«Лучше звоните PT ESC». Эпизод 5: базовый минимум киберразведки

В мире кибербезопасности наступила новая реальность. С 2022 года ландшафт угроз радикально изменился: смешались активности APT-группировок, вымогателей и хактивистов, которые теперь атакуют практически всех без разбора. Просто знать, что файл вредоносен — недостаточно для эффективной защиты.

В пятом эпизоде вебинара «Лучше звоните PT ESC» Денис Кувшинов, руководитель департамента Threat Intelligence в Positive Technologies и руководитель сервиса PT Fusion, подробно разбирает базовый минимум киберразведки. Этот материал предназначен для специалистов SOC всех уровней, экспертов по реагированию на инциденты и тех, кто хочет оптимизировать мониторинг угроз.

Вебинар будет полезен специалистам SOC всех уровней, а также тем, кто занимается реагированием на инциденты, их расследованием и киберразведкой.

TL;DR: Краткое резюме

Киберразведка (Threat Intelligence, TI) — это не только реактивная работа с фидами и индикаторами компрометации (IoC). Современный ландшафт угроз требует перехода от простого получения «вредоносного вердикта» к глубокому анализу контекста для атрибуции атакующего и понимания его тактик.

• Уровни TI: Базовый минимум находится на стыке тактического и операционного уровней.
• Инструменты: Основное внимание уделяется поиску схожих файлов по метаданным (например имена файлов, имена машин хакера в LNK-файлах, авторы документов), Passive DNS (PDNS) и специфическим записям в DNS (например, SOA-записи).
• Практическая польза: Даже при отсутствии готового контекста от вендора, анализ базовых данных позволяет атрибутировать атаку к известной группировке (например: PhantomCore, ScalyWolf, BOTeam) и запустить проактивный третхантинг.

Пересказ вебинара

Мы добавили структурированный саммари вебинара. Это текстовая расшифровка с выделением самого важного — основные тезисы, структура и выводы для тех, кто предпочитает читать.

Пирамида потребителей и место базового уровня TI

Спикер начал с фундаментального обзора уровней киберразведки, представив их в виде градиентной пирамиды, где количество данных растет экспоненциально от вершины к основанию.

1. Тактический уровень (База)

Здесь работают специалисты SOC L1-L2. Основной фокус — индикаторы компрометации (IoC) и фиды. Это реактивный метод: мы пытаемся понять, атакуют ли нас прямо сейчас, обогащая сработки в SIEM контекстом индикаторов.

2. Операционный уровень

Здесь к работе подключаются эксперты SOC L3, третхантеры и специалисты по расследованию (IR). Основная задача — атрибуция угроз, понимание инструментов и процедур (TTPs) по матрице MITRE ATT&CK. На этом уровне аналитики выясняют, как именно действует враг, как он закрепляется, какие инструменты использует и к чему стремится.

3. Стратегический уровень (Вершина)

Уровень руководства (CISO). Здесь не работают с конкретными файлами, а анализируют ландшафт угроз в целом, чтобы строить стратегию защиты и принимать решения о необходимых средствах безопасности (NGFW, NTA и др.).

Где находится «базовый минимум»? Денис Кувшинов подчеркнул, что базовый уровень киберразведки расположен между автоматизированной работой с фидами и отслеживанием конкретных группировок — фактически на грани тактического и операционного уровней.

Проблема «чистых» фидов и дефицит контекста

Многие компании используют фиды, что полезно, но часто это реактивная мера — индикаторы попадают в списки уже после того, как были использованы в атаках. Хотя вендоры стараются выявлять домены на этапе подготовки инфраструктуры, такие случаи составляют меньшинство.

Основные недостатки работы только с фидами:

• Отсутствие детальной информации об угрозе: вы видите «красный» флаг, но не понимаете, насколько это критично именно для вас.
• Потеря времени: аналитики тратят драгоценные часы на самостоятельный поиск контекста (гугление, поиск в VirusTotal), что замедляет реагирование.
• Неопределенность мер реагирования: изолировать ли машину сразу или это просто массовый фишинг, не требующий радикальных действий?

Базовые данные киберразведки: что анализировать?

Когда контекста нет (например, вердикт Generic), на помощь приходят базовые данные. Денис разделил их на три категории:

1. Файлы (хэши): Метаинформация, нечёткие хэши (SSDEEP, LSH), связанные сетевые индикаторы и вердикты.
2. Домены: История резолвов (PDNS), поддомены, регистрационные данные (WHOIS/RDAP), DNS-записи (MX, NS, SOA) и связанные файлы.
3. IP-адреса: История резолвов доменов в эти IP и связанные вредоносные файлы.

Зачем это нужно? Работа с этими данными повышает квалификацию сотрудников и позволяет выстраивать алгоритмы действий даже при отсутствии готовых ответов от вендора. Это критически важно при столкновении с уникальными атаками, где ваша компания стала первой целью.

