Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Злоумышленники
Как вы уже знаете, эта книга посвящена атакам программ-вымогателей, управляемых человеком. Наши противники — люди, а люди общаются и делятся информацией, и весьма часто это происходит на теневых форумах.
В этом разделе мы изучим сообщения с форумов, полученные платформой Group-IB Threat Intelligence.
Первый пост, который мы рассмотрим, создан злоумышленником с псевдонимом FishEye, о котором известно, что он связан с REvil, LockBit и некоторыми другими партнерскими программами.
Рис. 6.5. Пост FishEye
Злоумышленник хочет получить работающий эксплойт для уязвимости в SonicWall VPN. Он пишет, что операторы программы-вымогателя Conti уже используют его в своих кампаниях.
Скорее всего, злоумышленник имеет в виду уязвимость в продуктах SonicWall Secure Mobile Access (SMA) 100-й серии (CVE-2021–20016). Эта уязвимость может быть использована удаленно и дает преступникам доступ к учетным данным, с помощью которых они проникают во внутреннюю сеть и используют их на этапе постэксплуатации.
Следующий пост, который мы рассмотрим, принадлежит печально известному представителю REvil под псевдонимом UNKN (рис. 6.6).
Этот пост приглашает к сотрудничеству в программе RaaS REvil и описывает требования к партнерам. Во-первых, мы видим, что потенциальные участники должны уметь работать с технологиями резервного копирования — сетевыми файловыми хранилищами (network-attached storage, NAS) и накопителями на магнитных лентах (tape-based data storage).
Рис. 6.6. Пост UNKN
Во-вторых, злоумышленник отмечает, что потенциальные партнеры должны уметь использовать различные фреймворки постэксплуатации. Вот некоторые из них.
Metasploit Framework
Cobalt Strike
Koadic
Кроме того, участники должны уметь выполнять атаки на Active Directory, в том числе атаки kerberoasting, позволяющие злоумышленникам извлекать хеши учетных записей служб и использовать их для взлома паролей в автономном режиме.
Наконец, поскольку многие современные корпоративные сети используют виртуализацию, участники должны знать и уметь атаковать такие технологии, как Hyper-V.
Как видите, в некоторых случаях злоумышленники делятся довольно большим объемом информации о потенциальных TTP своих подельников. Часто они также комментируют различные вопросы, обсуждаемые на форумах. Например, вот мнение оператора программы-вымогателя LockBit под псевдонимом LockBitSupp о методах кражи данных.
Рис. 6.7. Пост LockBitSupp
Злоумышленник описывает процесс, популярный у операторов программ-вымогателей для краж данных из взломанных сетей. По словам автора поста, мошенники обычно используют Rclone и учетные записи распространенных поставщиков облачных хранилищ, таких как MEGA и pCloud. При этом он пишет, что некоторые программы RaaS предлагают специальные программы для кражи данных (стилеры). На самом деле он пытается прорекламировать StealBit, специальный инструмент для эксфильтрации, предлагаемый пользователям программы-вымогателя LockBit.
Другой пост того же злоумышленника посвящен отключению антивирусного программного обеспечения в масштабах предприятия.
Рис. 6.8. Пост LockBitSupp
Злоупотребление объектами групповой политики (Group Policy Objects, GPO) используется не только для отключения продуктов безопасности — это широко распространенный способ выполнения различных сценариев в масштабах предприятия. Стоит отметить, что сама программа-вымогатель LockBit имеет встроенную возможность злоупотребления объектами групповой политики для распространения своих копий через корпоративную сеть.
Последнее сообщение, которое мы рассмотрим, — это пост одного из пользователей программы-вымогателя LockBit под псевдонимом uhodiransomwar, приведенный на рисунке 6.9.
Рис. 6.9. Пост uhodiransomwar
В этой беседе злоумышленник делится списком скомпрометированных серверов Pulse Secure VPN, которые другие взломщики могут использовать для получения первоначального доступа к сетям. Вероятнее всего, серверы были уязвимы для CVE-2019–11510, что позволило злоумышленнику получить действительные учетные данные, использовав метод чтения произвольного файла.
