روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  همه‌ی متخصصان امنیت سایبری معتقد نیستند که صرف وقت برای فهمیدن دست‌های پشت پرده‌ی بدافزاری که شرکتشان را هدف قرار داده، ارزش دارد. روند معمول بررسی یک رخداد امنیتی معمولاً چیزی شبیه این است: تحلیلگر یک فایل مشکوک پیدا می‌کند → اگر آنتی‌ویروس آن را شناسایی نکرده باشد، فایل را برای آزمایش به یک محیط ایزوله می‌فرستد → وجود رفتار مخرب تأیید می‌شود → هش فایل به فهرست مسدودسازی اضافه می‌شود → و بعد نوبت استراحت و نوشیدن قهوه است. این مراحل، روش رایج بسیاری از متخصصان امنیت سایبری است؛ به‌ویژه زمانی که با حجم زیادی از هشدارها روبه‌رو هستند یا مهارت‌های تخصصی لازم برای بررسی دقیق یک حملهٔ پیچیده را ندارند. اما وقتی پای یک حمله هدفمند در میان باشد، این رویکرد می‌تواند بسیار خطرناک باشد؛ و دلیل آن این است:

اگر مهاجم واقعاً قصد جدی داشته باشد، معمولاً به یک روش یا ابزار حمله بسنده نمی‌کند. به احتمال زیاد، فایل مخرب موردنظر قبلاً نقش خود را در یک حملهٔ چندمرحله‌ای انجام داده و حالا دیگر ارزش چندانی برای مهاجم ندارد. در همین حال، مهاجم ممکن است به بخش‌های عمیق‌تری از زیرساخت سازمان نفوذ کرده باشد و با مجموعه‌ای کاملاً متفاوت از ابزارها و روش‌ها به فعالیت خود ادامه دهد. برای از بین بردن کامل تهدید، تیم امنیتی باید کل زنجیره‌ی حمله را شناسایی و خنثی کند.

اما این کار چگونه می‌تواند به‌سرعت و به‌طور مؤثر انجام شود، پیش از آن‌که مهاجمان خسارت جدی وارد کنند؟ یکی از راه‌ها، بررسی دقیق زمینه و بستر حمله است. با تحلیل حتی یک فایل، یک کارشناس می‌تواند مشخص کند دقیقاً چه کسی در حال حمله به سازمان است، بفهمد آن گروه معمولاً از چه ابزارها و روش‌هایی استفاده می‌کند، و سپس کل زیرساخت را برای یافتن تهدیدهای مرتبط بررسی کند. ابزارهای متعددی در حوزهٔ هوش تهدید برای این کار وجود دارد، اما در ادامه نشان می‌دهم که این فرایند چگونه با استفاده از پورتال هوش تهدید کسپرسکی انجام می‌شود.

نمونه‌ی عملی از اینکه چرا نسبت‌دهی اهمیت دارد

فرض کنید یک نمونه بدافزار که به‌تازگی کشف کرده‌ایم را در یک پورتال هوش تهدید بارگذاری می‌کنیم و متوجه می‌شویم که این بدافزار معمولاً توسط گروهی به نام MysterySnail استفاده می‌شود. اول از همه، می‌دانیم که این مهاجمان نهادهای دولتی در روسیه و مغولستان را هدف قرار می‌دهند. آن‌ها یک گروه چینی‌زبان هستند که تمرکز اصلی‌شان بر جاسوسی است. طبق اطلاعات موجود، این گروه ابتدا جای پایی در زیرساخت سازمان ایجاد می‌کند و سپس برای مدتی بدون جلب توجه باقی می‌ماند تا زمانی که به داده‌های ارزشمند دست پیدا کند. همچنین می‌دانیم که آن‌ها معمولاً از آسیب‌پذیری CVE-2021-40449  سوءاستفاده می‌کنند. این آسیب‌پذیری از چه نوعی است؟ همان‌طور که می‌بینیم، این یک آسیب‌پذیری در حوزه افزایش سطح دسترسی است؛ یعنی پس از آن مورد استفاده قرار می‌گیرد که مهاجمان از قبل وارد زیرساخت شده باشند. این آسیب‌پذیری شدت بالایی دارد و به‌طور گسترده در حملات واقعی مورد بهره‌برداری قرار می‌گیرد. حالا کدام نرم‌افزار در برابر آن آسیب‌پذیر است؟ پاسخ مشخص است:سیستم‌عامل ویندوز مایکروسافت.بنابراین لازم است بررسی کنیم که آیا پچ امنیتی مربوط به این نقص واقعاً نصب شده است یا خیر. حالا جدا از این آسیب‌پذیری، چه اطلاعات دیگری درباره این مهاجمان داریم؟ مشخص می‌شود که آن‌ها روش خاصی برای بررسی تنظیمات شبکه دارند و با وب‌سایت عمومی2ip.ru  ارتباط برقرار می‌کنند.

