Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 17
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Автор: Олег Скулкин
- Страниц: 34
- Добавлено: 2023-03-04 07:12:00
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.
Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно
Наконец, чтобы замести следы, злоумышленники применяли SDelete — утилиту командной строки для удаления файлов без возможности восстановления. Давайте обобщим результаты, полученные из анализа всех трех отчетов.
Операторы Egregor получают первоначальный доступ, либо заражая целевые хосты различными троянами с помощью фишинговых писем, либо через уязвимые VPN.
Операторы Egregor используют различные механизмы закрепления, в том числе папку автозагрузки, ключ Run системного реестра и запланированные задачи.
Для сбора информации о скомпрометированных сетях и Active Directory операторы Egregor используют ADFind, SharpHound и SoftPerfect Network Scanner.
На этапе постэксплуатации применяется Cobalt Strike.
Для горизонтального перемещения используют RDP.
Для выполнения команд и скриптов, в том числе для развертывания программ-вымогателей, операторы Egregor используют PsExec.
Для отключения антивирусного программного обеспечения применяют групповые политики и PowerTool; для удаления SCEP используют scepinstall.exe.
С помощью AnyDesk и SupRemo операторы Egregor сохраняют доступ к скомпрометированной сети.
Кражи данных осуществляются через Rclone и MEGA Desktop App, а также через различные облачные сервисы.
Для развертывания программ-вымогателей лица, связанные с Egregor, используют BITS, PowerShell, общие сетевые ресурсы и rundll32.
Как видите, анализ отчетов от различных компаний, занимающихся кибербезопасностью, помогает получить ценные сведения о деятельности лиц, связанных с программами-вымогателями, — это CTI, которые мы можем использовать для повышения эффективности и ускорения реагирования на инциденты.
Далее мы поговорим о том, как получать CTI от сообщества кибербезопасности.
Сообщество
По всему миру работают тысячи специалистов по реагированию на инциденты, и, разумеется, некоторые из них охотно делятся данными, полученными в ходе работы. Мы уже рассмотрели отчеты об исследовании угроз, но обычно на их создание уходит довольно много времени. Поэтому специалисты по реагированию часто используют другие платформы, позволяющие коротко рассказать о том, что нового они узнали. Популярнейшая медиаплатформа для обмена такой информацией — Twitter.
Если вы столкнулись с атакой с использованием программы-вымогателя и уже определили штамм, вы можете найти довольно много информации о злоумышленниках, включая их TTP. Важнее всего — понять злоумышленников. Обычно операторы программ-вымогателей используют на определенных этапах жизненного цикла атаки вполне конкретные инструменты и процессы.
Давайте начнем с программы-вымогателя RagnarLocker и посмотрим на следующий твит Питера Маккензи, директора по реагированию на инциденты в компании Sophos (рис. 6.1): https://twitter.com/AltShiftPrtScn/status/1403707430765273095.
Что мы можем узнать из этого твита? Прежде всего, мы видим, что лица, связанные с RagnarLocker, вероятно, используют ProxyLogon (Common Vulnerabilities and Exposures, CVE — 2021–26855) для получения первоначального доступа к своим целям. ProxyLogon — это уязвимость в Microsoft Exchange Server, позволяющая злоумышленнику обойти аутентификацию и выдать себя за администратора.
Для сбора информации о внутренней сети операторы RagnarLocker используют Advanced IP Scanner, бесплатный сетевой сканер от Famatech Corp, который довольно популярен среди пользователей различных программ RaaS.
Рис. 6.1. Твит о RagnarLocker14
Как и многие другие злоумышленники, партнеры RagnarLocker широко применяют Cobalt Strike на этапе постэксплуатации, включая горизонтальное перемещение (наряду с RDP). Для загрузки экземпляров на удаленные хосты злоумышленники используют PaExec, альтернативу PsExec от Sysinternals, распространяемую с открытым исходным кодом.
Для обеспечения резервного доступа к взломанной сети операторы RagnarLocker используют ScreenConnect, легитимное программное обеспечение для удаленного управления. Злоумышленники могут применять такое ПО для доступа к скомпрометированной сети, даже если оно разработано для обычных целей.
