Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 16
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Автор: Олег Скулкин
- Страниц: 34
- Добавлено: 2023-03-04 07:12:00
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.
Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно
Принимая это во внимание, очень полезно иметь достоверные киберразведданные (Cyber Threat Intelligence, CTI), которые помогут вам справиться с атакой. Коммерческие платформы CTI, конечно, очень полезны, но даже в таких источниках может не быть всей необходимой вам информации, поэтому важно научиться получать подробные сведения для ваших текущих или будущих мероприятий по реагированию.
В этой главе мы рассмотрим некоторые источники киберразведданных, а именно:
Отчеты об исследованиях угроз.
Сообщество.
Злоумышленники.
Отчеты об исследовании угроз
Большинство компаний, занимающихся кибербезопасностью, выпускают различные отчеты об угрозах, в том числе об угрозах, связанных с атаками с использованием программ-вымогателей, — поэтому такие источники удобно использовать для сбора киберразведданных. Отчеты об исследовании угроз — очень важная часть оценки ландшафта угроз. Эти отчеты помогают как техническому персоналу, так и неспециалистам оценивать текущую ситуацию в компании и сопоставлять ее с общей картиной угроз.
Конечно, ни один отчет не содержит исчерпывающих сведений, поэтому лучше всего изучать ту или иную угрозу по исследованиям, проведенным разными поставщиками решений в сфере кибербезопасности. В ряде отчетов содержатся индикаторы компрометации (indicators of compromise, IoC) и другие важные данные, которыми стоит поделиться с широкой общественностью. Некоторые из этих отчетов могут помочь окружающим подготовиться к противостоянию злоумышленникам и их атакам.
В этой части мы рассмотрим различные отчеты о программе-вымогателе Egregor и постараемся получить как можно больше информации о TTP связанных с ней лиц.
Начнем с отчета Group-IB «Программа-вымогатель Egregor: Наследие Maze живо» (Egregor ransomware: The legacy of Maze lives on), соавтором которого был я. Материал доступен по ссылке: https://explore.group-ib.com/ransomware-reports/egregor_wp.
Все атаки программ-вымогателей начинаются с первоначального доступа к целевой сети. Согласно отчету, который мы анализируем, партнеры Egregor применяли Qakbot, который доставлялся жертвам через фишинговые электронные письма. Целевой фишинг — один из самых распространенных и в то же время очень эффективных способов получить доступ к сети. Злоумышленники знают, что могут атаковать обычных пользователей, потому что тем может не хватить технических навыков, чтобы распознать атаку.
Что же такое Qakbot? Изначально это был банковский троян, впервые обнаруженный в 2007 г. В настоящее время он используется в основном для загрузки дополнительных инструментов, например Cobalt Strike Beacon, а также для массовой рассылки спама с использованием скомпрометированных хостов с целью заражения дополнительных устройств. Многие операторы программ-вымогателей, включая ProLock, Egregor, REvil, Conti и др., используют этот троян, чтобы получить первоначальный доступ к целевым сетям.
Отчет Group-IB также содержит информацию о механизмах закрепления Qakbot в скомпрометированной системе. В их число входит размещение экземпляра или ярлыка (LNK) в папке автозагрузки (startup), запись пути к программе в ключе Run системного реестра и создание запланированного задания.
В ходе постэксплуатации используется Cobalt Strike. Этот коммерческий полнофункциональный фреймворк постэксплуатации создавался как средство имитации продвинутых атак, но вскоре он стал одним из излюбленных инструментов в арсенале реальных злоумышленников, позволяя им использовать многие методы, описанные в MITRE ATT&CK.
Согласно отчету, злоумышленники также использовали ADFind для сбора информации об Active Directory (AD). Как вы узнали из предыдущей главы, этот инструмент довольно часто используется в рамках атак с использованием программ-вымогателей.
Чтобы обеспечить горизонтальное перемещение, партнеры Egregor написали скрипты для внесения необходимых изменений в реестр и брандмауэр, чтобы использовать протокол удаленного рабочего стола (RDP). Скрипты распространяются через PsExec, легитимный инструмент Sysinternals Suite, который позволяет выполнять команды на удаленных хостах. Легитимные инструменты и различные скрипты — основные средства, которые помогают злоумышленникам оставаться незамеченными.
