Pahavara analüüs paljastatud: Sügav sukeldumine dünaamilise analüüsi tehnikatesse

Küberturvalisuse halastamatus kassi-hiire mängus on vastase mõistmine ülioluline. Pahatahtlik tarkvara ehk pahavara on küberkurjategijate, riiklikult toetatud osalejate ja häktivistide peamine relv kogu maailmas. Nende ohtude eest kaitsmiseks peame neid lahkama, mõistma nende motiive ja õppima, kuidas nad tegutsevad. See on pahavara analüüsi valdkond, mis on iga kaasaegse turvaspetsialisti jaoks kriitilise tähtsusega distsipliin. Kuigi sellele lähenemiseks on mitmeid viise, sukeldume täna sügavale ühte kõige paljastavamasse meetodisse: dünaamiline analüüs.

Mis on pahavara analüüs? Kiire meeldetuletus

Oma olemuselt on pahavara analüüs protsess, mille käigus uuritakse pahavara näidist, et mõista selle päritolu, funktsionaalsust ja potentsiaalset mõju. Lõppeesmärk on genereerida tegevuspõhist teavet, mida saab kasutada kaitsemeetmete parandamiseks, intsidentidele reageerimiseks ja ohtude ennetavaks jahtimiseks. See protsess jaguneb üldiselt kahte laia kategooriasse:

• Staatiline analüüs: Pahavara koodi ja struktuuri uurimine seda käivitamata. See sarnaneb hoone projekti lugemisega, et mõista selle disaini.
• Dünaamiline analüüs: Pahavara käivitamine turvalises, kontrollitud keskkonnas, et jälgida selle käitumist reaalajas. See on nagu autoga proovisõidu tegemine, et näha, kuidas see teel käitub.

Kuigi staatiline analüüs annab alusteadmised, võivad seda takistada tehnikad nagu koodi obfuskeerimine ja pakkimine. Siin tulebki esile dünaamiline analüüs, mis võimaldab meil näha, mida pahavara tegelikult teeb, kui see valla päästetakse.

Pahatahtlikkuse dekodeerimine liikumises: dünaamilise analüüsi mõistmine

Dünaamiline pahavara analüüs, mida sageli nimetatakse käitumisanalüüsiks, on pahavara jälgimise kunst ja teadus selle töötamise ajal. Selle asemel, et süveneda lahtivõetud koodiridadesse, tegutseb analüütik digitaalse bioloogina, asetades proovi Petri tassi (turvaline virtuaalne keskkond) ning dokumenteerides hoolikalt selle tegevusi ja interaktsioone. See vastab kriitilistele küsimustele nagu:

• Milliseid faile see süsteemis loob või muudab?
• Kas see püüab saavutada püsivust, et taaskäivitamisel ellu jääda?
• Kas see suhtleb kaugserveriga? Kui jah, siis kus ja miks?
• Kas see püüab varastada andmeid, krüpteerida faile või paigaldada tagaukse?
• Kas see püüab turvatarkvara keelata?

Staatiline vs. dünaamiline analüüs: kahe metodoloogia lugu

Dünaamilise analüüsi tõeliseks hindamiseks on kasulik seda otse võrrelda selle staatilise vastega. Need ei välista teineteist; tegelikult hõlmab kõige tõhusam analüüs sageli mõlema kombinatsiooni.

• Staatiline analüüs
  • Analoogia: Retsepti lugemine. Näete kõiki koostisosi ja samme, kuid te ei tea, milline on lõpliku roa maitse.
  • Eelised: See on olemuselt ohutu, kuna koodi ei käivitata kunagi. See võib teoreetiliselt paljastada kõik võimalikud pahavara täitmise teed, mitte ainult selle, mida ühe käivitamise ajal täheldati.
  • Puudused: See võib olla äärmiselt aeganõudev ja nõuab sügavaid teadmisi assemblerkeelest ja pöördprojekteerimisest. Mis veelgi olulisem, ohutegijad kasutavad teadlikult pakkijaid ja obfuskaatoreid, et muuta kood loetamatuks, muutes elementaarse staatilise analüüsi ebatõhusaks.
• Dünaamiline analüüs
  • Analoogia: Retsepti järgi kokkamine ja selle maitsmine. Kogete selle otseseid mõjusid, kuid võite mööda vaadata valikulisest koostisosast, mida seekord ei kasutatud.
  • Eelised: See paljastab pahavara tegeliku käitumise, möödudes sageli lihtsast obfuskeerimisest, kuna kood tuleb käivitamiseks mälus deobfuskeerida. See on üldiselt kiirem peamiste funktsioonide tuvastamiseks ja koheselt kasulike kompromiteerimisindikaatorite (IOC) genereerimiseks.
  • Puudused: See kannab endas ohtu, kui analüüsikeskkond ei ole täiuslikult isoleeritud. Lisaks võib arenenud pahavara tuvastada, et seda analüüsitakse liivakastis või virtuaalmasinas, ja muuta oma käitumist või lihtsalt keelduda käivitamast. See paljastab ka ainult selle konkreetse käivitamise ajal kasutatud täitmistee; pahavaral võib olla muid võimalusi, mida ei käivitatud.

