Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

наиболее распространенные источники улик, которые вы можете найти при анализе файлов реестра Windows:

UserAssist (NTUSER.DATSoftwareMicrosoftWindowsCurrentversionExplorerUserAssist{GUID}Count) содержит информацию о программах с графическим интерфейсом, запускаемых пользователем, а также информацию о количестве запусков, дате и времени последнего исполнения.

ShimCache (SYSTEMCurrentControlSetControlSession ManagerAppCompatCache) содержит информацию о выполняемых программах, включая их пути, размер и даты последней модификации.

Amcache (Amcache.hveRootFile{Volume GUID}#######) содержит информацию о выполняемых программах, включая их пути, хеши SHA1 и временны́е метки первого выполнения.

Конечно, артефакты запуска программ — это не единственные цифровые улики, которые можно извлечь из реестра Windows. Другой важный тип улик — артефакты, свидетельствующие о недавнем использовании файлов и папок. Давайте рассмотрим самые распространенные:

Most Recently Used (MRU) (NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32LastVisitedPidlMRU) содержит списки недавно использованных файлов на основе их расширений.

Recent files (NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs) — еще один источник информации о недавно использованных файлах.

Shell bags (USRCLASS.DATLocal SettingsSoftwareMicrosoftWindowsShellBags) содержит список недавно использованных папок, включая общие сетевые ресурсы и съемные устройства.

Это лишь несколько примеров ценных улик, которые можно найти в реестре Windows. В числе других — различные механизмы закрепления в системе, артефакты удаленного доступа и др.

Существуют различные подходы к анализу реестра. Его можно анализировать вручную, сосредоточив внимание на поиске по ключевым словам — на основе имеющихся у вас индикаторов компрометации. Например, вы можете использовать Registry Explorer (https://f001.backblazeb2.com/file/EricZimmermanTools/RegistryExplorer.zip) — очередной полезный инструмент от Эрика Циммермана, который позволяет просматривать как извлеченные файлы реестра, так и актуальный реестр, включая удаленные ключи и значения.

Я рекомендую этот инструмент для ручного анализа, но он также предоставляет множество плагинов для автоматического анализа распространенных артефактов.

Рис. 7.15. Файл реестра SYSTEM из работающей системы, открытый в Registry Explorer

Стоит упомянуть еще один отличный инструмент для анализа реестра — RegRipper (https://github.com/keydet89/RegRipper3.0) Харлана Карви. Есть версии с графическим интерфейсом и командной строкой, а также различные плагины для анализа артефактов реестра. Дополнительные плагины вы можете написать самостоятельно.

Следующий ценный источник цифровых криминалистических артефактов — журналы событий Windows.

Журналы событий Windows

Ведение журнала — это встроенный механизм документирования различных событий, связанных с операционной системой Windows и различными приложениями. Он также может быть чрезвычайно ценным источником улик, связанных с атаками с использованием программ-вымогателей.

Иногда злоумышленники удаляют такие журналы, чтобы замести следы, и одно это может послужить надежным признаком того, что хост был скомпрометирован.

По умолчанию файлы журнала расположены в папке C: WindowsSystem32winevtLogs и имеют расширение. evtx.

Журналы событий Windows также можно собирать с помощью SIEM (важно проверить, что записываются правильные журналы) или решения EDR/XDR.

Рис. 7.16. Файлы журнала событий Windows, перечисленные в AccessData FTK Imager

Давайте посмотрим на некоторые часто используемые файлы журналов и идентификаторы событий.

Безопасность

4624 — произведен вход в систему.

4625 — неудачная попытка входа в систему.

4720 — создана учетная запись пользователя.

4732 — в локальную группу с поддержкой безопасности добавлен участник.

Система

7045 — служба была установлена системой.

7040 — изменен тип запуска службы.

7036 — служба была остановлена или запущена.

Windows PowerShell

400 — указывает на начало выполнения команды или сеанса.

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

21 — вход в сеанс выполнен успешно.

24 — сеанс прерван.