Практический кейс № 1: Атрибуция PhantomCore через метаданные LNK-файлов

Спикер подробно разобрал атаку (смотреть c 18й минуты) зафиксированную 16 февраля, которая началась с рассылки вредоносных файлов со взломанного почтового ящика реально существующей легитимной компании. Благодаря этому письмо успешно миновало базовые проверки (такие как SPF/DKIM проверки), которые обычно отсеивают явный фишинг с поддельных доменов.

Детали инцидента и тактика обхода защиты:

• Изощренная приманка: злоумышленники прикрепили к письму запароленный архив. Для обхода автоматических систем анализа (песочниц) пароль не был указан в тексте в явном виде и не был представлен картинкой. Вместо этого использовался семантический метод: в письме было указано, что «пароль — текущий год». Такая формулировка мешает почтовым песочницам автоматически подобрать пароль и проанализировать содержимое архива.
• Содержимое: внутри архива находились три ярлыка (LNK-файла), которые были практически идентичны по структуре, но имели разные названия для повышения шансов на запуск пользователем.
• «Золотая жила» метаданных: Денис Кувшинов подчеркнул, что ярлыки — один из любимых типов файлов для аналитиков киберразведки, так как хакеры часто забывают очищать их метаданные. Загрузив файл в портал PT Fusion, эксперты извлекли следующие параметры:
  • Имя машины (Machine Name): имя компьютера, на котором хакер физически создал этот ярлык.
  • Серийный номер диска: уникальный номер тома устройства злоумышленника.
  • Пути и команды: полный путь к иконке, путь к интерпретатору cmd.exe и саму вредоносную команду с параметрами запуска.

Метод расследования и результат: аналитики выделили уникальный паттерн (кусочек командной строки) из LNK-файла и провели по нему поиск среди миллионов файлов в базе портала. Выяснилось, что ровно месяц назад аналогичные файлы с такими же именами машин и специфическими командами использовались в атаках группировки PhantomCore. Это позволило мгновенно атрибутировать атаку, выгрузить все связанные сетевые и файловые индикаторы и провести ретроспективный поиск (третхантинг) в SIEM-системе клиента, чтобы убедиться, что угроза не закрепилась в сети ранее.

Практический кейс № 2: Раскрытие инфраструктуры ScalyWolf через WHOIS-данные

Второй пример (смотреть с 24й минуты) касается ситуации, когда в сетевом трафике клиента был обнаружен подозрительный домен gossuslugi-verification.online. На момент обнаружения контекст по домену отсутствовал: порталы киберразведки не выдавали прямой атрибуции к конкретной группировке.

Процесс анализа:

• Маскировка контента: при переходе на домен контента на странице не было. Хакеры часто используют «пустые» страницы, чтобы автоматические сканеры фишинга не находили вредоносных форм ввода данных или логотипов ведомств и выдавали «чистый» вердикт.
• Работа с регистрационными данными: аналитики обратились к данным WHOIS/RDAP. Несмотря на то, что современные злоумышленники часто используют сервисы защиты приватности (Privacy Protection), в данном случае в поле администратора был указан открытый email-адрес регистранта.
• Связь через историю регистраций: поиск по этому конкретному email в базе портала показал, что данный человек ранее регистрировал целую серию доменов, которые уже имели подтвержденную связь с атаками группировки ScalyWolf.

Итог: несмотря на попытку хакеров скрыть активность на «пустом» домене, их выдала привычка использовать один и тот же почтовый ящик для регистрации инфраструктуры. Это позволило аналитикам классифицировать угрозу и принять меры по блокировке всей сети доменов, связанных с данным регистрантом.

Кейс № 3: SOA-запись как ключ к обнаружению BOTeam (Barium/BT)

Третий кейс (смотреть с 30й минуты), представленный Денисом Кувшиновым, является одним из самых примечательных примеров того, как анализ специфических DNS-записей позволяет раскрыть инфраструктуру продвинутых хакерских группировок, даже когда другие методы исследования заходят в тупик.

Суть инцидента и первичный анализ

В ходе регулярного мониторинга эксперты зафиксировали фишинговую рассылку, к которой был прикреплен документ с названием «Акт проверки транспортного средства». При детальном анализе выяснилось, что файл эксплуатирует недавнюю и достаточно редкую уязвимость (CVE) в Microsoft Word. Особый интерес аналитиков вызвало то, что атаки с использованием этой конкретной уязвимости ранее не фиксировались на территории России, а сам программный код эксплойта был модифицирован по сравнению с версиями, доступными в открытых источниках.

Проблема отсутствия контекста

После запуска документа в «песочнице» был определен контрольный сервер злоумышленников — домен rostrannatzor.digital. Однако на этом этапе расследование столкнулось с трудностями:

• Прямой атрибуции домена к какой-либо группировке в базах данных не было.
• Проверка через систему Passive DNS (PDNS) не дала результатов: история резолвов отсутствовала, то есть домен был абсолютно новым.
• У домена отсутствовали MX-записи, что означало, что почта с него не рассылалась.
• Стандартные записи выглядели типично и не содержали зацепок.