Dünaamilise analüüsi eesmärgid

Kui analüütik teostab dünaamilist analüüsi, on tema missiooniks koguda konkreetset teavet. Peamised eesmärgid on järgmised:

• Kompromiteerimisindikaatorite (IOC-de) tuvastamine: See on kõige otsesem eesmärk. IOC-d on digitaalsed jalajäljed, mida pahavara maha jätab, näiteks failiräsid (MD5, SHA-256), käsu- ja kontrolliserverite (C2) IP-aadressid või domeenid, püsivuseks kasutatavad registrivõtmed või spetsiifilised muteksite nimed.
• Funktsionaalsuse ja eesmärgi mõistmine: Kas see on lunavara, mis on loodud failide krüpteerimiseks? Kas see on pangandustrooja, mis on mõeldud mandaatide varastamiseks? Kas see on tagauks, mis annab ründajale kaugjuurdepääsu? Kas see on lihtne allalaadija, mille ainus ülesanne on tuua võimsam teise etapi laadung?
• Ulatuse ja mõju kindlaksmääramine: Selle käitumist jälgides saab analüütik hinnata potentsiaalset kahju. Kas see levib üle võrgu? Kas see ekspordib tundlikke dokumente? Selle mõistmine aitab intsidentidele reageerimise jõupingutusi prioritiseerida.
• Tuvastamisreeglite jaoks teabe kogumine: Täheldatud käitumist ja artefakte saab kasutada turvatööriistade jaoks robustsete tuvastussignatuuride loomiseks. See hõlmab võrgupõhiseid reegleid (nt Snorti või Suricata jaoks) ja hostipõhiseid reegleid (nt YARA).
• Konfiguratsiooniandmete ekstraheerimine: Paljud pahavara perekonnad sisaldavad manustatud konfiguratsiooniandmeid, sealhulgas C2-serveri aadresse, krüpteerimisvõtmeid või kampaania identifikaatoreid. Dünaamiline analüüs võib sageli pahavara meelitada neid andmeid mälus dekrüpteerima ja kasutama, kus analüütik saab need kinni püüda.

Oma kindluse ehitamine: turvalise analüüsikeskkonna seadistamine

Hoiatus: See on protsessi kõige kriitilisem osa. Ärge kunagi käivitage kahtlast faili oma isiklikus või ettevõtte arvutis. Kogu dünaamilise analüüsi eeldus tugineb täielikult isoleeritud ja kontrollitud laborikeskkonna loomisele, mida tuntakse tavaliselt liivakastina. Eesmärk on lasta pahavaral selles kontrollitud ruumis vabalt tegutseda ilma igasuguse riskita, et see pääseks välja ja põhjustaks reaalset kahju.

Labori süda: virtuaalmasin (VM)

Virtualiseerimine on pahavara analüüsi labori nurgakivi. Virtuaalmasin (VM) on täielikult emuleeritud arvutisüsteem, mis töötab teie füüsilise masina (hosti) peal. Tarkvara nagu Oracle VM VirtualBox (tasuta) või VMware Workstation Player/Pro on tööstusharu standardid.

Miks kasutada VM-i?

