Как использовать данные с теневых ресурсов для предсказания кибератак
В идеальном мире киберразведданные помогают организациям оставаться на шаг впереди злоумышленников. Однако на практике специалисты по киберразведке чаще всего анализируют результаты уже состоявшихся атак, выделяя применяемые тактики, техники и процедуры — пусть и именно те, что актуальны в данный момент в конкретном регионе.
В предыдущей статье цикла мы уже рассказывали, что с этой информацией можно достаточно эффективно прогнозировать следующие шаги киберпреступников. Это связано с тем, что, согласно пирамиде боли, сложнее всего атакующим изменить именно тактики, техники и процедуры.
Тем не менее в некоторых случаях ценную информацию оперативного уровня можно получать напрямую от злоумышленников. Например, через доступ к их переписке, а также с помощью мониторинга чатов и каналов (в частности, Telegram), теневых форумов и маркетплейсов.
В этом материале мы рассмотрим, как можно применять данные с теневых ресурсов. Речь пойдет о четырех типах объявлений: о продаже вредоносного ПО и инструментов для реализации кибератак, эксплоитов для уязвимостей, доступов в IT‑инфраструктуры компаний, а также сообщения о компрометации организаций.
Вредоносное программное обеспечение — наиболее часто предлагаемый товар на теневых ресурсах. Нередко, чтобы привлечь внимание к своему продукту, злоумышленники предоставляют достаточное количество деталей в объявлении, что позволяет идентифицировать функциональные возможности ВПО или инструмента. Это может быть использовано специалистами по кибербезопасности для тестирования возможностей обнаружения средств защиты, формирования детектирующей логики, а также проактивного поиска киберугроз.
На теневых ресурсах можно найти объявления о продаже практически любого ВПО и инструментов: загрузчиков, троянов удаленного доступа, стилеров, руткитов, программ-вымогателей, крипторов, AV-/EDR‑киллеров и других. Более того, предлагаемое ВПО часто имеет функциональные возможности сразу нескольких классов.
Давайте на примерах рассмотрим, какую ценную информацию мы можем получить по результатам анализа подобных объявлений.
В следующем объявлении на одном из теневых форумов автор предлагает ВПО в аренду по модели malware-as‑a‑service:
С самого начала при описании продукта автор указывает на его функциональные особенности, которые в том числе могут быть использованы для обнаружения:
- В качестве образца для выполнения вредоносного кода применяется легитимный интерпретатор Node.js.
- Для получения адреса командного сервера используются смарт-контракты.
Дальнейший анализ объявления позволяет получить следующую информацию:
- Интерпретатор будет иметь стандартное имя —
node.exe. - Адрес командного сервера будет получен через смарт-контракт в сети ETH.
- ВПО позволяет оператору делать снимки с экрана скомпрометированной системы.
- Может загружать исполняемые файлы во временную папку и запускать их.
- Позволяет выполнять команды в командной строке Windows.
Выделенные функциональные особенности ВПО позволяют нам сформулировать потенциальные возможности обнаружения:
- запуск подозрительных файлов с помощью
node.exe; - выполнение подозрительных команд, например относящихся к сбору информации о системе, через командную строку Windows, запущенную от
node.exe; - создание исполняемых файлов во временной папке процессом
node.exe; - подозрительные коммуникации с сервисами, позволяющими получить информацию о смарт-контрактах, — например,
etherscan[.]io.
Как видно, даже из базового описания можно получить массу информации, которая позволит по‑настоящему проактивно реагировать на возникающие киберугрозы.
Давайте рассмотрим еще один пример — на этот раз связанный с популярным методом доставки ВПО, который получил название ClickFix:
В данном случае автор объявления дает меньше технических деталей, указывая, что популярные реализации данного метода доставки предполагают пользование cmd.exe, powershell.exe, curl.exe, mshta.exe и другими популярными средствами операционной системы и легко обнаруживаются даже Windows Defender. Автор же утверждает, что выявил такую его реализацию, которая не обнаруживается средствами защиты.
Тем не менее, если детальнее рассмотреть описание предлагаемого метода, можно заметить интересную особенность: выполненная команда будет удалена из истории «Выполнить».
Данная история хранится в следующем разделе реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU. Следовательно, мы можем использовать события очистки данного раздела для формирования логики обнаружения.
Таким образом, даже те объявления, которые не содержат много технических деталей, могут послужить для получения информации, необходимой для обнаружения подозрительной или вредоносной активности.
На теневых ресурсах нередко встречается информация о продаже эксплоитов для уязвимостей, причем как известных, так и 0‑day.
Информация о продаже эксплоитов для известных уязвимостей позволяет правильно расставить приоритеты и в случае обнаружения исправлять их в первую очередь, ведь они уже используются или вот‑вот будут использоваться злоумышленниками.
