Em uma postagem anterior, analisamos um exemplo prático para entender como a atribuição de ameaças ajuda nas investigações de incidentes. Além disso, apresentamos o Kaspersky Threat Attribution Engine (KTAE), a nossa ferramenta usada para fazer uma estimativa sobre qual grupo APT específico pertence uma amostra de malware. Para fazer a demonstração, usamos o Portal do Kaspersky Threat Intelligence, uma ferramenta baseada na nuvem que fornece acesso ao KTAE como parte de nosso serviço abrangente de Análise de Ameaças, juntamente com uma sandbox e uma ferramenta de pesquisa de similaridade sem atribuição. As vantagens de um serviço em nuvem são óbvias: os clientes não precisam investir em hardware, instalar nada ou gerenciar qualquer software. No entanto, assim como indica a experiência do mundo real, a versão na nuvem de uma ferramenta de atribuição não é para todo mundo…

Primeiro, algumas organizações estão sujeitas a restrições regulatórias que proíbem estritamente que quaisquer dados saiam de seu perímetro interno. Para os analistas de segurança dessas empresas, o upload de arquivos para um serviço de terceiros está fora de questão. Em segundo lugar, algumas empresas empregam caçadores de ameaças hardcore que precisam de um kit de ferramentas mais flexível, ou seja, um kit que permita trabalhar com a própria pesquisa proprietária juntamente com a inteligência de ameaças da Kaspersky. É por isso que o KTAE está disponível em duas opções: uma versão baseada na nuvem e uma implementação no local.

Quais são as vantagens do KTAE local em relação à versão na nuvem?

Em primeiro lugar, a versão local do KTAE garante a permanência total da confidencialidade de uma investigação. Toda a análise ocorre diretamente na rede interna da organização. A fonte de inteligência de ameaças é um banco de dados implementado dentro do perímetro da empresa que contém indicadores exclusivos e dados de atribuição de cada amostra maliciosa conhecida por nossos especialistas. Além disso, ele também contém as características relativas aos arquivos legítimos para excluir detecções de falsos positivos. O banco de dados recebe atualizações regulares, mas opera em um sentido, ou sejam, nenhuma informação sai da rede do cliente.

Aliás, a versão local do KTAE oferece aos especialistas a capacidade de adicionar novos grupos de ameaças ao banco de dados para que sejam vinculados a amostras de malware que foram descobertas por conta própria. Isso significa que a atribuição subsequente de novos arquivos será responsável pelos dados adicionados por pesquisadores internos. Isso permite que os especialistas cataloguem seus próprios clusters de malware exclusivos, trabalhem com eles e identifiquem semelhanças.

Aqui está outra ferramenta especializada muito útil: nossa equipe desenvolveu um plug-in gratuito para o IDA Pro, um desmontador popular, para uso juntamente com a versão local do KTAE.

Qual é a finalidade de um plug-in de atribuição para um desmontador?

Para um analista de SOC que atua na triagem de alertas, atribuir um arquivo malicioso encontrado na infraestrutura é simples: basta que ele seja carregado no KTAE (nuvem ou local) para obter um veredito, como Manuscrypt (83%). Isso é suficiente para tomar as contramedidas adequadas em relação ao conjunto de ferramentas conhecido desse grupo e avaliar a situação geral. Um caçador de ameaças, no entanto, talvez não queira aceitar esse veredito pela aparência. Em um sentido alternativo, eles podem perguntar: “Quais fragmentos de código são exclusivos em todas as amostras de malware usadas por este grupo?” Então, nesse momento, usar um plug-in de atribuição para um desmontador pode ser uma boa ideia.

Dentro da interface do IDA Pro, o plug-in destaca os fragmentos de código desmontados e específicos que acionaram o algoritmo de atribuição. Isso permite não só o aprofundamento mais detalhado nas novas amostras de malware, mas também o refinamento das regras de atribuição em tempo real pelos pesquisadores. Assim, o algoritmo, e o próprio KTAE, continua evoluindo, tornando a atribuição mais precisa a cada execução.

Como configurar o plug-in

O plug-in é um script escrito em Python. Para executar o recurso, é necessário ter o IDA Pro. Infelizmente, ele não funcionará no IDA Free, pois não tem suporte para plug-ins Python. Se o Python ainda não tiver sido instalado, será necessário comprar o recurso, configurar as dependências (verifique o arquivo de requisitos em nosso repositório do GitHub) e garantir que as variáveis de ambiente do IDA Pro estejam apontando para as bibliotecas do Python.

Em seguida, será necessário inserir a URL de sua instância local do KTAE no corpo do script para fornecer o token de API (que está disponível comercialmente), assim como é feito no script de exemplo descrito na documentação do KTAE.