• Isolatsioon: VM on host-operatsioonisüsteemist liivakastis. Kui pahavara krüpteerib kogu VM-i C: draivi, jääb teie host-masin puutumata.
• Taastatavus: VM-ide kõige võimsam omadus on võime teha 'hetktõmmiseid'. Hetktõmmis jäädvustab VM-i täpse oleku kindlal ajahetkel. Standardne töövoog on: seadistage puhas VM, tehke hetktõmmis, käivitage pahavara ja pärast analüüsi lihtsalt taastage VM puhtale hetktõmmisele. See protsess võtab sekundeid ja tagab, et teil on iga uue proovi jaoks värske, rikkumata keskkond.

Teie analüüsi VM tuleks konfigureerida nii, et see jäljendaks tüüpilist ettevõtte keskkonda, et pahavara tunneks end 'koduselt'. See hõlmab levinud tarkvara nagu Microsoft Office, Adobe Reader ja veebibrauseri installimist.

Võrgu isolatsioon: digitaalsete eetrilainete kontrollimine

VM-i võrguühenduse kontrollimine on ülioluline. Soovite jälgida selle võrguliiklust, kuid te ei soovi, et see edukalt ründaks teisi masinaid teie kohalikus võrgus või hoiataks kaugründajat. Võrgu konfigureerimisel on mitu taset:

• Täielikult isoleeritud (ainult host): VM saab suhelda ainult host-masinaga ja mitte millegi muuga. See on kõige ohutum variant ja on kasulik pahavara analüüsimiseks, mis ei vaja internetiühendust oma põhifunktsioonide demonstreerimiseks (nt lihtne failide krüpteerimise lunavara).
• Simuleeritud internet (sisemine võrgundus): Keerukam seadistus hõlmab kahte VM-i ainult sisevõrgus. Esimene on teie analüüsi VM. Teine VM toimib võltsinternetti, kasutades tööriistu nagu INetSim. INetSim simuleerib tavalisi teenuseid nagu HTTP/S, DNS ja FTP. Kui pahavara proovib lahendada `www.evil-c2-server.com`, saab teie võlts-DNS-server vastata. Kui see proovib faili alla laadida, saab teie võlts-HTTP-server selle pakkuda. See võimaldab teil jälgida võrgupäringuid ilma, et pahavara kunagi päris internetti puudutaks.
• Kontrollitud internetiühendus: Kõige riskantsem variant. Siin lubate VM-il pääseda ligi päris internetile, tavaliselt läbi VPN-i või täiesti eraldi füüsilise võrguühenduse. See on mõnikord vajalik arenenud pahavara puhul, mis kasutab tehnikaid, et kontrollida, kas tal on ehtne internetiühendus, enne kui ta oma pahatahtliku laadungi käivitab. Seda peaksid tegema ainult kogenud analüütikud, kes mõistavad täielikult riske.

Analüütiku tööriistakomplekt: hädavajalik tarkvara

Enne kui teete oma 'puhta' hetktõmmise, peate oma analüüsi VM-i varustama õigete tööriistadega. See tööriistakomplekt on teie silmad ja kõrvad analüüsi ajal.

• Protsesside jälgimine: Process Monitor (ProcMon) ja Process Hacker/Explorer Sysinternals Suite'ist on asendamatud protsesside loomise, faili I/O ja registri tegevuse jälgimiseks.
• Süsteemi oleku võrdlemine: Regshot on lihtne, kuid tõhus tööriist, mis teeb teie registrist ja failisüsteemist 'enne' ja 'pärast' hetktõmmise, tuues esile kõik muudatused.
• Võrguliikluse analüüs: Wireshark on ülemaailmne standard toorete võrgupakettide püüdmiseks ja analüüsimiseks. Krüpteeritud HTTP/S liikluse jaoks saab kasutada Fiddlerit või mitmproxyd, et teostada 'man-in-the-middle' inspektsiooni.
• Silurid ja lahtivõtjad: Sügavamateks sukeldumisteks kasutatakse tööriistu nagu x64dbg, OllyDbg või IDA Pro, kuigi need ületavad sageli lõhe dünaamilise ja staatilise analüüsi vahel.

Jaht algab: samm-sammuline juhend dünaamiliseks analüüsiks

Kui teie turvaline labor on ette valmistatud, on aeg alustada analüüsiga. Protsess on metoodiline ja nõuab hoolikat dokumenteerimist.