25 — возобновление сеанса выполнено успешно.

Оповещения

300 — оповещение, созданное Microsoft Office.

Microsoft-Windows-TaskScheduler/Operational

106 — запланированное задание создано.

200 — запланированное задание запущено.

201 — запланированное задание выполнено.

Microsoft-Windows-Windows-Defender/Operational

1117 — платформа для защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого нежелательного программного обеспечения.

Это не исчерпывающий список, но даже в нем мы видим довольно много полезных событий, которые могут помочь при реагировании на инциденты.

События, происходящие в среде Windows, фиксирует не только журнал событий Windows — есть и другие журналы, которые могут представлять для нас интерес.

Другие журналы

В заключение перечислим несколько дополнительных журналов, которые могут сыграть ключевую роль в вашем расследовании.

Журналы антивирусного ПО. Как вы уже знаете, операторы программ-вымогателей могут использовать много инструментов — а значит, хотя бы некоторые из них будут обнаружены антивирусным программным обеспечением. Журналы антивирусного ПО могут быть крайне полезны.

Журналы брандмауэра. Эти журналы могут стать источником ценной информации о сетевых подключениях, включая проникновения. Это чрезвычайно ценный источник криминалистических данных, особенно если данные хранятся в течение долгого времени и у вас есть хотя бы какие-то сетевые индикаторы компрометации.

Журналы VPN. VPN — один из популярных начальных векторов доступа к сети, поэтому журналы VPN также могут раскрывать некоторую информацию о сетевой инфраструктуре злоумышленников. Очень полезно произвести анализ GeoIP (геолокации) — вы можете обнаружить подключения из стран, не имеющих отношения к компании.

Журналы прокси-сервера. Если у вас есть сетевые индикаторы или вы просто хотите отследить аномальные события, проверьте, доступен ли прокси-сервер.

Журналы веб-сервера. Если вы подозреваете, что операторы программы-вымогателя использовали для первоначального закрепления веб-шелл, убедитесь, что вы проверили журналы веб-сервера.

Журналы почтовых серверов. Почтовые серверы тоже могут быть уязвимы: вспомните группировку Conti, которая использовала ProxyLogon для получения первоначального доступа. Вот почему журналы почтового сервера могут оказаться весьма полезными.

Теперь вы неплохо разбираетесь в различных источниках цифровых криминалистических артефактов и готовы перейти к самой интересной части — расследованию.

Выводы

В этой главе мы обсудили наиболее распространенные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты в расследовании атак с использованием программ-вымогателей.

Мы рассмотрели наиболее популярные источники артефактов файловой системы, реестр, различные журналы, а также узнали, как получать данные из энергозависимой и энергонезависимой памяти и как преобразовать собранные данные в удобный формат для углубленного криминалистического анализа.

Теперь вы готовы приступить к более практическим задачам — реконструкции реальных атак с использованием программ-вымогателей по различным цифровым криминалистическим артефактам.

В следующей главе мы рассмотрим несколько сценариев первоначального доступа и воспользуемся полученными знаниями, чтобы понять, как взломщики смогли получить первоначальный доступ и перейти к постэксплуатации.

Глава 8

Методы первоначального доступа

В главе 7 мы рассмотрели различные источники цифровых криминалистических артефактов, доступные в операционных системах Windows. Пора перейти к анализу конкретных примеров, чтобы узнать, как эти артефакты можно использовать для реконструкции жизненного цикла атак с использованием программ-вымогателей.

Начнем с поиска следов наиболее распространенных методов первоначального доступа — злоупотребления внешними службами удаленного доступа и фишинга.

Взлом внешних служб удаленного доступа, особенно общедоступных серверов RDP, чрезвычайно популярен. Более 50 % успешных атак начинаются с проникновения на такие серверы методом грубой силы.

Почти то же самое можно сказать и о фишинге — предвестниками атак с использованием программ-вымогателей являются различные боты, которые во множестве распространяются через электронную почту и социальные сети.

В этой главе мы рассмотрим два случая, основанных на сценариях реальных