Подписаться
Читать в телеграм
/ Установление причин инцидента и расследование киберпреступлений
/ Процедуры реагирования на инциденты: шаги по обнаружению, анализу, регистрации, противодействию и устранению последствий
Переход к цифровому укладу жизни дал начало эпохе цифрового криминала, а вместе с этим возникла и киберкриминалистика, оказавшаяся на передовой борьбы с такими преступлениями. Киберкриминалистика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. По сути, она возникла как продолжение и развитие традиционной криминалистики, занимающейся тем же самым, но в реальном, а не цифровом мире.
«Важно помнить, что расследование инцидентов ИБ — это сложный процесс, который требует специальных знаний, осторожности и опыта, ведь злоумышленник может находиться в исследуемой инфраструктуре на момент расследования. При отсутствии четкого и отработанного плана по реагированию на инциденты, нехватке специалистов и компетенций, попытка самостоятельного разрешения инцидента несет повышенный риск дальнейшего бесконтрольного развития инцидента и увеличения ущерба».
Артем Семагин
Как происходит расследование инцидентов
Любое расследование в киберкриминалистике состоит из четырех этапов: сбор данных, их обработка, анализ и подготовка отчета. Эти этапы могут повторяться снова и снова, пока не будет получен необходимый результат.
На первом этапе происходит сбор информации об инциденте, определение его границ, интервьюирование ответственных лиц.
Важно узнать, как был обнаружен инцидент: посредством мониторинга систем безопасности, жалоб пользователей или с помощью других источников информации. Также необходимо выяснить, какая именно система подверглась атаке. На этом этапе важны детали: версия операционной системы; использование систем виртуализации/контейнеризации; приложения, развернутые в атакованной системе (базы данных, веб-сервер и т. д.). Наконец, следует узнать, какие используются средства защиты информации и есть ли журналы событий (лог-файлы) операционной системы, приложений и информация о сетевых взаимодействиях.
Важно как можно раньше собрать данные для расследования, поскольку журналы событий имеют свойство перезаписываться в целях экономии дискового пространства, а время жизни следов злоумышленников в сетевом трафике или оперативной памяти крайне ограниченно.
Сбор данных может включать в себя создание криминалистических образов средств хранения информации (накопитель на жестких магнитных дисках, флеш-накопитель и др.), дампов оперативной памяти компьютеров и серверов, дампов сетевого трафика и сохранение информации из сетевых устройств, создание образов и резервных копий с мобильных устройств, а также triage collection — сбор артефактов, необходимых для проведения расследования.
Для сбора доказательств используются специализированные инструменты и методы, гарантирующие целостность полученных данных: физические и программные блокираторы записи, загрузочные носители с предварительно настроенной ОС (Caine, DEFT, Paladin, Kali Forensic mode), инструменты для Triage collection.
На втором этапе происходит обработка полученных данных. Это необходимо, для того чтобы из большого объема собранных данных получить информацию о событиях, которые помогут аналитику установить картину произошедшего инцидента. Для этого используется специализированное форензик-ПО, разработки с открытым кодом, скрипты и информация об атаках и злоумышленниках (включая сведения Threat Intelligence). На данном этапе применяются специализированные правила (YARA, правила корреляции SIEM и др.), извлекаются цифровые артефакты из операционной и файловой систем, производится восстановление удаленных данных, подбор паролей и расшифровка данных (если есть такая необходимость), поиск индикаторов компрометации и следов вредоносного ПО.
У этой науки есть другие названия — например, форензика [от английского forensics — криминалистическая экспертиза], компьютерная криминалистика, цифровая криминалистика и др., но задачи все те же: поиск цифровых следов, исследование доказательств в электронном виде, установление причин инцидента и расследование киберпреступлений.
Третий этап заключается в анализе собранных и обработанных данных. Анализируются все подозрительные действия и возможные ложные сработки, зафиксированные на предыдущем этапе. Если в результате становится понятно, что нужна дополнительная информация, расследование возвращается на первый этап — сбор данных. Если же следы инцидента обнаружены, то происходит их детальный анализ с корреляцией событий из различных источников, построением таймлайна и восстановлением цепочки атаки и действий злоумышленников.
Наконец, завершающим этапом расследования становится подготовка отчета, который должен содержать детальное описание действий экспертов, используемое ПО, результаты проведенного анализа и выводы по результатам расследования. Зачастую в отчет включается описание действий злоумышленников, произведенных для компрометации данных. По результатам расследования даются понятные и действенные рекомендации для предотвращения подобных инцидентов в будущем. Отчет передается заинтересованным сторонам: представителям заказчика, регулятору,правоохранительным органам или судам, организациям или клиентам.
Важно помнить, что расследование инцидентов ИБ — это сложный процесс, который требует специальных знаний, осторожности и опыта, ведь злоумышленник может находиться в исследуемой инфраструктуре на момент расследования. При отсутствии четкого и отработанного плана по реагированию на инциденты, нехватке специалистов и компетенций, попытка самостоятельного разрешения инцидента несет повышенный риск дальнейшего бесконтрольного развития инцидента и увеличения ущерба.
Следствие ведет Jet CSIRT
Меня зовут Артем Семагин, я ведущий аналитик киберкриминалистики в Jet CSIRT.
За моими плечами десятки экспертиз и расследований киберинцидентов. В расследованиях часто участвуют несколько аналитиков из команд киберкриминалистики, кибераналитики, киберразведки и мониторинга. В Jet CSIRT мы сформировали следующий принцип: в каждом расследовании должны участвовать не менее двух экспертов, чтобы помогать друг другу, генерировать гипотезы, идеи и векторы: как именно могла произойти атака, что еще могли зацепить злоумышленники и где могут остаться следы.
