Ovaj sveobuhvatni vodič pruža analitičarima u centrima za nadzor sigurnosti (SOC) i timovima kod pružalaca upravljanih sigurnosnih usluga (MSSP) praktične tehnike pretraživanja prijetnji koristeći napredne platforme za obavještajne podatke o prijetnjama. Savremeni akteri prijetnji neprekidno razvijaju sofisticirane tehnike izbjegavanja, čineći tradicionalne metode detekcije nedovoljnim za sveobuhvatne sigurnosne operacije.
Predstavljene strategije koriste bihevioralne pokazatelje, integraciju MITRE ATT&CK okvira i napredne mogućnosti upita za identifikaciju novonastalih prijetnji, smanjenje prosječnog vremena odgovora (MTTR) i poboljšanje efikasnosti odgovora na incidente u raznolikim pejzažima prijetnji.
Efikasno pretraživanje prijetnji započinje razumijevanjem sofisticirane sintakse upita koja podržava preko 40 parametara za visoko precizna i kontekstualizovana pretraživanja.
Osnovna struktura obično uključuje parametar, dvotačku i vrijednost, često zatvorene u navodnicima. Logički operatori igraju ključnu ulogu u konstruisanju efikasnih upita, gdje AND operator zahtijeva da oba uslova budu ispunjena, OR operator zahtijeva da se zadovolji barem jedan uslov, a NOT operator isključuje rezultate koji odgovaraju specifičnim uslovima.
Opšti znakovi (wildcards) i specijalni znakovi značajno poboljšavaju fleksibilnost upita. Zvjezdica (*) predstavlja bilo koji broj znakova, upitnik (?) predstavlja jedan znak, znak uzvika (^) podudara se sa početkom niza, a znak dolara ($) podudara se sa krajem niza.
Ovi elementi omogućavaju analitičarima da kreiraju precizna pretraživanja svojstava datoteka, aktivnosti procesa, mrežnih komunikacija, operacija registra i klasifikacija prijetnji.
Korištenjem usluga pretraživanja obavještajnih podataka o prijetnjama, kao što je ANY.RUN, specijalizovanih za pretraživač koji pruža pristup ogromnoj bazi podataka o zlonamjernom softveru, kontinuirano ažuriranoj od strane preko 500.000 korisnika Interaktivnog Sandbox-a, uključujući 15.000 korporativnih SOC timova.
Platforma podržava sofisticiranu sintaksu upita sa preko 40 parametara, omogućavajući visoko precizna i kontekstualizovana pretraživanja koja mogu isporučiti stotine relevantnih sesija analize, uzoraka zlonamjernog softvera ili pokazatelja za daljnja istraživanja.
Usluga nadilazi tradicionalne pokazatelje kompromitovanja (IOC) uključujući bihevioralna pretraživanja, integraciju MITRE ATT&CK okvira, mogućnosti korelacije datoteka i pretraživanje prijetnji zasnovano na YARA.
Ovaj sveobuhvatan pristup omogućava analitičarima da pretražuju na osnovu različitih pokazatelja, uključujući IP adrese, heševe datoteka, URL-ove, nazive domena, izmjene registra, aktivnosti procesa i mrežne komunikacije.
ANY.RUN-ovo pretraživanje obavještajnih podataka o prijetnjama nudi šest osnovnih funkcija koje omogućavaju sveobuhvatno pretraživanje i analizu prijetnji:
- Pretraživanja pokazatelja (IOC Lookups) olakšavaju detaljne istrage tradicionalnih pokazatelja kompromitovanja, uključujući IP adrese, kriptografske heševe (MD5, SHA-1, SHA-256), nazive domena i URL-ove, pružajući osnovne mogućnosti identifikacije prijetnji.
- Bihevioralna pretraživanja nadilaze statičke pokazatelje analizirajući sistemske aktivnosti kao što su izmjene registra, izvršavanje procesa, mrežne komunikacije i kreiranje muteksa, što se pokazuje posebno efikasnim za otkrivanje novih prijetnji bez uspostavljenih potpisa ili napada bez datoteka koji koriste tehnike “living-off-the-land”.
- MITRE Techniques Detection funkcija integriše ATT&CK okvir, omogućavajući strukturirano pretraživanje specifičnih taktika, tehnika i procedura hakera (TTPs) putem parametrizovanih pretraživanja koja se mapiraju na dokumentovane napadačke sekvence.
- Mogućnosti korelacije datoteka/događaja identifikuju veze između različitih komponenti napada, otkrivajući sveobuhvatne lance prijetnji povezivanjem artefakata kao što su kreiranje muteksa, izmjene registra i mrežne komunikacije kroz sesije analize.
- Pretraživanje prijetnji zasnovano na YARA uvodi programsku detekciju putem podudaranja binarnih obrazaca, omogućavajući identifikaciju varijanti malicoznog softvera koji dijele osnovne kodove uprkos obfuskovanju ili razlikama u verzijama, bez potrebe za prethodnim poznavanjem pokazatelja.
- Opšti znakovi i logički operatori omogućavaju složenu konstrukciju upita putem zvjezdica za podudaranje više znakova, upitnika za zamjenu jednog znaka, te Booleove logike (AND/OR/NOT) sa grupnim zagradama za precizno testiranje hipoteza o prijetnjama. Ove funkcije kolektivno pretvaraju sirove podatke analize u primjenjive obavještajne podatke kombinovanjem tradicionalnog podudaranja IOC-a sa bihevioralnom analizom i metodologijama detekcije svjesnim okvira.
