analiza sigurnosnih prijetnji preko...
TRANSCRIPT
SVEUČILIŠTE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
RAČUNALNA FORENZIKA – SEMINAR
Analiza sigurnosnih prijetnji preko OSINT-a
Mladen Petr
Zagreb, siječanj 2019.
Sadržaj
Uvod ...................................................................................................................................... 1
Povijest Threat Intelligencea i OSINT-a ............................................................................... 2
Threat Intelligence ................................................................................................................. 3
HUMINT ........................................................................................................................... 3
SIGINT .............................................................................................................................. 3
IMGINT ............................................................................................................................. 3
OSINT ............................................................................................................................... 4
Analitičar sigurnosnih prijetnji .............................................................................................. 5
Uvod u Koobface ............................................................................................................... 5
Postupci analize prijetnji ................................................................................................... 5
Polazišna točka .............................................................................................................. 6
Izdvajanje korisnih informacija iz niza podataka .......................................................... 6
Korisni alati u istraživanju ............................................................................................... 10
Motivacija ........................................................................................................................ 11
Pojačanje obrane .............................................................................................................. 11
Zaključak ............................................................................................................................. 12
Literatura ............................................................................................................................. 13
1
Uvod
Prijetnje na internetu su danas izraženije i opasnije nego ikada, zato i njihovo istraživanje
mora biti vrlo detaljno u svrhu donošenja ispravnih odluka. Količina dostupnih podataka
eksponencijalno raste iz dana u dan, a njihova obrada zahtjeva resurse koji se ne mogu
realizirati. Zbog toga je fokus na usmjerenom pretraživanju podataka i njihovoj obradi u
informaciju te daljnjoj analizi u upotrebljivu inteligenciju.
Skupljanje i obrada inteligencije u području zaštite računala i entiteta od cyber prijetnji se
naziva Threat Intelligence odnosno Cyber Threat Intelligence.
Ovaj rad će se usredotočiti na konkretnu disciplinu skupljanja inteligencije od javno
dostupnih podataka (eng. Open Source Intelligence – OSINT) te će definirati postupke
OSINT analitičara kod analize nađenih podataka i potkrijepiti to sa primjerom iz stvarnog
života.
2
Povijest Threat Intelligencea i OSINT-a
Tehnika korištenja OSINT-a za prikupljanje važnih informacija je započela već u drugom
svjetskom ratu, točnije 26. veljače kada tadašnji predsjednik SAD-a Franklin Roosevelt
alocira 150 tisuća dolara te tako polaže temelje za osnutak Foreign Broadcast Monitoring
Service (FBMS). Cilj te organizacije je bilo nagledavanje raznih radio prijenosa i
propagandi njihovih neprijatelja u ratu. Prikupljene dešifrirane informacije su bile od
potencijalno vrlo velikih koristi za SAD da vidi kakvo je pravo stanje rata. Možda jedan od
najpoznatijih primjera je to da su prateći cijenu prodajne cijene naranči u Parizu analitičari
mogli potvrditi da li je bombardiranje željezničkog mosta prošlo uspješno.
Tada je količina javno dostupnih informacija bila dosta opskurna. Međutim sa
modernizacijom tehnologija ta količina je vrlo brzo prošla granice u kojima se mogla brzo i
efikasno pretraživati. Nakon napada na New York 9.11.2001, s ciljem da se otkriju
okolnosti napada te spriječe potencijalni budući napadi, stvara se National Commission on
Terrorist Attacks Upon the United States. Nakon dvije godine skupljanja podataka,
intervjuiranja oko 1200 ljudi, 2004 godine tim donosi zaključni izvještaj koji se arhivira te
zatvara svoja vrata. Zanimljiva činjenica je da predsjednik George W. Bush, koji je bio
jedan od pokretača tog tima, nije htio dati intervju pod prisegom.
Iako su OSINT organizacije i timovi bili prije stvarani na državnoj razini, tehnološkim
napretkom se ujedno i njihova zrnatost znatno smanjila. Zbog toga danas se mogu naći
analitički timovi u raznim tvrtkama odnosno mogu se unajmiti tvrtke specijalizirane za
analizu potencijalnih opasnosti. Ti specijalizirani timovi doduše koriste OSINT kao samo
jedan od načina dohvata informacija. Postoje razni drugi tipovi Intelligencea o kojima
ćemo reći ponešto u sljedećem poglavlju.
