Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

инструменты сбора данных и полученный дамп памяти на то же устройство, с которого вы их копируете. Используйте внешний диск или сетевой ресурс. Почему? Потому что вы можете случайно перезаписать потенциальные источники цифровых следов!

Пример захвата памяти с помощью AccessData FTK Imager приведен на рисунке 7.1.

Популярнейший инструмент для анализа дампов памяти — Volatility, платформа с открытым исходным кодом для криминалистического исследования дампов памяти. На момент написания данной книги существовало две версии этого инструмента:

Volatility 2 (https://www.volatilityfoundation.org/releases)

Volatility 3 (https://www.volatilityfoundation.org/releases-vol3)

Рис. 7.1. Захват памяти с помощью AccessData FTK Imager

Обе версии требуют хотя бы минимальных навыков работы с командной строкой, но, поскольку к ним прилагаются ясные инструкции, научиться с ними работать довольно просто.

Если вам не нравится командная строка, стоит попробовать средство Volatility Workbench от PassMark — это графический интерфейс пользователя (Graphical User Interface, GUI) для Volatility).

Рис. 7.2. Запуск плагина Volatility через PassMark Volatility Workbench

Анализ дампа памяти помогает выявить множество артефактов, связанных с атакой, которые впоследствии могут послужить ценными IoC для обнаружения угроз в масштабах всего предприятия.

Существуют версии PassMark Volatility Workbench для Volatility 2 и Volatility 3. Обе версии можно загрузить с https://www.osforensics.com/tools/volatility-workbench.html.

Дампинг памяти — не всегда лучший способ анализа. Вы можете не знать, какие именно хосты требуют проверки, а анализировать дампы памяти сотен машин — трудоемкая и неэффективная стратегия.

Существуют инструменты, которые позволяют специалисту по реагированию на инциденты выполнять анализ в реальном времени. Например, популярный у злоумышленников Process Hacker могут использовать и борцы с атаками. Он позволяет проверять данные энергозависимой памяти, включая запущенные процессы, их командные строки и, конечно же, сетевые подключения — и это далеко не все. Вот пример использования Process Hacker для оперативного анализа.

Рис. 7.3. Проверка запущенных процессов с помощью Process Hacker

Process Hacker можно получить по ссылке http://sourceforge.io/downloads.php.

Интересно, что артефакты энергозависимой памяти можно найти не только в дампах памяти. Некоторые системные файлы тоже содержат остатки памяти:

pagefile.sys — этот файл находится в корневом каталоге системного диска (обычно C: ) и используется для хранения страничных блоков памяти, которые в данный момент не используются, — это так называемый файл подкачки операционной системы, он же страничный файл или виртуальная память. С помощью Volatility этот файл проанализировать нельзя, но есть и другие подходящие средства, например page_brute (https://github.com/matonis/page_brute).

hiberfil.sys — файл режима гибернации Windows, который также хранится в корневом каталоге системного диска и используется для сохранения состояния машины на время гибернации. Этот файл можно преобразовать с помощью плагина Volatility imagecopy, а затем проанализировать, как обычный дамп памяти.

Мы еще вернемся к артефактам файловой системы и к тому, как они могут помочь нам в расследовании атак с использованием программ-вымогателей. Но сначала нужно научиться собирать данные из энергонезависимой памяти — те данные, которые доступны, когда система выключена.

Сбор данных энергонезависимой памяти

Прежде чем начать глубокое изучение различных источников данных энергонезависимой памяти, давайте узнаем, как их получать. Вы наверняка слышали о криминалистических образах — побитовых копиях цифровых носителей. Иногда мы до сих пор создаем такие копии — например, для первого взломанного хоста, на котором может оставаться множество различных артефактов, связанных с действиями злоумышленников. Такие образы можно создавать с помощью AccessData FTK Imager.

Но взломанных хостов может быть довольно много, и тогда клонирование каждой системы окажется трудоемкой задачей. В этом случае вы можете создать выборочный образ — он будет содержать ряд файлов, а также некоторые дополнительные данные, например информацию о сетевых подключениях.

Рис. 7.4. Создание образа с помощью AccessData FTK Imager

Неплохой инструмент для сбора первичных данных — Live Response Collection (https://www.brimorlabs.com/Tools/LiveResponseCollection-Cedarpelta.zip) Брайана Морана.

Рис. 7.5. Создание образа для первичной обработки с помощью Live Response Collection

Интересно, что с помощью этого средства вы можете не только собирать первичные данные, но также копировать память и даже создавать полные образы. Только не забудьте, что запускать такие инструменты нужно с внешнего диска или сетевого ресурса.

Если вам нужно действовать еще более целенаправленно, воспользуйтесь Kroll Artifact Parser and Extractor (KAPE) — он позволяет специалистам по реагированию на инциденты выполнять очень сфокусированный и компактный сбор данных. Им можно пользоваться в масштабах всего предприятия, поскольку у него есть версии как с графическим интерфейсом, так и с командной строкой (рис. 7.6).

Более того, KAPE предназначен не только для сбора данных, но и для автоматизации их обработки.

Существуют также решения-агенты, в том числе с открытым исходным кодом, способные выполнять сбор данных в реальном времени. Хороший пример — Velociraptor (https://github.com/Velocidex/velociraptor).

Рис. 7.6. Целевой сбор с помощью KAPE

Многие решения EDR/XDR также позволяют собирать криминалистические артефакты. Ниже приведены параметры сбора данных фреймворка Group-IB Managed XDR.

Решения EDR/XDR сами по себе могут быть очень ценными источниками криминалистических артефактов, поскольку они постоянно собирают информацию о запущенных процессах, сетевых подключениях, изменениях файлов и реестра и т. д. Как видите, существует довольно много вариантов сбора как энергозависимых, так и энергонезависимых данных. Теперь давайте изучим различные источники цифровых криминалистических артефактов.

Рис. 7.7. Параметры сбора криминалистических данных Group- IB Managed XDR

Главная файловая таблица

Файловая система содержит множество различных артефактов, которые могут помочь в процессе расследования. Реестр Windows и различные журналы тоже относятся к файловой системе, но они довольно сложны, и мы рассмотрим их отдельно.

Наиболее распространенный тип файловой системы, с которым вы столкнетесь при расследовании атак программ-вымогателей, — New Technology File System (NTFS). В настоящее время это самая распространенная файловая система в ОС Windows — и, как вы уже знаете, основная цель пользователей программ-вымогателей. Несмотря на повышенный интерес к Linux-системам, злоумышленники обычно добираются до них путем взлома Windows-инфраструктуры, так что мы сосредоточимся именно на этой операционной системе.

Как специалистов по реагированию на инциденты, нас в первую очередь интересует анализ метаданных, поэтому давайте изучим один из основных компонентов NTFS — главную файловую таблицу (Master File Table, MFT). Она содержит информацию об именах файлов, их расположении, размерах и, конечно же, временны́х метках. Мы можем использовать информацию, извлеченную из MFT, для построения временны́х шкал, которые могут помочь нам восстановить информацию о файлах, созданных и использованных злоумышленниками.

Эту информацию можно извлечь из метафайла $MFT. Метафайлы, в том числе рассматриваемый файл $MFT, могут быть извлечены с помощью различных инструментов цифровой криминалистики. Пример такого инструмента — AccessData FTK Imager.