Por fim, basta simplesmente colocar o script na pasta de plug-ins do IDA Pro e iniciar o desmontador. Se isso for feito corretamente, depois de carregar e desmontar uma amostra, será possível ver a opção para iniciar o plug-in do Kaspersky Threat Attribution Engine (KTAE) em Editar → Plug-ins:

Como usar o plug-in

Quando o plugin é instalado, o seguinte ocorre nos bastidores: o arquivo atualmente carregado no IDA Pro é enviado via API para o serviço KTAE instalado localmente, no URL configurado no script. O serviço analisa o arquivo e os resultados da análise são enviados de volta ao IDA Pro.

Em uma rede local, o script geralmente termina o trabalho em questão de segundos (a duração depende da conexão com o servidor KTAE e do tamanho do arquivo analisado). Depois que o plug-in for encerrado, um pesquisador poderá começar a investigação nos fragmentos de código destacados. Um clique duplo leva diretamente à seção pertinente na montagem ou no código binário (exibição Hex) para análise. Esses pontos de dados extras facilitam a identificação de blocos de código compartilhados e o rastreamento de alterações em um kit de ferramentas de malware.

Para saber mais detalhes sobre o Kaspersky Threat Attribution Engine, e como implementar o recurso, consulte a documentação oficial do produto. E para organizar um projeto de demonstração ou piloto, preencha o formulário no site da Kaspersky.

Nem todo profissional de segurança cibernética acha que vale a pena o esforço para descobrir exatamente quem é o responsável pelo malware que atinge a sua empresa. O algoritmo típico de investigação de incidentes segue este fluxo: o analista encontra um arquivo suspeito → se o antivírus não o detecta, ele o executa em um sandbox → confirma atividade maliciosa → adiciona o hash à lista de bloqueio → faz uma pausa para o café. Essas são as etapas principais adotadas por muitos profissionais de segurança cibernética, especialmente quando estão sobrecarregados com alertas ou não têm as habilidades forenses necessárias para desvendar um ataque complexo passo a passo. No entanto, ao lidar com um ataque direcionado, essa abordagem inevitavelmente leva a um desastre, e aqui está o motivo.

Se um invasor estiver jogando para valer, ele raramente se apegará a um único vetor de ataque. Há uma boa chance de que o arquivo malicioso já tenha cumprido seu papel em um ataque em várias etapas e hoje seja praticamente inútil para o invasor, que já avançou na infraestrutura corporativa e passou a operar com um conjunto completamente diferente de ferramentas. Para eliminar a ameaça de uma vez por todas, a equipe de segurança precisa detectar e neutralizar toda a cadeia de ataque.

Mas como isso pode ser feito de forma rápida e eficaz antes que os invasores consigam causar algum dano real? Uma maneira é analisar o contexto a fundo. Ao analisar um único arquivo, um especialista pode identificar com precisão o grupo que está atacando a empresa, entender rapidamente as ferramentas e táticas que ele utiliza e, em seguida, varrer a infraestrutura em busca de ameaças relacionadas. Existem muitas ferramentas de inteligência de ameaças disponíveis para isso, mas mostrarei como isso funciona usando nosso Portal do Kaspersky Threat Intelligence.

Um exemplo prático da importância da atribuição

Vamos supor que carregamos um malware descoberto em um portal de inteligência de ameaças e detectamos que ele geralmente é usado, digamos, pelo grupo MysterySnail. O que isso realmente significa? Vejamos as informações disponíveis:

Em primeiro lugar, esses invasores têm como alvo instituições governamentais na Rússia e na Mongólia. Trata-se de um grupo chinês que normalmente se concentra em espionagem. De acordo com o seu perfil, eles se estabelecem em uma infraestrutura e permanecem escondidos até encontrarem algo que valha a pena roubar. Também sabemos que eles normalmente exploram a vulnerabilidade CVE-2021-40449. Que tipo de vulnerabilidade é essa?

Como podemos ver, esta é uma vulnerabilidade de escalonamento de privilégios, o que significa que ela é usada depois que os hackers já se infiltraram em uma infraestrutura. Essa vulnerabilidade tem uma classificação de gravidade alta e é muito explorada por aí. Então, qual software é realmente vulnerável?

Já sei: o Microsoft Windows. Hora de verificar novamente se o patch que corrige essa vulnerabilidade foi realmente instalado. Muito bem. Além da vulnerabilidade, o que mais sabemos sobre os hackers? Descobrimos que eles têm uma maneira peculiar de verificar as configurações de rede: eles se conectam ao site público 2ip.ru:

Portanto, faz sentido adicionar uma regra de correlação ao SIEM para sinalizar esse tipo de comportamento.

Agora é hora de estudar esse grupo mais a fundo e reunir indicadores adicionais de comprometimento (IoCs) para o monitoramento SIEM, bem como regras YARA prontas para uso (descrições de texto estruturadas usadas para identificar malware). Isso nos ajudará a rastrear todos os tentáculos desse kraken que podem já ter se infiltrado em uma infraestrutura corporativa e garantir que possamos interceptá-los rapidamente se eles tentarem uma nova invasão.

