Перейти к содержанию

Pyramid of pain

Модель характеризующая IOC (индикаторы компроментации) как по степени сложности обнаружения со стороны защиты, так и по степени важности обнаруженного индикатора, со стороны атакующего.

Уровень расположения индикатора в модели отображает:

  • критичность его обнаружения для атакующего (верхний IOC причиняет много страданий атакующему)

  • простоту его обнаружения для защищающихся (верхний IOC тяжело обнаружить защищающемуся)

Хэши файлов

Позволяют быстро и однозначно определить вредоносный файл, однако могут быть легко изменены атакующим, к примеру путём добавления в файл пары незначащих бит.

IP адреса

Блокировка нежелательных сетевых соединений позволит прервать канал с C2, однако для атакующего не составит особого труда иметь множество различных IP адресов.

Доменные имена

Заменить доменное имя атакующему будет сложнее чем IP адрес: его как минимум нужно купить, зарегистрировать, внести изменения в DNS записи. Однако, множество регистраторов предоставляют API, а еще не обеспокоены вопросами принадлежности домена конкретному лицу. Кроме того, использование таких технологий как FastFlux, создаст много проблем защищающимся.

Сетевые/хостовые артефакты

Любая деятельность оставляет следы. На хосте это могут быть ключи реестра, вызов определенных процессов, файлы на дисках и т.п.

К сетевым можно отнести user агенты, информацию о C2, URI в POST запросах и т.д.

Обнаружение и превентивное реагирование на появление артефактов, заставит атакующего вносить изменения в конфигурацию используемых им инструментов

Инструменты

Обнаружение и реагирование на используемые инструменты - серьёзный вызов для атакующего. В большинстве случаев, ему придется прекратить попытки вмешательства, однако сильно мотивированные негодяи могут либо приобрести новые инструменты, либо разработать свои собственные, с возможностью обхода существующих средств защиты.

Наравне с сигнатурным анализом АВЗ, различных правил обнаружения (например YARA), действенным способом обнаружения является fuzzy hashing (нечеткие хэши). Почитать про них можно на странице SSDeep

TTP атакующего

Как правило, обнаружение и реагирование на TTP атакующего оставляет его практически без шансов на успешную атаку. Ему придётся изменить всю стратегию атаки, а следовательно у него есть только 2 пути:

  1. Надолго отступить для построения новой стратегии

  2. Сдаться и пойти попробовать взломать кого-нибудь другого.