Sākumlapa » Aizsardzība » Tīmekļseminārs: kiberdraudu medības ar YARA (papildināts)

Tīmekļseminārs: kiberdraudu medības ar YARA (papildināts)

Kostins Raiu ir labi pazīstama personība kiberdrošības pasaulē. Viņš ir daudzu pētījumu autors, kuros analizētas jaunatklātās valsts līmeņa spiegošanas/sabotāžas kampaņas. Viņš ir arī Kaspersky elitārās komandas Global Analysis and Research Team (GReAT) direktors. Šīs komandas kontā ir liels daudzums atklātu un publiskotu kiberspiegošanas kampaņu veicēju jeb Advanced Persistent Threats (APT) aktivitāšu. GReAT atklājumi bieži ir iemesls skaļiem virsrakstiem nozares un arī lielajos mēdijos. Skaidrs, ka ne visus dara laimīgus atklājumi, ko veic komanda, vadoties pēc nemainīga pamatprincipa – atklāt visu ļaunprogrammatūru neatkarīgi no tās izcelsmes un mērķa. Ir zināms gadījums, kad Kostins Raiu ir saņēmis personīgu brīdinājumu “paņemt pauzi”. To viņš atrada savā aizslēgtajā dzīvoklī, atgriežoties no kārtējās konferences. Tomēr tas nav bijis par šķēsli turpināt atklāt APT ar krievu, angļu, ķīniešu, franču un citu valodu pazīmēm to rīkos.

Tagad Kostins Raiu aicina uz tīmekļsemināru, kas veltīts YARA noteikumiem jeb rīkam, kas ir ļāvis pētniekiem noķert ne vienu vien kiberspiegu. Tālāk vārds Kostinam Raiu.

 

 

Dažos pēdējos gados mēs esam izplatījuši savas zināšanas un pieredzi par YARA lietošanu, ko bieži sauc par paraugu pārbaudes Šveices nazi ļaundabīgo programmu pētniekiem (un visiem pārējiem). Lielākoties tas notika Kaspersky apmācības kursā ar nosaukumu “Hunting APTs with YARA Like a GReAT Ninja”. Pirmā šāda veida YARA apmācību sesija notika 2016. gada februārī uz skaistās Tenerifes salas. Kopš tā laika mums ir bijis simtiem dalībnieku, kas apmeklējuši sesijas vairāk nekā divpadsmit valstīs.

Nākamā mūsu YARA apmācības sesija bija paredzēta Barselonā SAS 2020 laikā, tomēr globālā situācija un koronavīrusa, aka COVID-19, izplatība mūs piespieda atlikt gan konferenci, gan apmācības.

Tikmēr mēs esam saņēmuši daudz pieprasījumu, lai mūsu YARA praktiskās apmācības būtu pieejamas vairāk cilvēku. Mēs pie tā strādājam, un drīz mums vajadzētu to spēt nodrošināt kā tiešsaistes apmācību. Sekojiet līdzi atjauninājumiem, sekojot mums Twitter: @craiu @kaspersky.

Tā kā daudzi cilvēki strādā mājās un pavada vēl vairāk laika tiešsaistē, iespējams, palielināsies arī draudu un uzbrukumu skaits. Tāpēc mēs esam nolēmuši dalīties ar kādu daļu no YARA pieredzes, kuru esam uzkrājuši pēdējo gadu laikā, cerot, ka jūs visi to atradīsiet par noderīgu draudu atvairīšanā.

Tātad, ja esat domājis, kā labāk izmantot YARA un kā sasniegt jaunu zināšanu līmeni APT atklāšanā, risku mazināšanā un reaģēšanā uz tiem, tas viss sastāv no pāris slepenām sastāvdaļām un daudz darba. Kamēr darbs ir atkarīgs no jums, mēs varam mazliet palīdzēt, parādot slepenās sastāvdaļas.

