Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Важно отметить, что информация о TTP субъектов угроз важна не только для реагирования на инциденты, но и для их предотвращения, поэтому, если вы или участники вашей команды нашли какую-либо информацию о поведении злоумышленника, следует тут же адекватно настроить средства безопасности.
Рассмотрим ситуацию, когда атака еще не произошла — программа-вымогатель пока не развернута, но замечены некоторые предвестники взлома. Какими они бывают?
Мы уже знаем, что для получения первоначального доступа к сети злоумышленники обычно используют Trickbot или BazarLoader. Это значит, что мы должны реагировать на любые события, связанные с подобными угрозами, например на предупреждения от антивирусного программного обеспечения. Антивирусы могут быть полезны, даже если атака уже состоялась, поскольку злоумышленники используют различные инструменты и некоторые из них не могут остаться незамеченными. Поэтому подобные предупреждения могут подсказывать, где побывали злоумышленники во время постэксплуатации.
Кроме того, очень важно изолировать рабочую станцию (если это осуществимо и не повлияет на бизнес-процессы) и проверить, нет ли других необнаруженных артефактов. Если вы успешно обнаружили и удалили штамм BazarLoader, в памяти вполне мог остаться Cobalt Strike Beacon, а субъекты угрозы уже могли переместиться дальше по сети.
То же самое можно сказать и об уликах, указывающих на разведку сети или Active Directory. Если вы обнаружите такую активность, как, например, использование AdFind, очень важно понять, легитимна ли она, и отреагировать.
Это, конечно, не весь список примеров — мы обсудим их более подробно в главе 5 «Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей».
А теперь давайте перейдем к сдерживанию, устранению и восстановлению.
Сдерживание, устранение и восстановление
Как только вы разберетесь, с какой атакой имеете дело, пора применить меры сдерживания.
Самое очевидное, что вы можете сделать, — это заблокировать подключения к серверам управления и контроля. Без подключения злоумышленники вряд ли смогут причинить вред сети — если, конечно, они не запланировали выполнение каких-либо задач, которые, например, могут запустить бэкдор с другим адресом командного сервера.
Поэтому может потребоваться отключение всей сети от интернета. Все зависит от стадии жизненного цикла атаки — если вы обнаружили атаку на ранней стадии, изоляция всей сети может быть избыточным решением, но, если злоумышленники провели в вашей сети уже месяц, возможно, стоит перестраховаться.
Многие операторы программ-вымогателей используют легальные приложения для удаленного доступа, например следующие:
TeamViewer
AnyDesk
SupRemo
Remote Utilities
Atera RMM
Splashtop
ScreenConnect
Это значит, что, как только вы обнаружили инцидент, такое программное обеспечение лучше заблокировать.
Как вы уже знаете, большинство злоумышленников занимаются кражей данных. Поэтому, если вы увидели следы деятельности предвестников программ-вымогателей и подозреваете, что злоумышленники все еще находятся в сети, лучше заблокировать доступ к популярным облачным файлообменникам, таким как MEGA, DropMeFiles, MediaFire и пр.
В некоторых случаях — в частности, когда вы имеете дело с первоначальным доступом — может оказаться достаточным изолировать взломанный хост. На самом деле это стоит сделать еще до этапа анализа, чтобы не дать злоумышленникам возможность продвижения по сети.
Киберпреступники стремятся получать повышенные (пусть и не самые высокие) права доступа и действующие учетные записи, поэтому, если вы заметили какие-либо свидетельства, указывающие на скомпрометированные учетные данные, следует сменить их пароли.
Если вы изолировали злоумышленников от взломанной сети и следов последующей вредоносной активности не появляется, можно приступить к удалению вредоносных программ и инструментов, используемых злоумышленниками.
С удалением скриптов и сервисов, не требующих установки, все понятно.
Инструменты удаленного доступа, такие как TeamViewer, имеют удобные деинсталляторы, поэтому удалить их со скомпрометированных хостов будет несложно.
С вредоносными программами несколько сложнее. Например, они могут быть бесфайловыми, то есть находиться только в памяти, не оставляя экземпляра на диске. Если вредоносное ПО закрепилось в скомпрометированной системе, что происходит довольно часто, то оно остается в памяти и после перезагрузки.
Назовем некоторые широко распространенные механизмы закрепления, используемые вредоносными ПО, которые используются в атаках с использованием программ-вымогателей.
Ключи запуска реестра или папки автозагрузки.
Службы Windows.
Запланированные задания.
Можно обойтись без удаления механизма устойчивости, если вы уже удалили вредоносное ПО, но иногда это может привести к ложному обнаружению угрозы. Однажды мой клиент обнаружил вредоносную службу, связанную с Cobalt Strike, — моя команда моментально отреагировала, но вскоре выяснилось, что это всего лишь пережиток прошлой атаки, с которой команда клиента боролась несколько лет назад.
Итак, вы заблокировали командные серверы, изменили пароли для взломанных учетных записей, удалили вредоносное ПО и инструменты злоумышленников. Достаточно ли этого? Готовы ли вы снова запустить эту рабочую станцию или сервер? Если вы на сто процентов уверены, что все чисто, — почему бы и нет? Если нет — возможно, лучше заново развернуть систему из образа.
Возможна и другая ситуация — сеть уже зашифрована. Обычно в этом случае остается два варианта: вести переговоры с кибершантажистами и платить выкуп или восстанавливать инфраструктуру с нуля.
В первом случае дешифраторы, предоставляемые злоумышленниками, могут создать дополнительные проблемы. Вот еще один пример: операторы программы-вымогателя ProLock активно действовали с апреля по июнь 2020 г., и некоторые жертвы согласились заплатить выкуп и получили дешифратор. Но возникла проблема — дешифратор не работал должным образом, некоторые файлы размером более 64 Мбайт повреждались в процессе расшифровки. Как только это стало известно, репутация злоумышленников пошатнулась, и очень скоро ProLock исчез.
Конечно, не все дешифраторы работают плохо. Многие злоумышленники предоставляют исполняемые файлы, которые действительно все расшифровывают. Но это не гарантирует безопасности после оплаты — известны случаи, когда злоумышленники снова и снова атаковали одни и те же компании, пытаясь заработать еще больше денег.
Поэтому после успешной атаки — и особенно если организация решила заплатить — крайне важно улучшить состояние безопасности, чтобы вооружиться против будущих кибератак. Этому посвящен последний этап — действия после инцидента.
Действия после инцидента
На заключительном этапе группа реагирования на инциденты должна помочь пострадавшей компании понять, почему злоумышленникам удалось добиться успеха и что делать, чтобы избежать подобных ситуаций в будущем.
В зависимости от того, кто использовал программу-вымогатель, жизненный цикл инцидентов может быть абсолютно разным. На основе того, что именно вы обнаружили, вы можете дать комплекс рекомендаций. Давайте рассмотрим самые общие пункты.
Как мы выяснили, многие атаки программ-вымогателей начинаются с публично доступных RDP-серверов, а значит, хорошей рекомендацией будет выбрать другие методы удаленного доступа или, например, внедрить для таких RDP-соединений многофакторную аутентификацию.
Говоря об общедоступных частях уязвимой инфраструктуры, организация должна убедиться, что все уязвимости исправлены — особенно те, которые позволяют злоумышленникам получать данные действующих учетных записей или удаленно запускать код.
Если злоумышленники проникли через целевой фишинг, может потребоваться дополнительное обучение персонала или повышение