Олег Биль
Закончил Костанайский государственный университет (Казахстан).
Исполняющий обязанности директора департамента разработок и исследований, главный архитектор и руководитель «Лаборатории исследования вредоносного кода» Государственной технической службы Казахстана.
Исследованием вредоносных объектов занимается более 10 лет.
Выступал с докладами на SOC-форумах (2017, 2018), пятой конференции «Развитие информационной безопасности в Казахстане» (Астана), PHDays-2018 (Москва), BIS-Summit-2018 (Баку).
Готовит студентов к участию в конференциях по ИБ.
Руководитель лаборатории исследования вредоносного кода РГП «Государственная техническая служба» Комитета национальной безопасности Республики Казахстан — Олег Биль — ответил на вопросы Anti-Malware.ru — рассказал о работе своей лаборатории, тенденциях в развитии киберугроз, прогнозах на будущее и влиянии эпидемий вирусов-шифровальщиков 2017 года на государственные учреждения Казахстана.
Олег, расскажите кратко для наших читателей, чем занимается Государственная техническая служба Республики Казахстан.
О. Б.: Наше предприятие решает широкий круг задач, связанных со сферой информатизации и обеспечения информационной безопасности.
В числе прочих, мы осуществляем мониторинг обеспечения защиты объектов информатизации «электронного правительства» и интернет-ресурсов государственных органов в целях их безопасного использования и реагирование на инциденты информационной безопасности. В рамках реагирования на инциденты мы проводим исследования, связанные анализом вредоносного кода.
На BIS Summit в Баку у вас были интересные слайды в презентации о прогнозах в развитии угроз. Какие их них можно особенно выделить исходя из вашей практики?
О. Б.: Учитывая специфику нашей организации, наши основные интересы — это государственный сектор. Для нас наиболее актуальны атаки, связанные с незаконным получением управления компьютерами сотрудников государственных органов и организаций или контактирующих с ними людей. Таким образом, основной угрозой мы считаем целевые атаки, вирусы-шпионы, бэкдоры. В то же время в других сферах угрозы могут отличаться — например, может быть актуальной проблема использования вычислительных мощностей дата-центров, для каких-либо операций (майнинг) или иные сценарии атак. Помимо государственных структур, мы можем помочь иным организациям (например, банкам, крупным промышленным структурам) с расследованием инцидентов, с исследованием образцов, которыми пользуются злоумышленники при атаках.
Чего хотят при этом злоумышленники, какой функциональностью обладают вредоносные программы, которые они используют?
О. Б.: Очень хороший вопрос. Дело в том, что в нашей практике за последний год очень явно прослеживается тренд на то, что злоумышленники используют инструменты, которые максимально универсальны. Это создает определенные проблемы при проведении исследований. Часто бывает очень сложно или почти невозможно понять, что конкретно злоумышленники делали на компьютере жертвы. Как я говорил в презентации, были объекты, у которых число поддерживаемых функций достигает пятидесяти — это загрузка произвольных файлов, выполнение команд shell и другие операции. Работая с некоторыми инцидентами, мы видим, что вредонос находился на компьютере больше года, анализ функциональности показывает, что вредонос мог делать практически все, но что конкретно было сделано — понять очень сложно из-за универсальности инструмента. Злоумышленники часто пользуются объектами одних и тех же вредоносных систем, возможно, покупая их или их исходный код и дописывая свои модули. При исследовании можно заметить, что код вредоноса в разных местах очень отличается по качеству — видно, что писали разные люди. При покупке программы злоумышленники часто не представляют, что может им понадобиться, поэтому стремятся обеспечить максимальную универсальность. Конечно, если мы находим какие-то специализированные модули, мы понимаем, что этот модуль разработан для определенной задачи. Но в основном прослеживается тенденция на универсализацию.
Какие данные анализируются вами при расследовании инцидентов? Какого алгоритма действий вы обычно придерживаетесь?
