Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 10

Подтехники — более конкретные описания методов злоумышленников, такие как использование вредоносных вложений.

Процедуры — как именно злоумышленник использует технику или подтехнику, например вредоносный документ Microsoft Office, вложенный в целевое фишинговое электронное письмо.

В этой книге мы будем активно обращаться к MITRE ATT&CK®, поэтому, если вы не знакомы с этой базой знаний, посетите официальный сайт: https://attack.mitre.org/.

Первое, что мы видим в разделе «Технический анализ» отчета SentinelLabs, — то, что начальные векторы атаки могут различаться. К сожалению, в этом отчете не названы возможные варианты.

Зато мы сразу же узнаем о любимом фреймворке постэксплуатации злоумышленников — Cobalt Strike. Правда, в отчете нет никаких подробностей о том, как именно он использовался во время атак. В то же время исследователи делятся информацией о другом инструменте, ConnectWise — легитимном инструменте удаленного администрирования, используемом злоумышленниками для поддержания доступа к взломанной сети. Как вы уже знаете из главы 3 «Процесс реагирования на инциденты», использование таких инструментов очень распространено среди групп, связанных с программами-вымогателями.

MITRE ATT&CK® содержит описание этого метода. Его ID — T1219, а название — Remote Access Software (https://attack.mitre.org/techniques/T1219/). Суть заключается в том, что злоумышленники могут использовать различные инструменты удаленного доступа, такие как TeamViewer, AnyDesk и т. д., в качестве альтернативных каналов связи для резервного доступа к скомпрометированным хостам.

Далее мы рассмотрим другие методы, описанные в отчете.

Во-первых, мы видим, что для запуска исполняемых файлов злоумышленники использовали cmd.exe. Теперь мы знаем подтехнику, а именно Windows Command Shell (T1059.003).

Кроме того, для обхода защиты злоумышленники использовали rundll32.exe — это пример подтехники «запуск на исполнение через подписанные двоичные файлы» — signed binary proxy execution (T1218.011).

Наконец, основная цель, которую мы здесь видим, — получить доступ к учетным данным. В данном случае это сделано путем злоупотребления системной библиотекой comsvcs.dll для получения дампа процесса lsass.exe, то есть подтехникой дампинга учетных данных ОС — выгрузки памяти Сервиса проверки подлинности локальной системы безопасности (LSASS) (T1003.001).

Зачем нужен дампинг? Дело в том, что система хранит в своей памяти различные элементы учетных данных, и, если злоумышленники смогут сбросить содержимое памяти на диск, они получат возможность использовать различные инструменты для извлечения актуальных учетных данных.

Чтобы включить кэширование учетных данных в открытом виде, злоумышленники внесли изменения в реестр, снова задействовав cmd.exe:

Это еще один метод, задокументированный в MITRE ATT&CK®, — редактирование реестра (Т1112).

Другой важный факт, представленный в этом отчете, состоит в том, что на этапе постэксплуатации злоумышленники использовали ADRecon. Это еще один популярный инструмент, с помощью которого можно извлекать различные артефакты из среды Active Directory, многие операторы программ-вымогателей применяют его на этапе сетевой разведки. Опять же, нет информации о том, как именно он использовался во время данной кампании. Однако, поскольку это инструмент на основе PowerShell, мы можем выделить еще одну подтехнику использования интерпретатора команд и сценариев — PowerShell (T1059.001). Сценарии PowerShell очень распространены, и вы столкнетесь с ними в контексте почти любых инцидентов, связанных с атаками с использованием программ-вымогателей.

Следующий раздел отчета посвящен анализу самой программы-вымогателя Hive. Он также может раскрыть информацию о TTP злоумышленников. Первое, что мы видим, — программа написана на языке Go, который становится все более и более популярным среди создателей программ-вымогателей. Важно и то, что программа упакована с помощью UPX, распространенного упаковщика, используемого многими злоумышленниками для обхода некоторых средств защиты. Здесь мы имеем дело с подтехникой обфускации (запутывания) файлов или информации — упаковкой программного обеспечения (T1027.002).

Далее мы видим еще один очень распространенный метод, используемый многими преступниками, связанными с программами-вымогателями, — остановка ряда процессов и служб, чтобы без помех все зашифровать. В MITRE ATT&CK® задокументирован и этот метод — остановка служб (T1489).

Идем дальше — программа-вымогатель создает пакетный файл с именем hive.bat, который используется для удаления компонентов вредоносной программы. Вот его содержимое:

Здесь мы имеем дело с подтехникой удаления следов на хосте — удалением файла (Т1070.004).

Это был не единственный пакетный файл, созданный программой-вымогателем. Другой файл, с именем shadow.bat, использовался для удаления теневых копий, чтобы файлы нельзя было восстановить с помощью встроенных возможностей ОС.

Вот содержимое этого командного файла:

Здесь речь идет о методе подавления возможностей восстановления системы (T1490).

И, наконец, одна из самых важных техник программ-вымогателей — это шифрование данных для оказания воздействия на жертву (T1486).

Давайте соберем найденные данные в таблицу.

Таблица 4.1. Сводная таблица MITRE ATT&CK

Как видно из таблицы, мы не смогли реконструировать весь жизненный цикл атаки из отчета, но все же мы извлекли много TTP, на знания о которых можно опереться как в ходе реагирования на инциденты, так и при проактивном поиске угроз.

Мы продолжим анализ доступных отчетов в главе 6 «Сбор данных о киберугрозах, связанных с программами-вымогателями».

Тактическая информация о киберугрозах

Тактическая информация о киберугрозах нужна для работы различных продуктов безопасности, таких как система управления информацией и событиями безопасности (Security Information and Event Management, SIEM), межсетевые экраны, системы обнаружения/предотвращения вторжений (Intrusion Detection Systems/Intrusion Prevention Systems, IDS/IPS) и т. д. с индикаторами компрометации (Indicators of Compromise, IoC).

Этот уровень информации о киберугрозах сосредоточен на том, «что» — что конкретно происходит. Традиционно этот вид аналитики был самым распространенным, и многие вендоры предоставляли так называемые фиды — новостные ленты, или ленты актуальной информации, но в настоящее время все больше организаций ориентируются на TTP, так как классические индикаторы имеют очень короткий жизненный цикл.

В большинстве случаев эти индикаторы состоят из IP-адресов, доменных имен и хешей. Обычно хеши бывают следующих типов:

MD5

SHA1

SHA256

Этими индикаторами удобно делиться с помощью платформ анализа киберугроз, таких как MISP, их можно использовать как для исследования, так и для обнаружения.

Вернемся к отчету, который мы анализируем. В нем есть раздел «Индикаторы компрометации». Он содержит ряд хешей, как типа SHA1, так и типа SHA256. Поскольку это хеши одних и тех же файлов, давайте сосредоточимся на первом типе — SHA1:

Если воспользоваться одним из сервисов для анализа разного рода вредоносного контента, например VirusTotal (https://www.virustotal.com/), можно обнаружить, что все эти хеши относятся к штаммам программы-вымогателя Hive.

Рис. 4.3. Записи VirusTotal для одного из хешей

С точки зрения обнаружения они не очень полезны, так как версии программ-вымогателей в большинстве случаев создаются специально под каждую атаку, а значит, их хеши не будут совпадать.

Кроме того, в отчете есть IP-адрес, связанный