Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 19
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Автор: Олег Скулкин
- Страниц: 34
- Добавлено: 2023-03-04 07:12:00
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.
Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно
Пример захвата памяти с помощью AccessData FTK Imager приведен на рисунке 7.1.
Популярнейший инструмент для анализа дампов памяти — Volatility, платформа с открытым исходным кодом для криминалистического исследования дампов памяти. На момент написания данной книги существовало две версии этого инструмента:
Volatility 2 (https://www.volatilityfoundation.org/releases)
Volatility 3 (https://www.volatilityfoundation.org/releases-vol3)
Рис. 7.1. Захват памяти с помощью AccessData FTK Imager
Обе версии требуют хотя бы минимальных навыков работы с командной строкой, но, поскольку к ним прилагаются ясные инструкции, научиться с ними работать довольно просто.
Если вам не нравится командная строка, стоит попробовать средство Volatility Workbench от PassMark — это графический интерфейс пользователя (Graphical User Interface, GUI) для Volatility).
Рис. 7.2. Запуск плагина Volatility через PassMark Volatility Workbench
Анализ дампа памяти помогает выявить множество артефактов, связанных с атакой, которые впоследствии могут послужить ценными IoC для обнаружения угроз в масштабах всего предприятия.
Существуют версии PassMark Volatility Workbench для Volatility 2 и Volatility 3. Обе версии можно загрузить с https://www.osforensics.com/tools/volatility-workbench.html.
Дампинг памяти — не всегда лучший способ анализа. Вы можете не знать, какие именно хосты требуют проверки, а анализировать дампы памяти сотен машин — трудоемкая и неэффективная стратегия.
Существуют инструменты, которые позволяют специалисту по реагированию на инциденты выполнять анализ в реальном времени. Например, популярный у злоумышленников Process Hacker могут использовать и борцы с атаками. Он позволяет проверять данные энергозависимой памяти, включая запущенные процессы, их командные строки и, конечно же, сетевые подключения — и это далеко не все. Вот пример использования Process Hacker для оперативного анализа.
Рис. 7.3. Проверка запущенных процессов с помощью Process Hacker
Process Hacker можно получить по ссылке http://sourceforge.io/downloads.php.
Интересно, что артефакты энергозависимой памяти можно найти не только в дампах памяти. Некоторые системные файлы тоже содержат остатки памяти:
pagefile.sys — этот файл находится в корневом каталоге системного диска (обычно C: \) и используется для хранения страничных блоков памяти, которые в данный момент не используются, — это так называемый файл подкачки операционной системы, он же страничный файл или виртуальная память. С помощью Volatility этот файл проанализировать нельзя, но есть и другие подходящие средства, например page_brute (https://github.com/matonis/page_brute).
hiberfil.sys — файл режима гибернации Windows, который также хранится в корневом каталоге системного диска и используется для сохранения состояния машины на время гибернации. Этот файл можно преобразовать с помощью плагина Volatility imagecopy, а затем проанализировать, как обычный дамп памяти.
Мы еще вернемся к артефактам файловой системы и к тому, как они могут помочь нам в расследовании атак с использованием программ-вымогателей. Но сначала нужно научиться собирать данные из энергонезависимой памяти — те данные, которые доступны, когда система выключена.
Сбор данных энергонезависимой памяти
Прежде чем начать глубокое изучение различных источников данных энергонезависимой памяти, давайте узнаем, как их получать. Вы наверняка слышали о криминалистических образах — побитовых копиях цифровых носителей. Иногда мы до сих пор создаем такие копии — например, для первого взломанного хоста, на котором может оставаться множество различных артефактов, связанных с действиями злоумышленников. Такие образы можно создавать с помощью AccessData FTK Imager.
Но взломанных хостов может быть довольно много, и тогда клонирование каждой системы окажется трудоемкой задачей. В этом случае вы можете создать выборочный образ — он будет содержать ряд файлов, а также некоторые дополнительные данные, например информацию о сетевых подключениях.
Рис. 7.4. Создание образа с помощью AccessData FTK Imager
Неплохой инструмент для сбора первичных данных — Live Response Collection (https://www.brimorlabs.com/Tools/LiveResponseCollection-Cedarpelta.zip) Брайана Морана.
Рис. 7.5. Создание образа для первичной обработки с помощью Live Response Collection
Интересно, что с помощью этого средства вы можете не только собирать первичные данные, но также копировать память и даже создавать полные образы. Только не забудьте, что запускать такие инструменты нужно с внешнего диска или сетевого ресурса.
Если вам нужно действовать еще более целенаправленно, воспользуйтесь Kroll Artifact Parser and Extractor (KAPE) — он позволяет специалистам по реагированию на инциденты выполнять очень сфокусированный и компактный сбор данных. Им можно пользоваться в масштабах всего предприятия, поскольку у него есть версии как с графическим интерфейсом, так и с командной строкой (рис. 7.6).
Более того, KAPE предназначен не только для сбора данных, но и для автоматизации их обработки.
Существуют также решения-агенты, в том числе с открытым исходным кодом, способные выполнять сбор данных в реальном времени. Хороший пример — Velociraptor (https://github.com/Velocidex/velociraptor).
Рис. 7.6. Целевой сбор с помощью KAPE
Многие решения EDR/XDR также позволяют собирать криминалистические артефакты. Ниже приведены параметры сбора данных фреймворка Group-IB Managed XDR.
Решения EDR/XDR сами по себе могут быть очень ценными источниками криминалистических артефактов, поскольку они постоянно собирают информацию о запущенных процессах, сетевых подключениях, изменениях файлов и реестра и т. д. Как видите, существует довольно много вариантов сбора как энергозависимых, так и энергонезависимых данных. Теперь давайте изучим различные источники цифровых криминалистических артефактов.
Рис. 7.7. Параметры сбора криминалистических данных Group- IB Managed XDR
Главная файловая таблица
Файловая система содержит множество различных артефактов, которые могут помочь в процессе расследования. Реестр Windows и различные журналы тоже относятся к файловой системе, но они довольно сложны, и мы рассмотрим их отдельно.
Наиболее распространенный тип файловой системы, с которым вы столкнетесь при расследовании атак программ-вымогателей, — New Technology File System (NTFS). В настоящее время это самая распространенная файловая система в ОС Windows — и, как вы уже знаете, основная цель пользователей программ-вымогателей. Несмотря на повышенный интерес к Linux-системам, злоумышленники обычно добираются до них путем взлома Windows-инфраструктуры, так что мы сосредоточимся именно на этой операционной системе.
Как специалистов по реагированию на инциденты, нас в первую очередь интересует анализ метаданных, поэтому давайте изучим один из основных компонентов NTFS — главную файловую таблицу (Master File Table, MFT). Она содержит информацию об именах файлов, их расположении, размерах и, конечно же, временны́х метках. Мы можем использовать информацию, извлеченную из MFT, для построения временны́х шкал, которые могут помочь нам восстановить информацию о файлах, созданных и использованных злоумышленниками.
Эту информацию можно извлечь из метафайла $MFT. Метафайлы, в том числе рассматриваемый файл $MFT, могут быть извлечены с помощью различных инструментов цифровой криминалистики. Пример такого инструмента — AccessData FTK Imager.
Жалоба
Напишите нам, и мы в срочном порядке примем меры.