин может быть много. Со своей стороны мы приложим максимум усилий для минимизации количества таких групп путем анализа всех поступающих к нам данных об угрозах, но также призываем и все ИБ-сообщество делиться своим видением таких кластеров.
Исследования в рамках новой таксономии
Как отмечалось ранее, мы следуем разработанной таксономии уже некоторое время и опубликовали несколько публичных исследований с использованием нового нейминга.
- Группировка NGC2180 шпионит за целями высокого ранга, используя имплант DFKRAT. Статья о целевых атаках пока что неатрибуцированного кластера, который мы обозначили как NGC2180. В кампании использовалась скомпрометированная инфраструктура Национального центра научных исследований в Греции.
- Десериализация VIEWSTATE: как “недозакрытая” уязвимость играет на руку проправительственным группировкам. История об использовании уязвимости десериализации в APT-атаках, которые мы относим к группе Obstinate Mogwai.
- Распутываем змеиный клубок: по следам атак Shedding Zmiy. Комплексное исследование сразу нескольких целевых атак, которые нам удалось связать между собой и атрибутировать к группе Shedding Zmiy.