Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 12

Тут можно читать бесплатно Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Компьютеры и Интернет / Прочая околокомпьтерная литература. Так же Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте «WorldBooks (МирКниг)» или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - читать книгу онлайн бесплатно, автор Олег Скулкин

пользовались операторы программы-вымогателя HelloKitty.

Разумеется, уязвимости, которые злоумышленники используют для получения первоначального доступа, не ограничиваются RDP и VPN.

Например, операторы программы-вымогателя Clop использовали уязвимости в Accellion FTA:

CVE-2021–27101: уязвимость типа «SQL-инъекция».

CVE-2021–27102: уязвимость внедрения команд ОС.

CVE-2021–27103: уязвимость подделки запросов на стороне сервера (Server-Side Request Forgery, SSRF).

CVE-2021–27104: еще одна уязвимость внедрения команд ОС.

Эти уязвимости позволили злоумышленникам загрузить веб-шелл на уязвимые серверы и использовать его для кражи данных, поскольку для безопасной передачи больших файлов компании использовали программно-аппаратный комплекс Accellion FTA.

Еще одна уязвимость, которой пользовались операторы программ-вымогателей, таких как Nefilim, — это уязвимость в Citrix Application Delivery Controller (ADC) и Gateway (CVE-2019–19781). В результате злоумышленники могли запускать команды на атакуемом сервере.

Наконец, в 2022 г. злоумышленники пользовались уязвимостями в серверах Microsoft Exchange, включая ProxyLogon (CVE-2021–26855) и ProxyShell (CVE-2021–34473, CVE-2021–34523 и CVE-2021–31207).

Участники атак с использованием программ-вымогателей добавили в свой арсенал соответствующие эксплойты. Например, лица, связанные с Conti, использовали уязвимость ProxyShell для загрузки веб-шелла на целевой сервер, чтобы выполнять на нем дальнейшие действия в ходе постэксплуатации.

Общедоступные серверы и приложения — весьма популярные цели операторов программ-вымогателей, но обычно их не так уж много. Кроме того, на них могут быть установлены актуальные обновления, исправляющие ошибки системы безопасности, и/или использоваться надежные пароли. Поэтому злоумышленникам приходится искать другие слабые места, например обычных пользователей корпоративной сети. И тут уместно использовать фишинг.

Фишинг (T1566)

Исторически фишинг был одним из излюбленных способов получения первоначального доступа злоумышленников к целевой сети.

В настоящее время киберпреступники для этого часто применяют трояны (или боты), которые обычно доставляются через спам-письма. В список таких вредоносных программ входят Bazar, Qakbot, Trickbot, Zloader, Hancitor и IcedID.

Для их доставки злоумышленники обычно используют зараженные вложения электронной почты, например файлы Microsoft Office, скрипты в архивах или просто ссылки на такие файлы.

Злоумышленники проявляют поразительную изобретательность в создании фишинговых писем. Временами эти электронные письма выглядят настолько правдоподобно, что даже специалисты по безопасности могут счесть их настоящими. Вот пример спам-письма с фишинговой ссылкой, распространяемого операторами Hancitor.

Рис. 5.5. Пример электронного спам-письма, отправленного операторами Hancitor

Щелкнув по этой фишинговой ссылке, пользователь попадет на страницу загрузки вредоносного документа Microsoft Office.

Злоумышленники не всегда отправляют пользователям ссылки, есть другой способ — прикрепить к электронному письму зараженный файл.

Рис. 5.6. Пример электронного спам-письма, отправленного операторами Qakbot12

Загрузив файл, жертва должна открыть его и в большинстве случаев включить макросы, чтобы вредоносное содержимое записалось на диск или загрузилось с контролируемого злоумышленником или взломанного сервера.

Обычно такие вредоносные документы мотивируют пользователя включить макросы.

Рис. 5.7. Содержимое вредоносного документа13

Тем самым жертва активирует вредоносный контент. Правда, если у жертвы хорошая защита от спама, доставить ей зараженные ссылки или вложения будет не так-то просто. Злоумышленникам приходится действовать более творчески — и у них получается!

