Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Разумеется, уязвимости, которые злоумышленники используют для получения первоначального доступа, не ограничиваются RDP и VPN.

Например, операторы программы-вымогателя Clop использовали уязвимости в Accellion FTA:

CVE-2021–27101: уязвимость типа «SQL-инъекция».

CVE-2021–27102: уязвимость внедрения команд ОС.

CVE-2021–27103: уязвимость подделки запросов на стороне сервера (Server-Side Request Forgery, SSRF).

CVE-2021–27104: еще одна уязвимость внедрения команд ОС.

Эти уязвимости позволили злоумышленникам загрузить веб-шелл на уязвимые серверы и использовать его для кражи данных, поскольку для безопасной передачи больших файлов компании использовали программно-аппаратный комплекс Accellion FTA.

Еще одна уязвимость, которой пользовались операторы программ-вымогателей, таких как Nefilim, — это уязвимость в Citrix Application Delivery Controller (ADC) и Gateway (CVE-2019–19781). В результате злоумышленники могли запускать команды на атакуемом сервере.

Наконец, в 2022 г. злоумышленники пользовались уязвимостями в серверах Microsoft Exchange, включая ProxyLogon (CVE-2021–26855) и ProxyShell (CVE-2021–34473, CVE-2021–34523 и CVE-2021–31207).

Участники атак с использованием программ-вымогателей добавили в свой арсенал соответствующие эксплойты. Например, лица, связанные с Conti, использовали уязвимость ProxyShell для загрузки веб-шелла на целевой сервер, чтобы выполнять на нем дальнейшие действия в ходе постэксплуатации.

Общедоступные серверы и приложения — весьма популярные цели операторов программ-вымогателей, но обычно их не так уж много. Кроме того, на них могут быть установлены актуальные обновления, исправляющие ошибки системы безопасности, и/или использоваться надежные пароли. Поэтому злоумышленникам приходится искать другие слабые места, например обычных пользователей корпоративной сети. И тут уместно использовать фишинг.

Фишинг (T1566)

Исторически фишинг был одним из излюбленных способов получения первоначального доступа злоумышленников к целевой сети.

В настоящее время киберпреступники для этого часто применяют трояны (или боты), которые обычно доставляются через спам-письма. В список таких вредоносных программ входят Bazar, Qakbot, Trickbot, Zloader, Hancitor и IcedID.

Для их доставки злоумышленники обычно используют зараженные вложения электронной почты, например файлы Microsoft Office, скрипты в архивах или просто ссылки на такие файлы.

Злоумышленники проявляют поразительную изобретательность в создании фишинговых писем. Временами эти электронные письма выглядят настолько правдоподобно, что даже специалисты по безопасности могут счесть их настоящими. Вот пример спам-письма с фишинговой ссылкой, распространяемого операторами Hancitor.

Рис. 5.5. Пример электронного спам-письма, отправленного операторами Hancitor

Щелкнув по этой фишинговой ссылке, пользователь попадет на страницу загрузки вредоносного документа Microsoft Office.

Злоумышленники не всегда отправляют пользователям ссылки, есть другой способ — прикрепить к электронному письму зараженный файл.

Рис. 5.6. Пример электронного спам-письма, отправленного операторами Qakbot12

Загрузив файл, жертва должна открыть его и в большинстве случаев включить макросы, чтобы вредоносное содержимое записалось на диск или загрузилось с контролируемого злоумышленником или взломанного сервера.

Обычно такие вредоносные документы мотивируют пользователя включить макросы.

Рис. 5.7. Содержимое вредоносного документа13

Тем самым жертва активирует вредоносный контент. Правда, если у жертвы хорошая защита от спама, доставить ей зараженные ссылки или вложения будет не так-то просто. Злоумышленникам приходится действовать более творчески — и у них получается!

Группа киберпреступников Wizard Spider — операторы Bazar, Trickbot, Ryuk, Conti и Diavol — использовала фишинговые письма с информацией о платных подписках и указывала в теле письма номер телефона, по которому жертва могла позвонить, чтобы отменить подписку. Никаких подписок на самом деле не было — это вишинг (голосовой фишинг). Телефонные операторы заманивали жертву на поддельный веб-сайт, чтобы она загрузила форму, необходимую для отмены. Ниже пример такого поддельного сайта.

