Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 11
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Автор: Олег Скулкин
- Страниц: 34
- Добавлено: 2023-03-04 07:12:00
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.
Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно
Рис. 4.4. Информация о проверенном IP-адресе, собранная платформой Group-IB MXDR
Платформа Group-IB MXDR имеет функцию построения графа связей, которую можно использовать для сбора дополнительной информации о собранных вами индикаторах. На рисунке 4.4 мы видим, что IP-адрес 176.123.8.228 относится к серверу Cobalt Strike, поэтому команде безопасности стоит заблокировать или проверить его.
Как видите, даже анализ короткого отчета, имеющегося в открытом доступе, позволит опытному аналитику собрать достаточно информации о киберугрозах, что может быть очень полезно при реагировании на инциденты.
Выводы
В этой главе мы обсудили различные типы информации о киберугрозах, в том числе стратегическую, оперативную и тактическую информацию, их различия и целевые аудитории. Мы также изучили доступный в сети отчет об угрозах и извлекли разные типы данных, чтобы вы могли получить ясное представление об их различиях.
Вы уже знаете, что TTP — это наиболее важные элементы образа действий злоумышленников, поэтому в следующей главе мы рассмотрим множество примеров из реальной жизни, чтобы у вас был хороший источник практической информации об атаках программ-вымогателей, управляемых человеком.
Глава 5
Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей
Вы уже многое знаете о программах-вымогателях, управляемых человеком, неплохо представляете себе, как разворачиваются их атаки и как осуществляется реагирование на инциденты, и понимаете, почему так важно реагировать на инциденты надлежащим образом.
Но для эффективного реагирования на инциденты недостаточно иметь лишь общее представление о жизненном цикле атаки, поскольку злоумышленники обычно применяют для достижения своих целей разнообразные тактики, техники и процедуры (TTP).
Существование программ-вымогателей как услуги еще больше запутывает ситуацию, поскольку в атаках с использованием таких программ может участвовать множество аффилированных лиц, и даже для одного и того же штамма программы-вымогателя TTP участников могут значительно различаться.
Эта глава поможет вам детально разобраться в поведении злоумышленников, участвующих в атаках с использованием программ-вымогателей, на различных этапах жизненного цикла атаки (на основе MITRE ATT&CK).
Конкретнее мы рассмотрим следующие темы:
Получение первоначального доступа.
Запуск вредоносного кода.
Обеспечение постоянного доступа.
Повышение привилегий.
Обход защиты.
Доступ к учетным данным.
Продвижение по сети.
Сбор и кража данных.
Развертывание программ-вымогателей.
Получение первоначального доступа
Получение первоначального доступа к целевой сети — неотъемлемая часть любого вторжения, и атаки с использованием программ-вымогателей не исключение.
Поскольку в атаках с использованием программ-вымогателей задействованы самые разные злоумышленники, специалисты по реагированию на инциденты могут столкнуться в своей работе практически с любой техникой.
Тем не менее одна из наиболее распространенных техник, используемых операторами программ-вымогателей, — взлом внешних служб удаленного доступа, таких как протокол удаленного рабочего стола (RDP), поэтому именно с нее мы и начнем.
Внешние службы удаленного доступа (T1133)
Использование внешних служб удаленного доступа злоумышленниками весьма распространено. Например, согласно отчету Group-IB «Программы-вымогатели 2020/2021» (Ransomware Uncovered 2020/21), более 50 % всех атак программ-вымогателей, управляемых человеком, начинались со взлома общедоступного RDP-сервера. Пандемия COVID-19 усугубила ситуацию: многим компаниям пришлось создать рабочие места для удаленного персонала, и это дополнительно ослабило защиту серверов по всему миру.
На рисунке 5.1 приведен пример экрана входа в систему одного из общедоступных серверов.
Порт по умолчанию для служб удаленных рабочих столов — 3389. Если мы воспользуемся поисковой системой для устройств, подключенных к интернету, например Shodan, мы увидим миллионы таких серверов, и это одна из причин, почему взлом таких серверов стал наиболее распространенной техникой (рис. 5.2).
