Atribuce bez legrace aneb Dám dělovou ránu. Bum, bum, bum, bum.

Snaha o atribuci útočníka v kyberprostoru je tady již od jeho samého počátku, ovšem ne vždy se nám to daří a ne vždy je možné bez jakékoliv pochybnosti formulovat jednoznačný závěr.

K identifikaci APT útoku resp. APT skupiny, která za ním stojí lze použít MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain nebo Diamond Model. Z použitých taktik, technik a postupů, zkr. TTPs. lze usuzovat, o koho by se mohlo jednat, resp. pro koho je takové chování typické.

Hned zkraje je také třeba říci, že zde jsou útoky, kde je útočníkům jedno, zda dojde k jejich atribuci, pak jsou zde útoky, ke kterým se určité skupiny samy hlásí a pak jsou zde PSYOPS operace pod cizí vlajkou. Ty se realizují tak, aby útok poukazoval na jinou APT skupinu. Což je celkem snadné, mimo jiné i proto, že TTPs jednotlivých skupin jsou veřejně známé a dostatečně dobře popsané.

APT útok může probíhat i po dobu několika měsíců a v rámci jednotlivých fází můžeme detekovat použité TTPs. Pokud máme nasazeno kvalitní EDR/XDR řešení, tak se naše šance, že útok detekujeme, zvyšuje a rovněž budeme mít i více informací k tomu, abychom mohli provést atribuci. Zamysleme se proto nad tím, jaké informace máme ohledně útoku k dispozici.

  • Útočník může preferovat určitý způsob získávání informací o cíli útoku, prozradit jej může specifické nastavení nástroje provádějícího skenování IP adres a portů.
  • Vzhledem k tomu, že útočník zpravidla realizuje útok z botnetu a kompromitované stroje využívá jako proxy servery, C&C servery a rovněž na ně kopíruje i zcizená data, nelze na základě IP adresy a geolokace přisoudit útok zemi, do které daný IP adresní rozsah spadá.
  • Zvolený vektor útoku – útočník může mít oblíbenou techniku např. v podobě spear phishingu, kterou opakovaně používá.
  • Útočník se může specializovat na zneužívání určitých slabin a známých nebo neznámých zranitelností.
  • Malware, exploit a payload se zpravidla dá koupit na internetu, takže si jej může pořídit každý, kdo zaplatí, ale pravda, některé exploity jsou mezi určitými APT skupinami oblíbenější a některé skupiny používají své vlastní.
  • Specifický způsob, jak si útočník zajištuje spuštění po restartu, vzdálený přístup a ukrývání se před bezpečnostními řešeními.
  • Způsob vzdáleného řízení a kontroly, jak a přes co komunikuje C&C server, jaký protokol, port je použit, jaký je fromát a obsah zpráv, zda a jak je komunikace šifrována.
  • Jak zakládá účty na napadeném systému, provádí eskalaci práv a získává hesla ostatních uživatelů.
  • Jak skenuje a prohledává napadený systém, na jaké informace se zaměřuje, jak skenuje okolní stroje v síti a jakým způsobem je kompromituje.
  • Jak probíhá exfiltrace dat, jaká technika je použita, zda jsou data enkódována, šifrována, komprimována, jaký je použit formát souboru.
  • Zda využívá možností samotného systému a již naistalovaných aplikací, aby unikal pozornosti (Living off the Land) nebo zavádí své vlastní knihovny, jak sestavuje kód malware, jak jej obfuskuje, jak je spouští.
  • Jaké konkrétní příkazy píše v příkazovém řádku, pokud třeba spouští skripty v powershellu nebo ve VBS, apod.
  • Jazyk domény, názvů adresářů, souborů, knihoven, proměnných, komentářů v kódu může naznačovat jaké národnosti byl programátor, který kód vytvořil, ovšem vzhledem k tomu, že s exploity se obchoduje jako s jakoukoliv komoditou a jsou i společnosti, které je legálně vykupují, nemusí být mezi autorem kódu a útočníkem vůbec žádný vztah.
  • Použitá znaková sada v e-mailech a na webu může poukazovat na národnost toho, kdo daný e-mail nebo web vytvořil, ale může být i shodná se znakovou sadou oběti. Kromě toho v rámci organizovaného zločinu dochází k dělbě práce, takže opět např. na sepsání šablon e-mailu může být najata osoba jakékoliv národnosti a k jejich rozeslání může dojít odkudkoliv.
  • Čas, ve kterých probíhají určité aktivity na kompromitovaných strojích mohou indikovat, v jaké časové zóně se útočník pohybuje, ale útočník se stejně tak může přizpůsobit časové zóně oběti, aby ji způsobil co největší škodu.
  • Informace v logách, jako jazyk, znaková sada, časová zóna, user agent string apod., se dají změnit anebo se může jednat o otisk kompromitované stroje , skrze který se ke C&C serveru přistupuje.
  • Útočnici samozřejmě vědí, že jejich aktivity v kyberprostoru zanechávají určité stopy, a proto využívají k útoku kompromitované stroje a mažou po sobě stopy a jednotlivé skupiny to mohou dělat jinak.
  • Číslo karty, účtu nebo peněženky, z které byla platba za nákup exploitu, botnetu nebo CaaS provedena bude nejspíš rovněž k ničemu, protože karetní data byla nejspíš zcizena, je použita anonymní předplacená karta anebo kryptoměna, kde nejde dohledat skutečného vlastníka.
  • Komunikace na darknetu, komentáře na diskusních fórech mohou vést skutečně k atribuci útočníka, protože pro útočníky bude jednodušší použít svůj mateřský jazyk, ovšem může být použita i univerzální angličtina.
  • Pokud je použita síť mobilního operátora, může být možné zjistit, kde se útočník pohyboval, ale to ještě neznamená, že když se pohyboval na území daného státu, tak se jedná o daným státem sponzorovanou APT skupinu.
  • Specializuje se na určitou zemi, odvětví, platformu, technologii (OS, aplikaci, mobil, ICS).

Výše uvedený výčet není samozřejmě úplný, protože cílem tohoto článku není poskytnout vyčerpávající seznam všech možných indikátorů útoku (Indicators of Atttack, zkr. IoA) nebo indikátorů kompromitace (Indicators of Compromise, zkr. IoC), které umožňují atribuci útočníka, nýbrž poukázat jen na skutečnost, co vše je možné vyhodnocovat a jak je tato problematika složitá.

Vždy je tak nutné se ptát, proti komu je útok veden a komu způsobené škody prospějí (cui bono). Ostatně i proto se zpravidla v nejrůznějších bezpečnostních reportech uvádí, že se jednalo pravděpodobně o určitou APT skupinu. Důležité je to slovo pravděpodobně, protože s jistotou to nikdo neví.

Atribuce může trvat i několik měsíců a je do ní zpravidla zapojeno více složek, protože informace je třeba ověřit, není možné hned reagovat protiútokem anebo dokonce odpálit barák, ze kterého útok probíhá. Proto mě vždy překvapuje, jak mají někteří experti, a že se jich opět vyrojilo, jasno hned krátce po útoku.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2024. Atribuce bez legrace aneb Dám dělovou ránu. Bum, bum, bum, bum.. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/atribuce-bez-legrace-aneb-dam-delovou-ranu-bum-bum-bum-bum/. [citováno 09.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. voj. Vtipálek

    atribuce s legrací :)
    https://www.tiktok.com/@rapotamol01/video/7375188362644163873


K článku “Atribuce bez legrace aneb Dám dělovou ránu. Bum, bum, bum, bum.” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: