Живой анализ

• 

Обновлено 04.07.2025 05:40

В кибербезопасности экспертиза компьютера может обеспечить необходимый ана­лиз угроз. Образы для экспертизы обычно создаются после инцидента безопасности (например, заражения вредоносным ПО) или нарушения правил использования (на­пример, загрузки на устройство детской порнографии), причем создание образа вы­полняется таким образом, чтобы сохранить доказательства, не нарушив целостность данных на устройстве. Данные экспертизы могут помочь специалистам по безопас­ности узнать, в чем заключалась угроза и как она использовала уязвимости системы. Затем экспертиза может предоставить информацию, необходимую для разработки сигнатур, мер защиты и упреждающей блокировки. 

Например, понимание того, что злоумышленник хотел раздобыть определенную интеллектуальную собственность в определенной системе, говорит защитникам о необходимости защиты последней. Если экспертиза определит, что атака прошла успешно и конфиденциальные данные были скомпрометированы, организация может с помощью этих знаний разработать план дальнейших действий. Если атака не удалась, организация может подготовиться к возможным последующим атакам. Полученные в ходе экспертизы индикаторы могут позволить понять, кто является источником угроз, а затем разработать от­ветные меры. Стратегия организации должна учитывать серьезности угрозы — был ли злоумышленник иностранным правительством, недовольным сотрудником или просто ребенком, занятым безобидным взломом.

Сбор данных устройства для анализа включает живой захват (он же живой ана­лиз), а также визуализацию (также экспертная визуализация, или зеркальное ото­бражение). Организации используют приманки и целые виртуальные среды для оперативного захвата и даже взаимодействия со злоумышленниками. Такие системы часто делаются такими, чтобы они привлекали хакеров или были легко доступны для вредоносных программ, поэтому когда угроза проникает в систему, скрытые средства ведения журналов и мониторинга фиксируют, что именно угроза делает, как делает и с какими данными взаимодействует. К сожалению, многие злоумыш­ленники знают об этих приманках и проверяют, не находятся ли они в ненастоящей среде, предназначенной для сбора информации. Если подозрения подтвердятся, злоумышленник прекращает работу, сводя на нет все усилия службы безопасности. Устройства контроля доступа к сети (NAC) тоже могут перехватывать угрозы путем динамического переключения системы в зараженную среду VLAN, где угроза про­должает «жить» и ждет реакции защитников.

Экспертный анализ на живом захвате обычно не выполняется. Аналитик чаще изучает статические, инертные или мертвые данные, в которых определенная информация или уникальные детали угрозы могут быть утеряны. Обычно это на­блюдается в бесфайловых вредоносных программах, которые хранятся в памяти, или во вредоносных конфигурациях или артефактах, например в кэше таблиц маршрутизации. Живой анализ не проводится по ряду причин, в числе которых:

особые технологические требования;

необходимость обходить организационные политики, требующие отключе­ния-включения, карантина или блокировки скомпрометированных систем;

отсутствие квалифицированных экспертных ресурсов, способных здесь и сейчас выполнить живой анализ;

отсутствие у сотрудников доступа к жизненно важным системам во время расследования.

Важно отметить, что при неправильном выполнении анализа в реальном времени угроза может узнать о наличии в системе экспертного ПО и спрятаться, удалить себя, принять контрмеры или атаковать систему.

Чтобы ускользнуть от методов захвата, угрозы развертываются в несколько эта­пов. На начальном этапе угроза старается понять, не используются ли технологии захвата, и загружает вредоносные программы и инструменты только после того, как будет ясно, что в зараженной среде можно безопасно работать. Такие меры предосторожности злоумышленнику необходимы, так как если его ПО будет перехвачено и проанализировано, информация об инструментах и методах, ис­пользуемых угрозой, попадет к другим организациям и защитникам, что позволит им извлечь уроки из атаки, исправить проблему или разработать контрмеры. Правоохранительные органы могут задействовать тактику экспертизы для от­слеживания злоумышленников или предоставления доказательств их противо­законной деятельности.

В последнее время наиболее хитрые хакеры переместились в те области работы с компьютерами и сетями, которые стандартные инструменты криминалистической экспертизы, захвата и анализа охватить не могут. К числу нововведений можно от­нести, например, установку на жесткий диск прошивки, которая создает скрытую закодированную файловую систему, встраивание вредоносного ПО в хранилище BIOS, использование локального хранилища на микрочипе для работы за преде­лами обычной рабочей памяти, а также модификацию низкоуровневых модулей и кода сетевого оборудования, например маршрутизаторов, коммутаторов, прин­теров и других устройств, которые обычно не участвуют в экспертизе. Некоторые угрозы имитируют базовую ОС или доверенные компоненты безопасности, про­никая в них на уровне производителя, который тоже считается доверенным лицом и не рассматривается в рамках криминалистического анализа. Некоторые хакеры стирают следы своей работы, перемещаясь в память или в систему, которая редко перезагружается (например, контроллер домена), и ожидая там, пока утихнет шум и можно будет вернуться к первоначальной задаче.