Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей.
Например, воспользовавшись системой поиска общедоступных серверов Shodan с открытым портом 3389 (порт по умолчанию для RDP), можно увидеть миллионы устройств.
Рис. 2.2. Количество устройств, подключенных к интернету с открытым портом 3389
Простейший поиск выдает миллионы результатов — это одна из причин, по которой данный начальный вектор атаки так популярен среди операторов программ-вымогателей.
На практике злоумышленники не всегда пытаются сами атаковать такие серверы, они могут просто купить доступ к ним. Операторы программ-вымогателей как услуги могут не только арендовать программы-вымогатели, но и покупать доступ к корпоративным сетям у так называемых брокеров первоначального доступа. Такие брокеры обычно не участвуют в этапе постэксплуатации, чаще они продают первоначальный доступ или отдают его за долю (в среднем до 10 %) в возможной сумме выкупа.
Иногда операторы программ-вымогателей даже создают темы на андеграундных форумах, чтобы привлечь внимание брокеров первоначального доступа. Вот, например, сообщение, предоставленное платформой Threat Intelligence and Attribution компании Group-IB, — оно показывает, что операторы программы-вымогателя Crylock заинтересованы в покупке различных типов доступа к корпоративным сетям.
Рис. 2.3. Пост на андеграундном форуме
Далее мы рассмотрим другой чрезвычайно популярный начальный вектор атаки — целевой фишинг.
Целевой фишинг
Целевой фишинг подразумевает использование социальной инженерии. Злоумышленники манипулируют пользователями, чтобы те открывали вредоносные вложения или переходили по опасным ссылкам. Так в их распоряжении оказываются учетные данные, которые потенциально можно использовать для получения VPN-доступа к целевой сети или, как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», для заражения устройств троянскими программами. Поначалу многие злоумышленники использовали такое вредоносное ПО для банковского мошенничества, но оно также применяется для получения первоначального доступа к корпоративным сетям.
Наиболее распространенные примеры подобных троянов:
BazarLoader
Hancitor
IcedID
Qakbot
Trickbot
Естественно, список неполный — это лишь наиболее распространенные примеры средств, прокладывающих дорогу операторам программ-вымогателей.
Обычно операторы таких троянов проводят массированные спам-кампании, в основном среди корпоративных пользователей. Чаще всего они используют перехват цепочки сообщений — со взломанных адресов электронной почты злоумышленники отправляют вредоносные документы в ответ на подлинные электронные письма.
Рис. 2.4. Пример перехвата цепочки сообщений операторами Qakbot5
В некоторых случаях злоумышленники используют еще более изощренные методы: из главы 1 «История современных атак с использованием программ-вымогателей» вы знаете, что операторы BazarLoader также использовали вишинг (голосовой фишинг).
Пример такого электронного письма приведен ниже.
Рис. 2.5. Пример фишингового письма с целью распространения BazarLoader6
Как видите, вредоносных вложений в данном случае нет. Вместо этого злоумышленники просят жертву не отвечать на письмо, а позвонить по телефону службы поддержки, чтобы связаться с подставной компанией и отменить подписку.
Если жертва позвонит, злоумышленники из фальшивого кол-центра направят ее на веб-сайт, чтобы она самостоятельно открыла вредоносный документ и включила макросы, чтобы загрузить и запустить BazarLoader.
Мы рассмотрим дополнительные технические подробности запуска и маскировки таких троянских программ в следующих главах, а пока запомните, что злоумышленники могут использовать их для загрузки дополнительных инструментов на скомпрометированный хост, чтобы затем выполнить шаги постэксплуатации и получить в свое распоряжение привилегированные учетные записи для продвижения по сети.
В завершение нашего обзора начальных векторов атак мы сделаем обзор различных уязвимостей программного обеспечения, позволяющих операторам программ-вымогателей получать доступ к целевой сети.
Уязвимости ПО
Уязвимости программного обеспечения позволили многим брокерам начального доступа разбогатеть на сотни тысяч долларов, но при помощи программ-вымогателей как услуги были получены миллионы.
Конечно, не каждая уязвимость дает злоумышленнику возможность получить первоначальный доступ в сеть. Чаще всего используются уязвимости, которые позволяют удаленно запустить код или получить файлы с учетными данными.
Хороший пример уязвимости — приложение Pulse Secure VPN. Например, уязвимость CVE-2019–11510 позволяла злоумышленникам получать имена пользователей и незашифрованные пароли от уязвимых устройств, чтобы использовать их для доступа в сеть.
Другая уязвимость, популярная среди операторов программ-вымогате-лей, — CVE-2018–13379 в серверах FortiGate VPN. Она тоже позволяет злоумышленникам читать файлы с незашифрованными учетными данными.
Уязвимость CVE-2019–19781 в решении Citrix ADC and Gateway также активно использовалась многими группами вымогателей — она позволяла злоумышленникам удаленно загружать и запускать вредоносный код и выполнять другие действия постэксплуатации.
Еще один пример — многочисленные уязвимости в Accellion Legacy File Transfer Appliance, включая CVE-2021–27101, CVE-2021–27102, CVE-2021–27103 и CVE-2021–27104, используемые бандой вымогателей Clop.
Наконец, в некоторых случаях злоумышленникам удается использовать даже уязвимости «нулевого дня» — это такие уязвимости в системах или устройствах, которые уже стали известны, но еще не были исправлены разработчиками. В июле 2021 г. участники группировки REvil успешно воспользовались несколькими уязвимостями в службе удаленного управления Kaseya VSA и запустили вредоносный пакет обновления, что привело к развертыванию программы-вымогателя. Атака затронула многих клиентов Kaseya, в том числе поставщиков услуг комплексного управления ИТ-инфраструктурой, поэтому злоумышленники запросили действительно крупный выкуп — $70 млн.
Рис. 2.6. Информация об атаке на DLS REvil7
Конечно, получение начального доступа в сеть — это еще не все. В большинстве случаев злоумышленникам приходится повышать права доступа, получать учетные данные, выполнять разведку сети и другие действия постэксплуатации.
Постэксплуатация
Доступ в сеть — это только полдела. Во многих случаях злоумышленники недостаточно хорошо знакомы с сетью и получают доступ только к учетным записям с ограниченными правами, а значит, не могут отключить элементы управления безопасностью и продвигаться по сети, чтобы получить конфиденциальные данные и развернуть программу-вымогатель.
Действия в рамках постэксплуатации зависят от типа доступа. Например, если злоумышленники имеют доступ к VPN, они могут просканировать сеть на наличие уязвимостей, которые обеспечат им возможность продвижения по ней.
Не удивляйтесь — пресловутый эксплойт EternalBlue (CVE-2017–0144) до сих пор чрезвычайно распространен во многих корпоративных сетях, в том числе на действительно крупных предприятиях.
Еще одна очень распространенная уязвимость, используемая различными операторами программ-вымогателей, — Zerologon (CVE-2020–1472). Она позволяет злоумышленникам получить доступ к контроллеру домена в несколько щелчков мышью.
Злоумышленники, которые применяют различные трояны, обычно начинают с использования встроенных сервисов Windows для диагностики сети и службы каталогов Active Directory, таких как net.exe, nltest и др., а