Шпионская история

Previous Entry Поделиться Next Entry
10 июня, 2015
e_kaspersky
“Прибежали в избу дети,
Второпях зовут отца,
«Тятя, тятя, наши сети...»


Итак, наши сети вытащили... нет, не мертвеца, а вполне себе живчика. И не просто «живчика», а мегапродвинутого зловреда. Сложнейшую шпионскую атаку, по уровню превосходящую всё, ранее нам известное. Этакий кибермонстр, помесь ксеноморфа с терминатором, да заодно и с «хищником» - поскольку тварь эта не только агрессивная, всепроникающая, неубиваемая – но заодно еще и практически абсолютно невидимая.

Итак, мы поймали киберзмейгорыныча международного масштаба, причём не где-нибудь, а в довольно неожиданном месте – в нашей собственной корпоративной сети. Вот такой сюрприз!


(с)

Ну, естественно, началось расследование и шло круглые сутки несколько месяцев подряд (быстрее невозможно – уж слишком сложный и профессиональный «живчик» оказался). Но есть и хорошая новость: с нашими продуктами, сервисами, базами данных, клиентскими данными все в порядке, никаких рисков для клиентов нет. Негодяи смогли подсмотреть только за нашими разработками и текущими расследованиями. И я до сих пор не понимаю, зачем им это было надо.

Может быть, они были абсолютно уверены, что поймать эту шпионскую программу невозможно, потому что малварь использовала сразу несколько зеро-деев и фактически живет только в оперативной памяти. Но, это же, извините, идиотизм атаковать своей невиданной малварью компанию с лучшими технологиями и специалистами по отлове малвари! Мы прикинули, что стоимость разработки и поддержания этой шпионской системы легко могла быть несколько десятков миллионов US-долларов. Теперь мы ее детектируем, оповестили весь мир, как ее ловить. Люди разменяли свою с иголочки хай-тек шпионскую систему, и на что? Да почти ни на что.

Как любая компания в мире иногда становимся жертвой самых обычной киберпреступности. Кто-то из сотрудников (просто по роду занятий – общаясь с новыми партнёрами и клиентами) кликнет на что-либо очень свежее зловредное, пока еще не попавшее к нам в базы - заражается. Через минуту-другую это будет задетекчено, заблокировано, изолировано и вычищено. Ущерб нулевой или минимальный, если не считать времени айтишников.

Также нам время от времени пытаются валить вебсайты. С этим живут очень многие, ничего страшного, ничего особенного. Фильтруем трафик, чистим негодяйские запросы, сайты работают.

В общем, все как у всех, кроме того что в нашем случае киберпреступники иногда еще атакуют нам, чтобы отомстить. Мы так живем давно, мы к этому привыкли.
Мы предполагали, что возможны сложные атаки организованной киберпреступности на наш, например, финансовый департамент. Это реалистичный сценарий, к которому мы готовились.

А вот атака на интеллектуальную собственность была для нас непредсказуемым и непредсказанным сценарием. Мы не могли представить, что есть силы, которые настолько заинтересованы в наших технологиях, что пойдут на риск (и на преступление) атаки на ведущую компанию в области ИТ-безопасности. Это бессмысленно, это дорого, да при самом лучшем для атакующих сценарии – это все равно будет достаточно быстро обнаружено.

Мы, кстати, традиционно никогда не говорим, кто может стоять за такой атакой. Это дело правоохранительных органов хотя бы потому, что в киберреальности заметать следы относительно просто и аттрибуция затруднена. И вот у меня главный вопрос: а зачем они это сделали?

Возможно, цель этого технологического шпионажа – помочь своим разработкам. Как в докомпьютерное время в фильмах про шпионов: пробрался к объекту за колючей проволокой и охраной с собаками, сфотографировал на микропленку все кульманы и ватманы с чертежами, засунул пленку в тайник под камень в парке, и ученые дома, получив чертежи, сидят и думают, что же там вообще нарисовано, и как из этого собрать новейшую ракету. Но с софтвером это имеет очень мало смысла, все хорошие разработки – они живые, они постоянно модифицируются и быстро устаревают. Пробуются новые технологии, новые идеи, патчатся баги, именно поэтому мы (и большинство других софтверных компаний) все время апдейтим свои продукты.

Если украсть какой-нибудь хитрый образец сплава, можно его проанализировать и даже придумать, как делать такой же. Но понять, почему он именно такой нужен в этой конкретной ситуации, очень сложно. Главное в технологии не код, не сплав, не формула, а люди, которые этой технологией занимаются. Особенно это актуально в мире софта, где все так быстро меняется.

