Skip to main content

TIP: Плейбук использования решения

1. Общая архитектура и ключевые компоненты

┌───────────────────────┐
│  Kaspersky Threat      │
│  Intelligence Portal   │
│  (веб‑интерфейс)       │
└───────┬─────┬─────────┘
        │     │
   ┌────▼─┐ ┌─▼─────┐
   │Sandbox│ │Data   │
   │(анализ│ │Feeds  │
   │файлов)│ │(IP, IOC,…)│
   └───────┘ └───────┘
  • Portal – точка входа для загрузки файлов, поиска по индикаторам, работы с Threat Infrastructure и скачивания готовых Data Feeds (JSON/CSV).
  • Sandbox – среда, где выполняется загруженный объект; пользователь может задать параметры исполнения (время, сетевой канал, имя файла).
  • Data Feeds – выгрузки (IP‑списки, IOC, правила) для дальнейшего импорта в SIEM/EDR.

2. Подготовка и загрузка файла в Sandbox

2.1 Выбор времени исполнения

  1. На странице загрузки файла нажмите поле Recommended.
  2. Сдвиньте ползунок, задав время от 30 сек до 500 сек.
  3. Чтобы вернуться к автоматическому режиму, нажмите Reset to recommended.

Заданное время учитывается только для исполнения, а не для анализа результатов [1].

2.2 Выбор интернет‑канала

Канал Описание
Any channel Трафик может идти из любой страны, без TOR. (значение по‑умолчанию)
Tor Трафик проходит через TOR‑сеть.
Tarpit Файл исполняется без выхода в Интернет.
Countries/regions Список конкретных стран (например, AU, DE). Список может быть расширен администратором.

Выбор канала задаётся в выпадающем списке Internet channel [1].

2.3 Переименование файла

  • В поле Change file name and extension to введите новое имя и/или расширение.
  • Портал сначала пытается запускать файл согласно указанному расширению, но после загрузки проверяет реальный тип (PE, image и т.п.) и использует его для анализа.

Переименование полезно при проверке, как система реагирует на файлы с «поддельными» расширениями [1].

3. Работа с вкладкой Threat Infrastructure

3.1 Что такое Threat Infrastructure?

Это список IP‑адресов, которые относятся к командно‑управляющим (C&C) сервером, использованным в конкретных образцах или кампаниях.

3 – Пошаговый процесс

  1. Click → Threat Infrastructure → откроется таблица IP‑адресов.

  2. По умолчанию отображаются все IP; их можно отфильтровать по стране.

    Пример фильтра: в шапке колонок выберите Germany – останутся только IP‑адреса, зарегистрированные в DE.

  3. Download data – нажмите кнопку, выберите JSON или CSV.

    JSON‑пример (упрощённый):

    [
  {
    "ip": "185.62.195.166",
    "country": "RU",
    "first_seen": "2024‑03‑01T12:34:56Z",
    "last_seen":  "2024‑03‑08T08:21:10Z",
    "malware": ["APT28"]
  },
  {
    "ip": "185.62.195.167",
    "country": "RU",
    "first_seen": "2024‑03‑02T09:11:03Z",
    "last_seen":  "2024‑03‑09T14:45:22Z",
    "malware": ["APT28"]
  }
]

    CSV‑пример:

    ip,country,first_seen,last_seen,malware
185.62.195.166,RU,2024-03-01T12:34:56Z,2024-03-08T08:21:10Z,"APT28"
185.62.195.167,RU,2024-03-02T09:11:03Z,2024-03-09T14:45:22Z,"APT28"

  4. Клик по отдельному IP открывает Lookup‑page с детальной информацией (геолокация, история активности, связанные кампаниям) [1].

3.4 Применение в режиме Alerting

  • Сохранённый файл (JSON/CSV) можно импортировать в SIEM как Data Feed.
  • При включённом режиме alerting система будет генерировать события каждый раз, когда в логах появляются совпадения с IP из списка.

4. Схема полного рабочего процесса

┌───────────────────────┐
│ 1. Загрузка файла      │
│    (указание времени, │
│    канала, имени)      │
└─────────┬─────────────┘
          ▼
┌───────────────────────┐
│ 2. Анализ в Sandbox    │
│    → получаем IOC,     │
│      TTP, лог‑историю │
└───────┬───────┬───────┘
        │       │
        ▼       ▼
┌───────────────┐ ┌─────────────────┐
│ 3a. Export    │ │ 3b. Threat      │
│    Procedures │ │    Infrastructure│
│    (JSON)     │ │    (IP‑list)     │
└───────┬───────┘ └───────┬─────────┘
        │               │
        ▼               ▼
┌───────────────────────────────┐
│ 4. Интеграция в SIEM/EDR       │
│   – загрузка IOC‑feed          │
│   – импорт правил (Sigma)     │
│   – включение alerting        │
└───────────────┬───────────────┘
                ▼
┌───────────────────────────────┐
│ 5. Мониторинг и реакция         │
│   – автоматические оповещения   │
│   – ручные расследования       │
└───────────────────────────────┘

5. Примеры практического применения

5.1 Сценарий A – Быстрая проверка подозрённого PE‑файла

Шаг Действие Ожидаемый результат
1 Загрузить файл, задать 30 сек выполнения, выбрать Tor‑канал (чтобы скрыть реальный IP). Файл выполнится в изолированной сети TOR.
2 Оставить имя malware.exe (но в поле переименования указать document.pdf). Портал проверит реальный тип и всё равно обработает как PE‑файл.
3 После анализа открыть Procedures examples, экспортировать JSON. Получаем список IOCs (SHA‑256, IP‑C&C, домены).
4 Сохранить IOCs в SIEM → создать корреляцию “если встречен любой из SHA‑256 → создать инцидент”. Автоматическое обнаружение повторных попыток.

