Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 17

Тут можно читать бесплатно Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Компьютеры и Интернет / Прочая околокомпьтерная литература. Так же Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте «WorldBooks (МирКниг)» или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - читать книгу онлайн бесплатно, автор Олег Скулкин

выполнения сценариев на удаленных хостах, на которых происходил запуск программы-вымогателя, взломщики использовали PsExec.

Наконец, чтобы замести следы, злоумышленники применяли SDelete — утилиту командной строки для удаления файлов без возможности восстановления. Давайте обобщим результаты, полученные из анализа всех трех отчетов.

Операторы Egregor получают первоначальный доступ, либо заражая целевые хосты различными троянами с помощью фишинговых писем, либо через уязвимые VPN.

Операторы Egregor используют различные механизмы закрепления, в том числе папку автозагрузки, ключ Run системного реестра и запланированные задачи.

Для сбора информации о скомпрометированных сетях и Active Directory операторы Egregor используют ADFind, SharpHound и SoftPerfect Network Scanner.

На этапе постэксплуатации применяется Cobalt Strike.

Для горизонтального перемещения используют RDP.

Для выполнения команд и скриптов, в том числе для развертывания программ-вымогателей, операторы Egregor используют PsExec.

Для отключения антивирусного программного обеспечения применяют групповые политики и PowerTool; для удаления SCEP используют scepinstall.exe.

С помощью AnyDesk и SupRemo операторы Egregor сохраняют доступ к скомпрометированной сети.

Кражи данных осуществляются через Rclone и MEGA Desktop App, а также через различные облачные сервисы.

Для развертывания программ-вымогателей лица, связанные с Egregor, используют BITS, PowerShell, общие сетевые ресурсы и rundll32.

Как видите, анализ отчетов от различных компаний, занимающихся кибербезопасностью, помогает получить ценные сведения о деятельности лиц, связанных с программами-вымогателями, — это CTI, которые мы можем использовать для повышения эффективности и ускорения реагирования на инциденты.

Далее мы поговорим о том, как получать CTI от сообщества кибербезопасности.

Сообщество

По всему миру работают тысячи специалистов по реагированию на инциденты, и, разумеется, некоторые из них охотно делятся данными, полученными в ходе работы. Мы уже рассмотрели отчеты об исследовании угроз, но обычно на их создание уходит довольно много времени. Поэтому специалисты по реагированию часто используют другие платформы, позволяющие коротко рассказать о том, что нового они узнали. Популярнейшая медиаплатформа для обмена такой информацией — Twitter.

Если вы столкнулись с атакой с использованием программы-вымогателя и уже определили штамм, вы можете найти довольно много информации о злоумышленниках, включая их TTP. Важнее всего — понять злоумышленников. Обычно операторы программ-вымогателей используют на определенных этапах жизненного цикла атаки вполне конкретные инструменты и процессы.

Давайте начнем с программы-вымогателя RagnarLocker и посмотрим на следующий твит Питера Маккензи, директора по реагированию на инциденты в компании Sophos (рис. 6.1): https://twitter.com/AltShiftPrtScn/status/1403707430765273095.

Что мы можем узнать из этого твита? Прежде всего, мы видим, что лица, связанные с RagnarLocker, вероятно, используют ProxyLogon (Common Vulnerabilities and Exposures, CVE — 2021–26855) для получения первоначального доступа к своим целям. ProxyLogon — это уязвимость в Microsoft Exchange Server, позволяющая злоумышленнику обойти аутентификацию и выдать себя за администратора.

Для сбора информации о внутренней сети операторы RagnarLocker используют Advanced IP Scanner, бесплатный сетевой сканер от Famatech Corp, который довольно популярен среди пользователей различных программ RaaS.

Рис. 6.1. Твит о RagnarLocker14

Как и многие другие злоумышленники, партнеры RagnarLocker широко применяют Cobalt Strike на этапе постэксплуатации, включая горизонтальное перемещение (наряду с RDP). Для загрузки экземпляров на удаленные хосты злоумышленники используют PaExec, альтернативу PsExec от Sysinternals, распространяемую с открытым исходным кодом.