Рис. 5.8. Поддельный веб-сайт, распространяющий вредоносные документы

Единственной целью таких поддельных веб-сайтов была доставка вредоносных документов.

Выяснить, не столкнулся ли пользователь с попыткой вишинга, довольно просто. Иногда достаточно задать несколько уточняющих вопросов и углубиться в тему, чтобы мошенник сдался.

Другой пример — вредоносная реклама. Например, операторы Zloader создают вредоносные рекламные объявления, и, если жертва использует определенные ключевые слова во время поиска в Google, ее перенаправляют на контролируемый злоумышленниками веб-сайт, где размещен вредоносный файл.

Рис. 5.9. Поддельный сайт, распространяющий Zloader

Иногда злоумышленники используют еще более изощренные тактики первоначального доступа, такие как атаки через цепочку поставок.

Взлом цепочки поставок (T1195)

Атаки через цепочку поставок обычно требуют больших усилий. И хотя такие атаки весьма прибыльны, они не очень распространены, о них мало кто слышал или рассказывал. Тем не менее примеры подобных атак, приводящих к развертыванию программ-вымогателей, известны.

Первую такую операцию провели операторы программы-вымогателя REvil, взломав итальянскую версию веб-сайта WinRar, чтобы распространять копии REvil.

Вот еще более интересный случай: лица, связанные с программой-вымогателем Darkside, взломали веб-сайт программного обеспечения SmartPSS и стали доставлять бэкдор SMOKEDHAM. Более подробно об этой атаке можно узнать в блоге FireEye: https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html.

Итак, мы обсудили наиболее распространенные тактики первоначального доступа. Далее мы посмотрим, как злоумышленники запускают вредоносный код на целевых системах.

Запуск вредоносного кода

После того как злоумышленники получат доступ к целевой системе, им нужно обеспечить запуск вредоносного кода или инструментов двойного назначения для решения задач постэксплуатации.

Для этого существуют разнообразные методы. Давайте рассмотрим наиболее часто наблюдаемые методы, используемые в контексте атак с использованием программ-вымогателей.

Запуск пользователем (T1204)

Как вы уже знаете, многие злоумышленники активно используют для получения первоначального доступа фишинг, и в большинстве случаев жертвы должны открыть вложение или ссылку, чтобы запустить вредоносный код. Только после этого злоумышленник получает первоначальный доступ.

Можно посмотреть на этот метод и с другой стороны. Например, если операторы программы-вымогателя проникают в сеть через общедоступный RDP-сервер, они обычно сразу же получают доступ к аккаунтам с повышенными привилегиями, например к учетной записи администратора. Таким образом, в этом случае они сами могут выступать в роли злонамеренного пользователя и выполнять различные команды и инструменты.

Интерпретаторы команд и сценариев (T1059)

На тех или иных этапах жизненного цикла атаки операторы программ-вымогателей могут использовать различные интерпретаторы команд и сценариев.

В случае с фишингом чрезвычайно распространены Windows Command Shell, PowerShell, Visual Basic и даже JavaScript. Давайте рассмотрим некоторые примеры.

Зараженные документы Microsoft Word используются злоумышленниками для распространения экземпляров Trickbot и выполнения вредоносных скриптов VBScript.

Этот скрипт может показаться сложным, но это не так. Он просто загружает Trickbot (inlinelots.png) с адреса 172.83.155[.]147, сохраняет его в папку C: Users%user%AppDataLocal и запускает через rundll32.exe — и все!

Другой пример — IcedID. Был случай, когда для доставки этого трояна злоумышленники распространяли архивы с вредоносными файлами JavaScript. Скрипт запускает cmd.exe, который, в свою очередь, запускает powershell.exe.

Если мы декодируем base64, мы увидим, что он загружает с сервера, контролируемого злоумышленником, код для следующего этапа атаки.

Как видите, использование интерпретаторов команд и сценариев очень распространено, но часто в этих случаях жертва сама