1. faas: ettevalmistus ja lähtealus

1. Taasta puhas hetktõmmis: Alustage alati teadaolevalt heast seisundist. Taastage oma VM puhtale hetktõmmisele, mille tegite pärast selle seadistamist.
2. Alusta lähtealuse püüdmist: Käivitage tööriist nagu Regshot ja tehke '1. võte'. See loob teie failisüsteemi ja registri lähtealuse.
3. Käivita jälgimisvahendid: Avage Process Monitor ja Wireshark ning alustage sündmuste püüdmist. Konfigureerige oma filtrid ProcMonis, et keskenduda veel käivitamata pahavara protsessile, kuid olge valmis need tühistama, kui see tekitab või süstib end teistesse protsessidesse.
4. Kanna proov üle: Kandke pahavara proov turvaliselt VM-i. Levinud on jagatud kaust (mis tuleks kohe pärast seda keelata) või lihtne lohistamine.

2. faas: täitmine ja vaatlus

See on tõehetk. Tehke topeltklõps pahavara näidisel või käivitage see käsurealt, sõltuvalt failitüübist. Teie ülesanne on nüüd olla passiivne, kuid valvas vaatleja. Laske pahavaral oma rada käia. Mõnikord on selle tegevused kohesed; teinekord võib sellel olla unetaimer ja peate ootama. Suhelge süsteemiga vajadusel (nt klõpsates selle toodetud võltsveateatel), et käivitada edasist käitumist.

3. faas: peamiste käitumisnäitajate jälgimine

See on analüüsi tuum, kus te korreleerite andmeid kõigist oma jälgimisvahenditest, et luua pilt pahavara tegevusest. Otsite spetsiifilisi mustreid mitmes valdkonnas.

1. Protsessi tegevus

Kasutage Process Monitori ja Process Hackerit, et vastata:

• Protsessi loomine: Kas pahavara käivitas uusi protsesse? Kas see käivitas legitiimseid Windowsi utiliite (nagu `powershell.exe`, `schtasks.exe` või `bitsadmin.exe`) pahatahtlike toimingute tegemiseks? See on levinud tehnika, mida nimetatakse Living Off the Land (LotL).
• Protsessi süstimine: Kas algne protsess lõppes ja 'kadus' legitiimsesse protsessi nagu `explorer.exe` või `svchost.exe`? See on klassikaline kõrvalehoidmise tehnika. Process Hacker aitab tuvastada süstitud protsesse.
• Muteksi loomine: Kas pahavara loob muteksobjekti? Pahavara teeb seda sageli tagamaks, et süsteemis töötab korraga ainult üks selle eksemplar. Muteksi nimi võib olla väga usaldusväärne IOC.

2. Failisüsteemi muudatused

Kasutage ProcMoni ja oma Regshoti võrdlust, et vastata:

• Faili loomine (dropping): Kas pahavara lõi uusi faile? Märkige üles nende nimed ja asukohad (nt `C:\Users\\AppData\Local\Temp`, `C:\ProgramData`). Need mahajäetud failid võivad olla selle koopiad, teisesed laadungid või konfiguratsioonifailid. Arvutage kindlasti nende failiräsid.
• Failide kustutamine: Kas pahavara kustutas mõne faili? See võib proovida kustutada turvatööriistade logisid või isegi algse näidise enda, et oma jälgi katta (anti-forensics).
• Failide muutmine: Kas see muutis mõnda olemasolevat süsteemi- või kasutajafaili? Lunavara on peamine näide, kuna see krüpteerib süstemaatiliselt kasutaja dokumente.

3. Registri muudatused

Windowsi register on pahavara sagedane sihtmärk. Kasutage ProcMoni ja Regshoti, et otsida:

• Püsivusmehhanismid: See on esmatähtis. Kuidas pahavara taaskäivitamisel ellu jääb? Otsige uusi kirjeid tavalistes automaatkäivituse asukohtades, nagu `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` või `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`. See võib luua ka uue teenuse või ajastatud toimingu.
• Konfiguratsiooni salvestamine: Pahavara võib salvestada oma konfiguratsiooniandmeid, näiteks C2-aadresse või krüpteerimisvõtmeid, registrisse.
• Turvafunktsioonide keelamine: Otsige muudatusi, mis on mõeldud süsteemi kaitsevõime nõrgendamiseks, näiteks Windows Defenderi või kasutajakonto kontrolli (UAC) sätete muutmist.

