Wykorzystanie IoB przez Cybereason
IoB – Indicators of Behavior to sygnał złośliwego zachowania, a jego wykrycie pozwala zareagować na trwający bądź rozpoczynający się atak szybciej niż stosowane dotąd IoC – Indicator of Compromise – wskaźnik naruszenia bezpieczeństwa. Wspomnianą koncepcję opisywaliśmy już przy okazji artykułu o podejściu do ochrony danych firmy Forcepoint. Z kolei Cyberason stosuje ją w swoim rozwiązaniu XDR… i o tym będzie dzisiejszy artykuł.
W dalszym ciągu większość informacji o zagrożeniach jest udostępniana jako wskaźniki naruszenia bezpieczeństwa (IOC) lub artefakty w systemie lub sieci, które sygnalizują złośliwą aktywność. IoC to odciski palców pozostawione na miejscu zbrodni po cyberataku. Są to dane statyczne i często są identyfikowane jako skróty plików, adresy IP, nazwy domen lub inne informacje w środowisku.
Przykładowy IoC to np.: Złośliwy adres IP: 100.35.197.249
IOC pomagają:
- identyfikować i zapobiegać atakom przeciwnika na podstawie unikalnej sygnatury złośliwego oprogramowania, serwera C2 lub innych narzędzi, z których mogą korzystać osoby atakujące.
- przy zapobieganiu znanemu złośliwemu oprogramowaniu
Jednak w czasach gdy ponad 350 000 nowych szczepów złośliwego oprogramowania jest wykrywanych każdego dnia, a ataki bezplikowego złośliwego oprogramowania (czy chodzi o skrypty czy tzw. Living-off-land) stają się coraz częstsze. Indicators of Compromise nie są już innowacyjną ani wystarczającą samodzielną metodą obrony.
Z drugiej strony mamy wspomniane wskaźniki zachowania (IOB), które opisują podejście, jakie przyjmuje atak. IOB są świadkami na miejscu zbrodni cyberataku. Niekoniecznie widzieli twarze przeciwników, ale widzieli, co zrobił przeciwnik. IOB to zestaw zachowań, niezależny od narzędzi lub artefaktów, które opisują atak i mogą być bardzo przydatne podczas tworzenia AEP (Advanced Endpoint Protection) i symulacji ataku.
Przykładowy IOB wysokiego poziomu to np.:
- Wstępny dostęp przez załącznik phishingowy z dołączonym złośliwym dokumentem Microsoft Word.
- Kolejne payloads pobierane przez złośliwe makro w dokumencie programu Word wykonujące polecenia w celu wykorzystania PowerShell i utworzenia trwałości za pomocą zaplanowanego zadania (scheduled task).
IOB jako konkretny element analizy zagrożeń wygląda tak:
- T1193 Spear phishing Attachment (Microsoft Word) -> Proces powłoki T1093 (PowerShell) -> Połączenie zewnętrzne T1407 -> Proces potomny T1053 (Tworzenie zaplanowanego zadania)
Aby nie twierdzić iż to lek na całe zło musimy podkreślić, że IOB mogą się różnić: niektóre będą szczegółowe w zakresie opisu procedury, podczas gdy inne będą bardziej ogólne na poziomie techniki. W przypadku działań blue teaming powyższy IOB można łatwo przekształcić w wyszukiwanie, które wygląda mniej więcej tak:
- Zidentyfikuj wszystkie wykonania programu Microsoft Word, w których program Word tworzy proces podrzędny programu PowerShell, który łączy się z Internetem i wykonuje inną powłokę (CMD lub PowerShell) lub plik binarny, który jest niepodpisany i pobrany z Internetu.
Dodatkowo, korzystając z technik takich jak dopasowanie na podstawie analizy historycznej, możesz cofnąć się w czasie i wykorzystać bieżące informacje o zagrożeniach, aby ocenić swoje przeszłe środowisko pod kątem ataków, których dotąd nie brałeś pod uwagę.