Журнал "Information Security/ Информационная безопасность" #6, 2021

зоваться эксплойтом в обычном файле справки Windows. Задачей исходного файла было с помощью связки из нескольких стейд- жеров доставить на конечную точку троян TrueBot, также известный как Silence. Downloader – характерный инструмент группировки Silence. Система Threat Hunting Framework успешно классифицировала полезную нагрузку и атрибутировала угрозу до конкретной группировки – Silence 3 . Начи- ная с 2016 г. она атакует организации кредитно-финансовой сферы, преиму- щественно в России. В 2018 г. группа расширила географию деятельности и стала атаковать финансовые организа- ции по всему миру 4 . Кейс третий: проходим песочницу офисным документом Даже при жестких политиках фильт- рации бизнес не может прекратить цир- куляцию офисных документов и полага- ется на облачные антивирусы и песоч- ницы для их анализа. После проверки облачным антивирусом, который малоэффективен против новых типов угроз, документ отправляется на анализ в песочницу. Но большинство вен- доров систем защиты не уделяет должного внимания устранению известных способов обхода этого класса решений. Условно все способы обойти песочни- цу делятся на три большие категории: 1. Обнаружение атакующими вирту- альной среды. 2. Игры со временем, чтобы полезная нагрузка не запустилась в рамках ана- лиза. 3. Ожидание конкретных действий пользователя. В данном кейсе злоумышленники вос- пользовались техниками из последней категории. Исходным файлом в данном случае стала презентация в формате ppt, которая скрывала три макроса. Вот как выглядит структура этого файла "глазами" Threat Hunting Frame- work: Большинство песочниц, которые ана- лизируют подобные вложения из корпо- ративной электронной почты, работают по принципу запуска файла и ожидания какой-либо подозрительной активности. Представим, что рядовой пользова- тель открыл офисный документ и обна- ружил следующую ситуацию: Вероятнее всего, он закрыл бы окно, предположив, что это поврежденный файл. Подобная реакция на происходя- щее не свойственна системам защиты. А теперь взглянем на один из трех мак- росов этого документа: Злоумышленник "заточил" свою вредоносную активность под дей- ствия, свойственные человеку, но не машине. Подавляющее большинство стандартных песочниц в такой ситуа- ции дождется истечения времени ана- лиза и пометят файл как "безопас- ный", не обнаружив ничего подозри- тельного. Следует добавить, что за атакой стоя- ла нигерийская группировка TMT, кото- рая занималась BEC-атаками (от англ. business email compromise – компроме- тация деловой почты). Письма в подоб- ных атаках часто маскируются под запросы денежных переводов, сообще- ния от HR-департамента или коммерче- ские предложения. Их цель – вывод средств или кража конфиденциальных данных 5 . Моя почта защищена? Есть ли дыры в текущей системе защиты? Перечисленные кейсы демонстри- руют фундаментальные недостатки большинства современных систем защиты корпоративной почты. И этим способы доставить вредоносное ПО конечному пользователю не ограничи- ваются. У компаний обычно недостаточно ресурсов, чтобы грамотно составить подборку сценариев для внутреннего аудита. Понимая это, мы подготови- ли автоматическую бесплатную систему тестирования защищенно- сти электронной почты – Group-IB Trebuchet 6 . Главное об этом тесте: 1. Все, что нужно для участия, – отдельный почтовый ящик на корпора- тивном домене. 2. Система тестирования отправит более 40 тестовых сценариев различных атак на этот адрес (после подтверждения доступа). 3. Часть сценариев описаны в этой статье, остальные также основаны на реальных атаках и на нашем опыте реа- гирования и расследований. 4. Тестовые сценарии включают как наиболее распространенные атаки, так и наиболее изощренные. 5. Все вложения доставляются в модифицированном виде, например ВПО не подключается к командным центрам. Тем не менее мы не рекомен- дуем скачивать и запускать тестовые образцы. Любое тестовое письмо, которое доставляется в выбранный почтовый ящик, минуя средства защиты, – пря- мое указание на серьезные недостатки в безопасности вашей корпоративной почты. При их обнаружении мы рекомен- дуем обратиться к специалистам Group-IB 7 . l • 33 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 3 https://www.group-ib.ru/resources/threat-research/silence-attacks.html 4 https://www.group-ib.ru/media/silence-attacks/ 5 https://www.group-ib.ru/media/gib-interpol-bec/ 6 https://trebuchet.gibthf.com/ 7 https://www.group-ib.ru/atmosphere.html%23form На правах рекламы