thấy tại http://www.mandiant.com/apt1.
Chỉ số của APT1 và sử dụng Redline
Với phát hành báo cáo của Mandiant, APT1: Phát hiện một trong những Đơn vị Gián điệp Không gian mạng của Trung Quốc, chúng tôi cung cấp một tập hợp các IOC của APT1 trong một phần số của Phụ lục G để giúp dò tìm ra các phần mềm độc hại được mô tả trong Phụ lục C: Kho vũ khí Phần mềm độc hại. Các IOC có thể được sử dụng trong các cuộc điều tra để thấy các tội ác còn chưa được biết hoặc để dò tìm các mối đe dọa đã biết rồi. Các IOC đã được đưa vào trong Phụ lục G phù hợp để dò tìm các mối đe dọa đã biết rồi; tuy nhiên, hãy lưu ý rằng APT1 cũng cập nhật các công cụ của họ, và chắc chắn có các biến thể phần mềm độc hại và các họ phần mềm độc hại mới mà sẽ không được dò tìm ra với tập hợp các IOC này. Để tìm ra nhiều hơn về báo cáo hoặc các phụ lục số (bao gồm cả việc tải về tập hợp các IOC của APT1 ở Phụ lục G: “Các IOC”) hãy tới http://www.mandiant.com/apt1.
Các IOC có thể được sử dụng cùng với Redline, công cụ điều tra dựa vào máy chủ tự do Mandiant, hoặc với Mandiant Intelligent Response (MIR), công cụ điều tra dựa vào máy chủ thương mại của Mandiant. Các khách hàng của Mandiant mà đã có MIR được cấp phép có thể đơn giản nhập khẩu một tệp zip của IOC vào các điều khiển của họ. Đối với những người không có MIR, Redline thì có thể tải được về từ website của Mandiant ở: (http://www.mandiant.com/resources/download/redline). Hãy nhớ phải luôn kiểm thử các IOC mới trước khi sử dụng chúng trong một môi trường sản xuất.
IOC là gì?
Mandiant đã phát triển một tiêu chuẩn mở, có khả năng mở rộng cho việc xác định và chia sẻ thông tin về các mối đe dọa trong một định dạng mà máy có thể đọc được. Đi vượt ra khỏi phân tích chữ ký tĩnh, các IOC kết hợp với hơn 500 dạng bằng chứng nghiên cứu pháp lý tội phạm với việc tạo nhóm và những người vận hành logic để cung cấp khả năng dò tìm tiên tiến các mối đe dọa.
Nếu bạn còn chưa quen với các IOC, hãy tới site OpenIOC để có được mô tả ở http://openioc.org.
Redline là gì?
Redline là công cụ tự do của Mandiant cho việc điều tra các máy chủ về các chữ ký hoạt động độc hại thông qua bộ nhớ và phân tích tệp, và sau đó phát triển một hồ sơ đánh giá các mối đe dọa. Redline cung cấp vài lợi ích bao gồm những điều sau:
LỰA CHỌN NHANH
Khi đối mặt với một máy chủ bị tổn thương tiềm tàng, những người đối phó trước hết phải đánh giá được liệu hệ thống có phần mềm độc hại hoạt động tích cực hay không. Không có việc cài đặt phần mềm hoặc phá bỏ đi hiện trạng của máy, Redline kiểm toán tỉ mỉ tất cả các qui trình và các trình điều khiển hiện đang chạy trong hệ thống đó với một phân tích nhanh; đối với một phân tích chi tiết, thì nó cũng thu thập toàn bộ cấu trúc tệp, tình trạng mạng, và bộ nhớ hệ thống. Redline cũng sẽ so sánh bất kỳ giá trị MD5 nào nó thu thập, phân tích và trực quan hóa đối với danh sách trắng của MD5. Những người sử dụng có thể sau đó phân tích và xem các dữ liệu kiểm toán được nhập vào bằng việc sử dụng chức năng dòng thời gian (Timeline) của Redline, nó bao gồm các khả năng làm hẹp lại và lọc các kết quả xung quanh một khung thời gian được đưa ra với các tính năng TimeWrinkles và TimeCrunches.
PHÁT HIỆN CÁC PHẦN MỀM ĐỘC HẠI ẨN
Redline Portable Agent có thể thu thập và phân tích một bức tranh bộ nhớ hoàn chỉnh, làm việc ở mức mà ở đó các rootkit của nhân và các kỹ thuật phần mềm độc hại được ẩn dấu khác vận hành. Nhiều kỹ thuật ẩn dấu đã trở thành cực kỳ rõ ràng khi được xem xét ở mức bộ nhớ vật lý, làm cho phân tích bộ nhớ trở thành một công cụ mạnh cho việc tìm kiếm phần mềm độc hại. Nó cũng phát hiện các phần mềm độc hại “chỉ bộ nhớ” (“memory only”) mà không hiện diện trên đĩa.