Давайте рассмотрим пример. В данном объявлении продавец предлагает инструмент для эксплуатации уязвимости с идентификатором CVE‑2025‑54309 в CrushFTP.
Автор объявления подчеркивает, что на текущий момент уязвимости подвержено около 200 тысяч серверов, а успешная эксплуатация позволит атакующему выполнять произвольные команды через загруженный веб‑шелл.
Если процесс работы с известными уязвимостями, эксплуатируемыми злоумышленниками, довольно понятен, работа с 0‑day может быть затруднительна. Тем не менее информацию о подобных уязвимостях часто можно использовать для понимания того, откуда вероятнее всего начнется атака, а в некоторых случаях и для обнаружения попыток эксплуатации — например, если автор делится достаточным количеством технических деталей.
В следующем примере злоумышленник предлагает эксплоит для 0‑day-уязвимости в межсетевых экранах Palo Alto.
Продавец отмечает, что данной уязвимости подвержено более 14 тысяч устройств, а успешная эксплуатация позволит злоумышленнику выполнить произвольный код.
Хотя здесь нет технических деталей, а исправить уязвимость не представляется возможным, как минимум мы можем идентифицировать устройства данного вендора в своей IT‑инфраструктуре: вероятно, данная уязвимость в принципе для нас не актуальна.
Если же потенциально уязвимые устройства присутствуют, мы, во‑первых, понимаем потенциальный источник вредоносной активности. А во‑вторых, если собираем журналы с подобных устройств, мы можем отслеживать аномалии: большинство цепочек эксплуатации приводят к созданию файлов в подозрительных папках, запуску нетипичных последовательностей процессов, а также сетевым коммуникациям.
Подготовка кибератаки, информация о компрометации организации — зачастую это именно то, чего компании ожидают от исследования теневых ресурсов. К сожалению, работа с подобными данными выглядит несколько сложнее, чем может показаться на первый взгляд.
Совсем не обязательно, что в объявлении будет указана именно ваша организация. Тем не менее данные, выгруженные злоумышленниками, могут содержать информацию, имеющую к ней отношение, в том числе крайне чувствительную. Например, электронные почтовые адреса, которые впоследствии могут быть использованы для реализации фишинговых рассылок, или пароли, которые пользователи могут применять в различных сервисах, в том числе корпоративных.
Также следует обращать внимание на источник такой информации. Нередко взлом той или иной организации можно отнести к активности конкретного кластера. Это значит, что такую информацию также можно использовать для приоритизации.
Давайте рассмотрим очередной пример. В данном случае злоумышленники сообщают о компрометации логистического холдинга.
Анализ источника информации дает нам понять, какой кластер активности стоит за данной кибератакой. В данном случае это С.A.S., который также известен как Pandemonium Hyena. Эта информация позволяет не только получить дополнительный контекст, например информацию о тактиках, техниках и процедурах, инструментах, индикаторах компрометации, но и узнать о самом факте активности кластера на текущий момент.
Таким образом, даже если сообщение о компрометации не затрагивает вашу организацию ни напрямую, ни косвенно, такая информация все еще помогает получить оперативные данные о том, кто и как сейчас атакует организации, похожие на вашу, и принять соответствующие меры.
Еще совсем недавно объявлений о продаже доступа к организациям на территории стран СНГ на теневых ресурсах просто не встречалось. Сегодня же подобные объявления все‑таки можно обнаружить, хоть и нечасто: такие публикации все еще запрещены на большинстве форумов.
Как и в предыдущем случае, совсем не обязательно ждать, пока объявление о продаже доступа (или попросту готовый аутентификационный материал) появится на каком‑нибудь форуме или в чате. Мы можем использовать эти данные проактивно, то есть учиться на чужих ошибках. Например:
Стоит отметить, что стоимость такого доступа может составлять всего несколько сотен долларов — например, в рассматриваемом объявлении это 750 $.
Продавец подчеркивает, что имеет доступ как к базе данных, так и к электронной почте и CRM. При этом злоумышленник указывает, что это веб‑сервер. Следовательно, доступ, скорее всего, был получен путем эксплуатации уязвимостей в нем.
Такая информация может помочь понять не только какие отрасли сейчас наиболее интересны злоумышленникам, но и какие части IT‑инфраструктуры с наибольшей вероятностью будут атакованы.
Несмотря на то что теневые ресурсы не дают полного представления о ландшафте угроз и методах атакующих, они служат источником самых оперативных данных. На таких площадках можно найти актуальную информацию из первых рук — от самих злоумышленников. Это дает возможность узнавать о новых методах и инструментах еще до того, как их применят в атаках на вашу организацию.
Больше примеров объявлений на теневых площадках мы разобрали в исследовании «Threat Zone 2025: обратная сторона».