О. Б.: Обычно при расследовании инцидента мы действуем в сотрудничестве с отделом ИТ и службой информационной безопасности той организации, которая обращается. Мы смотрим логи систем и дампы памяти, когда получаем информацию или же сами являемся инициаторами расследования, обращаясь в организацию. Иногда бывают такие ситуации, что найти объект на компьютере по логам и информации, полученной с помощью специальных утилит, очень сложно. Например, когда все файлы, находящиеся в автозагрузке, чистые и абсолютно легитимные. Тогда не остается другого выбора, как исследовать дамп оперативной памяти либо образ диска. Если, мы не можем приехать (к примеру, организация в другом городе), то получаем образ диска и используем его.
Исследование дампов памяти помогает разобраться со сложными кейсами. Например, был случай, когда машина была защищена антивирусом и DLP одного из ведущих производителей, но никаких сигналов о подозрительной активности от данных средств не поступало. На прокси был выявлен подозрительный трафик и, с помощью анализа дампа памяти вручную, был выявлен шпионский модуль, долгое время контролировавший зараженную машину.
Попадались ли в вашей практике бестелесные вирусы?
О. Б.: Я бы выделил два типа бестелесных вредоносов. Бестелесные non-persistence вредоносы (без механизмов обеспечения постоянного присутствия на целевом компьютере — прим. ред.), то есть они живут только до отключения компьютера. Их максимально сложно обнаруживать, особенно по прошествии значительного количества времени. Условно, злоумышленникам нужно получить информацию о компьютере. Скрипт передан в командной строке интерпретатору, логи не были настроены, он загрузил основную часть скрипта с сайта, выполнил ее, злоумышленники получили информацию и куда-то отправили. Если вы приходите через несколько дней, особенно если компьютер выключался, то найти что-то ценное будет очень тяжело.
Конечно, отсутствие возможности объекта «выжить» после перезагрузки создает проблемы и для злоумышленников, поэтому существует другой, «псевдобестелесный» тип вредоносных объектов.
Бестелесные, с механизмом обеспечения постоянного присутствия (persistence), благодаря использованию модулей, обеспечивающих предварительную подготовку кода к исполнению, — как раз тот случай, про который я говорил на презентации. Вирус не был абсолютно бестелесным, но реальное тело вируса не хранится на диске в открытом виде, оно зашифровано, расшифрованный код можно найти только в памяти (или зная алгоритмы расшифровки, расшифровать самостоятельно). Естественно, в таких случаях у нас появляется возможность проведения исследования и определения функциональности вредоносного объекта.
А на сетевом уровне какие-то артефакты удается получить? Копии трафика, информацию с песочницы, с каких-нибудь фаерволов?
О. Б.: Не все организации, с которыми мы работаем, имеют продвинутые системы защиты, например сетевые песочницы, хорошие антивирусные продукты и другие средства безопасности. Часто не настроены даже банальные логи обращения к ресурсам на прокси-сервере. Мы работаем с любыми доступными инструментами. К примеру, мы знаем, что некий домен скорее всего нехороший, потому что провели исследование, и он являлся C&C (сервером контроля и управления). Если мы видим обращение к такому домену, скорее всего это вредонос, соответственно, можно связаться с людьми в организации. Если мы как-то обнаружили такую активность в сети организации, мы предлагаем разобраться с логами трафика. Организация может иметь центральный хаб или прокси. Если у нее есть региональные отделения, в которых работают 150 человек, то в головном офисе видно, что трафик пришел с какого-то региона, но непонятно, с какого конкретно компьютера шла активность. В таком случае мы помогаем администраторам разбираться в ситуации. Мы их консультируем, говорим, какой трафик надо найти, на каком прокси-сервере его надо искать, консультируем конкретных инженеров. Причем иногда консультируем службу ИТ — в этом случае надо дать человеку простые и понятные инструкции, как обнаружить и нейтрализовать вредонос или как провести детальное исследование, на что обратить внимание, что предоставить нам. Мы понимаем, что обычный айтишник в регионе скорее всего не сможет нам помочь, поэтому помогать должны мы.
Насколько охотно организации идут на контакт с вашей службой? Есть ли какая-то законодательная обязанность это делать, оповещать вас в случае инцидентов?