Как видите, возможностей для сбора полезных CTI, которые могут значительно облегчить вашу работу по реагированию на инциденты, связанные с программами-вымогателями, действительно много.
Выводы
В этой главе мы рассмотрели различные источники CTI, связанные с программами-вымогателями. Мы проанализировали несколько открытых отчетов и извлекли ценные данные, которые позволили нам реконструировать различные части жизненного цикла атаки и преобразовать их в CTI.
Мы научились анализировать социальные сети, чтобы получать сведения о киберугрозах, которыми делятся представители сообщества кибербезопасности.
Наконец, мы изучили теневые форумы и узнали, как получать CTI непосредственно от наших противников — операторов программ-вымогателей.
Теперь, когда вы уже многое узнали об атаках программ-вымогателей, управляемых человеком, и имеете ясное представление о том, как происходят такие атаки, вы готовы погрузиться в процесс расследования.
В следующей главе мы рассмотрим основные источники цифровых криминалистических артефактов, которые позволяют службам реагирования на инциденты реконструировать атаку с использованием программы-вымогателя и выяснить, что именно было сделано в ходе ее жизненного цикла.
03. Практика реагирования на инциденты
Глава 7
Цифровые криминалистические артефакты и их основные источники
Вы уже многое знаете об атаках программ-вымогателей, управляемых людьми, — о наиболее распространенных тактиках, техниках и процедурах, используемых злоумышленниками, а также о том, как ускорить расследование инцидента, собирая полезную информацию о киберугрозах. Теперь пора сосредоточиться на самом процессе расследования.
Вы наверняка слышали о принципе обмена Локара, но все же напомню: преступник всегда оставляет что-то на месте преступления и что-то оттуда забирает. И то и другое может быть использовано в качестве улик.
Знакомо, не правда ли? Пользователи программ-вымогателей оставляют на месте преступления свои инструменты, включая саму программу-вымогатель, и, как правило, забирают с собой большой объем конфиденциальных данных.
Мы уже знаем, что жизненный цикл атаки с использованием программы-вымогателя довольно сложен. Но как определить, какие методы использовались злоумышленниками на разных этапах? Ответ — использовать методы цифровой криминалистики!
В этой главе мы рассмотрим различные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты воспроизвести ход атаки с использованием программы-вымогателя. Цифровая криминалистика позволяет обнаруживать и реконструировать данные, благодаря которым можно смягчить последствия кибератаки или снизить связанные с ней риски.
Мы сосредоточимся на следующих источниках:
Сбор и анализ энергозависимой памяти.
Сбор данных энергонезависимой памяти.
Главная файловая таблица.
Файлы трассировки (prefetch-файлы).
Ярлыки (LNK-файлы).
Списки переходов.
Монитор использования системных ресурсов.
Веб-браузеры.
Реестр Windows.
Журналы событий Windows.
Другие журналы.
Сбор и анализ энергозависимой памяти
Поскольку многие злоумышленники пользуются подручными средствами — то есть инструментами, имеющимися в целевой инфраструктуре, — анализ энергозависимой памяти поможет найти ключевые следы, необходимые специалисту по реагированию на инциденты для правильной реконструкции методов проникновения. В противном случае злоумышленники могут остаться вне поля зрения службы безопасности.
Так как энергозависимые данные чаще всего хранятся в оперативной памяти (Random Access Memory, RAM) устройства, для их извлечения обычно применяются методы создания дампа памяти.
Существует множество инструментов, которые можно использовать для сброса энергозависимой памяти. Вот некоторые из них.
AccessData FTK Imager (https://accessdata.com/product-download/ftk-imager-version-4–5)
Belkasoft RAM Capturer (https://belkasoft.com/ram-capturer)
Magnet RAM Capturer (https://www.magnetforensics.com/resources/magnet-ram-capture/)
Внимание: никогда не копируйте