Danas lažne i beskorisne informacije znatno brojčano nadmašuju korisne i bitne. Samim
time je proces skupljanja tih informacija otežan i nerijetko naporan posao. Stoga posao
analitičara zahtjeva kombinaciju nemalih količina iskustva, logičnog razmišljanja i
strpljenja. Uz osobne vještine puno pomažu i razni alati analize podataka o kojima ćemo
nešto više reći u sljedećem poglavlju.
3
Threat Intelligence
Threat Intelligence, u mnogim mjestima i literaturama uz prefiks Cyber (CTI), definira
područje koje se bavi sustavnim skupljanjem podataka o mogućim potencijalnim
prijetnjama s ciljem njihovog predviđanja te konačno i sprječavanja. Sam pojam Cyber
Threat Intelligencea obuhvaća više različitih tipova Intelligencea koji se razlikuju u tome
gdje i kako se mogu naći podaci. Jedan od najvećih dijelova, Open Source Intelligence je
upravo obrađen u ovom seminaru. Osim OSINT-a, nabrojati ćemo još nekoliko većih i
popularnijih disciplina.
HUMINT
HUMINT ili Human Intelligence predstavlja sve podatke dobivene od samih ljudi. Podaci
se dobivaju kroz razgovore, intervjue ili ispitivanja ljudi za koje se vjeruje da posjeduju
kritične informacije o trenutnom istraživanju. Vjerodostojnost informacija ovakvog tipa
može biti jako upitna, pa je zato potrebno verificirati dobivene podatke nekim drugim
metodama.
SIGINT
Signals Intelligence se orijentira na prikupljanje podataka preko presretanja signala.
Signali mogu predstavljati bilo kakav oblik komunikacije između entiteta pa tako to može
predstavljati i prisluškivanje razgovora između dvoje ljudi. Ova disciplina se počela
primjenjivati već u Prvom svjetskom ratu kada su saveznici iz Antante prisluškivanjem
njemačkih telegrama dobili potrebnu prednost te u konačnici izašli kao pobjednici.
Presretanje i dekriptiranje poruka im je dalo uvid u trenutno stanje neprijateljske vojske i
njihov smjer kretanja. Upravo to je bio jedan od glavnih razloga britanske pobjede nad
njemačkim podmornicama u Sjevernom moru 1915. godine.
SIGINT se nastavlja koristiti i biti od važne uloge kako u Drugom svjetskom ratu tako i u
modernom dobu u borbi protiv terorizma.
IMGINT
Jako popularna disciplina skupljanja podataka danas svakako je Imagery Intelligence.
Postupci sakupljanja podataka se svode na interpretaciju zračnih i satelitskih fotografija.
Svoj začetak je imala u Drugom svjetskom ratu, a danas se većinom koristi za skupljanje
važnih informacija o nedostupnim, udaljenim ili skrivenim lokacijama.
4
OSINT
Izvori javno dostupnih podataka su obično razni mediji (novine, radio, televizija), javno
dostupni podaci od Vlade, tehnička literatura, Internet kao najveći izvor itd.
Upravo zbog velike količine izvora preko javno dostupnih podataka se može izvući mnogo
više korisnih informacija koje će se poslije analizirati i pretvoriti u upotrebljivu
inteligenciju. Prednost svega ovoga je ujedno i problem zbog toga što eksplozijom
informacija je ujedno porastao i broj neistinitih podataka.
Unatoč tom problemu, prikupljanje javno dostupnih podataka je jedna od najviše korištenih
disciplina kod analize potencijalnih sigurnosnih prijetnji te upravo zato se fokusiramo na
nju u ovome radu.
Vrlo je važno napomenuti da kod neke istrage često nema dovoljno ljudskih resursa da se
mogu angažirati analitičari u svim tipovima inteligencije. U tom slučaju se radi evaluacija
problema te definiranje polaznih točaka i eliminacija disciplina koje će biti od manjih
koristi u istrazi.
U sljedećem poglavlju fokus će biti na postupcima kod istraživanja postojeće prijetnje
preko OSINT-a te će biti potkrijepljeni sa stvarnim istraživanjem crva Koobface te grupe
koja stoji iza njega.
