Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин Страница 21
- Категория: Компьютеры и Интернет / Прочая околокомпьтерная литература
- Автор: Олег Скулкин
- Страниц: 34
- Добавлено: 2023-03-04 07:12:00
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин» бесплатно полную версию:«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.
Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно
UserAssist (NTUSER.DAT\Software\Microsoft\Windows\Currentversion\Explorer\UserAssist\{GUID}\Count) содержит информацию о программах с графическим интерфейсом, запускаемых пользователем, а также информацию о количестве запусков, дате и времени последнего исполнения.
ShimCache (SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache) содержит информацию о выполняемых программах, включая их пути, размер и даты последней модификации.
Amcache (Amcache.hve\Root\File\{Volume GUID}\#######) содержит информацию о выполняемых программах, включая их пути, хеши SHA1 и временны́е метки первого выполнения.
Конечно, артефакты запуска программ — это не единственные цифровые улики, которые можно извлечь из реестра Windows. Другой важный тип улик — артефакты, свидетельствующие о недавнем использовании файлов и папок. Давайте рассмотрим самые распространенные:
Most Recently Used (MRU) (NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU) содержит списки недавно использованных файлов на основе их расширений.
Recent files (NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs) — еще один источник информации о недавно использованных файлах.
Shell bags (USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags) содержит список недавно использованных папок, включая общие сетевые ресурсы и съемные устройства.
Это лишь несколько примеров ценных улик, которые можно найти в реестре Windows. В числе других — различные механизмы закрепления в системе, артефакты удаленного доступа и др.
Существуют различные подходы к анализу реестра. Его можно анализировать вручную, сосредоточив внимание на поиске по ключевым словам — на основе имеющихся у вас индикаторов компрометации. Например, вы можете использовать Registry Explorer (https://f001.backblazeb2.com/file/EricZimmermanTools/RegistryExplorer.zip) — очередной полезный инструмент от Эрика Циммермана, который позволяет просматривать как извлеченные файлы реестра, так и актуальный реестр, включая удаленные ключи и значения.
Я рекомендую этот инструмент для ручного анализа, но он также предоставляет множество плагинов для автоматического анализа распространенных артефактов.
Рис. 7.15. Файл реестра SYSTEM из работающей системы, открытый в Registry Explorer
Стоит упомянуть еще один отличный инструмент для анализа реестра — RegRipper (https://github.com/keydet89/RegRipper3.0) Харлана Карви. Есть версии с графическим интерфейсом и командной строкой, а также различные плагины для анализа артефактов реестра. Дополнительные плагины вы можете написать самостоятельно.
Следующий ценный источник цифровых криминалистических артефактов — журналы событий Windows.
Журналы событий Windows
Ведение журнала — это встроенный механизм документирования различных событий, связанных с операционной системой Windows и различными приложениями. Он также может быть чрезвычайно ценным источником улик, связанных с атаками с использованием программ-вымогателей.
Иногда злоумышленники удаляют такие журналы, чтобы замести следы, и одно это может послужить надежным признаком того, что хост был скомпрометирован.
По умолчанию файлы журнала расположены в папке C: \Windows\System32\winevt\Logs и имеют расширение. evtx.
Журналы событий Windows также можно собирать с помощью SIEM (важно проверить, что записываются правильные журналы) или решения EDR/XDR.
Рис. 7.16. Файлы журнала событий Windows, перечисленные в AccessData FTK Imager
Давайте посмотрим на некоторые часто используемые файлы журналов и идентификаторы событий.
Безопасность
4624 — произведен вход в систему.
4625 — неудачная попытка входа в систему.
4720 — создана учетная запись пользователя.
4732 — в локальную группу с поддержкой безопасности добавлен участник.
Система
7045 — служба была установлена системой.
7040 — изменен тип запуска службы.
7036 — служба была остановлена или запущена.
Windows PowerShell
400 — указывает на начало выполнения команды или сеанса.
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
21 — вход в сеанс выполнен успешно.
24 — сеанс прерван.
25 — возобновление сеанса выполнено успешно.