O Portal do Kaspersky Threat Intelligence fornece vários relatórios adicionais sobre ataques do MysterySnail, cada um contendo uma lista de IoCs e regras YARA. As regras YARA podem ser usadas para verificar todos os terminais e os IoCs podem ser adicionados ao SIEM para um monitoramento constante. Vamos verificar os relatórios para ver como esses invasores lidam com a exfiltração de dados e que tipo de dados eles geralmente buscam. Agora podemos realmente tomar medidas para impedir o ataque.

E assim, MysterySnail, a infraestrutura agora está ajustada para encontrar você e fornecer uma resposta imediata. Chega de espionagem!

Métodos de atribuição de malware

Antes de abordar métodos específicos, é preciso esclarecer um ponto: para que a atribuição funcione de fato, a inteligência de ameaças precisa se basear em um conhecimento amplo e profundo das táticas, técnicas e procedimentos (TTPs) usados por agentes de ameaças. O escopo e a qualidade desses bancos de dados podem variar bastante entre os fornecedores. No nosso caso, antes mesmo da criação da ferramenta, passamos anos rastreando grupos conhecidos em diversas campanhas e registrando seus TTPs, e seguimos atualizando esse banco de dados até hoje.

Com um banco de dados TTP instalado, os seguintes métodos de atribuição podem ser implementados:

1. Atribuição dinâmica: identificar TTPs através da análise dinâmica de arquivos específicos e, em seguida, fazer a referência cruzada desse conjunto de TTPs com aqueles de grupos de hackers conhecidos
2. Atribuição técnica: encontrar sobreposições de códigos entre arquivos específicos e fragmentos de código conhecidos por serem usados por grupos específicos de hackers no malware deles

Atribuição dinâmica

A identificação de TTPs durante a análise dinâmica é relativamente simples de implementar; de fato, essa funcionalidade já faz parte dos sandboxes modernos há bastante tempo. Naturalmente, todos os nossos sandboxes também identificam TTPs durante a análise dinâmica de uma amostra de malware:

O foco desse método está em categorizar a atividade do malware usando a estrutura MITRE ATT&CK. Um relatório de sandbox normalmente contém uma lista de TTPs detectados. Embora esses dados sejam muito úteis, eles não são suficientes para fazer uma atribuição completa a um grupo específico. Tentar identificar os perpetradores de um ataque usando apenas esse método é muito parecido com a antiga parábola indiana dos cegos e do elefante, em que pessoas com os olhos vendados tocam partes diferentes de um elefante e tentam adivinhar o que está na frente delas. Aquele que toca a tromba pensa que é uma píton; aquele que toca o flanco tem certeza de que é uma parede, e assim por diante.

Atribuição técnica

O segundo método de atribuição ocorre por meio da análise estática de código (embora tenha em mente que esse tipo de atribuição é sempre problemático). A ideia principal aqui é agrupar até mesmo arquivos de malware ligeiramente sobrepostos com base em características exclusivas específicas. Antes que a análise possa começar, a amostra de malware deve ser desmontada. O problema é que, juntamente com os bits informativos e úteis, o código recuperado contém muito ruído. Se o algoritmo de atribuição considerar esse lixo não informativo, qualquer amostra de malware acabará se parecendo com um grande número de arquivos legítimos, impossibilitando a atribuição de qualidade. Por outro lado, tentar atribuir malware apenas com base em fragmentos úteis enquanto se usa um método matemático primitivo resultará em um aumento acentuado da taxa de falsos positivos. Além disso, qualquer resultado de atribuição deve ser verificado quanto a semelhanças com arquivos legítimos, e a qualidade dessa verificação geralmente depende muito dos recursos técnicos do fornecedor.

A abordagem da Kaspersky com relação à atribuição

Nossos produtos utilizam um banco de dados exclusivo de malware associado a grupos específicos de hackers, construído ao longo de mais de 25 anos. Além disso, usamos um algoritmo de atribuição patenteado com base na análise estática de códigos desmontados. Isso nos permite determinar com alta precisão, e até mesmo uma porcentagem de probabilidade específica, o quanto um arquivo analisado se assemelha às amostras conhecidas de um grupo específico. Dessa forma, podemos formar um veredicto bem fundamentado que atribui o malware a um agente de ameaça específico. Os resultados são então cruzados com um banco de dados de bilhões de arquivos legítimos para filtrar falsos positivos; se uma correspondência for encontrada com qualquer um deles, o veredicto de atribuição é ajustado de acordo. Essa abordagem é a base do Kaspersky Threat Attribution Engine, que mantém o serviço de atribuição de ameaças em funcionamento no Portal do Kaspersky Threat Intelligence.