Как использовать киберразведданные для обнаружения угроз
В предыдущей главе цикла мы рассказали, как данные об уязвимостях и методах злоумышленников помогают предотвращать атаки на ранних стадиях. Теперь перейдем к обнаружению и разберем, как индикаторы компрометации разного уровня помогают выявлять угрозы, которые по тем или иным причинам не были обнаружены средствами защиты информации (СЗИ).
Чтобы разобраться в типах таких индикаторов, обратимся к «Пирамиде боли» (Pyramid of Pain). Эта концептуальная модель показывает, насколько трудно злоумышленнику изменить тот или иной индикатор после того, как его выявили и начали использовать для обнаружения атак. «Пирамиду боли» разработал Дэвид Дж. Бьянко и представил в 2013 году.
Рассмотрим особенности каждого типа индикаторов компрометации и определим, как использовать их для обнаружения киберугроз максимально эффективно.
Контрольные суммы файлов
Проще всего злоумышленникам изменить контрольную сумму вредоносного файла. Для этого достаточно внести в него любые изменения.
В потоках индикаторов компрометации наибольшую долю составляют контрольные суммы (MD5, SHA1, SHA256).
Контрольные суммы позволяют однозначно идентифицировать файл как вредоносный или легитимный (злоумышленники активно используют в том числе абсолютно легитимные инструменты). Это означает, что в большинстве случаев, работая с данным типом индикаторов, вы не столкнетесь с ложноположительными срабатываниями.
Учитывая объем таких индикаторов, работать с ними без автоматизации трудно. Следовательно, необходимо задействовать возможности имеющихся СЗИ. Это позволит идентифицировать вредоносные и потенциально вредоносные файлы автоматически.
Например, портал киберразведки BI.ZONE Threat Intelligence предоставляет интеграционный модуль, который дает возможность использовать индикаторы компрометации для выявления угроз не только в режиме реального времени, но и ретроспективно. Благодаря этому можно обнаруживать как новые атаки, так и компрометацию, которая произошла до получения этих индикаторов.
Может возникнуть вопрос: «Зачем использовать индикаторы компрометации для обнаружения вредоносных или потенциально вредоносных файлов, если уже применяются антивирусное ПО или решения класса EDR
IP‑адреса
Говоря об IP‑адресах в качестве индикаторов компрометации, стоит начать с time‑to‑live (TTL), то есть с их срока жизни. Дело в том, что IP‑адрес, который прямо сейчас указывает на командный сервер какого‑либо образца вредоносного ПО, уже через несколько часов может перестать указывать на командный сервер. Разумеется, бывают и исключения. Например, кластер Sticky Werewolf использовал один и тот же адрес в течение полугода.
Таким образом, в отличие от контрольной суммы файла, IP‑адрес не всегда остается вредоносным. Важно понимать, является ли адрес вредоносным именно в тот момент, когда коммуникации с ним были обнаружены в вашей IT‑инфраструктуре.
Как это выяснить? Например, командные серверы могут иметь определенный отпечаток, позволяющий установить, сохранил ли конкретный IP‑адрес свою вредоносную функцию. Другой вариант — появление новых вредоносных файлов, которые продолжают использовать сервер с этим адресом как командный.
Кроме того, в некоторых случаях на одном и том же IP‑адресе могут располагаться одновременно и легитимные, и нелегитимные ресурсы. Это также способно привести к ложноположительным срабатываниям. В таком случае может помочь использование для обнаружения не только IP‑адресов, но и портов, по которым ВПО взаимодействует с командным сервером.
Как видно на иллюстрации выше, метаданные индикатора содержат не только имя угрозы (в данном случае Quasar RAT), но и информацию о порте, по которому осуществляются коммуникации с командным сервером.
Доменные имена
Доменные имена также могут быть частью инфраструктуры атакующих. Как и предыдущие типы индикаторов, их довольно легко изменить.
В отличие от IP‑адресов, для доменных имен короткое TTL не так критично: чаще всего злоумышленники регистрируют довольно специфические домены, и их редко впоследствии используют в легитимных целях. Как следствие, ложноположительные срабатывания СЗИ возникают достаточно редко.
