Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Рис. 4.4. Информация о проверенном IP-адресе, собранная платформой Group-IB MXDR
Платформа Group-IB MXDR имеет функцию построения графа связей, которую можно использовать для сбора дополнительной информации о собранных вами индикаторах. На рисунке 4.4 мы видим, что IP-адрес 176.123.8.228 относится к серверу Cobalt Strike, поэтому команде безопасности стоит заблокировать или проверить его.
Как видите, даже анализ короткого отчета, имеющегося в открытом доступе, позволит опытному аналитику собрать достаточно информации о киберугрозах, что может быть очень полезно при реагировании на инциденты.
Выводы
В этой главе мы обсудили различные типы информации о киберугрозах, в том числе стратегическую, оперативную и тактическую информацию, их различия и целевые аудитории. Мы также изучили доступный в сети отчет об угрозах и извлекли разные типы данных, чтобы вы могли получить ясное представление об их различиях.
Вы уже знаете, что TTP — это наиболее важные элементы образа действий злоумышленников, поэтому в следующей главе мы рассмотрим множество примеров из реальной жизни, чтобы у вас был хороший источник практической информации об атаках программ-вымогателей, управляемых человеком.
Глава 5
Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей
Вы уже многое знаете о программах-вымогателях, управляемых человеком, неплохо представляете себе, как разворачиваются их атаки и как осуществляется реагирование на инциденты, и понимаете, почему так важно реагировать на инциденты надлежащим образом.
Но для эффективного реагирования на инциденты недостаточно иметь лишь общее представление о жизненном цикле атаки, поскольку злоумышленники обычно применяют для достижения своих целей разнообразные тактики, техники и процедуры (TTP).
Существование программ-вымогателей как услуги еще больше запутывает ситуацию, поскольку в атаках с использованием таких программ может участвовать множество аффилированных лиц, и даже для одного и того же штамма программы-вымогателя TTP участников могут значительно различаться.
Эта глава поможет вам детально разобраться в поведении злоумышленников, участвующих в атаках с использованием программ-вымогателей, на различных этапах жизненного цикла атаки (на основе MITRE ATT&CK).
Конкретнее мы рассмотрим следующие темы:
Получение первоначального доступа.
Запуск вредоносного кода.
Обеспечение постоянного доступа.
Повышение привилегий.
Обход защиты.
Доступ к учетным данным.
Продвижение по сети.
Сбор и кража данных.
Развертывание программ-вымогателей.
Получение первоначального доступа
Получение первоначального доступа к целевой сети — неотъемлемая часть любого вторжения, и атаки с использованием программ-вымогателей не исключение.
Поскольку в атаках с использованием программ-вымогателей задействованы самые разные злоумышленники, специалисты по реагированию на инциденты могут столкнуться в своей работе практически с любой техникой.
Тем не менее одна из наиболее распространенных техник, используемых операторами программ-вымогателей, — взлом внешних служб удаленного доступа, таких как протокол удаленного рабочего стола (RDP), поэтому именно с нее мы и начнем.
Внешние службы удаленного доступа (T1133)
Использование внешних служб удаленного доступа злоумышленниками весьма распространено. Например, согласно отчету Group-IB «Программы-вымогатели 2020/2021» (Ransomware Uncovered 2020/21), более 50 % всех атак программ-вымогателей, управляемых человеком, начинались со взлома общедоступного RDP-сервера. Пандемия COVID-19 усугубила ситуацию: многим компаниям пришлось создать рабочие места для удаленного персонала, и это дополнительно ослабило защиту серверов по всему миру.
На рисунке 5.1 приведен пример экрана входа в систему одного из общедоступных серверов.
Порт по умолчанию для служб удаленных рабочих столов — 3389. Если мы воспользуемся поисковой системой для устройств, подключенных к интернету, например Shodan, мы увидим миллионы таких серверов, и это одна из причин, почему взлом таких серверов стал наиболее распространенной техникой (рис. 5.2).
Рис. 5.1. Экран входа в систему общедоступного RDP-сервера
Рис. 5.2. Результаты поиска Shodan
Как видите, только в США более 1,5 млн таких серверов. Неудивительно, что эта техника настолько распространена — как и то, что жертвами различных программ-вымогателей часто становятся организации из США.
Как получить доступ к общедоступному RDP-серверу? Самый распространенный способ — атака методом грубой силы, то есть полным перебором наиболее распространенных паролей по словарю. Как ни странно, это вполне эффективный подход.
Чаще всего сначала сканируют интернет на наличие общедоступных RDP-серверов при помощи masscan, а затем используют инструменты типа NLBrute для выполнения атаки методом грубой силы. Злоумышленникам даже не обязательно делать это самим — они могут приобрести доступ на различных черных рынках и у брокеров первоначального доступа.
Вот несколько примеров таких черных рынков:
RussianMarket
Odin
UAS RDP Shop
Xleet
Infinity Shop
Отметим, что доступ к общедоступному RDP-серверу может стоить всего несколько долларов.
Рис. 5.3. RDP-серверы для продажи на UAS RDP Shop
RDP — не единственный тип внешней службы удаленного доступа, которым пользуются злоумышленники. Другой весьма распространенный тип — доступ через виртуальную частную сеть (Virtual Private Network, VPN).
В этом случае операторы программ-вымогателей тоже могут выполнять атаки методом грубой силы, чтобы получать учетные данные VPN, а также, например, использовать уязвимости в программном обеспечении. Мы обсудим это в следующем разделе — «Эксплуатация общедоступных приложений (T1190)».
Как и RDP-доступ, этот тип доступа можно получить у брокеров первоначального доступа. Пример соответствующего объявления на русскоязычном андеграундном форуме на рисунке 5.4.
Рис. 5.4. Пост с русскоязычного андеграундного форума на платформе Group-IB Threat Intelligence
Как видите, получить первоначальный доступ через внешние удаленные сервисы очень просто, особенно теперь, во времена пандемии COVID-19. Но это не единственный способ. Давайте рассмотрим еще одну распространенную технику — эксплуатацию общедоступных приложений.
Эксплуатация общедоступных приложений (T1190)
Эксплуатация общедоступных приложений в атаках программ-вымогателей, управляемых человеком, — еще одна распространенная техника злоумышленников.
Вы уже знаете, что вымогатели часто взламывают серверы RDP: они могут либо провести атаку методом грубой силы, либо просто купить доступ на черном рынке или у брокеров первоначального доступа.
Но также они могут удаленно запускать код на серверах, используя уязвимости реализации RDP, например BlueKeep (CVE-2019–0708). Известно, что она до сих пор активно эксплуатируется, в частности лицами, связанными с программой-вымогателем LockBit.
То же самое можно сказать и о доступе через VPN. Злоумышленники используют многочисленные уязвимости, которые позволяют им получить VPN-доступ к целевой сети. Рассмотрим наиболее популярные уязвимости.
Уязвимость в Fortinet, FortiOS и FortyProxy (CVE-2018–13379) позволяла различным операторам программ-вымогателей получать доступ к системным файлам, в том числе содержащим учетные данные, чтобы впоследствии использовать их для получения VPN-доступа к сети.
Другая уязвимость произвольного чтения файлов, связанная с VPN, имеется в Pulse Secure Pulse Connect Secure (CVE-2019–11510). Ее эксплуатация позволяет злоумышленникам получать доступ к закрытым ключам и паролям пользователей. Эта уязвимость активно использовалась лицами, связанными с программой-вымогателем REvil.
Наконец, упомянем уязвимость в SonicWall SMA100 (CVE-2019–7481). Ею активно