در نتیجه، منطقی است که یک قانون همبستگی در سامانه SIEM تعریف شود تا چنین رفتاری شناسایی و علامت‌گذاری شود. اکنون زمان آن است که اطلاعات بیشتری دربارهٔ این گروه جمع‌آوری کنیم و شاخص‌های نفوذ (IoC) بیشتری برای پایش در SIEM به دست آوریم، همچنین قوانین آمادهYARA را تهیه کنیم؛ قوانینی که توصیف‌های ساختاریافته‌ی متنی برای شناسایی بدافزار هستند. این کار کمک می‌کند تمام بخش‌هایی از این تهدید که ممکن است از قبل وارد زیرساخت سازمان شده باشند شناسایی و اگر دوباره قصد نفوذ داشتند، سریعاً جلوی آن‌ها گرفته شود.

پورتال هوش تهدید کسپرسکی گزارش‌های متعددی درباره‌ی حملات گروه MysterySnail ارائه می‌دهد که هرکدام شامل فهرستی از IoCها و قوانین YARA هستند. این قوانین YARA را می‌توان برای اسکن تمام نقاط پایانی استفاده کرد و IoCها را به SIEM افزود تا به‌صورت مداوم پایش شوند. همچنین می‌توان گزارش‌ها را بررسی کرد تا مشخص شود این مهاجمان چگونه داده‌ها را از سازمان خارج می‌کنند و معمولاً به دنبال چه نوع اطلاعاتی هستند. با این کار، می‌توان اقدامات پیشگیرانه‌ی مؤثری انجام داد. و به این ترتیب، MysterySnail  شناسایی می‌شود و زیرساخت برای کشف و واکنش سریع به فعالیت‌های آن آماده خواهد بود. دیگر خبری از جاسوسی نخواهد بود.

روش‌های نسبت‌دهی بدافزار

پیش از پرداختن به روش‌های مشخص، لازم است یک نکته مهم را روشن کنیم: برای اینکه نسبت‌دهی به‌درستی انجام شود، اطلاعات هوش تهدید باید بر پایه‌ی یک پایگاه دانشی گسترده از تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجمان( (TTPباشد. گستره و کیفیت این پایگاه‌های داده در میان ارائه‌دهندگان مختلف بسیار متفاوت است. در اینجا، پیش از آن‌که حتی ابزار خود را بسازیم، سال‌ها صرف شناسایی گروه‌های شناخته‌شده در کارزارهای مختلف و ثبتTTPهای آن‌ها کرده‌ایم و این پایگاه داده همچنان به‌طور فعال به‌روزرسانی می‌شود.

با در اختیار داشتن چنین پایگاه داده‌ای، می‌توان روش‌های زیر را برای نسبت‌دهی به کار گرفت:

• نسبت‌دهی پویا:شناساییTTPها از طریق تحلیل پویا روی فایل‌های مشخص و سپس مقایسهٔ آن‌ها با TTPهای گروه‌های هکری شناخته‌شده
• نسبت‌دهی فنی:یافتن شباهت‌ها و هم‌پوشانی‌های کد میان فایل‌های بررسی‌شده و بخش‌هایی از کدی که پیش‌تر در بدافزارهای گروه‌های خاص دیده شده است

نسبت‌دهی پویا

شناسایی TTPها در جریان تحلیل پویا، پیاده‌سازی نسبتاً ساده‌ای دارد و در واقع مدت‌هاست که به‌عنوان یکی از قابلیت‌های اصلی سندباکس‌های مدرن مورد استفاده قرار می‌گیرد.

