Страницы

Обзор Facebook ThreatExchange


Тема Threat Intelligence (коротко TI) сейчас достаточно неплохо подогрета, однако, как это часто бывает, под модным термином порой понимают совершенно разные вещи.

Чаще всего под TI понимают какую-нибудь платную или бесплатную новостную рассылку о новых уязвимостях.  Качество такой рассылки очень разное. Одни засовывают в неё "брендированные" уязвимости типа MagicTragic или BadLock и CVE (так делают многие вендоры, которые стараются поспевать за модными трендами), другие делятся содержимым закрытых кардерских форумов и свежими таргетированными троянами (так делает, к примеру, Касперский).

Facebook вот пошел по своему пути - они сделали базу "индикаторов угроз" - разнообразных признаков совершения кибератаки. Новость про "базу уязвимостей" от Facebook полтора года назад облетела все интернеты, но в итоге никто так и не удосужился толком написать, что же это такое. Вот, восполняю пробел.



Так как база "закрытая", то получить доступ просто так нельзя. В моем случае всё прошло в два этапа. На первую мою заявку мне ответили просьбой подписать NDA между Accenture и Facebook. Сделать это в большой международной компании - значит пройти семь кругов бюрократического ада, и никто не будет этим заниматься без очень серьезной необходимости. Я объяснил это фейсбуковцу и видно затронул за живое :) Мне дали доступ без NDA.

Основой для базы служит мощный движок graph.facebook.com, который используется мордокнигой так же для слежки за пользователями обеспечения логики работы самой соцсети. Поэтому проблем с API, скоростью и стабильностью работы нет совсем. Есть классные странички с мануалами на сайте ФБ и Гитхабе. Питон, ява, пхп, ruby, POST/GET - выбирайте, что хотите.

Для получения доступа к базе необходимо вначале создать свое www приложение чтобы получить AppID. В названии приложения должно быть название вашей компании и слово "CYBER". Затем работники ФБ открывают доступ к ThreatExchange для твоего AppID и вперед!

Для каждого запроса необходим access token, который есть ни что иное как AppID +"|" + секрет со странички вашего приложения. Поэтому повторить мои запросы у вас не получится.

Самый простой запрос к базе выглядит так:
https://graph.facebook.com/threat_exchange_members?access_token=<тут AppID>|<тут секрет>
А ответ так:
Сейчас у ThreatExchange 390 участников. Из отечественных компаний есть PT, Group-IB, Kaspersky, и вроде бы всё. Я нашел только один тип запроса, который получает на вход id участника (threat_descriptors, запрос описания угроз). Я повставлял много разных id (в т.ч. и компаний выше) и все выдавали мне пустой ответ. Я заглянул в общий фид, нашел там только Фейсбук, Cloudmark Threat Exchange и Zendesk ThreatExchange. Видимо, из 390 участников большая часть использует базу "только для чтения", что, конечно, немного губит общую идею делиться уязвимостями друг с другом.

Есть, правда, ещё один вариант - ThreatExchange поддерживает приватные группы. Это значит, что всем самым горяченьким ты можешь делится только с избранными участниками тусовки (и с ФБ, само собой :)), и другие такие индикаторы не видят.

Так что же такое индикаторы угрозы? Полный список вставлять сюда я не буду. Если коротко, то всё что угодно, начиная с банального: УРЛы эксплоит паков и IP ботов, заканчивая аддонами к Хрому и ФФ, телефонами мошенников, адресами выходных нод TOR, широтой и долготой (не ходите дети в Африку гулять..), сэмплами малвари, сжатыми ZIPом и закодированных в Base64. В базу так же самим фейсбуком льются какие-то непонятные фиды картинок и роликов ютюба со статусом малварности "неизвестно". Видимо, это какая-то внутренняя кухня ФБ. Может просто линки из приватных сообщений пользователей для проверки антивирусами ;).

В целом, иметь постоянно льющийся фид подозрительных URLов и хэшей малвари бывает полезно, однако до того, как эту помойку можно будет назвать базой Threat Indicator, её нужно прогнать через десяток фильтров и правил.

Ну и ФБ, наверное, мог бы сделать базу открытой, загнав всех "своих" в кулуары приватных групп.

Достаточно большой кусок ThreatExchange выделен под анализ малвари. Можно видеть графы <семейство малвари> - <малварь > - < сэмпл > - <что загружает дальше / чем была загружена сама > ... < количество заражений >, что может быть отдельно полезно любителям проводить вечера с дебаггером.

Комментариев нет:

Отправка комментария