Возможно, они хотели понять, как работает наша компания, что у нас внутри. Но есть масса законных способов познакомиться с нами поближе, по атакованным подразделениям мы водим экскурсии, от школьников до просто друзей, наши разработчики ездят и выступают на конференциях. Конечно, у нас есть технологические тайники и секретики, это живые проекты и для нас это бизнес на конкурентном рынке. Но мы открытая компания, сидим в стеклянном офисе. Заглядывайте, только тарелки не надо бить!

Почти 100% новой малвари мы детектируем автоматически, если люди хотели разобраться в том, как работает наше облако и алгоритмы, то это достойная, хотя и не очень реалистичная цель. Но эти негодяи, к сожалению, выбрали чуть ли не самую кривую и неудобную дорожку, чтобы этой цели достичь. Если подглядывать в дырочку за стартовой турбиной космического корабля, то разобраться во всех аспектах ее работы будет непросто.

Я не исключаю и чисто спортивного интереса, может быть, мы им наступали на мозоли уже, ну или просто решили попробовать силы на нас. Ну молодцы, попробовали, вряд ли им это понравилось.

В общем, я не понимаю, зачем и почему была организована эта атака, которая стоила очень значительных ресурсов при очень высоких рисках и с крайне низким КПД.
Самый разумный путь, чтобы получить доступ к нашим технологиям – это стать (или хотя бы притвориться) технологической компанией и лицензировать у нас наши ноу-хау, что мы с радостью готовы делать с любой степенью детализации. Наши сотрудники еще и все объяснят, покажут и помогут наладить.

Мы в случае необходимости открываем исходный код наших продуктов, если речь идет о большом, например, государственном контракте, и покупатель хочет провести аудит и убедиться, что там в коде нет ничего незадокументированного. Мы открытая и дружелюбная компания, которая ценит и любит своих клиентов и партнеров.

В общем, этот взлом научил нас новому, как защищать наших клиентов от угроз фактически нового поколения. Спасибо за урок, он поможет стать нам еще более сильными и технологически продвинутыми. Что только позитивно скажется на уровне защиты наших партнёров и клиентов.

А в завершение надо придумать какую-нибудь забойную концовку… Ага, сейчас… Вот:
Воровать технологии у частной айти-секюрити компании – это не только подлость, но и жадность.

Paolo_Uccello_047b
«Битва святого Георгия с драконом» (Паоло Уччелло, ок. 1456 года) 

Полезные ссылки:
Пресс-релиз
Сухие технические подробности о киберчудовище на английском – тыц
Пропатченный зеро-дей Микрософт
Что пишет Шпигель, Уолл-Стрит Джорнел, Арс Техника, Wired (все на английском)



Previous Entry Поделиться Next Entry

Последние записи в журнале


Реклама?
А, был ли мальчик? (с)
Серьёзно, почему на год и на один ПК не сделаете лицензию?

Кто-то айпишником ошибся, и "думая попасть в овчарню, попал на псарню" :)
У нас пытались заломать офис, который писал только открытый софт. Склонировать проект с гитхаба было бы явно проще и практичнее :)

"Кто-то айпишником ошибся"

- Тоже версия

".. стоимость разработки легко могла быть несколько десятков миллионов US-долларов"

- И происхождение явно заокеанское. Или, вполне возможно, восточное.

думаю, искали тот самый исходный код, который открывается только для госконтрактов, на предмет нахождения в нем дыр, которые можно было бы использовать


Тятя! тятя! Наши дети
Мертвецов стреляют в Сети!

А Вы сами как думаете?

dimrych

2015-06-10 15:04 (UTC)

зачем было тратить миллионы УСА-долларов для написания этой малвари?

И второй вопрос: миллионы постоянно скачиваемых сигнатур обозначают миллионы появившихся вирусов за день, а то и два раза в день? Хакерам нечего делать?

Re: А Вы сами как думаете?

ardalio

2015-06-10 19:11 (UTC)

скорее всего цели были совершенно другие. и они были достигнуты.
а касперу его подбросили по принципу "чё зря пылится, пусть ещё поработает".

(Удалённый комментарий)
Сами написали, сами поймали, сами сообщили в соцсетях.Ничего нового

Это означает, что вы обнаружили только часть кибергорыныча, остальное осталось в вашей сети.

На виртуальные преступления не действует УК?

pravdoiskanie

2015-06-10 15:29 (UTC)

Почему не оторвут преступникам: хвосты, копыта, и ветвистые рога?

Сворованную информацию куда он посылал?

То есть, высококвалифицированные злоумышленники были настолько мотивированны, что за миллионы долларов запупыжили зловреда антивирусной компании и не запупыжили ей внутреннего нарушителя - инсайдера за мзду малую? Бросьте...

Правильно я понимаю, что цели атаки остались неизвестны?

Интересное вокруг.
Как поймали, если не секрет? Никто ж до вас не изловил. Да и вы, я так понял, не сразу спохватились..