О. Б.: Опустим то, что не все организации готовы предоставлять информацию — это уже решается. Конечно, есть регламент, есть некие обязательства, но проблема в том, что не у всех организаций есть инструменты. Не все организации могут определить, что они находятся под атакой, которую не может обнаружить какое-то используемое ими техническое средство, антивирус или другое. Если у них нет вердиктов, если у них нет плана действий, то они бессильны перед атакой. Организации многого не видят. Но если они и видят, мы стараемся действовать с позиции помощника, а не грубой силы, и стараемся располагать к себе, после чего люди обычно идут на контакт.
Как я понимаю, многие технические доказательства и следы могут утрачиваться после инцидента. К примеру, если упала какая-то рабочая станция из-за вредоносной программы, первое, что сделает администратор — просто переустановит систему, чтобы сотрудник быстрее приступил к работе. Это уничтожит все следы. В этом случае можно что-то сделать? И как предостеречь ИТ-службы от такого рода проблем?
О. Б.: Мы стараемся восстанавливать сведения, но, конечно, полный перезалив системы (форматирование диска и установка операционной системы и другого программного обеспечения с нуля) — это практически безнадежная ситуация. Мы стараемся проводить разъяснительную работу, и люди, которые к нам уже обращались и раньше делали перезалив, если у них есть успешный опыт работы с нами, скорее всего, больше не будут так делать. Они изолируют компьютер или просто поставят его на склад до выяснения деталей инцидента. В идеальном случае перед выключением сохранят дамп оперативной памяти. То есть они уже понимают, что иногда можно многое затереть даже не по тому объекту, о наличии которого мы или они знают, а по другим, о наличии которых ни нам, ни ИТ-службе ничего не известно.
Часто бывает такое, что ты приходишь на зараженный компьютер по артефакту одного вредоносного объекта, а там обнаруживается несколько других вредоносов. Был случай, когда в такой же ситуации мы обнаружили, что на одном компьютере было больше десятка шпионов, четыре из которых были установлены в один день. То есть понятно, что злоумышленникам был очень важен данный компьютер и они очень хотели проникнуть на него. Эта информация важна для исследования и для понимания ситуации. Конечно, есть проблема донести информацию до людей — кто-то боится, кто-то не доверяет, кто-то думает, что в Казахстане некоторые вещи нельзя сделать. Но мы стараемся наладить взаимоотношения с нашими организациями, и прогресс в этой сфере становится заметным.
Целенаправленные атаки для Казахстана — это пока миф или уже реальность? Вы уже сталкивались с какими-то следами целенаправленных атак, когда сразу видно, что атакуют конкретную организацию? Например, использование 0-day-уязвимостей или уникальный код.
О. Б.: Краткий ответ: актуальны. Мы не видели эксплойтов для 0-day уязвимостей, но видели достаточно актуальные образцы. Целевые атаки мы видим. Есть всемирно известные семейства вредоносных объектов, широко применяемые для проведения целевых атак, которые используются и у нас. Они хорошо изучены, но, естественно, их образцы меняются, в том числе иногда могут дописываться ошибки в код этих инструментов, что позволяет эффективно проводить расследования.
Правильно ли я понимаю, что эпидемии 2017 года (WannaCry, Petya, BadRabbit) все-таки в основном обошли Казахстан стороной или все же нет?
О. Б.: У меня, к сожалению, нет статистики. Но у нас это было однозначно в меньшей степени, чем в других странах, отчасти из-за оказанной нами помощи. Некоторые вредоносы распространялись через сайты определенных легитимных приложений. Естественно, если злоумышленников интересовало конкретное приложение и в Казахстане таким не пользуются, вредонос для нас был не очень актуален. Мы понимаем, что с технической точки зрения такая эпидемия возможна, и если кого-то ее организация сможет заинтересовать, то никто от этого не застрахован. Говорить, что нам не страшны целевые атаки — неправильно.
На ваш взгляд, стоит ли ожидать в ближайшее время развитие этого направления? Аналитики сходятся во мнении, что уже exPetya все-таки был вайпер, и эта проба пера может превратиться в то, что в один прекрасный день мы проснемся, а большая часть ИТ-инфраструктуры уничтожена и ущерб будет непоправимый?