Для обеспечения резервного доступа к взломанной сети операторы RagnarLocker используют ScreenConnect, легитимное программное обеспечение для удаленного управления. Злоумышленники могут применять такое ПО для доступа к скомпрометированной сети, даже если оно разработано для обычных целей.

Собранные конфиденциальные данные злоумышленники архивируют с помощью WinRAR и крадут с помощью Handy Backup, коммерческого решения для резервного копирования, которое устанавливают на целевых хостах. Архивирование и защита паролем часто используются злоумышленниками на этапе эксфильтрации. Тем не менее их можно выявить — для этого существует множество различных источников улик.

Как видите, даже из нескольких сообщений в Twitter можно получить много ценной информации. Давайте изучим другой твит того же автора (рис. 6.2).

Рис. 6.2. Твит о DoppelPaymer15

Так же как и злоумышленники, работающие на RagnarLocker, операторы DoppelPaymer активно используют для постэксплуатации Cobalt Strike.

Кроме того, мы видим, что злоумышленники эксплуатируют Rubeus, довольно популярный набор инструментов для взаимодействия с Kerberos и его компрометации.

Еще один легитимный инструмент удаленного доступа, применяемый злоумышленниками для обеспечения резервного доступа, — TightVNC.

Наконец, операторы DoppelPaymer осуществляют горизонтальное перемещение с помощью RDP — это очень распространенный метод, используемый злоумышленниками как для первоначального доступа, так и для доступа к удаленным хостам в целевой сети.

Интересен и метод создания виртуальной машины (virtual machine, VM) для запуска программы-вымогателя внутри нее. Первоначально этот метод был опробован партнерами Maze и RagnarLocker, но в настоящее время он применяется и другими группами, включая DoppelPaymer.

Как и у многих других злоумышленников, у операторов DoppelPaymer есть специальный сайт утечки данных (DLS) — то есть они занимаются кражей информации. Из анализируемого источника видно, что для хранения данных они используют сервис MediaFire.

Как видите, мы смогли получить много ценных данных о злоумышленниках, причастных к атакам с использованием программы-вымогателя, всего из одного твита.

Давайте рассмотрим еще одно сообщение, на этот раз твит Тахи Карима, директора по анализу угроз в Confiant.

Рис. 6.3. Твит о Clop16

Примечательно, что этот твит появился задолго до того, как была опубликована какая-либо информация о TTP операторов Clop.

Как видно из твита, операторы Clop использовали фишинговые кампании для заражения своих жертв FlawedAmmyy RAT. FlawedAmmyy — распространенный троян удаленного доступа (remote access trojan, RAT), обычно приписываемый TA505. Этот RAT основан на утечке исходного кода Ammyy Admin и позволяет злоумышленникам скрыто манипулировать взломанным хостом.

Мы уже знаем, что в среде злоумышленников очень популярен Cobalt Strike, и пользователи Clop не исключение. Как видите, он позволяет атакующим обходить контроль учетных записей пользователей (User Account Control, UAC) и применять распространенные инструменты дампа учетных данных, такие как Mimikatz. Несмотря на то, что он оставляет много следов, распространители программ-вымогателей продолжают активно его эксплуатировать.

Наконец, из твита следует, что пользователи Clop злоупотребляют диспетчером управления службами (Service Control Manager, SCM) для развертывания программы-вымогателя в рамках всего предприятия.

К сожалению, не всегда можно получить достаточно информации о TTP, используемых злоумышленниками в ходе жизненного цикла атаки. Кроме того, может потребоваться информация о самой программе-вымогателе. Вот твит Андрея Жданова, который активно отслеживает образцы программы-вымогателя BlackMatter.

Рис. 6.4. Твит о BlackMatter17

Как видите, в этом твите не так много информации о TTP, но зато есть ссылка на анализируемый образец, а также кое-какая информация о его функциональности.

Twitter — не единственная медиаплатформа для сбора такого рода аналитики: другой полезный источник — LinkedIn. Кроме того, вы всегда можете попросить своих коллег по реагированию на инциденты и аналитиков CTI поделиться обнаруженными данными, поэтому не стесняйтесь участвовать в глобальном сообществе.

Давайте рассмотрим еще более интересный источник

Перейти на страницу:
Вы автор?
Жалоба
Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.
Комментарии / Отзывы
    Ничего не найдено.