в этом ключе вспомнил про закладки в сетевых карточках и роуторах
надеюсь, вы в этом плане подготовлены

Edited at 2015-06-10 18:49 (UTC)

(Удалённый комментарий)

Re: Очередной выстрел себе в ногу, Женик :)))

khanid

2015-06-10 20:59 (UTC)

Антивирус - не панацея от всего.
Наверно, эту фразу я повторяю чаще всего.
На 100% ничто не защитит.
Тем более если действительно 0-day.

Если действительно продвинутый зловред имел место быть (ну джентельмены конечно верят на слово, но безопасность - это не то место, даже если говорит джентельмен :), то объяснений кучу можно придумать.
От невероятных до правдивых.
1. Конкуренты.
2. Просто любопытствующие энтузиасты.
3. Злоумышленник среди своих.
4. Малвареписатели.
5. Энтузиасты/сотрудники решили посмотреть на остальной персонал.
6. Ещё что-нибудь. Среди злоумышленников народ творческий встречается.
Про конкурентов/злоумышленников всё понятно. Софт развивается быстро, но задела месяц вполне может хватить для эпидемии. Отсюда кстати и разбрасывание сложным продуктом. Действуют по типу инвесторов. 10 проектов загнётся, а одиннадцатый взлетит и окупит все вложения с лихвой.
Энтузиасты - потягаться на равных с гигантом, потешить/испытать себя - почему и нет?
Свои - возникли у кого-нибудь сомнения в компетенции коллег, проверить, с кем приходиться работать :)

Здравствуйте, это какая-то специфическая тема, я половину не понимаю, но мы сделали сообщество про авторские права, хотим привлекать туда специалистов в области интеллектуальных, авторских и смежных прав http://avtorprav.livejournal.com/ Если вы не против, могу я поместить ваш рассказ в сообщество?

Ну а где техническое описание, как происходит атака. Что это такое, как она скрывается, обходит всё компоненты защиты.

Если я запущу обычную малварь и удалю файл, от этого эта малварь не станет супер технологичной, она не обойдет Live Grid облако, HIPS, расширенное сканирование памяти, расширенную эвристику, фаервол, и не только... У неё есть вредоносное поведение(и не только), оно выполняется.

А там ботнет-защита, блокировщик эксплойтов, IDS в антивирусе, операционная система Windows X64... - может защитить от атаки, нечего же непонятно нам. И если малварь не остается в оперативной памяти после перезагрузки, то она почти не опасна для обычных пользователей, она на них не нацелена, их данные им не нужны?
=)

А почему ЛК не выкладывает малварь как вот тут: malwaredb.malekalточкаком
Чтобы люди исследовали её, понимали её поведение и смогли её распознать, защититься!
=)

Edited at 2015-06-12 08:29 (UTC)

Я посмотрел отчет ЛК. Короче, ясно что в ЛК безопасность в реальном времени не кто(специалист) не контролирует.
=)

Например, с помощью HIPS он мог бы подозрительный запуск (от планировщика) установщика MSI(msiexec.exe) запретить, пока не получил подтверждение что это запланированная ЛК задача.

Я еще 2 года назад показывал, на скриншотах, как KIS не может удалить NOD 32 c помощью установщика MSI(msiexec.exe). HIPS(антивируса) пишет какое приложение пытается получить доступ к установщику MSI( по 32 битному или 64 пути), пытается запустить и в зависимости от настроек HIPS сразу блокирует или спрашивает, всё записывается в логи.

Кстати, есть шифровальщики VBS их тоже можно так блокировать HIPS, а можно по другому защитить важные файлы - HIPS!!! Тоже самое и батники.

Я не знаю английский, там в отчете ЛК похоже не пишут что в памяти инжект скрыт, как только сотрудник ЛК в реальном времени увидил что к процессам загрузилось нечто новое, без положительного рейтинга в облаке, он мгновенно должен был спалить атаку на ЛК.
=)
Вот там в SysInspector все модули процессов анализируются, и:
"Module" = "c:\windows\system32\kernel32.dll" ( 1: Fine ) ; Библиотека клиента Windows NT BASE API ; Microsoft Corporation ;
"SHA1" = "64A8A7D0F77F4E52F9BF524BC4CC057C771DC95F" ( 1: Fine ) ;
"Last Write Time" = "2015/05/25 21:19" ( 1: Fine ) ;
"Creation Time" = "2015/06/10 10:52" ( 1: Fine ) ;
"File Size" = "1162752" ( 1: Fine ) ;
"File Description" = "Библиотека клиента Windows NT BASE API" ( 1: Fine ) ;
"Company Name" = "Microsoft Corporation" ( 1: Fine ) ;
"File Version" = "6.1.7601.18015 (win7sp1_gdr.121129-1432)" ( 1: Fine ) ;
"Product Name" = "Операционная система Microsoft® Windows®" ( 1: Fine ) ;
"Internal Name" = "kernel32" ( 1: Fine ) ;
"Signer" = "Microsoft Corporation" ( 1: Fine ) ;
"(Cloud) Age" = "a week ago" ( 1: Fine ) ;
"(Cloud) Volume" = "1000000" ( 1: Fine ) ;
"Linked to" = "Running processes -> csrss.exe -> c:\windows\system32\kernel32.dll"
"Linked to" = "Running processes -> wininit.exe -> c:\windows\system32\kernel32.dll"...