О. Б.: Учитывая простоту реализации таких вредоносных объектов, назвать их нереальными невозможно. Иногда 100-200 строчек кода на C достаточно, чтобы уничтожить информацию на компьютере. Однако в настоящее время злоумышленники почти ничего не атакуют без какой-то финансовой мотивации, хотя бы потому, что это им не интересно.
Ситуация с уничтожением в теории возможна, но на практике — вряд ли реализуема. Тот, кто имеет инструменты для того, чтобы это эффективно сработало, скорее всего, не заинтересован просто выключить всё. По крайней мере, сегодня. Так как простое уничтожение невыгодно, и всегда можно направить имеющийся инструмент для более высокого КПД для себя. С точки зрения злоумышленников — такие массовые деструктивные атаки без конкретных финансовых перспектив, скорее всего, возможны только в определенных обстоятельствах, до которых, я надеюсь, дело не дойдет в обозримой перспективе.
Это если мы говорим о какой-то финансовой выгоде. А если их целью будет, скажем, кибертерроризм?
О. Б.: Я согласен, кибертерроризм — это очень опасная угроза, но злоумышленнику это тоже должно быть выгодно. Я не исключаю вероятность такого развития событий. Но для осуществления эффективной и массовой атаки нужно хорошее средство доставки, средство уничтожения играет куда меньшую роль. На примере прошлогодних атак можно увидеть, что средства уничтожения были не самыми продвинутыми модулями — что в случае с WannaCry, что в случае с NotPetya. WannaCry больше шифровальщик, по поводу NotPetya — мнения о том, что же это такое, разделились: был ли это вымогатель, написанный с ошибкой, или это был все-таки вайпер, замаскированный под вымогателя. В любом случае средство доставки здесь имеет большее значение, в указанных атаках оно было весьма эффективным. Нужно стараться сделать так, чтобы подобные средства доставки не оказывались в руках злоумышленников. Тогда вероятность возникновения подобных атак будет существенно меньше.
Касаемо майнеров — насколько это направление сейчас актуально и нет ли полного переключения внимания киберпреступников на этот инструмент с тех же самых шифровальщиков?
О. Б.: Мы прогнозировали такое переключение год назад, когда биткойн и альткоины были на подъеме. Сейчас ситуация немного успокоилась. Но если вы найдете неограниченные ресурсы для майнинга себе, то вам это будет выгодно — вы ни за что не платите, но получаете какую-то выгоду. Всем известна средняя стоимость выкупа при атаке шифровальщиком, около 300 долларов, но немногие пользователи хотят или могут платить. К примеру, домохозяйка просто может не иметь криптовалюты, или злоумышленник, не контролируя свою программу, может даже имеющийся у пользователя криптокошелек зашифровать. То есть в принципе заплатить будет нечем. Также пользователь может не иметь на зашифрованном компьютере такой информации, за которую он был бы готов столько заплатить. Плюс, в случае эпидемии, с определенного момента вредоносный объект начинают детектировать антивирусы, и те, кого злоумышленники не успели заразить и зашифровать, становятся защищенными. Майнеры в то же время — это просто легитимные приложения. Если у них есть ограничения по потреблению процессорной мощности, и он будет работать на мощном компьютере на 20%, то он может жить там вечно. Потому что с точки зрения антивируса не очень понятно: это майнер пользователя или майнер, который ему установили несанкционированно? С базами и настройками, включенными по умолчанию, антивирусам очень тяжело их детектировать, можно просто навредить пользователю. Я думаю, что это очень перспективное направление для злоумышленников, и считаю, что замещение направления шифровальщиков-вымогателей майнерами будет происходить. И оно уже происходит.
Какие еще тенденции развития киберугроз можно отметить на ближайшие один-два года?