Так мы поступили и в тот раз, когда в одном из Telegram-каналов опубликовали информацию об утечке данных в крупной компании. « Артем, у нас инцидент. Возможно, криминал. По коням!» — с такими словами меня выдернул из мыслей о предстоящих выходных руководитель экспертных сервисов Jet CSIRT Руслан Амиров. И хотя был уже поздний вечер пятницы, мы взялись за дело. Кстати, почему-то именно по пятницам в работу поступает большинство расследований и нам приходится откладывать хобби в пользу работы. Видимо, преступники рассчитывают на то, что в это время никто реагированием и расследованием заниматься не будет. Наивные!
Кроме меня, в команду включили Павла Козяева, мастера анализа инцидентов и разработки детектирующих правил, и Константина Крайнова, любителя поразбираться в дебрях вредоносного кода.
Итак, начался первый этап — сбор данных.
Мы передали инструкции и подготовленные скрипты для сбора артефактов, журналов и другой информации, которая может быть полезна при расследовании. Заказчик запустил их, а собранные данные отправил нам по защищенному каналу. Начались второй и третий этапы расследования: обработка и анализ.
Хотя родоначальник киберкриминалистики неизвестен, одним из первых специалистов в этой области стал Цитому Симомура — специалист АНБ в области компьютерной безопасности. В 1995 г. он помог ФБР вычислить знаменитого хакера Кевина Митника, после того, как тот взломал его домашний компьютер и скопировал сотни засекреченных файлов.
Так как такие инциденты нам знакомы не понаслышке, сразу же идем в логи веб-сервера и видим попытки эксплуатации уязвимостей. В оперативно созданном чате (сколько их уже!) сообщили об этом заказчику и рекомендовали уведомить Роскомнадзор (конечно же, с корректным описанием уведомления мы помогли). Но вернемся к логам. То, что они были, — это уже хорошо! Часто они отсутствуют совсем. Еще лучше то, что они хранили информацию за шесть месяцев: обычно нам так не везет и логи у заказчика содержат события только за последние пару недель.
По логам стало понятно: успешный взлом произошел еще за полгода до утечки. Однако, запустив антивирусное сканирование по собранным данным, мы, к своему удивлению, ничего не обнаружили.
У нас был еще один козырь в рукаве: сканер с набором правил по детектированию подозрительных файлов. Среди кучи FP (False Positive, ложноположительные сработки) мы нашли один подозрительный файл, содержимое которого было обфусцировано. Хорошо, что с нами Костя, который всегда готов посидеть в пятницу-субботу за разбором вредоноса, а мы продолжили анализировать логи.
Костя вернулся на следующий день с декодированным файлом, и теперь программный код можно было прочитать и разобраться в нем. Проанализировав, что умеет делать ВПО, мы определили, что это бэкдор, через который злоумышленники управляли сайтом и выгружали данные. В бэкдоре было встроено множество «полезных» функций: модуль по работе с базой, сетью, файлами и даже модуль самоуничтожения. При дальнейшем расследовании мы определили адреса командных серверов (C2C): в нашем случае следы вели на серверы, расположенные за границей РФ (такое встречается чаще всего). Я уже приступил к разработке отчета, а Паша тем временем связался с заказчиком и рассказал о ходе расследования.
Писать отчет — дело привычное: в документ внесли найденную при расследовании информацию, описали географию атак, функционал бэкдора и продолжительность взлома. Отдельно в отчете расписали рекомендации по удалению вредоносных файлов и закрытию уязвимостей веб-сервера. Ожидая, что заказчик будет рад возобновить работу своего ресурса, отчет передали по обговоренному безопасному каналу.
Заказчик попросил нас о презентации отчета. Без проблем — в назначенный день рассказали заказчику, что произошло, почему взлом был успешным и как действовать, чтобы такое не повторилось. Рекомендовали улучшить меры защиты: в частности, внедрение WAF помогло бы предотвратить такую атаку.
Эдмон Локар — эксперт судебной медицины конца XIX века, именно он сформулировал основной принцип судебной криминалистики: «Каждый контакт оставляет след». В цифровой криминалистике злоумышленники также оставляют свой «цифровой след».
Еще какое-то время мы подержали ресурс на мониторинге — мало ли что, после чего официально закончили расследование. Благодарность заказчика — лучшая похвала нашей работе.
Обычно, расследуя инциденты, мы помогаем нашим заказчикам не только разобраться в том, что именно произошло, и докопаться до сути, но и оформить цифровые доказательства, если нужно обратиться в суд или правоохранительные органы. Также часто нужно составить отчет для регулятора в самые короткие сроки (до 72 часов) и сформировать действенные рекомендации по улучшению мер ИБ, чтобы подобное не повторилось.
Советы от Jet CSIRT по реагированию на инциденты ИБ
Каждый инцидент нужно рассматривать и анализировать отдельно, поэтому сложно дать универсальные советы, но мы попробуем:
- Разработайте план, который описывает процедуры реагирования на инциденты. Включите в него шаги по обнаружению, анализу, регистрации, противодействию и устранению последствий инцидентов ИБ.
- Сформируйте команду реагирования на инциденты, включающую специалистов из разных направлений: ИБ, ИТ, юристы, PR, представитель руководства компании. Убедитесь в том, что у команды есть необходимые навыки и ресурсы для проведения расследования. Если к нему планируется привлечь сторонние организации, позаботьтесь об этом заранее и проведите несколько совместных тестовых реагирований в рамках учений.
- Обеспечьте нужную инфраструктуру: убедитесь в том, что у вас есть необходимое программное и аппаратное обеспечение для обнаружения и регистрации инцидентов ИБ. Рассмотрите возможность установки системы мониторинга, дополнительных средств защиты информации, журналирования событий и других инструментов для сбора информации.