Garais stāsts īsumā:

Kad: 31. martā plkst. 14:00 pēc GMT (17:00 pēc Latvijas laika)
Kur: BrightTalk – https://kas.pr/z2o2
Kam: drošības pētnieki un incidentu novēršanas personāls, ļaunprogrammatūras analītiķi, drošības inženieri, tīkla drošības analītiķi, APT mednieki un IT drošības darbinieki

Tīmekļsemināra laikā mēs demonstrēsim reālus medību noteikumu piemērus, kurus esam izstrādājuši GReAT komandā. Piemēram, tie ļāva mums atrast “savvaļā” izmantotus nulles dienas ievainojamību ekspluatējumus, finanšu APT rīkus, pret kriptovalūtu investoriem vērtsu ļaunpprogrammatūru vai APT rīkus, kas sabotē un marķē SSL trafiku.

 

 

Pētniekiem zināšanas par YARA paver vairākas interesantas iespējas:

  • Pirmkārt, tas var būt lielisks sākumpunkts draudu izlūkošanā (threat intelligence).
  • Tas var jums palīdzēt padarīt ikdienas darbu efektīvāku.
  • Jūs varat sākt medīt APT paraugus tādās platformās kā VirusTotal. Visi lielākie APT rīki kādā brīdī ir augšupielādēti VirusTotal; vajag tikai zināšanas un veiksmi, lai atrastu šīs adatas siena kaudzē.
  • Jūs varat sākt meklēt APT uz sava biroja/mājas datora, kas varētu dot dažus interesantus un reizēm pārsteidzošus rezultātus.

Organizācijām šis vebinārs būs noderīgs, ja tās ikdienā risina tādas problēmas kā:

  • Pārvalda daudzus YARA noteikumu kopumus no dažādiem avotiem; izpratne par to, kuri noteikumi ir pietiekami labi detektēšanai, kuri ir labi medībām, un no kuriem jāizvairās.
  • Viltus pozitīvu rezultātu pārbaude.
  • YARA izmantošana reaģēšanā uz incidentiem.
  • Jūsu Security Operation Center uzlabošana.
  • Kā saglabāt mieru un sākt lietot YARA ar KLara.

Visbeidzot, ja vēlaties dalīties ar atsauksmēm vai ja jums ir #yara jautājumi, uz kuriem vēlaties saņemt atbildes vebinārā, lūdzu, nekautrējieties sniegt mums komentārus Twitter. Tiekamies 31. martā!

Papildināts.

Gadījumā, ja jums neizdevās piedalīties tīmekļseminārā, tā ieraksts ir skatāms zemāk vai arī vietnē Securelist kopā ar Kostina Raiu atbildēm uz jautājumiem.

Tīmekļseminārs

 


 

Par Kaspersky GReAT
Kaspersky Globālā izpētes un analīzes grupa (GReAT), kas dibināta 2008. gadā, darbojas, atklājot valsts līmeņa kiberapdraudējumus (APT), kiberspiegošanas kampaņas, nozīmīgāko ļaunprogrammatūru, izspiedējvīrusus un kibernoziedzības tendences visā pasaulē. Šodien GReAT sastāv no vairāk kā 40 ekspertiem, kas strādā visā pasaulē. Elitārā drošības ekspertu komanda ar savu kompetenci nodrošina uzņēmuma līderību antivīrusu izpētē un inovācijās. Ikdienā GReAT eksperti seko līdzi vairāk 200 dažādu APT aktivitātēm un regulāri publicē pētījumus un pārskatus. Daļa no pētījumiem ir pieejama kā maksas pakalpojums Kaspersky APT_Intelligence_Reporting.

Neskatoties uz uzbrukumiem uzņēmuma reputācijai (un arī mēģinājumiem personīgi ietekmēt GReAT dalībniekus) pēc lielu kiberspiegošanas kampaņu izpētes un publiskošanas, Kaspersky GReAT komanda konsevekventi realizē uzņēmuma darbības pamatprincipu – atklāt visu ļaunprogrammatūru neatkarīgi no izcelsmes un mērķa! ASV kiberdrošības izdevums SC Media savā 30. gadadienā izteica atzinību Kaspersky Globālās izpētes un analīzes grupai ar apbalvojumu par tās atklājumiem, kas ir mainījuši pasaules attieksmi pret sarežģītiem mērķētiem apdraudējumiem.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

43 − = 36

Uz augšu