Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Шрифт:
Интервал:
Закладка:
UserAssist (NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist{GUID}Count) содержит информацию о программах с графическим интерфейсом, запускаемых пользователем, а также информацию о количестве запусков, дате и времени последнего исполнения.
ShimCache (SYSTEMCurrentControlSetControlSession ManagerAppCompatCache) содержит информацию о выполняемых программах, включая их пути, размер и даты последней модификации.
Amcache (Amcache.hveRootFile{Volume GUID}#######) содержит информацию о выполняемых программах, включая их пути, хеши SHA1 и временны́е метки первого выполнения.
Конечно, артефакты запуска программ — это не единственные цифровые улики, которые можно извлечь из реестра Windows. Другой важный тип улик — артефакты, свидетельствующие о недавнем использовании файлов и папок. Давайте рассмотрим самые распространенные:
Most Recently Used (MRU) (NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU) содержит списки недавно использованных файлов на основе их расширений.
Recent files (NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs) — еще один источник информации о недавно использованных файлах.
Shell bags (USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags) содержит список недавно использованных папок, включая общие сетевые ресурсы и съемные устройства.
Это лишь несколько примеров ценных улик, которые можно найти в реестре Windows. В числе других — различные механизмы закрепления в системе, артефакты удаленного доступа и др.
Существуют различные подходы к анализу реестра. Его можно анализировать вручную, сосредоточив внимание на поиске по ключевым словам — на основе имеющихся у вас индикаторов компрометации. Например, вы можете использовать Registry Explorer (https://f001.backblazeb2.com/file/EricZimmermanTools/RegistryExplorer.zip) — очередной полезный инструмент от Эрика Циммермана, который позволяет просматривать как извлеченные файлы реестра, так и актуальный реестр, включая удаленные ключи и значения.
Я рекомендую этот инструмент для ручного анализа, но он также предоставляет множество плагинов для автоматического анализа распространенных артефактов.
Рис. 7.15. Файл реестра SYSTEM из работающей системы, открытый в Registry Explorer
Стоит упомянуть еще один отличный инструмент для анализа реестра — RegRipper (https://github.com/keydet89/RegRipper3.0) Харлана Карви. Есть версии с графическим интерфейсом и командной строкой, а также различные плагины для анализа артефактов реестра. Дополнительные плагины вы можете написать самостоятельно.
Следующий ценный источник цифровых криминалистических артефактов — журналы событий Windows.
Журналы событий Windows
Ведение журнала — это встроенный механизм документирования различных событий, связанных с операционной системой Windows и различными приложениями. Он также может быть чрезвычайно ценным источником улик, связанных с атаками с использованием программ-вымогателей.
Иногда злоумышленники удаляют такие журналы, чтобы замести следы, и одно это может послужить надежным признаком того, что хост был скомпрометирован.
По умолчанию файлы журнала расположены в папке C: WindowsSystem32winevtLogs и имеют расширение. evtx.
Журналы событий Windows также можно собирать с помощью SIEM (важно проверить, что записываются правильные журналы) или решения EDR/XDR.
Рис. 7.16. Файлы журнала событий Windows, перечисленные в AccessData FTK Imager
Давайте посмотрим на некоторые часто используемые файлы журналов и идентификаторы событий.
Безопасность
4624 — произведен вход в систему.
4625 — неудачная попытка входа в систему.
4720 — создана учетная запись пользователя.
4732 — в локальную группу с поддержкой безопасности добавлен участник.
Система
7045 — служба была установлена системой.
7040 — изменен тип запуска службы.
7036 — служба была остановлена или запущена.
Windows PowerShell
400 — указывает на начало выполнения команды или сеанса.
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
21 — вход в сеанс выполнен успешно.
24 — сеанс прерван.
25 — возобновление сеанса выполнено успешно.
Оповещения
300 — оповещение, созданное Microsoft Office.