Решающее открытие: Анализ SOA-записи

В этом фрагменте вебинара (рекомендуем посмотреть видео с 33-й минуты) спикер демонстрирует, как аналитики решили проверить SOA-запись (Start of Authority) домена. Эта запись содержит техническую информацию о зоне и, что наиболее важно, email-адрес администратора, ответственного за её поддержку.

В поле ответственного лица был обнаружен специфический адрес на домене gmail.com. При сопоставлении этого адреса с внутренней базой знаний киберразведки выяснилось, что этот же email ранее неоднократно использовался в SOA-записях инфраструктуры, принадлежащей группировке BOTeam.

Итог: это позволило специалистам понять, что они имеют дело с серьезным противником, и начать поиск глубоких закреплений в инфраструктуре, которые характерны для этой группы.

Эти кейсы наглядно доказывает, что работа с «базовым минимумом» данных TI позволяет выявить элитных атакующих там, где автоматизированные системы видят лишь «подозрительный файл» без контекста.

Будущее TI: Автоматизация и AI-агенты

Денис Кувшинов отметил, что будущее киберразведки за системной автоматизацией.

• AI-агенты смогут самостоятельно подключаться к серверам вендоров, запрашивать контекст, анализировать базовую информацию и выдавать аналитику готовый отчет с рекомендациями по защите. Однако, чтобы написать правильного агента и понимать, не «врет» ли он, аналитик обязан сам владеть навыками ручной работы с данными.
• PT Fusion уже сейчас движется в сторону модульного конструктора, объединяя PDNS (более 70 млрд записей), библиотеку угроз и возможность проверки файлов.

Блок ответов на вопросы (Q&A)

Вопрос: Обязательно ли ловить сработку, чтобы начать третхантинг? Почему не поставить на мониторинг найденные индикаторы APT заранее? Денис Кувшинов: Абсолютно согласен, это не обязательно. В этот раз мы шли «от сработки» как от базового сценария, но в следующих вебинарах обсудим работу с процедурами группировок для проактивного выявления атак.

Вопрос: Где искать данные для обогащения, кроме вендорских порталов? Денис Кувшинов: Большие массивы данных, такие как PDNS (терабайты записей) или метаинформация миллионов файлов, практически невозможно развернуть локально у клиента. Это всегда облачные решения. Из известных — VirusTotal, но там жесткие квоты. Мы в PT Fusion объединили все эти модули в одном месте.

Вопрос: Не боитесь ли вы давать данные AI-агентам? Денис Кувшинов: Если агент работает в контролируемой локальной инфраструктуре — это не страшно. Главное — не скармливать критичные данные публичным LLM.

Вопрос: PT Fusion — это улучшенный аналог PT IoC? Денис Кувшинов: Да, это веб-портал с API, возможностью проверки файлов и глубокой базой TI. Сейчас пользователи PT IoC постепенно перетекают в PT Fusion, где скоро появится и бесплатная версия для базовой проверки индикаторов.

Вопрос: Как вы проверяете IP-адреса (IoC), которые присылает ФСТЭК и другие поставщики? Что вы посоветуете делать, если в их фиды попадают обычные адреса, которые на самом деле не являются индикаторами атаки? Денис Кувшинов: У нас жесткие требования. Мы часто не добавляем IP в «красные» фиды, если это просто IP, в который резолвится домен, так как он может быть шеринговым (CDN). Мы используем TTL (время жизни) для IP, которое гораздо короче, чем у доменов. Также у нас есть отдельные «серые» фиды для CDN, TOR, VPN и прокси, чтобы минимизировать ложные сработки.

Вопрос: Сколько человек нужно в команде для «базового минимума» TI? Денис Кувшинов: Для потребления TI — 3–4 человека. Для построения собственного процесса TI с нуля — минимум 5–7 человек (разработчики для поддержки инфраструктуры и 3–4 аналитика для интерпретации данных без фолзов).

Заключение

Эффективность SOC напрямую зависит от умения работать с данными киберразведки. Переход от простого блокирования IoC к анализу инфраструктуры атакующих позволяет действовать на опережение.

Для тех, кто хочет на практике попробовать инструменты, описанные в вебинаре, Positive Technologies предлагает:

1. Оставить заявку на пилот PT Fusion.
2. Подписаться на Telegram-канал и читать блог с регулярными разборами группировок.
3. Ждать следующего вебинара в июне, который будет посвящен более высоким уровням TI.

FAQ

1. Что такое базовый минимум TI? Это работа с метаданными файлов и сетевой инфраструктурой (PDNS, DNS) для понимания контекста атаки при отсутствии готовой атрибуции.
2. Как атрибутировать атаку по метаданным файл? На примере LNK-файла: имя машины создателя, серийный номер диска и уникальные паттерны команд в ярлыке.
3. Зачем анализировать SOA-записи? В них может содержаться email администратора, который группировка использовала в других атаках, что позволяет связать новую инфраструктуру с известным врагом.
4. Чем PT Fusion отличается от обычных фидов? Это комплексный портал, предоставляющий не только списки индикаторов, но и глубокий исторический контекст, базу знаний о группировках и инструменты для самостоятельного исследования.