Edited at 2015-06-13 20:44 (UTC)

Все равно все обычные трояны спалится, а там дело развития. И вообще если чего скрывается, это уже какая-то уязвимость ОС. А так я мало понимаю, не кто нечего убедительно и понятно нам не рассказывает.
=)

На Windows XP Mode проверял, загрузил модуль в процесс explorer.exe и удалил файл с диска, в логе он сразу палится:
Operating memory » C:\Documents and Settings\XPMUser\Рабочий стол\Reveton.dll - error opening [4]
Это только полный лузер не заметит, и не поймет, что в оперативную память загружен модуль и его нет на диске, или он скрывается вредоносной программой.
=)
Файла на диске нет, но он детектируется, выполнение блокируется, кстати это блокировщик экрана и экран он мне не заблокировал, распространяется через эксплойты.

Time;Scanner;Object type;Object;Threat;Action;User;Information
14.06.2015 14:54:09;Advanced memory scanner;file;Operating memory » explorer.exe(1608);-a- -v-a-riant- -of- -Wi-n-32-/-Reveton.-A-J t-ro-ja-n;c-l-e-a-n-e-d - contained i-n-fe-c-te-d files;;

Time;Module;Event;User
14.06.2015 14:46:15;ESET Kernel;File 'explorer.exe(1608)' was sent to ESET for analysis.;

Неуловимый модуль отправился на анализ, не что не мешает отправить и новый модуль который не ловится, с ошибкой открытия, то есть которого нет на диске. Они подозрительный объект, код, отправляют из оперативной памяти на анализ.
=)
А если он на диске есть, модуль еще в Sysinspector попадет. =)



Edited at 2015-06-14 12:40 (UTC)

А вот если модуль dll W i n 32 / Agent . SFM удалить с диска, и ссылки на него в реестре(две: AppInit_DLLs и LoadAppInit_DLLs) - SysInspector видит модуль в оперативной памяти. И например модуль dll Olmarik TDL2 - W i n 32 / Olmarik . TX - видит в оперативной памяти.
=)
"Module" = "c:\windows\system32\kungsfnexyhrqo.dll" ( 9: Risky ) ; ; ;
"SHA1" = "167330CEC9393F0114F0AC792DEE9A098F6632FE" ( 9: Risky ) ;
"Last Write Time" = "2015/06/18 12:06" ( 9: Risky ) ;
"Creation Time" = "2015/06/18 12:05" ( 9: Risky ) ;
"File Size" = "20992" ( 9: Risky ) ;
"File Description" = "" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "" ( 9: Risky ) ;
"(Cloud) Age" = "more than 5 years ago" ( 9: Risky ) ;
"(Cloud) Volume" = "1" ( 9: Risky ) ;
"Linked to" = "Running processes -> svchost.exe -> c:\windows\system32\kungsfnexyhrqo.dll"

Edited at 2015-06-18 10:07 (UTC)

Защита должна быть многоуровневой, а я уже 4 года(еще больше) показываю Enigma Protector, везде. А Касперский не умеет его распаковывать. До сих пор!
=)

C:\Users\VITALIKJ\Desktop\xxx_video_37176.avi_protected.exe » ENIGMA » mainBinary.exe - Win32/MBRlock.D trojan
C:\Users\VITALIKJ\Desktop\xxx_video_37176.avi_protected.exe » ENIGMA » packerRuntime.dll - is OK

Time;Scanner;Object type;Object;Threat;Action;User;Information
18.06.2015 16:02:15;Advanced memory scanner;file;Operating memory » xxx_video_37176.avi_protected.exe(1912);a variant of W i n 32 / MBRlock. D trojan;cleaned - contained infected files;;
Старт ОС не заблокирован, выполнение вредоносного процесса в оперативной памяти остановлено. =)

virustotalточкаcom/ru/file/4997c90d45cfc4d0a7da3bbf9c2c6d9ffe0a4e3ba96b84740f2f9a51790b8ee4/analysis/
MD5 40bc6007dc41d007121a7c108f634828





Edited at 2015-06-18 13:35 (UTC)

?

Log in