Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Как уже упоминалось, Cobalt Strike — это широко распространенный фреймворк постэксплуатации, который используется многими лицами, связанными с программами-вымогателями. Изначально этот набор инструментов постэксплуатации с расширенными возможностями был разработан для симуляции атак, но, к сожалению, он обрел популярность и среди реальных злоумышленников.

Изменение прав доступа к файлам и каталогам (T1222)

Часто злоумышленникам, связанным с программами-вымогателями, необходимо получить доступ к защищенным файлам. Такие файлы могут быть зашифрованы.

Многие штаммы программ-вымогателей используют встроенную утилиту icacls, которая позволяет пользователям отображать и изменять дескрипторы безопасности папок и файлов. Вот пример ее использования печально известной программой-вымогателем Ryuk.

Эта команда снимает любые ограничения доступа к папкам и файлам.

Ослабление защиты (T1562)

В большинстве сред имеются хотя бы минимальные защитные механизмы, которые киберпреступники должны обойти, чтобы достичь своих целей. Например, им приходится отключать антивирусное программное обеспечение или очищать журналы событий Windows.

Так, во время атаки на Kaseya (https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689) операторы REvil использовали следующий скрипт.

Как видите, часть скрипта направлена на отключение различных функций Windows Defender — встроенного антивирусного программного обеспечения Windows.

В большинстве случаев злоумышленникам приходится расправляться и с другими средствами защиты. Распространенный метод — обычная остановка связанных с антивирусом процессов и служб с помощью самой программы-вымогателя или таких инструментов, как Process Hacker или GMER.

Удаление индикаторов на хосте (T1070)

Операторам программ-вымогателей обычно нужно оставаться в сети как можно дольше, поэтому они пытаются усложнить жизнь киберзащитникам, удаляя журналы и файлы, которые можно использовать для отслеживания их деятельности в скомпрометированной сети.

В ходе одного из последних мероприятий по реагированию на инцидент мы увидели, что злоумышленники использовали очень простую, но очень эффективную команду.

Эта простая команда позволила им очистить сразу все журналы событий.

Запуск на исполнение через подписанные бинарные файлы (T1218)

Последний метод уклонения от защиты, который мы рассмотрим, — это запуск на исполнение через подписанные бинарные файлы. Операторы программ-вымогателей могут использовать легитимные бинарные файлы в качестве посредников для выполнения вредоносного кода. Наиболее распространенные варианты — rundll32.exe и regsvr32.exe.

Вот пример того, как злоумышленники, связанные с программой-вымогателем Conti, использовали rundll32.exe для запуска Cobalt Strike Beacon.

Еще один пример — IcedID. В этот раз злоумышленниками использовался regsvr32.exe.

Конечно, киберпреступники могут использовать и другие подписанные бинарные файлы. Например, во время одной из последних кампаний операторы Zloader использовали msiexec.exe, чтобы попытаться обойти защиту.

Далее мы рассмотрим некоторые распространенные методы, которые злоумышленники используют для доступа к учетным данным.

Доступ к учетным данным

Поскольку в большинстве случаев преступники, распространяющие программы-вымогатели, стремятся зашифровать как можно больше хостов, им нужна возможность перемещаться по сети горизонтально или, по крайней мере, удаленно запускать вредоносный код. Чтобы делать это незаметно и эффективно, они предпочитают сначала получить учетные данные с повышенными правами, но их главная цель — учетная запись администратора домена.

Существует довольно много методов, позволяющих злоумышленникам получать данные аутентификации. Давайте рассмотрим самые распространенные из них.

Метод грубой силы (T1110)

Вы уже знаете, что RDP, VPN и другие внешние службы удаленного доступа часто используются для атак с использованием программ-вымогателей. Такие сервисы во многих случаях плохо защищены, поэтому брокеры первоначального доступа или сами операторы программ-вымогателей могут проводить против них успешные атаки методом грубой силы, чтобы получить доступ к действительным учетным записям.

Дампинг учетных данных ОС (T1003)

Другой широко распространенный метод — дампинг учетных данных. Операторы программ-вымогателей до сих пор часто используют Mimikatz, хотя его легко обнаружить. Некоторые злоумышленники даже загружают его вручную на скомпрометированный хост из официального репозитория GitHub.

Это не единственное средство, которое используется для дампинга учетных данных. Одна из альтернатив, которую в последнее время мы встречаем все чаще, — LaZagne, инструмент, способный извлекать учетные данные не только из энергозависимой памяти, но и из различных хранилищ паролей, таких как веб-браузеры.

Другой пример — использование инструмента ProcDump, который, как правило, применяется для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).

Злоумышленники могут выгружать такие дампы и использовать их для извлечения учетных данных с помощью инструментов типа Mimikatz.

Лицам, связанным с программами-вымогателями, даже не обязательно загружать дополнительные инструменты для дампа учетных данных — они могут пользоваться встроенными возможностями Windows. Например, члены группировки Conti использовали функцию MiniDump службы COM+ для создания дампа lsass.exe.

Если злоумышленникам удается получить доступ к контроллеру домена, они также могут создать дамп всей базы данных домена Active Directory, которая хранится в файле NTDS.dit.

Группировка Conti применяла встроенную утилиту ntdsutil для создания копии NTDS.dit.

Этот файл может использоваться вымогателями не только для получения учетных данных, но и для сбора информации о домене.

Кража и подделка билетов Kerberos (T1558)

Поскольку сделать снимок или подобрать учетные данные не всегда возможно, злоумышленники продолжают находить новые способы получения действительных учетных записей. В последнее время среди операторов программ-вымогателей набирают популярность методы доступа к учетным данным, подобные Kerberoasting.

Атакующие злоупотребляют билетами для получения билетов (ticket-granting ticket [TGT]) Kerberos или перехватывают сетевой трафик, чтобы получить билет, предоставленный службой выдачи билетов (ticket-granting service [TGS]). Например, операторы программы-вымогателя Ryuk использовали Rubeus для выполнения атаки Kerberoasting.

Получив учетные данные нужного уровня, операторы программ-вымогателей готовы к продвижению по сети.

Продвижение по сети

Прежде чем начать горизонтальное перемещение, злоумышленникам необходимо собрать информацию о сети, в которую они проникли. Такие действия могут включать сканирование сети и разведку Active Directory.

Два наиболее распространенных инструмента сетевого сканирования, которые используются различными операторами программ-вымогателей, — Advanced IP Scanner и SoftPerfect Network Scanner.

Одно из наиболее распространенных средств для разведки Active Directory, используемых злоумышленниками, — AdFind, легитимный инструмент запросов к Active Directory из командной строки.

Вот пример того, как этот инструмент использовался операторами программы-вымогателя Netwalker.

AdFind позволяет злоумышленникам собирать информацию о пользователях, компьютерах, доверительных отношениях между доменами, подсетях и многом другом. Эта информация может помочь им найти наиболее ценные хосты, например с резервными копиями и конфиденциальной информацией.

Еще один популярный инструмент исследования Active Directory — ADRecon. Его активно использовали операторы программы-вымогателя REvil.

Как и на предыдущих этапах, злоумышленники могут использовать для разведки сети встроенные возможности Windows. Например, лица, связанные с программой-вымогателем Conti, использовали для этого командлеты (упрощенные команды) PowerShell.

Давайте