Новый функционал RiskIQ PassiveTotal по сбору серверных JARM-отпечатков усиливает возможности команд киберразведки и реагирования при расследовании инцидентов и отслеживании злоумышленников
Интернет-разведка, то есть исторические и текущие данные о сети Интернет, играют критически важную роль при реагировании на инциденты. Эти данные позволяют командам ИБ в реальном времени в масштабах всего Интернета понять, подверглась ли их организация атаке, и помогают отследить цифровой отпечаток злоумышленника в сети.
RiskIQ дает возможность организациям реагировать на атаки с помощью графа Интернет-аналитики (Internet Intelligence Graph) PassiveTotal, построенного за более чем 10 лет сбора информации и массового сканирования сети Интернет. Теперь RiskIQ предлагает и принципиально новый функционал благодаря новой возможности сканирования JARM, которая поможет специалистам по реагированию на инциденты быстро получать однозначные ответы при обращении к самому большому в мире графу приложений, компонентов и образцов поведения сети Интернет.
JARM — это инструмент активного фингерпринтинга (снятия отпечатков) TLS-серверов, который полагается на возможности массового сканирования RiskIQ для получения отпечатков по методике JARM. Отпечатки, полученные по этой методике, помогают выявить захваченные хакерами серверы, например, те, которые используются в атаках Log4Shell, SolarWinds или инструментом Cobalt Strike.
Во время атаки JARM мгновенно сокращает область поиска и показывает связь между элементами инфраструктуры злоумышленника, что помогает аналитикам определить масштаб атаки и остановить ее.
Методика снятия отпечатков JARM, разработанная специалистами SalesForce Engineering, может использоваться для следующих целей:
- быстро убедиться, что все серверы в определенной группе имеют одинаковую конфигурацию TLS;
- группировать разрозненные серверы в Интернете по конфигурации, выявляя те, которые могут принадлежать определенному злоумышленнику;
- выявлять приложения и инфраструктуру, настроенные по умолчанию;
- выявлять C&C-инфраструктуру и другие вредоносные серверы в Интернете.
Результаты сканирования JARM упорядочены и расположены во вкладке «Trackers» в платформе RiskIQ PassiveTotal.
Cobalt Strike — один из наиболее распространенных пакетов ПО для имитации атак, который используют Red Team по всему миру. Однако его можно использовать и для реальной эксплуатации уязвимостей, поэтому он также широко применяется хакерами. Ниже приведен пример результатов поиска JARM на платформе RiskIQ PassiveTotal для выявления серверов Cobalt Strike:
В RiskIQ также поддерживается поиск по первым 30 символам нечетких (fuzzy) хешей JARM и последующим 32 символам хеш-расширений. В RiskIQ PassiveTotal во вкладке «Trackers» они также отображаются как «JarmHash», «JarmExtensionHash» и «JarmFuzzyHash»:
Пользователи платформы PassiveTotal могут затем переключаться между обширными наборами данных пассивного DNS, выстроить картину инфраструктуры злоумышленника и продвинуться в своем расследовании:
С момента эксплуатации Log4Shell прошло немало времени, однако нельзя терять бдительность. Нужно понимать, что произошедшее — это не единичная атака, а начало новой эры продвинутых киберугроз в Интернете. Новый инструментарий JARM-отпечатков PassiveTotal помогает выявлять ранее неизвестную инфраструктуру злоумышленников в масштабе реального времени.
Закажите демо и тестирование RiskIQ PassiveTotal
Свяжитесь с нами, чтобы узнать, как с помощью RiskIQ можно управлять поверхностью атаки и снижать риски.