5
Analitičar sigurnosnih prijetnji
Pozicija CTI analitičara se ponekad može staviti u kontekst sa umjetnošću radi baratanja sa
vrlo divergentnim podacima te rješavanja kompliciranih i raznovrsnih problema. Samim
time svaki CTI analitičar treba imati kreativnost i inicijativu kojom efektivno definira
trenutne (i buduće) probleme i rješava ih relativno brzo. Suprotno mišljenju većine
početnika , veliki udio u ovom području igra i količina tehnološkog znanja zbog toga što se
pri samoj analizi radi sa raznim alatima i raznim programskim jezicima koji se teško
razumiju bez nekakve pozadine. Kombinacijom ovih vještina osoba, zajedno sa dobrim
analitičkim sposobnostima, postaje potencijalni kandidat za dobrog CTI analitičara.
Danas uzimamo podskup CTI-a OSINT, koji se intenzivno koristio u analizi crva
Koobface te ultimativno doveo do razotkrivanja grupe koja stoji iza njega.
Uvod u Koobface
Koobface je crv koji napada operacijske sustave Windows, Linux i MacOS. Meta napada
su bile društvene mreže poput Facebooka i Skypea te mail servisi poput GMaila,
YahooMaila i slično. Napadi su bili aktualni u 2009 i 2010 godini, a odvijali su se na način
da je osoba dobila od prijatelja na društvenoj mreži poruku sa poveznicom na video. Ta
poveznica je vodila na lažnu Youtube stranicu na kojoj se tražilo ažuriranje Flash
programa. Pokretanjem ažuriranja se zapravo pokrenula instalacija samog crva.
Crv je na zaraženom računalu u vremenskim intervalima uspostavljao konekciju sa
glavnim serverom te tako slao osjetljive podatke ili primao naredbe što napraviti sljedeće.
Predviđa se da je grupa iza tog crva zaradila preko 2 milijuna eura kroz infekciju računala i
krađu privatnih podataka.
U Siječnju 2012. godine istraživač Jan Droemer zajedno sa sveučilištem u Alabami
objavljuje rezultate istraživanja tog crva te razotkriva pojedince iza svega toga.
Postupci analize prijetnji
Analiza prijetnji se ne odnosi samo na postojeće prijetnje već i na nadolazeće, trenutno
nepostojeće. Predviđanje potencijalnih opasnosti može biti dosta komplicirano zbog
konstantnog razvijanja napadačkih metoda. U ovom radu fokus će biti na postupcima kod
istraživanja postojeće prijetnje.
6
Polazišna točka
Svaki neovlašteni pristup podacima ostavi jedan ili više tragova od kojeg započinje
istraživanje. U najčešćem slučaju će to biti niz IP adresa koje su sudjelovale u
komunikaciji sa napadnutim računalom. Preko poznatih alata na internetu se može
provjeriti malicioznost svake od adresa. Rezultat provjere će dati pozitivan rezultat ako je
adresa označena kao štetna odnosno već je sudjelovala u napadima. U negativnom slučaju
potrebno je dodatno istražiti svaku od adresa te izdvojiti one sumnjive.
Izdvajanje sumnjivih IP adresa
Detekcija sumnjivih IP adresa se ne vrši jednoznačno. Postoje mnogi faktori i mnoge
informacije koje nekako mogu izdvojiti ono što nam je zanimljivo. Obično se odmah
provjeri lokacija svake IP adrese tražeći državu koja je neobična za uspostavljanje
komunikacije sa napadnutim računalom, količina zahtjeva za pristupom u nekom periodu
itd.
Pristup malicioznom računalu
Sljedeći korak, u slučaju potvrdne identifikacije napadačke IP adrese, je stvaranje pristupa
na tom računalu. Vrlo često se na takvim serverima nalaze važne datoteke koje će
pripomoć u istraživanju.
U proučavanom blogu je dobiven pristup jednom od command and control (C&C) servera.
Preko webalizer alata (koji je bio javno dostupan na njihovom serveru) je kasnije otkriveno
da za datoteku „last.tar.bz2“ ima neobično puno zahtjeva za pristupom. Daljnjim
istraživanjem je utvrđeno da ta datoteka sadrži dnevni backup C&C softwarea. Te
sigurnosne kopije su se mogle preuzeti i sa drugih servera od te grupe.
Izdvajanje korisnih informacija iz niza podataka
Pronaći korisne informacije za istraživanje u mnoštvu podataka je dosta komplicirano.
Potrebno je gledati moguće osobne podatke, aliase, IP adrese povezanih računala, log
datoteke itd. Svaki od tih podataka može uvelike pomoći u istraživanju. U našem primjeru
iz dnevne kopije glavnog servera su izvučene razne informacije a između ostalog i dva
zanimljiva aliasa (Krotreal i PoMuC) te datoteka sa zapisanim brojevima telefona.
