Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
AdFind
Bloodhound (Sharphound)
ADRecon
Эти инструменты позволяют собирать информацию о пользователях и группах, компьютерах, подсетях, правах доступа к доменам и даже выявлять доверительные отношения внутри Active Directory.
Если взломщики получили доступ к скомпрометированному узлу по RDP, они обычно используют широкий набор инструментов — от сетевых сканеров до дамперов паролей. Вот некоторые самые распространенные инструменты:
SoftPerfect Network Scanner
Advanced IP Scanner
Mimikatz
LaZagne
Process Hacker
ProcDump
NLBrute
В некоторых случаях, особенно если злоумышленники уже имеют первоначальный доступ к серверу, они могут почти сразу получить учетные данные с повышенными правами, используя части загруженного набора инструментов, например, для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).
Другая типичная характеристика современных атак программ-вымогателей, управляемых человеком, — интенсивное использование различных фреймворков постэксплуатации. Я почти уверен, что вы слышали о Cobalt Strike. Это самый распространенный фреймворк, используемый не только киберпреступниками, но и хакерами, действующими по заказу государств.
Но это только один из примеров. Реагируя на атаки с использованием программ-вымогателей, вы можете также столкнуться с:
Metasploit
PowerShell Empire
CrackMapExec
Koadic
PoshC2
Подобные сервисы позволяют операторам программ-вымогателей решать различные задачи: сканировать сеть, повышать права доступа, выгружать учетные данные, загружать и запускать сторонние инструменты и сценарии, горизонтально перемещаться по сети с использованием различных методов и многое другое.
Еще один важный шаг злоумышленников — обеспечение резервного доступа. В частности, они могут распространять трояны, которые уже использовались для получения первоначального доступа, запускать элементы фреймворков постэксплуатации на удаленных хостах и даже устанавливать на отдельные серверы с доступом в интернет легитимное программное обеспечение для удаленного доступа, такое как TeamViewer.
Как только злоумышленники достаточно хорошо изучат сеть, в которую проникли, и получат повышенные права, они могут приступить к достижению основных целей — краже данных и развертыванию программ-вымогателей.
Кража данных
Кражу данных иногда называют утечкой данных, экспортом данных или эксфильтрацией данных, и она чрезвычайно популярна среди операторов программ-вымогателей. Практически у всех злоумышленников, связанных с атаками программ-вымогателей, управляемых человеком, есть собственные сайты утечки данных (Data Leak Site, DLS). Они публикуют на таких веб-сайтах информацию об успешных атаках — и даже сами украденные данные, если компания отказывается платить выкуп.
Объем украденных данных может быть самым разным. В некоторых случаях это всего несколько гигабайт, в других — терабайты. Эксфильтрованные данные могут включать информацию о кредитных картах, номера социального страхования (англ. Social Security numbers, сокр. SSN), персональные данные (Personal Identifiable Information, PII), защищенную медицинскую информацию (Protected Health Information, PHI) и национальные идентификаторы поставщиков медицинских услуг (National Provider Identifiers, NPI) и не ограничены частной и конфиденциальной информацией компании.
На рисунке 2.7 приведен пример DLS программы-вымогателя Conti.
Большинство таких веб-сайтов расположены в даркнете, и доступ к ним можно получить, например, через браузер Tor. Если вы хотите отслеживать изменения на таких сайтах с помощью обычного веб-браузера, рекомендуем использовать проект Ransomwatch (https://www.ransomwatch.org/). Этот веб-сайт автоматически снимает и публикует скриншоты активных DLS, принадлежащих различным операторам программ-вымогателей.
Рис. 2.7. DLS программы-вымогателя Conti8
Злоумышленники могут потратить довольно много времени на извлечение данных из взломанной сети — иногда несколько месяцев. За это время они могут найти наиболее конфиденциальные данные и обеспечить дополнительные средства удаленного доступа к скомпрометированной сети на случай, если метод первоначального доступа будет раскрыт и доступ заблокирован.
Как правило, применяется один из двух подходов к эксфильтрации данных. В первом случае преступники могут настроить для этой цели сервер или использовать те же серверы, с которых осуществлялась атака, — например, с помощью фреймворков постэксплуатации.
В этих случаях злоумышленники обычно крадут данные с помощью легальных инструментов, таких как WinSCP или FileZilla. Обнаружить такие инструменты может быть чрезвычайно сложно, особенно если в составе службы безопасности организации нет специальной группы мониторинга, которая постоянно вела бы активный поиск угроз.
Как правило, данные сначала нужно собрать, но в некоторых случаях их можно извлечь прямо с файлового сервера — даже без архивации.
Другой подход — использовать общедоступные облачные хранилища, такие как MEGA, DropMeFiles и др. Эти же хранилища злоумышленники могут использовать для публикации данных на своих DLS.
Так выглядят данные, украденные злоумышленниками, использующими программу-вымогатель Everest, и загруженные в DropMeFiles.
Рис. 2.8. Украденные данные, опубликованные злоумышленниками, использующими программу-вымогатель Everest
Чтобы выгружать данные таким способом, злоумышленники могут использовать обычный веб-браузер или, в некоторых случаях, соответствующие клиентские приложения. Например, операторы программы-вымогателя Nefilim просто установили MEGAsync на целевой хост и выгружали данные с его помощью.
Другой яркий пример: партнеры Mount Locker использовали для кражи собранных данных хранилище Amazon S3. AWS и другие облачные решения могут быть хорошим подспорьем для крупных краж данных, так что использование таких решений без надлежащего управления и надзора — большая помощь злоумышленникам.
Как только все конфиденциальные данные (по крайней мере с точки зрения злоумышленников) извлечены, сеть жертвы готова к развертыванию программы-вымогателя.
Развертывание программ-вымогателей
Как вы думаете, кто злейший враг оператора программы-вымогателя? Верно, резервные копии — если они защищены от взлома и хранятся в безопасном месте. Но у них есть досадное слабое место — злоумышленники могут их удалить.
К сожалению, системные администраторы часто не помнят ни о правиле 3–2–1 (три резервные копии на двух разных носителях, один из которых находится вне предприятия), ни о необходимости иметь отдельные учетные записи и использовать многофакторную аутентификацию для серверов резервного копирования. А ведь сегодня надлежащее обеспечение безопасности резервных копий важно не только для защиты от программ-вымогателей, но и для соответствия организации отраслевым нормативным требованиям.
Чем это грозит? Обладая правами администратора домена, злоумышленники смогут легко получить доступ к серверам резервного копирования и стереть все доступные резервные копии. После этого у компании-жертвы не останется другого выбора, кроме как заплатить выкуп.
Некоторые программы-вымогатели имеют встроенные возможности для удаления файлов с расширением типичных решений резервного копирования. Вот, например, список расширений резервных файлов, стираемых TinyCryptor:
vbm
vib
vbk
bkf
vlb
vlm
iso
Возможно, вы знаете о том, что операционная система Windows имеет встроенный механизм резервного копирования, называемый Volume Shadow Copy Service. Он создает резервные копии файлов и даже томов, чтобы пользователь мог восстановить данные до прежнего состояния.
Разумеется, операторы программ-вымогателей обратили внимание на эту функцию Windows — большинство программ-вымогателей отключают ее и удаляют доступные копии.
Резервные копии — не единственный враг операторов программ-вымогателей. Еще один — программные решения для обеспечения безопасности, которые могут легко заблокировать выполнение программ-вымогателей, если, конечно, работают правильно.
Злоумышленники могут добавить программу-вымогатель в исключения или просто отключить