Оповещения
300 — оповещение, созданное Microsoft Office.
Microsoft-Windows-TaskScheduler/Operational
106 — запланированное задание создано.
200 — запланированное задание запущено.
201 — запланированное задание выполнено.
Microsoft-Windows-Windows-Defender/Operational
1117 — платформа для защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого нежелательного программного обеспечения.
Это не исчерпывающий список, но даже в нем мы видим довольно много полезных событий, которые могут помочь при реагировании на инциденты.
События, происходящие в среде Windows, фиксирует не только журнал событий Windows — есть и другие журналы, которые могут представлять для нас интерес.
Другие журналы
В заключение перечислим несколько дополнительных журналов, которые могут сыграть ключевую роль в вашем расследовании.
Журналы антивирусного ПО. Как вы уже знаете, операторы программ-вымогателей могут использовать много инструментов — а значит, хотя бы некоторые из них будут обнаружены антивирусным программным обеспечением. Журналы антивирусного ПО могут быть крайне полезны.
Журналы брандмауэра. Эти журналы могут стать источником ценной информации о сетевых подключениях, включая проникновения. Это чрезвычайно ценный источник криминалистических данных, особенно если данные хранятся в течение долгого времени и у вас есть хотя бы какие-то сетевые индикаторы компрометации.
Журналы VPN. VPN — один из популярных начальных векторов доступа к сети, поэтому журналы VPN также могут раскрывать некоторую информацию о сетевой инфраструктуре злоумышленников. Очень полезно произвести анализ GeoIP (геолокации) — вы можете обнаружить подключения из стран, не имеющих отношения к компании.
Журналы прокси-сервера. Если у вас есть сетевые индикаторы или вы просто хотите отследить аномальные события, проверьте, доступен ли прокси-сервер.
Журналы веб-сервера. Если вы подозреваете, что операторы программы-вымогателя использовали для первоначального закрепления веб-шелл, убедитесь, что вы проверили журналы веб-сервера.
Журналы почтовых серверов. Почтовые серверы тоже могут быть уязвимы: вспомните группировку Conti, которая использовала ProxyLogon для получения первоначального доступа. Вот почему журналы почтового сервера могут оказаться весьма полезными.
Теперь вы неплохо разбираетесь в различных источниках цифровых криминалистических артефактов и готовы перейти к самой интересной части — расследованию.
Выводы
В этой главе мы обсудили наиболее распространенные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты в расследовании атак с использованием программ-вымогателей.
Мы рассмотрели наиболее популярные источники артефактов файловой системы, реестр, различные журналы, а также узнали, как получать данные из энергозависимой и энергонезависимой памяти и как преобразовать собранные данные в удобный формат для углубленного криминалистического анализа.
Теперь вы готовы приступить к более практическим задачам — реконструкции реальных атак с использованием программ-вымогателей по различным цифровым криминалистическим артефактам.
В следующей главе мы рассмотрим несколько сценариев первоначального доступа и воспользуемся полученными знаниями, чтобы понять, как взломщики смогли получить первоначальный доступ и перейти к постэксплуатации.
Глава 8
Методы первоначального доступа
В главе 7 мы рассмотрели различные источники цифровых криминалистических артефактов, доступные в операционных системах Windows. Пора перейти к анализу конкретных примеров, чтобы узнать, как эти артефакты можно использовать для реконструкции жизненного цикла атак с использованием программ-вымогателей.
Начнем с поиска следов наиболее распространенных методов первоначального доступа — злоупотребления внешними службами удаленного доступа и фишинга.
Взлом внешних служб удаленного доступа, особенно общедоступных серверов RDP, чрезвычайно популярен. Более 50 % успешных атак начинаются с проникновения на такие серверы методом грубой силы.
Почти то же самое можно сказать и о фишинге — предвестниками атак с использованием программ-вымогателей являются различные боты, которые во множестве распространяются через электронную почту и социальные сети.
В этой главе мы рассмотрим два случая, основанных на сценариях реальных
Жалоба
Напишите нам, и мы в срочном порядке примем меры.