Группа киберпреступников Wizard Spider — операторы Bazar, Trickbot, Ryuk, Conti и Diavol — использовала фишинговые письма с информацией о платных подписках и указывала в теле письма номер телефона, по которому жертва могла позвонить, чтобы отменить подписку. Никаких подписок на самом деле не было — это вишинг (голосовой фишинг). Телефонные операторы заманивали жертву на поддельный веб-сайт, чтобы она загрузила форму, необходимую для отмены. Ниже пример такого поддельного сайта.

Рис. 5.8. Поддельный веб-сайт, распространяющий вредоносные документы

Единственной целью таких поддельных веб-сайтов была доставка вредоносных документов.

Выяснить, не столкнулся ли пользователь с попыткой вишинга, довольно просто. Иногда достаточно задать несколько уточняющих вопросов и углубиться в тему, чтобы мошенник сдался.

Другой пример — вредоносная реклама. Например, операторы Zloader создают вредоносные рекламные объявления, и, если жертва использует определенные ключевые слова во время поиска в Google, ее перенаправляют на контролируемый злоумышленниками веб-сайт, где размещен вредоносный файл.

Рис. 5.9. Поддельный сайт, распространяющий Zloader

Иногда злоумышленники используют еще более изощренные тактики первоначального доступа, такие как атаки через цепочку поставок.

Взлом цепочки поставок (T1195)

Атаки через цепочку поставок обычно требуют больших усилий. И хотя такие атаки весьма прибыльны, они не очень распространены, о них мало кто слышал или рассказывал. Тем не менее примеры подобных атак, приводящих к развертыванию программ-вымогателей, известны.

Первую такую операцию провели операторы программы-вымогателя REvil, взломав итальянскую версию веб-сайта WinRar, чтобы распространять копии REvil.

Вот еще более интересный случай: лица, связанные с программой-вымогателем Darkside, взломали веб-сайт программного обеспечения SmartPSS и стали доставлять бэкдор SMOKEDHAM. Более подробно об этой атаке можно узнать в блоге FireEye: https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html.

Итак, мы обсудили наиболее распространенные тактики первоначального доступа. Далее мы посмотрим, как злоумышленники запускают вредоносный код на целевых системах.

Запуск вредоносного кода

После того как злоумышленники получат доступ к целевой системе, им нужно обеспечить запуск вредоносного кода или инструментов двойного назначения для решения задач постэксплуатации.

Для этого существуют разнообразные методы. Давайте рассмотрим наиболее часто наблюдаемые методы, используемые в контексте атак с использованием программ-вымогателей.

Запуск пользователем (T1204)

Как вы уже знаете, многие злоумышленники активно используют для получения первоначального доступа фишинг, и в большинстве случаев жертвы должны открыть вложение или ссылку, чтобы запустить вредоносный код. Только после этого злоумышленник получает первоначальный доступ.

Можно посмотреть на этот метод и с другой стороны. Например, если операторы программы-вымогателя проникают в сеть через общедоступный RDP-сервер, они обычно сразу же получают доступ к аккаунтам с повышенными привилегиями, например к учетной записи администратора. Таким образом, в этом случае они сами могут выступать в роли злонамеренного пользователя и выполнять различные команды и инструменты.

Интерпретаторы команд и сценариев (T1059)

На тех или иных этапах жизненного цикла атаки операторы программ-вымогателей могут использовать различные интерпретаторы команд и сценариев.

В случае с фишингом чрезвычайно распространены Windows Command Shell, PowerShell, Visual Basic и даже JavaScript. Давайте рассмотрим некоторые примеры.

Зараженные документы Microsoft Word используются злоумышленниками для распространения экземпляров Trickbot и выполнения вредоносных скриптов VBScript.

Этот скрипт может показаться сложным, но это не так. Он просто загружает Trickbot (inlinelots.png) с адреса 172.83.155[.]147, сохраняет его в папку C: \Users\%user%\AppData\Local и запускает через rundll32.exe — и все!

Другой пример — IcedID. Был случай, когда для доставки этого трояна злоумышленники распространяли архивы с вредоносными файлами JavaScript. Скрипт запускает cmd.exe, который, в свою очередь, запускает powershell.exe.

Если мы декодируем base64, мы увидим, что он загружает с сервера, контролируемого злоумышленником, код для следующего этапа атаки.

Как видите, использование интерпретаторов команд и сценариев очень распространено, но часто в этих случаях жертва сама

Перейти на страницу:
Вы автор?
Жалоба
Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.
Комментарии / Отзывы
    Ничего не найдено.