7
Interpretacija dobivenih rezultata
Prije svega je potrebno je utvrditi relevantnost dobivenih podataka. U našem primjeru,
proučavana je bila datoteka sa zapisanim telefonskim brojevima.
Na njima se može iščitati pozivni broj (iz Rusije) te primijetiti da je jedan broj
zakomentiran (skripta ne izvršava tu liniju koda). Zakomentirani broj vjerojatno nije više u
grupi ili zbog nekog drugog razloga ne prima sms o statistici. Intuitivno se može zaključiti
da ti brojevi mogu dovesti do mogućih počinitelja.
8
Dalje se može preko brojeva doći do njihovih vlasnika te ih probati povezati sa dobivenim
alias imenima.
Nalaženje poveznica u podacima
Postoji mnogo alata i servisa koji nam preko broja telefona mogu dati vlasnika, provjeriti
na kojim web stranicama je registriran korisnik sa određenim aliasom itd. Uz to se na
mreži mogu tražiti mjesta gdje se upotrebljavao određeni podatak (alias, telefonski broj i
slično).
Od brojeva nađenih u prošlom paragrafu, pretragom po raznim forumima je nađeno da se
jedan broj koristio kod prodaje automobila i malih mačića. Uz taj broj je bila navedena
email adresa „Krotreal@...“, identičnog imena kao i sam alias nađen u backup datoteci.
U većini slučajeva korisnik koristi isti nadimak u svim servisima koje posjećuje. Sa tom
pretpostavkom se može provjeriti na kojim web stranicama je određeni alias korišten.
Jedan od alata koji to omogućuje se nalazi na adresi namechk.com.
Alias krotreal je bio zauzet na većini servisa a značajno je napomenuti da to uključuje i
društvene mreže, čiji podaci korisnika u većini slučajeva budu javno dostupni. Treba uzeti
u obzir mogućnost da nadimci ne pripadaju nužno istom korisniku u svim mrežama.
Potraga se ovdje nastavila prema društvenim mrežama radi identifikacije sumnjivca uz
pomoć danog aliasa. Nekoliko servisa je bilo zaključano za javnost, no postanjem
poveznica sa jedne mreže na drugu može implicitno napraviti te podatke javnima. U našem
primjeru je krotreal na facebooku stavio poveznicu na njegove twitter fotografije koje su
postale time javno dostupne istražiteljima. To je dalo uvid u njegove aktivnosti kao i
9
lokacije gdje se nalazi. Treba napomenuti da, u slučaju zaključanog profila, se ponovo
provjerava dostupnost jer se status istog može promijeniti kroz vrijeme kao što je to bilo i u
primjeru.
Uz flickr, facebook i twitter, istražiteljima je zanimljiva bila i jedna stranica za odrasle,
kojom su preko whois alata saznali da je vlasnik te stranice Anton K. sa gore navedenim
brojem telefona. Zapisani email „[email protected]“ je ukazivao na povezanost
Antona i tvrtke mobsoft.
Zatvoreni profili za javnost mogu dati značajnije informacije od javnih profila zato što svi
komentari na postovima od korisnika su od njegovih prijatelja, što može utvrditi socijalne
poveznice te moguće supočinitelje.
Podaci o registriranim kompanijama su javni, pa tako je moguće dobiti podatke vlasnika
tvrtke, adresu te njegov email odnosno broj. To ne znači da je sama tvrtka upetljana u
cyber napade, potrebno je izvaditi podatke koji će konačno i jednoznačno identificirati
sumnjivu osobu.
U primjeru je mobsoft.com adresa bila izvan funkcije, no ipak su se mogli izvaditi
cacheirani artefakti u obliku loga kompanije i opisa proizvoda. Taj logo se pojavio na
backup datoteci nađenoj prije koja je povezana sa domenom mobsoft.eu, registriranoj
tvrtki u Češkoj. Utvrđeno je da je vlasnik te tvrtke upravo Anton K.
Pošto je prevađanje prirodnog jezika i dan danas vrlo težak zadatak, sama istraživanja
ponekad treba prilagoditi tome. U primjeru je promjenom na ćirilicu pretraga odmah dala
tražene rezultate vezane za tvrtku mobsoft u Rusiji za koju se nisu mogli dobiti korisni
podaci ako se pretraga vršila na latinici. Vlasnik tvrtke u Rusiji je bio Roman K. Daljnjim
istraživanjem se našao oglas za posao u toj tvrtki gdje je kao kontakt naveden broj iz
skripte u backup datoteci.