О. Б.: Я думаю, что основные и самые опасные угрозы — это нахождение способов монетизации атак на критическую инфраструктуру, это тот же кибертерроризм. Второе — это не очень ответственная позиция исследователей в плане разглашения полученной информации, то есть информации об уязвимостях в программном обеспечении и эксплойтах к этим уязвимостям. Часто такие публикации являются головной болью служб безопасности предприятий и организаций. Особенно в ситуации, когда выкладывается скрипт на питоне, с помощью которого десятиклассник может сформировать вредоносный rtf-файл, позволяющий без дополнительных действий пользователя исполнить произвольный код на его компьютере. Даже при том, что можно решить проблему обновлением, существуют системы, которые нельзя или проблематично обновлять по причине того, что эта система сертифицирована, то есть были различными способами проверены все системные файлы, зафиксированы их хеш-суммы, и обновление приведет к тому, что ее придется сертифицировать заново. Иногда этот процесс может занять несколько месяцев. Конечно, это плохо, но она была сертифицирована, чтобы туда было сложнее внедрить вредоносный код, а теперь мы понимаем, что эта система заведомо уязвима. Такая ситуация может возникнуть на серьезном оборудовании, простой которого даже на время сертификации — недопустим.
А уязвимости Meltdown/Spectre на аппаратном уровне в процессорах Intel и AMD? Есть ли здесь какой-то тренд? С вашей точки зрения, это критичные уязвимости, от которых может быть какой-то существенный вред?
О. Б.: Я считаю, что это только начало. Есть поговорка: нет здоровых пациентов, есть недообследованные. Условно говоря, в аппаратном обеспечении не находили уязвимостей, потому что не искали. Тот факт, что за год нашли несколько серьезных уязвимостей в аппаратной части, говорит о том, что их поиск не составил большого труда, когда квалифицированные, компетентные и заинтересованные люди этим занялись. Это на самом деле пугает, в первую очередь потому, что неизвестно, что еще могут найти. Уязвимыми устройствами не обязательно могут быть процессоры, это могут быть жесткие диски, машины, кофеварки и прочее. Часто можно наблюдать ситуацию, что уязвимости в аппаратном обеспечении, или невозможно, или очень сложно исправить — не везде меняются прошивки, а там, где меняются, это требует каких-то административных усилий. То есть человек что-то должен скачать, что-то установить. А там, где не должен, все еще хуже: там эту прошивку или отдельные файлы могут подменить злоумышленники. Например, ситуация с роутерами и ботнетом Mirai.
Налажено ли у вас ли взаимодействие с другими членами СНГ или ЕАЭС, какие-то действующие каналы?
О. Б.: Я лично этим не занимаюсь, но в прошлом месяце видел новости, что глава Национального банка Казахстана и председатель Банка России подписали общее соглашение о сотрудничестве. Мое общее впечатление, что в этом начинается прогресс. Как вы сами понимаете, тема информационной безопасности очень скользкая, и не очень понятно, чем делиться, а чем не делиться в ходе взаимодействия. Пока контрагенты не понимают выгоды для себя, они не делятся информацией или же исполняют некоторые вещи формально. Сейчас, как мне кажется, крупные организации, национальные банки и промышленные организации уже понимают, что их атакуют одними и теми же средствами, например, как это было с Cobalt. И если банки в каких-то конкретных странах, которых атаковали первыми, будут молчать, потому что они не понимают выгоды от сотрудничества и никогда ничего не скидывали в какую-то единую базу инцидентов, то поодиночке «перебьют» их всех. Я думаю, что сейчас приходит понимание, что злоумышленники консолидируются, используют наработки друг друга, покупают, дарят эксплойты, и инструменты перетекают из атаки в атаку. Мы должны понимать, что хорошим ребятам тоже нужно объединяться и желательно на межгосударственном уровне. На данный момент наблюдается движение различных стран навстречу друг другу в этих вопросах.
«Киберщит Казахстана»: что это за программа в двух словах, что за этим стоит?
О. Б.: За этой программой стоит в первую очередь серьезное повышение внимания государства, центральных государственных органов к управлению кибербезопасностью, то есть все государственные органы и высокопоставленные руководители поняли актуальность проблемы. Была разработана программа, и сейчас осуществляются практические действия по ее реализации. Программа нацелена на то, чтобы улучшить возможности Казахстана в вопросах обнаружения и противодействия кибератакам. Это ряд мероприятий, которые осуществляются как в организационной сфере — работа с сотрудниками, работа с инструментами, обучение ИТ-персонала и обычных сотрудников; так и технической — то есть внедрение конкретных инструментов, их развертывание и использование в работе.
Благодарим за интервью и желаем процветания!