4. Võrgusuhtlus

Filtreerige Wiresharkis oma VM-ist pärinevat liiklust. Küsige endalt:

• DNS-päringud: Milliseid domeeninimesid pahavara proovib lahendada? Isegi kui ühendus ebaõnnestub, on päring ise tugev IOC.
• C2 majakate saatmine: Kas see üritab 'koju helistada' käsu- ja kontrolliserverile (C2)? Pange tähele IP-aadressi, porti ja protokolli (HTTP, HTTPS või kohandatud TCP/UDP-protokoll).
• Andmete väljafiltreerimine: Kas näete suurte andmemahtude väljasaatmist? See võib viidata andmevargusele. Kodeeritud andmeid sisaldav HTTP POST-päring on levinud muster.
• Laadungite allalaadimine: Kas see proovib alla laadida täiendavaid faile? URL on väärtuslik IOC. Oma simuleeritud keskkonnas INetSimiga näete GET-päringut ja saate analüüsida, mida see püüdis hankida.

4. faas: täitmisjärgne analüüs ja puhastus

1. Lõpeta püüdmine: Kui usute, et pahavara on oma peamised tegevused lõpetanud, peatage püüdmised ProcMonis ja Wiresharkis.
2. Tee viimane hetktõmmis: Tehke Regshotis '2. võte' ja käivitage võrdlus, et genereerida puhas aruanne kõigist failisüsteemi ja registri muudatustest.
3. Analüüsi ja dokumenteeri: Salvestage logid kõigist oma tööriistadest. Korreleerige sündmused ja looge pahavara tegevuste ajajoon. Dokumenteerige kõik avastatud IOC-d.
4. TAASTA VM: See ei ole läbiräägitav. Kui teie andmed on turvaliselt eksporditud, taastage VM selle puhtale hetktõmmisele. Ärge kasutage uuesti nakatunud VM-i.

Kassi ja hiire mäng: pahavara kõrvalehoidmise tehnikate ületamine

Pahavara autorid ei ole naiivsed. Nad teavad dünaamilisest analüüsist ja ehitavad aktiivselt sisse funktsioone selle tuvastamiseks ja vältimiseks. Oluline osa analüütiku tööst on nende tehnikate äratundmine ja neist möödahiilimine.

Liivakasti- ja VM-vastane tuvastamine

Pahavara saab kontrollida märke, mis viitavad sellele, et see töötab virtualiseeritud või automatiseeritud keskkonnas. Levinud kontrollid hõlmavad:

• VM-i artefaktid: VM-spetsiifiliste failide (`vmtoolsd.exe`), seadmedraiverite, registrivõtmete (`HKLM\HARDWARE\Description\System\SystemBiosVersion` mis sisaldavad 'VMWARE' või 'VBOX') või VMware/VirtualBoxile teadaolevalt kuuluvate MAC-aadresside otsimine.
• Kasutajategevuse puudumine: Hiljutiste dokumentide, brauseri ajaloo või hiire liikumise kontrollimine. Automatiseeritud liivakast ei pruugi neid veenvalt simuleerida.
• Süsteemi spetsifikatsioonid: Ebatavaliselt madala protsessori arvu, väikese RAM-i mahu või väikese kettasuuruse kontrollimine, mis võivad olla vaikimisi VM-seadistuse iseloomulikud jooned.

Analüütiku vastus: Karmistage oma VM-i, et see näeks välja rohkem nagu päris kasutaja masin. See on protsess, mida tuntakse kui 'anti-anti-VM' või 'anti-anti-liivakast', mis hõlmab VM-i protsesside ümbernimetamist, paljastavate registrivõtmete puhastamist ja skriptide kasutamist kasutajategevuse simuleerimiseks.

Silumisvastane tegevus

Kui pahavara tuvastab oma protsessiga seotud siluri, võib see kohe väljuda või muuta oma käitumist analüütiku eksitamiseks. See võib kasutada Windowsi API-kutseid nagu `IsDebuggerPresent()` või keerukamaid trikke siluri olemasolu tuvastamiseks.

Analüütiku vastus: Kasutage siluri pistikprogramme või muudetud silureid, mis on loodud nende olemasolu pahavara eest peitmiseks.

Ajapõhine kõrvalehoidmine

Paljudel automatiseeritud liivakastidel on piiratud tööaeg (nt 5-10 minutit). Pahavara saab seda ära kasutada, minnes lihtsalt 15 minutiks magama, enne kui oma pahatahtliku koodi täide viib. Selleks ajaks, kui see ärkab, on automatiseeritud analüüs läbi.