Собранные конфиденциальные данные злоумышленники архивируют с помощью WinRAR и крадут с помощью Handy Backup, коммерческого решения для резервного копирования, которое устанавливают на целевых хостах. Архивирование и защита паролем часто используются злоумышленниками на этапе эксфильтрации. Тем не менее их можно выявить — для этого существует множество различных источников улик.
Как видите, даже из нескольких сообщений в Twitter можно получить много ценной информации. Давайте изучим другой твит того же автора (рис. 6.2).
Рис. 6.2. Твит о DoppelPaymer15
Так же как и злоумышленники, работающие на RagnarLocker, операторы DoppelPaymer активно используют для постэксплуатации Cobalt Strike.
Кроме того, мы видим, что злоумышленники эксплуатируют Rubeus, довольно популярный набор инструментов для взаимодействия с Kerberos и его компрометации.
Еще один легитимный инструмент удаленного доступа, применяемый злоумышленниками для обеспечения резервного доступа, — TightVNC.
Наконец, операторы DoppelPaymer осуществляют горизонтальное перемещение с помощью RDP — это очень распространенный метод, используемый злоумышленниками как для первоначального доступа, так и для доступа к удаленным хостам в целевой сети.
Интересен и метод создания виртуальной машины (virtual machine, VM) для запуска программы-вымогателя внутри нее. Первоначально этот метод был опробован партнерами Maze и RagnarLocker, но в настоящее время он применяется и другими группами, включая DoppelPaymer.
Как и у многих других злоумышленников, у операторов DoppelPaymer есть специальный сайт утечки данных (DLS) — то есть они занимаются кражей информации. Из анализируемого источника видно, что для хранения данных они используют сервис MediaFire.
Как видите, мы смогли получить много ценных данных о злоумышленниках, причастных к атакам с использованием программы-вымогателя, всего из одного твита.
Давайте рассмотрим еще одно сообщение, на этот раз твит Тахи Карима, директора по анализу угроз в Confiant.
Рис. 6.3. Твит о Clop16
Примечательно, что этот твит появился задолго до того, как была опубликована какая-либо информация о TTP операторов Clop.
Как видно из твита, операторы Clop использовали фишинговые кампании для заражения своих жертв FlawedAmmyy RAT. FlawedAmmyy — распространенный троян удаленного доступа (remote access trojan, RAT), обычно приписываемый TA505. Этот RAT основан на утечке исходного кода Ammyy Admin и позволяет злоумышленникам скрыто манипулировать взломанным хостом.
Мы уже знаем, что в среде злоумышленников очень популярен Cobalt Strike, и пользователи Clop не исключение. Как видите, он позволяет атакующим обходить контроль учетных записей пользователей (User Account Control, UAC) и применять распространенные инструменты дампа учетных данных, такие как Mimikatz. Несмотря на то, что он оставляет много следов, распространители программ-вымогателей продолжают активно его эксплуатировать.
Наконец, из твита следует, что пользователи Clop злоупотребляют диспетчером управления службами (Service Control Manager, SCM) для развертывания программы-вымогателя в рамках всего предприятия.
К сожалению, не всегда можно получить достаточно информации о TTP, используемых злоумышленниками в ходе жизненного цикла атаки. Кроме того, может потребоваться информация о самой программе-вымогателе. Вот твит Андрея Жданова, который активно отслеживает образцы программы-вымогателя BlackMatter.
Рис. 6.4. Твит о BlackMatter17
Как видите, в этом твите не так много информации о TTP, но зато есть ссылка на анализируемый образец, а также кое-какая информация о его функциональности.
Twitter — не единственная медиаплатформа для сбора такого рода аналитики: другой полезный источник — LinkedIn. Кроме того, вы всегда можете попросить своих коллег по реагированию на инциденты и аналитиков CTI поделиться обнаруженными данными, поэтому не стесняйтесь участвовать в глобальном сообществе.
Давайте рассмотрим еще более интересный источник
Жалоба
Напишите нам, и мы в срочном порядке примем меры.