Говоря об обнаружении угроз с использованием доменных имен (как, впрочем, и IP‑адресов), стоит помнить, что фокус всегда должен быть на источнике сетевых коммуникаций. Это касается и легитимных доменов, которые могут использовать злоумышленники. Например, атакующие способны задействовать Discord для эксфильтрации собранных данных. В таком случае сетевые коммуникации с соответствующими доменными именами, инициатором которых не является клиент мессенджера или веб‑браузер, могут указывать на вредоносную активность.
Сетевые и хостовые артефакты
На этом уровне речь идет об артефактах, требующих не просто смены командного сервера или модификации образца ВПО, а внесения более масштабных изменений. Это существенно усложняет жизнь атакующим.
Например, в кампании, проходившей в июне 2026 года, кластер Hoody Hyena использовал при взаимодействии ВПО BrokenDoor с командным сервером следующий юзер‑агент: Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.8.1) Gecko/20061010 Firefox/2.0. Такой же юзер‑агент применялся и в майской кампании того же кластера. Как видите, подобный сетевой артефакт имеет более долгое время жизни, чем 3 типа индикаторов компрометации, рассмотренные ранее.
То же самое можно сказать и про хостовые артефакты. Например, кластер Rare Werewolf во многих кампаниях использовал консольную версию архиватора WinRAR, переименованную в driver.exe. Несмотря на то что адреса командных серверов и контрольные суммы вредоносных (и не только) файлов менялись, этот хостовой артефакт оставался неизменным.
Инструменты
Обычно атакующие используют ограниченный набор инструментов и ВПО как минимум в рамках одной кампании, а зачастую — в нескольких. Все эти инструменты регулярно изменяются, что не позволяет эффективно обнаруживать их с помощью индикаторов, рассмотренных ранее.
Тем не менее, хотя инструменты и ВПО меняются, сам их набор сохраняет уникальную совокупность признаков, которая нередко позволяет их выявить. Например, для идентификации таких признаков в файлах — а значит, и для детектирования самих файлов — можно использовать YARA‑правила.
Сегодня применение YARA‑правил поддерживают многие EDR‑решения. Кроме того, существуют специализированные сканеры, позволяющие их применять.
Отдельного внимания заслуживают многочисленные легитимные инструменты, которыми злоупотребляют атакующие.
Обычно злоумышленники не модифицируют такие инструменты, потому что средства защиты и так игнорируют их как легитимные. Хотя атакующие нередко переименовывают их, чтобы избежать обнаружения по именам файлов, содержащиеся в инструментах метаданные все равно позволяют выявить их использование.
Тактики, техники и процедуры
Злоумышленники могут вносить изменения в файлы, менять адреса командных серверов, обогащать арсенал новыми инструментами, но значительные изменения в используемых тактиках, техниках и процедурах встречаются куда реже — в отличие от примеров, рассмотренных ранее.
Использование информации о процедурах злоумышленников позволяет обнаруживать вредоносную активность в течение более длительного времени. Иными словами, процедуры представляют собой поведенческие индикаторы компрометации.
Например, кластер Cavalry Werewolf копировал раздел реестра HKLM\SECURITY с помощью команды: reg save HKLM\SECURITY «C:\users\public\security.save». В этом случае логика обнаружения может быть построена, например, на событиях запуска reg.exe с параметром save и указанием соответствующего раздела реестра.
Заключение
Индикаторы компрометации не ограничиваются привычными контрольными суммами и IP‑адресами. Чем выше в пирамиде вы поднимаетесь, тем более устойчивой будет ваша стратегия обнаружения киберугроз и тем больше проблем вы доставите атакующей стороне. Актуальные индикаторы всех уровней, а также контекст для их эффективного применения доступны на портале BI.ZONE Threat Intelligence.
В следующей части руководства мы разберем, как использовать знания о тактиках, техниках и процедурах злоумышленников для проактивного поиска киберугроз.