Analüütiku vastus: Käsitsi analüüsi ajal saate lihtsalt oodata. Kui kahtlustate unekutset, saate siluri abil leida unefunktsiooni ja seda paigata, et see kohe tagastaks, või kasutada tööriistu VM-i süsteemikella manipuleerimiseks aja edasikerimiseks.

Jõupingutuste skaleerimine: käsitsi vs. automatiseeritud dünaamiline analüüs

Eespool kirjeldatud käsitsi protsess pakub uskumatut sügavust, kuid see ei ole skaleeritav, kui tegeleda sadade kahtlaste failidega päevas. Siin tulevad mängu automatiseeritud liivakastid.

Automatiseeritud liivakastid: mastaabi jõud

Automatiseeritud liivakastid on süsteemid, mis käivitavad faili automaatselt instrumenteeritud keskkonnas, teostavad kõik meie arutatud jälgimisetapid ja genereerivad põhjaliku aruande. Populaarsed näited hõlmavad:

• Avatud lähtekoodiga: Cuckoo Sandbox on kõige tuntum avatud lähtekoodiga lahendus, kuigi selle seadistamine ja hooldamine nõuab märkimisväärset pingutust.
• Kommerts/pilv: Teenused nagu ANY.RUN (mis pakub interaktiivset analüüsi), Hybrid Analysis, Joe Sandbox ja VMRay Analyzer pakuvad võimsaid ja lihtsalt kasutatavaid platvorme.

Eelised: Need on uskumatult kiired ja tõhusad suure hulga proovide triaažimiseks, pakkudes kiiret otsust ja rikkalikku IOC-de aruannet.

Puudused: Nad on eespool mainitud kõrvalehoidmistehnikate peamine sihtmärk. Keerukas pahavara võib tuvastada automatiseeritud keskkonna ja näidata healoomulist käitumist, mis viib valenegatiivse tulemuseni.

Käsitsi analüüs: analüütiku puudutus

See on detailne, praktiline protsess, millele oleme keskendunud. Seda juhib analüütiku asjatundlikkus ja intuitsioon.

Eelised: See pakub suurimat analüüsi sügavust. Osav analüütik suudab ära tunda ja mööda hiilida kõrvalehoidmistehnikatest, mis petaksid ära automatiseeritud süsteemi.

Puudused: See on äärmiselt aeganõudev ja ei skaleeru. See on kõige parem reserveerida kõrge prioriteediga näidistele või juhtudele, kus automatiseeritud analüüs on ebaõnnestunud või andnud ebapiisavaid detaile.

Parim lähenemine kaasaegses turvaoperatsioonide keskuses (SOC) on mitmetasandiline: kasutage automatiseerimist kõigi proovide esialgseks triaažiks ja suunake kõige huvitavamad, kõrvalehoidvamad või kriitilisemad proovid käsitsi süvaanalüüsiks.

Kõike kokku võttes: dünaamilise analüüsi roll kaasaegses küberturvalisuses

Dünaamiline analüüs ei ole lihtsalt akadeemiline harjutus; see on kaasaegse kaitsva ja ründava küberturvalisuse alustala. Ohutult pahavara detoneerides ja selle käitumist jälgides muudame salapärase ohu tuntud suuruseks. Meie ekstraheeritud IOC-d suunatakse otse tulemüüridesse, sissetungituvastussüsteemidesse ja lõpp-punkti kaitseplatvormidesse tulevaste rünnakute blokeerimiseks. Meie genereeritud käitumisaruanded informeerivad intsidentidele reageerijaid, võimaldades neil tõhusalt jahtida ja likvideerida ohte oma võrkudest.

Maastik muutub pidevalt. Kuna pahavara muutub üha kõrvalehoidvamaks, peavad meie analüüsitehnikad sellega koos arenema. Olenemata sellest, kas olete pürgiv SOC-analüütik, kogenud intsidentidele reageerija või pühendunud ohuanalüütik, on dünaamilise analüüsi põhimõtete valdamine hädavajalik oskus. See annab teile võime liikuda kaugemale lihtsalt hoiatustele reageerimisest ja hakata ennetavalt mõistma vaenlast, üks detonatsioon korraga.