В мире информационной безопасности непрерывно идёт «война разведок»: специалисты по защите данных ищут в сети следы активностей злоумышленников, а те, в свою очередь, стремятся скрыть свои серверы управления и контроля. Одним из ключевых инструментов для такой разведки являются поисковые системы для интернета вещей и сетевых служб, такие как Censys или Shodan. Они позволяют сканировать интернет на предмет открытых портов, служб и их характеристик. Однако эффективность поиска напрямую зависит от умения составить точный запрос, который выявит именно вредоносную инфраструктуру, а не легитимные сервисы. Недавно сообщество исследователей получило в своё распоряжение готовый набор таких «цифровых отпечатков» для целого ряда опасных инструментов.
Описание
Речь идёт о так называемых C2-фреймворках и RAT, которые злоумышленники используют для удалённого управления скомпрометированными системами. Обнаружение серверов управления - критически важная задача для прерывания цепочки атаки и предотвращения утечки данных. Специалисты по угрозам подготовили и опубликовали подборку из 14 конкретных запросов к платформе Censys, каждый из которых нацелен на выявление определённого вредоносного инструментария.
Среди целей поиска значатся такие известные в профессиональной среде фреймворки, как Havoc, Sliver и Mythic, а также различные трояны, включая Pupy RAT, Ares RAT и DcRat. Методики обнаружения основываются на анализе уникальных характеристик, которые эти инструменты могут невольно оставлять в сети. Например, запрос для фреймворка Octopus использует SHA-256 хэш тела HTTP-ответа, что эффективно для поиска специфичных веб-панелей входа. Для обнаружения Villain применяется хэш баннера службы, а Mythic можно найти по характерному названию организации в поле Issuer его TLS-сертификата.
Особый интерес представляют запросы, основанные на данных сертификатов. Так, Sliver ищется по значению Subject DN «CN=multiplayer», а Pantegana - по комбинации Subject и Issuer, что значительно снижает количество ложных срабатываний. Подобные «артефакты» часто остаются в инфраструктуре из-за использования разработчиками вредоносного ПО стандартных или демонстрационных настроек, на которые у операторов не хватает времени или внимания. Между тем, как указывают авторы подборки, ни один из этих запросов сам по себе не является стопроцентным доказательством злонамеренной активности. Совпадение с шаблоном - это лишь сигнал для начала более глубокого расследования.
Ключевой принцип профессионального анализа подобных находок - контекстуальная проверка. Один только «отпечаток» не должен служить основанием для окончательных выводов. Опытные аналитики всегда комбинируют несколько источников данных. После получения предварительных результатов от Censys необходимо изучить хостинговую среду сервера, историю его появлений в сетевых пространствах, регион размещения и принадлежность к автономной системе. Кроме того, крайне важно проанализировать содержимое ответов службы, конфигурацию открытых портов и проверить, не используется ли тот же TLS-сертификат на других, пока неизвестных хостах. Такой комплексный подход позволяет не только подтвердить вредоносный характер инфраструктуры, но и провести её горизонтальное развёртывание, обнаружив связанные узлы управления.
Публикация подобных конкретных индикаторов компрометации имеет огромную практическую ценность для SOC-центров (Security Operations Center, центр мониторинга и реагирования на инциденты ИБ) и команд реагирования на инциденты. Эти запросы можно напрямую интегрировать в процессы проактивного Threat Hunting (поиск угроз), настроив их регулярный запуск. Это позволяет выявлять активные кампании на ранних стадиях, ещё до того, как они будут массово нацелены на организацию. Однако важно помнить и об ограничениях метода. Злоумышленники, особенно продвинутые группы, хорошо осведомлены о подобных техниках обнаружения. Они могут модифицировать код своих панелей управления, генерировать уникальные сертификаты для каждого развёртывания или размещать инфраструктуру за CDN, что сделает стандартные запросы неэффективными.
Таким образом, опубликованная подборка служит мощным, но не универсальным инструментом. Она значительно облегчает начальный этап расследования и демонстрирует методологию создания подобных «цифровых приманок». Для специалистов по безопасности это возможность не только воспользоваться готовыми решениями, но и научиться на их примере создавать собственные запросы для поиска новых и кастомных угроз. В конечном счёте, успех в противостоянии с киберпреступниками зависит от постоянного обновления арсенала, глубокого понимания тактик противника и умения комбинировать автоматизированный поиск с экспертной аналитикой. Предоставленные индикаторы - это именно тот тип обмена знаниями, который укрепляет общую оборону, делая интернет чуть более прозрачным и безопасным местом для всех.
Индикаторы компрометации
SHA1
- dcb32e6256459d3660fdc90e4c79e95a921841cc
SHA256
- 1421072c8a379379dc0961e723317a42b8a6c4fa02b20f3f96522c1e8667e6fb
- 15b31cc80975c3e4c19dc9badf5a93d03c71de6dc8828f787bd1560478bdc1e3
- 26f76fcfac4b29f4508615d74244793cef02d7f3027e410fe192d96c05c52d1d
- 33e7267d8409d63707706f95f3d67ee9be5fd3a2c6ffc60856c9baeca1ae3ed4
- 4b2fe1cf79234149893b40f782ea89b8f897a651d68d233923a46b9080f3f3f7
- b78ec7d301f2d25c974800c136c583b7b5a25ec5ec13dbf04cae9817fa8045aa
- f5a45c4aa478a7ba9b44654a929bddc2f6453cd8d6f37cd893dda47220ad9870
