рейтинг блогов

Как поймать чёрного лебедя в собственной сети?

топ 100 блогов e_kaspersky01.09.2020 Давненько у человечества не было такого года, как 2020й. Да что там, не было на моей памяти ни одного года с такой концентрацией чёрных лебедей разных видов и форм. Это я, конечно, не про редких птичек, а про непресказуемые события с далеко идущими последствиями, которые с легкой руки господина Талеба вот уже лет десять именно так и величаются. Одна из главных особенностей таких «чёрных лебедей» в том, что ретроспективно они кажутся прогнозируемыми, а вот предсказать их в реальности никогда не удаётся.

Взять хотя бы всем известный вирус (тот, что биологический). Их в одноименном семействе существует несколько десятков, но регулярно находятся новые, которые и нагоняют страха на человечество. Они при этом существуют у всех на виду, живут в кошечках, собачках и летучих мышах. Казалось бы, изучай себе да обезвреживай, то есть разрабатывай вакцины. Но для этого нужно знать, что искать, а это уже искусство.

А как в кибербезопасности?

В интернетах гуляют и полезные приложения, и любительская малвара, и сложные кибершпионские модули, а иногда и редкие, никем не пойманные зиродеи («уязвимости нулевого дня»). Вреда такие уязвимости могут наделать ого-го, но часто они остаются ненайденными до самого момента нанесения этого вреда.

На самом деле, у секюрити-экспертов есть способы бороться с неопределенностью и предсказывать «чёрных лебедей». И речь в этом посте пойдет об одном из этих способов - поиске киберугроз с помощью YARA-правил.

Если коротко, то YARA-правила помогают по заданным характеристикам (иногда о-о-очень хитрым) искать похожие образцы вредоносов и определять: ага, вот эти-то, похоже, сделаны одними ребятами для похожих целей.

Представьте, что ваша сеть — необъятное море, кишащее сотнями самыми разными рыбами. Вам нужно понять, водится ли в этом море определенный род рыб (например, вредоносы авторства конкретной хакерской группы). Так вот YARA в этой водной метафоре будет неводом с ячейками определенной формы, в который попадаются только рыбы из того самого рода. Таким образом, благодаря YARA-правилам можно хитрыми методами находить новые образцы сложной малвары, даже если почти ничего про неё не знать.

У нас на эту тему есть хрестоматийный случай. В 2015 году наш YARA-гуру и глава GReAT’а Костин Райю абсолютно шерлок-холмсовскими методами нашёл в интернетах эксплойт для майкрософтовского ПО Silverlight. Зацепился за слитую хакерами переписку, провёл расследование и буквально из спичек и желудей написал YARA-правило, которое нашло эксплойт и уберегло мир от больших проблем.

Хотите тоже так уметь? Не сомневаюсь :)

Переходим к сути. Искусству создания YARA-правил мы обучаем уже не первый год. Вот только, учитывая сложный характер угроз, которые обычно таким способом ищутся, семинары мы раньше делали только очные и только для узкого круга топовых исследователей. Однако сочетать карантин с офлайн-тренингами оказалось трудновато, а необходимость в образовании никуда не делась — мы видим, что запрос такой по-прежнему есть. Запрос очень понятный, так как кибер-жульё придумывает все более изощрённые способы атак, и удалёнка им тут дает больше творческого пространства, чем когда-либо.  В общем, таить это знание и дальше нам кажется неправильным. Поэтому мы (i) перенесли тренинг в онлайн и (ii) открыли к нему доступ для всех желающих — платный, но цена по меркам профессионального курса такого уровня абсолютно рыночная.

Встречайте!

Как поймать чёрного лебедя в собственной сети? 1

Что ещё?

Учитывая какие нынче стоя́т времена, мы по мере сил поддерживаем силы света (такой уж каламбур). В начале глобального «корона-шухера» мы предложили бесплатные лицензии для медицинских учреждений, на этот раз помогаем НКО — аналитическим центрам, борцам за различные права (полный список тех, кто уже согласился, здесь). Для них тренинги будут бесплатными.

Почему? Да потому что часто они работают с очень «чувствительной» информацией, и велика вероятность оказаться мишенью целевой атаки (как вот в этом случае) , А содержать целый штат ИБ-экспертов могут далеко не все.

Теперь по пунктам, что же будет прекрасного в курсе:

  • Обучение 100 % онлайн в удобном для каждого темпе и с уютного домашнего дивана. Можно за пару вечеров пройти, а хочешь месяц растягивать удовольствие.

  • Сочетание теории и практики — в распоряжении всех участников виртуальная среда, в которой можно вволю натренироваться писать правила и искать образцы малвары в нашей коллекции.

  • Практические занятия на примерах реальных кибершпионских атак.

  • Особый блок — про искусство поиска того, о чём не имеешь точного представления. Когда интуиция подсказывает, что где-то засел злодей, а где и кто именно - непонятно.

  • Каждый выпускник получает сертификат, подтверждающий его (или её) новый статус YARA-ниндзи. Как утверждают выпускники предыдущих курсов – очень помогает в профессиональной карьере.


Как поймать чёрного лебедя в собственной сети? Exercise BlueTraveller_3

Такие вот у нас новости — как видите, в самоизоляции не скучаем. Всех, кто хочет попробовать найти чёрного лебедя у себя в сети, прошу проследовать на сайт тренинга. А мы продолжим свои кибердетективные расследования, чтобы можно было и дальше делиться самым актуальным опытом.

Как поймать чёрного лебедя в собственной сети? Submitting a rule in KLARA in virtual lab



Оставить комментарий

Архив записей в блогах:
Совершенно внезапно (хотел только попробовать - посмотреть, работает ли вообще) - провел свой первый в жизни стрим на Ютуб-канале. Оказалось, что всё достаточно просто, и даже появились, откуда ни возьмись, участники (хотя я о нем не объявлял, он же был пробный!) Такой вот первый ...
зарегился тут на харлифоруме. ну форум как форум, народу маловато, инфы тоже толком нет, ну да и пофиг. думал форум мало ещё существует. создал пару тем, одну про Дайну, вторую про покупку сиделки. и тут же на меня набросился злобный забугорный ...
https://t.me/tolk_tolk/22898 А вот это нельзя. Это у вас мигранты, а в сша иммигранты и нелегалы. Т.е. если далеко зайдет могут начать отнимать гражданство за терроризм и угрозу нацбезопасности, но это не про маска, а про зверьков всяких, типа чеченов с бостонского марафона. Там один ...
Наша корзина сегодня с яблоками, бананами и тыквой. Тыкву пока не готовила. Яблоки и бананы отличные! Чего не скажешь про фрукты — все-таки сливы надо на развалах покупать или на ...
Оригинал взят у gorod_77 в На экране блокировки смартфона предложили размещать рекламу Для мобильных устройств на базе операционной системы Android вышло приложение Locket Оно показывает на смартфонах рекламу, и пользователь получает деньги ...