Lockheed Martin: некоторые обновления анализа кибер-рисков

(Ди Алессандро Фиори)
02/12/19

(Иногда они возвращаются ...) Несколько месяцев назад мы остановились, чтобы проанализировать киберриски, связанные с F-35, это включало анализ сети (очевидно того, что публично видно) производителя, компании Lockheed Martin (см. статью).

Сегодняшняя статья оживает из потребности, которая должна быть основной для тех, кто хочет сталкиваться с ежедневными проблемами, связанными с информационной безопасностью, или изменениями на «поле битвы» и связанными с этим угрозами.
Чтобы лучше понять «изменение» сценария, для тех, кто периодически защищается, полезно проанализировать свои активы, поскольку злоумышленник всегда пытается обнаружить новые слабые места в структуре.
Оставлять слишком много времени означает значительно увеличить риск.

В этой статье мы увидим именно это изменение и сможем внимательно проанализировать, насколько радикально отличается ситуация для одной и той же области.

Как всегда, первым шагом, который необходимо выполнить, является так называемый «сбор информации», т.е. сбор информации, необходимой для фактического анализа.

В этом случае мы проверяем, присутствуют ли допустимые признаки компрометации для домена «lockheedmartin.com».
Чтобы упростить нашу работу, мы можем использовать VirusTotal API (интерфейс прикладного программирования - ряд функций, которые можно вызывать для выполнения ряда операций даже с различными языками программирования и сторонними программами), чтобы проверить, является ли данный файл (или домен), в нашем случае ...) должны быть углублены.

Как видно, нет файлов, которые можно считать подозрительными, поэтому мы можем выполнить новый поиск через платформу «ThreatCrowd» для поиска других элементов, которые могут быть связаны с Доменом и его поддоменами:

Источник: ThreatCrowd

Затем мы можем просмотреть данные с платформы в табличном формате:
Источник: ThreatCrowd

Среди предоставленной информации платформа возвращает электронное письмо «lm-nic@lmco.com". На этом этапе мы можем повторно проанализировать домен «lmco.com» и, таким образом, увидеть разницу с предыдущим анализом. На этот раз мы запустим этот поиск с помощью VirusTotal API, чтобы упростить нам задачу:

Мы можем сразу заметить, что ситуация изменилась со времени предыдущего анализа, то есть такого же хеша предыдущего анализа нет.

В реальном анализе мы должны проанализировать все найденные хэши, чтобы получить хороший обзор.
В этом случае мы возьмем, в частности, два хэша, первый:
1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0
и второй хеш:
907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Чтобы изучить природу первого хэша, мы всегда можем положиться на платформу «VirusTotal», которая благодаря анализу поведения вредоносных программ может предоставить нам отличную информацию о доменах, IP-адресах и различных изменениях в системном реестре и файловой системе, которые они могут помочь нам понять, взломана ли система или нет.

Вы можете наблюдать за поведением первой вредоносной программы, просто нажав на эту ссылке..

Как видно, у нас есть поведенческий анализ.
Нажав на кнопку «Полный отчет» в правом верхнем углу, вы можете просмотреть отчет о песочнице.

Песочница позволяет запускать вредоносные программы в изолированном и безопасном пространстве и анализировать их действия для принятия необходимых действий, таких как блокировка IP-адресов или вредоносных доменов.

NOTA BENE:
Выполнение этого типа операций потенциально опасно, поскольку вы буквально запускаете вредоносное ПО на своем компьютере.
Выполните этот тип анализа ТОЛЬКО И ТОЛЬКО, ЕСЛИ ВЫ ИДЕАЛЬНО ЗНАЕТЕ О РИСКАХ И ИЛИ СОВЕРШЕННО МОЖЕТЕ СДЕЛАТЬ ЭТО В ОБЩЕЙ БЕЗОПАСНОСТИ!

Источник: DrWeb vxCube

Анализируя вместо второго вредоносного ПО, можно заметить что-то другое:

Ссылка на поведенческий анализ

Из анализа поведения можно отметить, что вредоносная программа, помимо попытки связаться с доменом провинции Милан, имеет необычное поведение, понятное из анализа адресов IP.
Ниже приведен частичный список адресов IP:


Источник: VirusTotal

Вы можете заметить, что IP-адреса, с которыми связывается вредоносное ПО, следуют определенному «шаблону».
Интересным примером является «10.152.152.x»
Этот шаблон совпадает с сетью широко распространенного решения для анонимизации, а именно Whonix.

Whonix - это виртуальная машина, шлюз которой автоматически и «прозрачно» перенаправляет (т. Е. Пользователю не требуется взаимодействие или знание операций) всего соединения в сети Tor (наиболее распространенное решение для анонимизации). в сети).

Как сообщается на официальной странице проекта (доступно на ссылке.) чтобы иметь возможность перенаправлять весь трафик клиента в Tor, через шлюз Whonix достаточно установить следующие параметры:

## увеличить последний октет IP-адреса на дополнительных рабочих станциях
IP-адрес 10.152.152.50
Маска подсети подсети 255.255.192.0
Шлюз по умолчанию 10.152.152.10
Предпочитаемый DNS-сервер 10.152.152.10

Интересно, что вредоносная программа пытается связаться с этим типом сети.
Из этого можно сказать, что это либо случайное совпадение, либо мы столкнулись с возможным случаем утечки данных.
Очевидно, что и Национальная CERT, и US-CERT были уведомлены немедленно.

Я помню, что весь анализ основан на общедоступных данных, с которыми может ознакомиться любой.

Как и в предыдущей статье, мы должны предупредить вас, что, поскольку у вас нет доступа к внутренней сети, ситуация может быть результатом работы антивируса, IPS, Honeypot, Sandbox или других защитных систем.

Как показано, ситуация между двумя анализами может радикально измениться, поэтому я рекомендую регулярно проверять вашу сеть и системы.

Совет всегда один и тот же: мы должны рассматривать безопасность не как «продукт», а как процесс.

Изучение и сравнительный анализ активов помогает нам держать под контролем угрозы, которые со временем меняются и развиваются с нашей защитой.

Важно следить за изменениями и развитием угроз, чтобы не быть застигнутым врасплох.

Изображения: Lockheed Martin / веб