Рис. 5.1. Экран входа в систему общедоступного RDP-сервера
Рис. 5.2. Результаты поиска Shodan
Как видите, только в США более 1,5 млн таких серверов. Неудивительно, что эта техника настолько распространена — как и то, что жертвами различных программ-вымогателей часто становятся организации из США.
Как получить доступ к общедоступному RDP-серверу? Самый распространенный способ — атака методом грубой силы, то есть полным перебором наиболее распространенных паролей по словарю. Как ни странно, это вполне эффективный подход.
Чаще всего сначала сканируют интернет на наличие общедоступных RDP-серверов при помощи masscan, а затем используют инструменты типа NLBrute для выполнения атаки методом грубой силы. Злоумышленникам даже не обязательно делать это самим — они могут приобрести доступ на различных черных рынках и у брокеров первоначального доступа.
Вот несколько примеров таких черных рынков:
RussianMarket
Odin
UAS RDP Shop
Xleet
Infinity Shop
Отметим, что доступ к общедоступному RDP-серверу может стоить всего несколько долларов.
Рис. 5.3. RDP-серверы для продажи на UAS RDP Shop
RDP — не единственный тип внешней службы удаленного доступа, которым пользуются злоумышленники. Другой весьма распространенный тип — доступ через виртуальную частную сеть (Virtual Private Network, VPN).
В этом случае операторы программ-вымогателей тоже могут выполнять атаки методом грубой силы, чтобы получать учетные данные VPN, а также, например, использовать уязвимости в программном обеспечении. Мы обсудим это в следующем разделе — «Эксплуатация общедоступных приложений (T1190)».
Как и RDP-доступ, этот тип доступа можно получить у брокеров первоначального доступа. Пример соответствующего объявления на русскоязычном андеграундном форуме на рисунке 5.4.
Рис. 5.4. Пост с русскоязычного андеграундного форума на платформе Group-IB Threat Intelligence
Как видите, получить первоначальный доступ через внешние удаленные сервисы очень просто, особенно теперь, во времена пандемии COVID-19. Но это не единственный способ. Давайте рассмотрим еще одну распространенную технику — эксплуатацию общедоступных приложений.
Эксплуатация общедоступных приложений (T1190)
Эксплуатация общедоступных приложений в атаках программ-вымогателей, управляемых человеком, — еще одна распространенная техника злоумышленников.
Вы уже знаете, что вымогатели часто взламывают серверы RDP: они могут либо провести атаку методом грубой силы, либо просто купить доступ на черном рынке или у брокеров первоначального доступа.
Но также они могут удаленно запускать код на серверах, используя уязвимости реализации RDP, например BlueKeep (CVE-2019–0708). Известно, что она до сих пор активно эксплуатируется, в частности лицами, связанными с программой-вымогателем LockBit.
То же самое можно сказать и о доступе через VPN. Злоумышленники используют многочисленные уязвимости, которые позволяют им получить VPN-доступ к целевой сети. Рассмотрим наиболее популярные уязвимости.
Уязвимость в Fortinet, FortiOS и FortyProxy (CVE-2018–13379) позволяла различным операторам программ-вымогателей получать доступ к системным файлам, в том числе содержащим учетные данные, чтобы впоследствии использовать их для получения VPN-доступа к сети.
Другая уязвимость произвольного чтения файлов, связанная с VPN, имеется в Pulse Secure Pulse Connect Secure (CVE-2019–11510). Ее эксплуатация позволяет злоумышленникам получать доступ к закрытым ключам и паролям пользователей. Эта уязвимость активно использовалась лицами, связанными с программой-вымогателем REvil.
Наконец, упомянем уязвимость в SonicWall SMA100 (CVE-2019–7481). Ею активно
Жалоба
Напишите нам, и мы в срочном порядке примем меры.