هسته‌ی اصلی این روش بر دسته‌بندی فعالیت‌های بدافزار بر اساس چارچوب MITRE ATT&CK استوار است. گزارش یک سندباکس معمولاً فهرستی TTPهارا ارائه می‌دهد. این اطلاعات بسیار مفید هستند، اما به‌تنهایی برای نسبت دادن قطعی یک حمله به یک گروه خاص کافی نیستند. تلاش برای شناسایی عاملان حمله تنها با تکیه بر این روش، شبیه حکایت معروف فیل و نابینایان در هند باستان است؛ جایی که هر فرد نابینا تنها بخشی از فیل را لمس می‌کند و بر اساس همان بخش محدود، تصور متفاوتی از کل حیوان به دست می‌آورد. یکی که خرطوم را لمس کرده، فکر می‌کند با یک مار روبه‌روست و دیگری که به پهلوی فیل دست زده، آن را دیوار تصور می‌کند.

نسبت‌دهی فنی

روش دوم نسبت‌دهی، بر پایه‌ی تحلیل ایستای کد انجام می‌شود (البته باید توجه داشت که این نوع نسبت‌دهی همواره با چالش‌هایی همراه است). ایده‌ی اصلی این روش، گروه‌بندی نمونه‌های بدافزار حتی با شباهت‌های جزئی، بر اساس ویژگی‌های خاص و منحصربه‌فرد آن‌ها است. پیش از شروع تحلیل، نمونه‌ی بدافزار باید به کد قابل‌خواندن تبدیل شود. مشکل اینجاست که در کنار بخش‌های مفید و معنادار، حجم زیادی کد زائد و بی‌اهمیت نیز به دست می‌آید.

اگر الگوریتم نسبت‌دهی این داده‌های غیرمفید را هم در نظر بگیرد، تقریباً هر بدافزاری شبیه تعداد زیادی فایل سالم و قانونی به نظر خواهد رسید و در نتیجه، نسبت‌دهی دقیق عملاً غیرممکن می‌شود. از سوی دیگر، اگر تنها بر بخش‌های مفید کد تمرکز شود اما از روش‌های ساده و ابتدایی استفاده گردد، میزان خطای تشخیص به‌شدت افزایش پیدا می‌کند. علاوه بر این، هر نتیجهٔ نسبت‌دهی باید از نظر شباهت با فایل‌های سالم نیز بررسی شود و کیفیت این بررسی معمولاً وابستگی زیادی به توان فنی شرکت ارائه‌دهنده دارد.

رویکرد کسپرسکی در نسبت‌دهی

محصولات کسپرسکی از یک پایگاه داده منحصربه‌فرد از بدافزارهای مرتبط با گروه‌های هکری مشخص استفاده می‌کنند که طی بیش از ۲۵ سال گردآوری شده است. افزون بر این، از یک الگوریتم ثبت‌شده‌ی اختصاصی برای نسبت‌دهی بهره می‌بریم که بر اساس تحلیل ایستای کدهای تجزیه‌شده عمل می‌کند. این الگوریتم امکان می‌دهد با دقت بالا و حتی با ارائه‌ی یک درصد احتمال مشخص، میزان شباهت یک فایل بررسی‌شده با نمونه‌های شناخته‌شده‌ی یک گروه خاص تعیین شود. به این ترتیب، می‌توان با پشتوانه‌ی فنی قوی، بدافزار را به یک عامل تهدید مشخص نسبت داد. سپس نتایج به‌دست‌آمده با پایگاه داده‌ای شامل میلیاردها فایل سالم مقایسه می‌شوند تا خطاهای احتمالی حذف شوند؛ و اگر شباهتی با فایل‌های قانونی پیدا شود، نتیجه‌ی نسبت‌دهی اصلاح خواهد شد. این رویکرد، هسته اصلی موتور نسبت‌دهی تهدید کسپرسکی را تشکیل می‌دهد که سرویس نسبت‌دهی تهدید در پورتال هوش تهدید کسپرسکی را پشتیبانی می‌کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.