Sada bi pretraga po društvenim mrežama mogla identificirati sumnjive osobe
povezivanjem osobnih podataka nađenih tamo i podataka o vlasnicima firmi registriranima
na području Češke i Rusije.
Indirektne poveznice u istraživanju
U većini slučajeva, kao i u primjeru, su profili sumnjivaca društvenih mreža zaključani za
javnost. To dolazi zbog njihove opreznosti, no danas je jako teško biti anoniman na
internetu zbog raznih načina da ti podaci slučajno postanu javni. Drugi koristan trag bi bio
da se umjesto fokusiranja na samog sumnjivca krene tražiti okolo odnosno njegove poznate
10
prijatelje i obitelj. U slučaju potvrdne identifikacije prijatelja ili člana obitelji, šanse su da
se mogu dohvatiti podaci o samom sumnjivcu. U dosta slučajeva ostatak društva oko
napadača ne zna za njegove aktivnosti pa samim time nema pretjeranu potrebu imati
zaključan profil.
Korisni alati u istraživanju
Istraživanje će uvijek sa sobom nositi vrlo puno podataka koje nekako treba spremiti i
rasporediti tako da se lakše odrede međusobne poveznice. Jedan od najboljih, ako ne i
najbolji, način je vizualizacija tih podataka. Jedan od najpopularnijih programa za
vizualizaciju u ovom području je Maltego. Primjer vizualizacije podataka iz proučavanog
bloga je dan u nastavku.
Postoji jako puno korisnih alata koji pomažu u stvaranju dodatnih informacija i tragova.
Neki od njih su nabrojani u ovom radu: WhoIS, namechk, registri vlade o prijavljenim
tvrtkama itd. Istražitelj mora u kontekstu sam odrediti koji alat može iskoristit u kojoj
situaciji da bi imao potencijal za napredovanje u istraživanju.
11
Motivacija
U ovom koraku se definira motivacija napadača. Traži se odgovor na pitanje zašto je napad
počinjen, koji su ciljevi napada te ultimativno kako se obraniti od toga ubuduće.
Da se dobije bolji uvid u situaciju u kompaniji, potrebno je znati kakav je potencijal same
firme, s kakvim resursima se raspolaže te tko bi htio te resurse uzeti sebi odnosno tko bi
htio da te resurse firma izgubi. CTI analitičar zato treba od šefa tvrtke dobiti detaljne
informacije o stanju i potencijalu iste.
Ovaj korak vrlo često bude i prvi koji će se izvršiti kod istrage.
Pojačanje obrane
Ranjive točke u sustavu je jako bitno definirati što prije kako bi se napad spriječio. Ako se
odredi vektor napada tada se može fokusirati na određeni dio obrane koji treba pojačati. U
suprotnom potrebno je obaviti detaljnu analizu obrambenog sustava te tako odrediti
jednoznačno koji dio je najslabiji.
Izvještaj i zaključci istraživanja su fizički materijali koji ostanu unajmitelju za daljnju
zaštitu osjetljivih podataka. Temeljiti i u skladu sa standardom, izvještaju služe za
konzultaciju u slučaju budućih prijetnji i bržu detekciju i obranu od njih.
12
Zaključak
OSINT disciplina je jako raširena te se u mnogim primjerima iz stvarnog života može
vidjeti njezina važnost i moć, ukoliko se prakticira na ispravan način.
U ovom radu smo ukratko objasnili postupke kod skupljanja i analize javno dostupnih
podataka u zaštiti od sigurnosnih prijetnji. Svi postupci su bili potkrijepljeni ekvivalentnim
korakom i rezultatom našim primjerom.
Može se zaključiti da sigurnost u današnje doba nije luksuz nego nužnost. Digitalizacija
većine podataka sa sobom nosi i mnoštvo potencijalnih problema koji se mogu i moraju
efikasno spriječiti. Zato skupljanje podataka i analiza dobivenih informacija igra ključnu
ulogu u definiranju problema te početku implementacije njegovog rješenja.
13
Literatura
https://nakedsecurity.sophos.com/koobface/
https://en.wikipedia.org/wiki/Cyber_threat_intelligence
https://whatis.techtarget.com/definition/threat-intelligence-cyber-threat-intelligence
https://inteltechniques.com/menu.html
https://www.nsa.gov/what-we-do/signals-intelligence/