PHÂN TÍCH CÓ CHỈ DẪN
Công cụ Redline của Mandiant tối ưu hóa phân tích bộ nhớ bằng việc cung cấp một dòng tiến trình được chứng minh cho việc phân tích phần mềm độc hại dựa vào ưu tiên tương đối. Điều này nắm lấy công việc gợi ý nằm vượt ra khỏi tác vụ và sự phân bổ thời gian, cho phép các nhà điều tra cung cấp một câu trả lời có trọng tâm vào các mối đe dọa có vấn đề nhất.
Redline tính toán một “chỉ số Rủi ro Phần mềm độc hại” (Malware Risk Index), nó nhấn mạnh tới các qui trình có khả năng nhiều hơn sẽ trở nên đáng giá để điều tra, và khuyến khích những người sử dụng tuân theo các bước điều tra mà gợi ý được cách bắt đầu. Khi những người sử dụng rà soát lại các kiểm toán nhiều hơn từ các hệ thống sạch và bị tổn thương, họ sẽ xây dựng được kinh nghiệm để nhận thức được hoạt động độc hại nhanh hơn.
Khi bạn điều tra một hệ thống, đây là cách mà Redline sẽ giúp bạn tập trung sự chú ý của bạn vào các dữ liệu có hiệu năng nhất:
CÁC BƯỚC ĐIỀU TRA
Redline có thể thu thập số lượng làm nản chí các thông tin thô. Các bước điều tra của nó giúp cung cấp một nơi khởi điểm bằng việc nhấn mạnh tới các dữ liệu đặc thù và đưa ra các quan điểm có năng suất phổ biến nhất trong việc xác định các qui trình độc hại. Trừ phi bạn đang theo đuổi một “sự lãnh đạo” cụ thể nào đó, chúng tôi khuyến cáo làm việc thông qua các bước theo trật tự, cân nhắc thông tin cho các đầu vào mà không khớp với kỳ vọng của bạn.
thống “sạch” và “bị tổn thương” khác nhau. Qua thời gian, cảm giác của bạn về các đầu vào nào là bình thường và đầu vào nào cần quan tâm sẽ phát triển nhanh khi bạn xem được nhiều dữ liệu hơn. CHẤM ĐIỂM CHỈ SỐ RỦI RO CỦA PHẦN MỀM ĐỘC HẠI
Redline phân tích từng qui trình và phần bộ nhớ bằng việc sử dụng các qui tắc và kỹ thuật khác nhau để tính toán một “Chỉ số Rủi ro Phần mềm độc hại” (Malware Risk Index) cho từng tiến trình. Điểm số này là chỉ dẫn hữu dụng cho việc nhận diện các tiến trình đó có khả năng nhiều hơn sẽ đáng để điều tra. Các tiến trình ở rủi ro cao nhất đang bị tổn thương vì phần mềm độc hại sẽ được nhấn mạnh với một dấu hiệu đỏ. Những ai với một số tác nhân rủi ro sẽ có được một dấu hiệu xám, và các tiến trình rủi ro thấp sẽ không có dấu hiệu đó.
MRI không phải là chỉ số phần mềm độc hại tuyệt đối. Trong một cuộc điều tra thì bạn có thể tinh chỉnh lại điểm số của MRI bằng việc chỉ tính tới các sự việc đặc thù (xác định các điều tích cực sai và tiêu cực sai) cho từng tiến trình, bổ sung vào các sự việc của riêng bạn, và tinh chỉnh các kết quả. IOC
Redline cung cấp sự lựa chọn thực thi phân tích IOC bổ sung thêm vào việc tính điểm của MRI. Một tập hợp các IOC được cung cấp, Redline Portable Agent sẽ tự động được thiết lập cấu hình để thu thập các dữ liệu theo yêu cầu để thực hiện một phân tích IOC sau này; sau khi phân tích chạy được, thì các kết quả sự việc IOC sẽ là sẵn sàng cho điều tra sau này.
Hơn nữa, Redline đưa ra khả năng tạo một Bộ thu thập IOC (IOC Collector). Tính năng này cho phép thu thập các dạng dữ liệu được yêu cầu cho việc làm khớp với một tập hợp các IOC.