Microsoft-Windows-TaskScheduler/Operational
106 — запланированное задание создано.
200 — запланированное задание запущено.
201 — запланированное задание выполнено.
Microsoft-Windows-Windows-Defender/Operational
1117 — платформа для защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого нежелательного программного обеспечения.
Это не исчерпывающий список, но даже в нем мы видим довольно много полезных событий, которые могут помочь при реагировании на инциденты.
События, происходящие в среде Windows, фиксирует не только журнал событий Windows — есть и другие журналы, которые могут представлять для нас интерес.
Другие журналы
В заключение перечислим несколько дополнительных журналов, которые могут сыграть ключевую роль в вашем расследовании.
Журналы антивирусного ПО. Как вы уже знаете, операторы программ-вымогателей могут использовать много инструментов — а значит, хотя бы некоторые из них будут обнаружены антивирусным программным обеспечением. Журналы антивирусного ПО могут быть крайне полезны.
Журналы брандмауэра. Эти журналы могут стать источником ценной информации о сетевых подключениях, включая проникновения. Это чрезвычайно ценный источник криминалистических данных, особенно если данные хранятся в течение долгого времени и у вас есть хотя бы какие-то сетевые индикаторы компрометации.
Журналы VPN. VPN — один из популярных начальных векторов доступа к сети, поэтому журналы VPN также могут раскрывать некоторую информацию о сетевой инфраструктуре злоумышленников. Очень полезно произвести анализ GeoIP (геолокации) — вы можете обнаружить подключения из стран, не имеющих отношения к компании.
Журналы прокси-сервера. Если у вас есть сетевые индикаторы или вы просто хотите отследить аномальные события, проверьте, доступен ли прокси-сервер.
Журналы веб-сервера. Если вы подозреваете, что операторы программы-вымогателя использовали для первоначального закрепления веб-шелл, убедитесь, что вы проверили журналы веб-сервера.
Журналы почтовых серверов. Почтовые серверы тоже могут быть уязвимы: вспомните группировку Conti, которая использовала ProxyLogon для получения первоначального доступа. Вот почему журналы почтового сервера могут оказаться весьма полезными.
Теперь вы неплохо разбираетесь в различных источниках цифровых криминалистических артефактов и готовы перейти к самой интересной части — расследованию.
Выводы
В этой главе мы обсудили наиболее распространенные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты в расследовании атак с использованием программ-вымогателей.
Мы рассмотрели наиболее популярные источники артефактов файловой системы, реестр, различные журналы, а также узнали, как получать данные из энергозависимой и энергонезависимой памяти и как преобразовать собранные данные в удобный формат для углубленного криминалистического анализа.
Теперь вы готовы приступить к более практическим задачам — реконструкции реальных атак с использованием программ-вымогателей по различным цифровым криминалистическим артефактам.
В следующей главе мы рассмотрим несколько сценариев первоначального доступа и воспользуемся полученными знаниями, чтобы понять, как взломщики смогли получить первоначальный доступ и перейти к постэксплуатации.
Глава 8
Методы первоначального доступа
В главе 7 мы рассмотрели различные источники цифровых криминалистических артефактов, доступные в операционных системах Windows. Пора перейти к анализу конкретных примеров, чтобы узнать, как эти артефакты можно использовать для реконструкции жизненного цикла атак с использованием программ-вымогателей.
Начнем с поиска следов наиболее распространенных методов первоначального доступа — злоупотребления внешними службами удаленного доступа и фишинга.
Взлом внешних служб удаленного доступа, особенно общедоступных серверов RDP, чрезвычайно популярен. Более 50 % успешных атак начинаются с проникновения на такие серверы методом грубой силы.
Почти то же самое можно сказать и о фишинге — предвестниками атак с использованием программ-вымогателей являются различные боты, которые во множестве распространяются через электронную почту и социальные сети.
В этой главе мы рассмотрим два случая, основанных на сценариях реальных