Новые JARM-отпечатки в PassiveTotal ускоряют расследование инцидентов

Новый функционал RiskIQ PassiveTotal по сбору серверных JARM-отпечатков усиливает возможности команд киберразведки и реагирования при расследовании инцидентов и отслеживании злоумышленников

Интернет-разведка, то есть исторические и текущие данные о сети Интернет, играют критически важную роль при реагировании на инциденты. Эти данные позволяют командам ИБ в реальном времени в масштабах всего Интернета понять, подверглась ли их организация атаке, и помогают отследить цифровой отпечаток злоумышленника в сети. 

RiskIQ дает возможность организациям реагировать на атаки с помощью графа Интернет-аналитики (Internet Intelligence Graph) PassiveTotal, построенного за более чем 10 лет сбора информации и массового сканирования сети Интернет. Теперь RiskIQ предлагает и принципиально новый функционал благодаря новой возможности сканирования JARM, которая поможет специалистам по реагированию на инциденты быстро получать однозначные ответы при обращении к самому большому в мире графу приложений, компонентов и образцов поведения сети Интернет.

JARM — это инструмент активного фингерпринтинга (снятия отпечатков) TLS-серверов, который полагается на возможности массового сканирования RiskIQ для получения отпечатков по методике JARM. Отпечатки, полученные по этой методике, помогают выявить захваченные хакерами серверы, например, те, которые используются в атаках Log4Shell, SolarWinds или инструментом Cobalt Strike. 

Во время атаки JARM мгновенно сокращает область поиска и показывает связь между элементами инфраструктуры злоумышленника, что помогает аналитикам определить масштаб атаки и остановить ее. 

Методика снятия отпечатков JARM, разработанная специалистами SalesForce Engineering, может использоваться для следующих целей:

  • быстро убедиться, что все серверы в определенной группе имеют одинаковую конфигурацию TLS;
  • группировать разрозненные серверы в Интернете по конфигурации, выявляя те, которые могут принадлежать определенному злоумышленнику;
  • выявлять приложения и инфраструктуру, настроенные по умолчанию;
  • выявлять C&C-инфраструктуру и другие вредоносные серверы в Интернете.

Результаты сканирования JARM упорядочены и расположены во вкладке «Trackers» в платформе RiskIQ PassiveTotal. 

Cobalt Strike — один из наиболее распространенных пакетов ПО для имитации атак, который используют Red Team по всему миру. Однако его можно использовать и для реальной эксплуатации уязвимостей, поэтому он также широко применяется хакерами. Ниже приведен пример результатов поиска JARM на платформе RiskIQ PassiveTotal для выявления серверов Cobalt Strike:

Запрос по серверам Cobalt Strike в RiskIQ PassiveTotal

В RiskIQ также поддерживается поиск по первым 30 символам нечетких (fuzzy) хешей JARM и последующим 32 символам хеш-расширений. В RiskIQ PassiveTotal во вкладке «Trackers» они также отображаются как «JarmHash», «JarmExtensionHash» и «JarmFuzzyHash»:

Запрос хешей Cobalt Strike в RiskIQ PassiveTotal

Пользователи платформы PassiveTotal могут затем переключаться между обширными наборами данных пассивного DNS, выстроить картину инфраструктуры злоумышленника и продвинуться в своем расследовании:

Просмотр данных пассивного DNS для расследования

С момента эксплуатации Log4Shell прошло немало времени, однако нельзя терять бдительность. Нужно понимать, что произошедшее — это не единичная атака, а начало новой эры продвинутых киберугроз в Интернете. Новый инструментарий JARM-отпечатков PassiveTotal помогает выявлять ранее неизвестную инфраструктуру злоумышленников в масштабе реального времени.

Закажите демо и тестирование RiskIQ PassiveTotal

Свяжитесь с нами, чтобы узнать, как с помощью RiskIQ можно управлять поверхностью атаки и снижать риски.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/