5.2 Сценарий B – Формирование C&C‑IP‑feed для SOC

Шаг Действие Вывод
1 Открыть вкладку Threat Infrastructure. Список всех C&C‑IP за последние 30 дней.
2 Отфильтровать по Germany (пример: интересует только европейский трафик). Остаётся подмножество IP.
3 Нажать Download data → JSON. Файл cnc_germany.json.
4 Импортировать в SIEM (пример Splunk) через splunk add oneshot cnc_germany.json. Любой входящий соединённый к этим IP будет генерировать событие.
5 Включить alerting → установить порог “> 5 соединений за 10 минут”. SOC получает тревогу о возможной кампании.

6. “Схемы” (ASCII‑диаграммы) для визуального ориентирования

6.1 Параметры исполнения загружаемого файла

┌───────────────────────────────┐
│  Upload file                    │
│  ───────────────────────────── │
│  [ Recommended ]  <─► Slider   │   ← время (30‑500 сек)
│  [ Reset ]                     │
│                                 │
│  Internet channel:             │
│   • Any channel   (default)    │
│   • Tor                         │
│   • Tarpit                      │
│   • Country list (AU, DE…)     │
│                                 │
│  Change name/extension → ____  │
└───────────────────────────────┘

6.2 Поток данных из Threat Infrastructure в SIEM

┌───────────────┐   Click   ┌─────────────────────┐   Export   ┌─────────────────┐
│ Threat Infra  │─────────►│  IP‑table (filter)  │──────────►│  JSON/CSV Feed │
└──────┬────────┘          └───────┬─────────────┘            └─────┬───────────┘
       │                          │                               │
       ▼                          ▼                               ▼
   Lookup page                Save to disk                 Load into SIEM
   (detail view)                (CSV/JSON)                (alerting mode)

7. Практические рекомендации

Рекомендация Почему это важно
Всегда задавайте канал (не оставляйте Any channel), если хотите контролировать выход в Интернет. Позволяет избежать «утечки» к реальным C&C‑сервером при тесте.
Сохраняйте оригинальный хеш (SHA‑256) вместе с переименованным файлом. Упрощает корреляцию с внешними репозиториями (VirusTotal, MISP).
Регулярно обновляйте IP‑feeds (не реже 24 ч). C&C‑инфраструктура быстро меняется, устаревший список приводит к пропуску угроз.
Включайте режим Alerting только после валидации (проверьте, что SIEM правильно импортировал поля). Предотвращает “шум”‑оповещения и ложные срабатывания.
Экспортируйте процедуры в JSON и храните в репозитории (Git/MISP). История изменений помогает отслеживать эволюцию кампаний.

8. Пример скрипта автоматической загрузки C&C‑IP‑feed

#!/usr/bin/env bash
# Скрипт: fetch_cnc_feed.sh
# Предполагает наличие токена API (TOKEN) и curl

TOKEN="YOUR_KTI_API_TOKEN"
URL="https://ti.kaspersky.com/api/v1/threat-infrastructure?region=RU"

curl -H "Authorization: Bearer $TOKEN" -H "Accept: application/json" \
     "$URL" -o cnc_ru.json

# Пример быстрой загрузки в Elastic SIEM (filebeat)
cp cnc_ru.json /etc/filebeat/modules.d/kaspersky_cnc.json
systemctl restart filebeat

Данный скрипт иллюстрирует автоматизацию: скачивание списка в JSON и его передачу в систему мониторинга — в реальном PoC‑Guide API‑эндпоинт может отличаться, но концепция остаётся той же [1].

9. Заключение

  • Портал KTI предоставляет гибкие возможности контроля параметров исполнения (время, интернет‑канал, переименование) [1].
  • Вкладка Threat Infrastructure позволяет быстро собрать IP‑feed в удобных форматах — JSON или CSV [1].
  • Экспорт процедур и их хранение в виде JSON — база знаний для дальнейшего анализа и построения корреляций.
  • Интеграция полученных артефактов в SIEM/EDR (через Data Feed и alerting) закрывает цикл: от обнаружения до автоматической реакции.

Следуя описанному пошаговому процессу, аналитик SOC получит полностью воспроизводимый, автоматизируемый и документированный метод работы с интеллектуальными данными Kaspersky Threat Intelligence, что значительно ускорит реагирование на текущие и будущие киберугрозы. [1]

Back to top