LÀM VIỆC VỚI MIR
Kết hợp được với MIR, Redline là một công cụ mạnh để trả lời sống động nhanh chóng. Đây là trường hợp thông thường:
• IDS hoặc hệ thống khác dò tìm hoạt động nghi vấn trong một máy chủ
• Từ MIR, một nhà điều tra tung ra một script đối phó sống động từ xa
• MIR Agent chạy trên máy chủ (host) chộp lấy và phân tích bộ nhớ một cách cục bộ, tối ưu hóa ngược trở lại một kiểm toán XML nhỏ mà có thể tải về trong vài phút hoặc vài giờ
• Từ MIR, người sử dụng có thể kiểm toán trực tiếp trong Redline
• Sử dụng Redline, người điều tra nhanh chóng nhận diện một tiến trình độc hại, và viết một IOC mô tả công việc nghiên cứu pháp lý tội phạm mà các quy kết được thấy trong Redmine
• Sử dụng MIR và MCIC, người điều tra nhanh chóng có khả năng quét đối với IOC đó và phát hiện ra tất cả các hệ thống khác trong mạng với cùng y hệt (hoặc tương tự) phần mềm độc hại đang chạy
Khách hàng của MIR đã truy cập tới các IOC từ trước đó chưa? Các IOC đó là mới! Tuy nhiên, nhiều khả năng dò tìm ra trong tập hợp các chỉ số này từng sẵn sàng rồi đối với các khách hàng MIR của chúng tôi. Các IOC có thể trông khác dù như là kết quả của những cải tiến trong việc tạo ra và kiểm thử. Mandiant đã bắt đầu trong năm 2013 với một trọng tâm nhằm vào việc tận dụng tốt hơn tri thức của chúng tôi về các mối đe dọa. Chúng tôi lên kế hoạch tiếp tục cải thiện sự tổng hợp tri thức của chúng tôi về các mối đe dọa và các IOC của chúng tôi bằng việc cải tiến các công việc của chúng tôi về độ rộng, qui trình tạo IOC, qui trình quản lý IOC và kiểm thử IOC. Đa số các chỉ số đó, hoặc các phiên bản được sửa đổi của chúng, sẽ được tích hợp vào phát hành IOC tiếp sau. Người chỉ định họ nào trong tập hợp các IOC này?
Chúng tôi đang sử dụng một người chỉ định IOC mới trong các IOC được gọi là “(HỌ)”. Đơn vị tình báo Mối đe dọa của Mandiant (Mandiant’s Threat Intelligence Unit) theo dõi các phần mềm độc hại với các tính năng chung được xem trong các nhóm nhị phân. Chúng tôi gọi chúng là việc tạo “các họ” các nhóm nhị phân. Các IOC được đưa vào trong phụ lục này là những đại diện của các họ phần mềm độc hại được APT1 sử dụng. Người chỉ định mới tuân theo tên họ đó trong trường “Name” (“Tên”) của IOC, và sự hiện diện của (HỌ) ngụ ý rằng IOC đó áp dụng cho toàn bộ họ đó, chứ không chỉ cho một mẫu. Vì sao các IOC đó trông hơi khác với các IOC khác mà tôi từng thấy từ Mandiant?
Trong nhiều trường hợp chúng tôi đã kết hợp các thông tin mà trước đó có thể từng có trong một vài chỉ số thành một chỉ số duy nhất. Hơn nữa, chúng tôi đã loại bỏ các dạng tri thức nhất định, vì chúng đang được phát hành trong các phụ lục riêng rẽ (như các FQDN và các IP).
Hơn nữa, một số IOC trong tập hợp này đang sử dụng các khối hoán vị tệp để nắm bắt các biến thể phần mềm độc hại có thể không được dò tìm ra nếu khác đi.
Khối hoán vị tệp là gì?
Nó là một cách khác để liệt kê cấu trúc các thuộc tính Khoản Tệp (File Item) để tìm kiếm một họ đầy đủ các phần mềm độc hại so với chỉ một hoặc 2 mẩu. Để có thêm thông tin về chủ đề này hoặc hầu hết các câu hỏi khác về IOC, hãy xem https://forums.mandiant.com.
Bạn sẽ cập nhật các IOC đó chứ?
Có khả năng là chúng tôi sẽ tiến hành một số thay đổi cho các IOC trong Phụ lục G khi chúng tôi có được các ý kiến phản hồi. Nếu được cập nhật, thì các bản cập nhật sẽ sẵn sàng ở địa điểm y hệt như báo cáo này tại http://www.mandiant.com/apt1.
Bạn sẽ phát hành nhiều hơn các IOC như thế này chứ?
Phụ lục H (Số): Video