Ваш антивирус ищет хэши, а нужно – привычки. Почему классическая защита больше не справляется
NewsMakerСпециалисты призвали изменить подход к защите данных из-за типизации атак.
Кажется, что каждый новый троян или стилер — это отдельная история со своим «почерком». Но специалисты Splunk Threat Research Team посмотрели на ситуацию шире и обнаружили неприятную закономерность. Многие популярные инфостилеры и RAT используют почти один и тот же набор приемов, а отличаются чаще деталями реализации, чем общей логикой атаки.
Команда Splunk изучила около 18 семейств вредоносов, часть из них наблюдалась в реальных атаках, часть подробно описана в публичных отчетах. Все это разложили по матрице MITRE ATT&CK , чтобы понять, какие тактики и техники повторяются чаще всего. Результат получился почти как «общий арсенал» для киберпреступников. Один и тот же набор шагов помогает закрепиться в системе, скрыться от защиты и вытащить данные.
Самой массовой техникой оказалась T1105, то есть загрузка дополнительных компонентов после заражения. По сути, это умение «докачать» следующий этап атаки, плагины или вспомогательные файлы. Сразу за ней идет сбор сведений о системе T1082. Вредоносы выясняют имя компьютера, версию Windows, параметры железа и другие детали, чтобы понять, куда они попали и как лучше действовать дальше. В исследовании отдельно отмечают и привычку общаться с управляющей инфраструктурой по веб-протоколам вроде HTTP T1071.001. Для защитников это означает простую вещь. Если строить обнаружение вокруг устойчивых техник, а не вокруг хэшей и разовых индикаторов, можно перекрыть сразу много разных семейств.
Дальше начинается самое интересное, потому что на практике важно не только «что делают», но и «как именно». Например, часть семейств использует WMI для сбора информации о системе и отправляет эти данные на C2 как часть «маячка». Другой популярный прием связан со сбором сетевых данных жертвы. Несколько семейств получают внешний IP и геолокацию, обращаясь к легитимным сервисам определения IP-адреса. Это помогает операторам отличать жертв друг от друга и выбирать приоритеты.
Кажется, что каждый новый троян или стилер — это отдельная история со своим «почерком». Но специалисты Splunk Threat Research Team посмотрели на ситуацию шире и обнаружили неприятную закономерность. Многие популярные инфостилеры и RAT используют почти один и тот же набор приемов, а отличаются чаще деталями реализации, чем общей логикой атаки.
Команда Splunk изучила около 18 семейств вредоносов, часть из них наблюдалась в реальных атаках, часть подробно описана в публичных отчетах. Все это разложили по матрице MITRE ATT&CK , чтобы понять, какие тактики и техники повторяются чаще всего. Результат получился почти как «общий арсенал» для киберпреступников. Один и тот же набор шагов помогает закрепиться в системе, скрыться от защиты и вытащить данные.
Самой массовой техникой оказалась T1105, то есть загрузка дополнительных компонентов после заражения. По сути, это умение «докачать» следующий этап атаки, плагины или вспомогательные файлы. Сразу за ней идет сбор сведений о системе T1082. Вредоносы выясняют имя компьютера, версию Windows, параметры железа и другие детали, чтобы понять, куда они попали и как лучше действовать дальше. В исследовании отдельно отмечают и привычку общаться с управляющей инфраструктурой по веб-протоколам вроде HTTP T1071.001. Для защитников это означает простую вещь. Если строить обнаружение вокруг устойчивых техник, а не вокруг хэшей и разовых индикаторов, можно перекрыть сразу много разных семейств.
Дальше начинается самое интересное, потому что на практике важно не только «что делают», но и «как именно». Например, часть семейств использует WMI для сбора информации о системе и отправляет эти данные на C2 как часть «маячка». Другой популярный прием связан со сбором сетевых данных жертвы. Несколько семейств получают внешний IP и геолокацию, обращаясь к легитимным сервисам определения IP-адреса. Это помогает операторам отличать жертв друг от друга и выбирать приоритеты.