Geografska analiza prijetnji
Detekcija prijetnji zasnovana na zemlji predstavlja temeljnu tehniku za razumijevanje regionalnih landscape prijetnji i identifikaciju geopolitički motivisanih napada. Korištenjem parametra submissionCountry u kombinaciji s drugim pokazateljima, analitičari mogu efikasno idenfikovao specifične napadačke kampanje usmjerene na određene regije. Na primjer, ciljanje phishing napada iz Brazila zahtijeva kombinovanje geografskih parametara i parametara klasifikacije prijetnji: submissionCountry:”br” AND threatName:”phishing”.
Ovaj geografski pristup postaje posebno vrijedan pri analizi sofisticiranih napada koji zloupotrebljavaju legitimne sistemske alate. Identifikacija malicioznih prijava iz Indije koje uključuju PowerShell komande može se postići putem: submissionCountry:”in” AND commandLine:”powershell” AND threatLevel:”malicious”. Ovakvi upiti pomažu sigurnosnim timovima da shvate kako akteri napada prilagođavaju svoje tehnike na osnovu regionalnih karakteristika i infrastrukture.
Integracija MITRE ATT&CK okvira
Integracija MITRE ATT&CK okvira omogućava analitičarima da pretražuju specifične taktike, tehnike i procedure koje koriste hakeri, olakšavajući strukturiraniji pristup pretraživanju prijetnji.
Izvršavanje komandi i skripti (T1059), jedna od najčešćih tehnika, može se identifikovati putem upita usmjerenih na upotrebu PowerShell-a ili izvršavanje HTML Application Host-a: MITRE:”T1059″ AND (commandLine:”powershell” OR imagePath:”mshta.exe”).
Perzistentnost zasnovana na registru (T1547) predstavlja još jednu kritičnu tehniku, gdje maliciozni softver izmjenjuje Windows registar radi održavanja sistemskog pristupa. Analitičari mogu idenfikovati takve aktivnosti pretraživanjem izmjena na ključu Run: MITRE:”T1547″ AND registryKey:”CurrentVersion\\Run”.
Napredne tehnike korelacije uključuju kombinovanje višestrukih MITRE tehnika za identifikaciju sofisticiranih obrazaca napada koji istovremeno koriste ubrizgavanje procesa, mehanizme perzistentnosti i otkrivanje sistemskih informacija.
Detekcija obfuskovanih ponašanja datoteka
Autori malicioznog softvera često koriste tehnike obfuskacije za skrivanje malicioznog koda i izbjegavanje analize. Identifikacija izvršnih datoteka u nestandardnim direktorijumima predstavlja uobičajenu tehniku izbjegavanja koja se može otkriti pažljivom konstrukcijom upita.
Pretraživanjem izvršnih datoteka izvan standardnih Windows direktorijuma, analitičari mogu identifikovati potencijalno sumnjive aktivnosti: fileExtension:”exe” AND NOT filePath:”Windows*” AND NOT filePath:”Program Files*”.
Obfuskacija zasnovana na skriptama predstavlja još jedan izazov, posebno kada JavaScript datoteke izvršavaju PowerShell komande u višestepenim napadima. Upit commandLine:”powershell” and fileExtension:”js” efikasno identifikuje takve pokušaje obfuskacije.
Ovaj pristup pomaže analitičarima da shvate kako akteri napada slojevito koriste različite tehnike kako bi postigli svoje ciljeve, izbjegavajući pritom detekciju.
Mehanizmi perzistentnosti
Razumijevanje mehanizama perzistentnosti i obrazaca kreiranja muteksa pruža uvid u ponašanje zlonamjernog softvera i pomaže u identifikaciji specifičnih porodica prijetnji.
Muteks objekti, koje maliciozni softver koristi kako bi osigurao izvršavanje samo jedne instance, mogu se istražiti putem parametara sinhronizacijskih objekata. Na primjer, pretraživanje muteksa “rmc” otkriva veze sa Remcos trojancem: syncObjectName:”rmc”.
Detekcija algoritama generisanja domena
Algoritmi generisanja domena (DGA) predstavljaju sofisticirane tehnike izbjegavanja gdje maliciozni softver dinamički generiše nazive domena za komunikaciju komandnog i kontrolnog centra.
Identifikacija maliciozni softvera zasnovanog na DGA zahtijeva fokusiranje na karakteristike domena i obrasce komunikacije. Ciljanje neuobičajenih top-level domena s aktivnom komunikacijom može otkriti DGA aktivnost: domainName:”.top” OR domainName:”.xyz” AND (destinationPort:”80″ OR destinationPort:”443″) AND threatLevel:”malicious”.
Savremeni haker napada sve više zloupotrebljavaju legitimne usluge kao što su Cloudflare Workers za hostovanje malicioznog sadržaja. Analitičari mogu identificirati takve zloupotrebe putem ciljanih pretraživanja: domainName:”.workers.dev” AND threatLevel:”malicious”. Ovaj pristup se pokazao efikasnim u identifikaciji stotina phishing domena hostovanih na legitimnoj infrastrukturi.
Napredno pretraživanje prijetnji putem sofisticiranih mogućnosti upita omogućava analitičarima u SOC-u i MSSP timovima da efikasnije otkrivaju, prioritizuju i obuzdavaju prijetnje.
Integracija geografske analize, MITRE ATT&CK framework tehnika, prepoznavanje bihevioralnih obrazaca i perzistentno praćenje stvaraju sveobuhvatne odbrambene strategije.
Korištenjem ovih metodologija, sigurnosni timovi mogu značajno smanjiti vrijeme odgovora, poboljšati triage upozorenja sa kontekstualnim uvidima i ubrzati sposobnosti detekcije i obuzdavanja prijetnji u raznolikim pejzažima prijetnji.