Еще один распространенный метод, применяемый лицами, связанными с Egregor, — это инъекция в процесс при помощи Cobalt Strike Beacon. Эта техника может использоваться злоумышленниками и в контексте горизонтального перемещения по взломанной сети. Такие методы позволяют злоумышленникам скрывать используемые ими команды, не раскрывая своего присутствия.
Для извлечения конфиденциальных данных из сети операторы Egregor использовали Rclone, инструмент командной строки для управления файлами в облачном хранилище. Кроме того, они применили метод маскировки, переименовав исполняемый файл Rclone в svchost.exe.
Для отключения антивирусной защиты злоумышленники использовали групповую политику, а также scepinstall.exe, чтобы удалить System Center Endpoint Protection (SCEP). Подобные атаки — яркий пример того, как злоумышленники злоупотребляют легитимными функциями современных операционных систем.
Для развертывания программы-вымогателя партнеры Egregor применяли различные методы, основанные на скриптах, в том числе:
злоупотребление Background Intelligent Transfer Service (BITS) для загрузки программы-вымогателя с сервера, контролируемого злоумышленниками, и ее запуска через rundll32;
подключение диска C: \ удаленного хоста в качестве общего сетевого ресурса, копирование программы-вымогателя в C: \Windows и запуск с помощью rundll32;
копирование и запуск программы-вымогателя через сеанс PowerShell на удаленном хосте.
Как видите, даже один отчет может быть хорошим источником информации, но дополнительные данные никогда не помешают.
Давайте изучим другой отчет, на этот раз компании Cybereason, озаглавленный «Cybereason против программы-вымогателя Egregor» (Cybereason vs. Egregor Ransomware). Отчет доступен по ссылке: https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware.
Нам нужно проанализировать отчет, извлечь данные, которых у нас еще нет, и преобразовать их в CTI, применимую на практике.
Во-первых, из отчета Cybereason мы видим, что партнеры Egregor получают первоначальный доступ к целевым сетям не только через заражения Qakbot, но также через Ursnif и IcedID. Как и Qakbot, оба эти семейства вредоносных программ раньше были банковскими троянами, но теперь широко используются для загрузки дополнительных инструментов. Злоумышленники часто разрабатывают новые функции, чтобы их атаки приносили все больше и больше прибыли.
Кроме того, согласно отчету, операторы Egregor используют SharpHound (сборщик данных для BloodHound, который обычно применяется пентестерами и злоумышленниками для поиска связей в Active Directory) для сбора информации о пользователях, группах, компьютерах и т. д.
Нам удалось собрать еще больше CTI, но давайте изучим еще один документ — это отчет Morphisec «Анализ программы-вымогателя Egregor» (An analysis of the Egregor ransomware). Отчет доступен по ссылке: https://www.morphisec.com/hubfs/eBooks_and_Whitepapers/EGREGOR%20REPORT%20WEB%20FINAL.pdf.
Согласно этому отчету, пользователи Egregor получили первоначальный доступ через уязвимость в межсетевом экране, которая позволила им попасть в виртуальную частную сеть (VPN), то есть на этот раз обошлись без троянов.
Злоумышленники использовали легитимное программное обеспечение для удаленного доступа, такое как AnyDesk и SupRemo, для сохранения доступа к скомпрометированной сети. В 2021 г. AnyDesk стал одним из наиболее распространенных инструментов злоумышленников для резервного доступа.
Чтобы завершать нежелательные процессы (например, принадлежащие антивирусному ПО), злоумышленники применяли бесплатную антируткит-утилиту PowerTool, а для сбора информации о скомпрометированной сети — популярный бесплатный инструмент SoftPerfect Network Scanner.
Для получения учетных данных операторы Egregor использовали Mimikatz, еще один популярный инструмент специалистов по тестированию на проникновение и злоумышленников для извлечения из памяти паролей и другого аутентификационного материала — хешей, PIN-ов и билетов Kerberos.
Кражу данных злоумышленники осуществляли через различные облачные сервисы, такие как WeTransfer и SendSpace, а также MEGA Desktop App. Для
Жалоба
Напишите нам, и мы в срочном порядке примем меры.