Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

rundll32.exe для вызова экспортированной функции MiniDump из comsvcs.dll. Тем не менее есть несколько весьма полезных криминалистических артефактов, которые могут помочь вам обнаружить этот метод.

Как вы знаете, файлы трассировки содержат не только свидетельство запуска на исполнение, но также список папок и файлов, с которыми взаимодействовал исполняемый файл. Поскольку rundll32.exe обычно не ссылается на comsvcs.dll, мы можем изучить связанные файлы трассировки.

В нашем случае имеется семь файлов трассировки, связанных с рассматриваемым исполняемым файлом. Если разобрать каждый из них, например при помощи PECmd, мы обнаружим в списке файлов, с которыми взаимодействовал исполняемый файл, подозрительные записи (рис. 9.7).

Рис. 9.7. Список файлов, с которыми установлено взаимодействие, извлеченный из файла трассировки rundll32.exe

На рисунке указан comsvcs.dll — скорее всего, злоумышленники использовали эту технику для сброса учетных данных вместе с SafetyKatz.

Давайте рассмотрим еще один артефакт, который часто упускают из виду в ходе криминалистических экспертиз, — файлы истории консоли PowerShell. Эти файлы находятся в папке %APPDATA%MicrosoftWindowsPowerShellPSReadLine. Их можно просматривать в любом текстовом редакторе, и они доступны по умолчанию, начиная с PowerShell v5 в Windows 10 и более поздних версиях. Проверим, нет ли в этих файлах полезных улик:

Теперь мы ясно видим, что злоумышленники злоупотребили comsvcs.dll, чтобы получить дамп lsass.exe. Также мы видим еще одно доказательство выполнения SafetyKatz (SK.exe).

Есть еще один очень интересный исполняемый файл — Rubeus.exe. Что это такое? Попробуем выяснить!

Kerberoasting

Дампинг учетных данных — очень распространенный метод, используемый злоумышленниками в ходе атак программ-вымогателей, управляемых человеком. Но не всегда возможно получить учетные данные для горизонтального перемещения по сети, поэтому взломщики вынуждены использовать другие методы.

Один из методов, к которым злоумышленники прибегают все чаще и чаще, — kerberoasting. Этот тип атаки позволяет атакующим злоупотреблять действующим билетом Kerberos ticket-granting ticket (TGT) или перехватывать сетевой трафик, чтобы получить билет ticket-granting service (TGS), а затем попытаться получить пароль в автономном режиме с помощью перебора.

В предыдущем разделе мы видели, что злоумышленники скачали и запустили Rubeus.exe — очень распространенный инструмент для выполнения таких атак, в использовании которого замечены, в частности, лица, связанные с группировкой Conti. Вы можете сталкиваться с подобными методами довольно часто, поскольку злоумышленникам нужны действующие учетные данные, чтобы начать горизонтальное перемещение по сети.

Мы уже видели доказательства запуска Rubeus в файле истории консоли PowerShell, но давайте изучим некоторые другие источники, к которым мы еще не обращались, например монитор использования системных ресурсов (System Resource Usage Monitor, SRUM).

Эта функция появилась в Windows 8 и собирает информацию о различных исполняемых файлах и потребляемых ими ресурсах, включая сетевой трафик и общее время процессора. Эта информация хранится в базе данных Extensible Storage Engine (ESE), которая обычно находится в папке C: WindowsSystem32sru в файле SRUDB.dat.

Мы можем извлечь из этого файла интересующие нас данные, например, с помощью SrumECmd.

Рис. 9.8. Часть вывода SrumECmd

Как видно на рисунке 9.8, есть еще одно доказательство запуска Rubeus. Очень важно проверять различные источники улик, так как в зависимости от обстоятельств разные исполняемые файлы могут оставлять разные артефакты. Кроме того, не забывайте, что пользователи программ-вымогателей часто удаляют свои инструменты со взломанных хостов.

Еще один важный артефакт — свидетельство запуска netscan.exe. Попробуем узнать о нем больше.

Изучение методов разведки

Как вы помните, одна из основных целей злоумышленников — зашифровать как можно больше хостов, а для этого им нужно собрать информацию о сети, в которую они проникли. Можно просто просканировать сеть, чтобы получить информацию об удаленных хостах, или использовать различные инструменты разведки Active Directory, такие как AdFind или ADRecon.

Сканирование сети

Благодаря анализу артефактов SRUM мы уже собрали информацию об исполняемом файле netscan.exe. Основываясь на этой информации, мы можем предположить, что файл использовался лицами, связанными с программой-вымогателем, для сканирования сети.

Прежде всего нам нужно узнать, где он находится. Мы уже проанализировали $MFT, так что давайте начнем с него. Анализ MFT лучше показывает, какие артефакты могут быть полезны для дальнейшего расследования, и позволяет посмотреть на атаку с точки зрения файловой системы.

Рис. 9.9. Путь к netscan.exe, полученный из $MFT

Теперь мы видим, что netscan.exe находится в папке C: UsersPublic. Более того, мы видим, что файл трассировки был создан сразу после исполняемого файла. Как вы уже знаете, это означает, что файл был запущен. Но кем?

Давайте рассмотрим еще один источник информации о запусках программ — на этот раз UserAssist. Чтобы извлечь информацию, нам нужно получить файл NTUSER.dat и обработать его, например, с помощью RegRipper.

Рис. 9.10. Данные UserAssist, проанализированные с помощью RegRipper

Проанализировав файл NTUSER.dat, расположенный в папке C: Userssmith, мы видим, что запуск файла netscan.exe был выполнен пользователем smith. Но уверены ли мы, что сканирование сети действительно имело место? Еще нет! Давайте изучим свойства файла.

Рис. 9.11. Свойства netscan.exe

Со свойствами файла все понятно: похоже, мы имеем дело с SoftPerfect Network Scanner. Как видите, свойства файла могут пролить свет на многие особенности рассматриваемого файла, включая его версию, разработчика и т. д. Но давайте изучим папку, в которой мы его нашли.

Рис. 9.12. Содержимое C: UsersPublic

Как видите, в этой папке довольно много интересных файлов. Дело в том, что лица, связанные с программами-вымогателями, могут использовать несколько промежуточных папок для своих инструментов, поэтому обязательно проверяйте каждый артефакт и постарайтесь не пропустить ни одной ценной улики.

Разведка Active Directory

Итак, в папке C: UsersPublic есть еще несколько интересных файлов. Один из них — AdFind.exe. Скорее всего, это AdFind — бесплатный инструмент для сбора информации из Active Directory. Кроме того, есть несколько файлов с расширением. txt — связаны ли они с AdFind?

Также в этой папке есть еще один подозрительный файл — a.bat. Заглянем внутрь.

Теперь мы можем с уверенностью сказать, что злоумышленники использовали AdFind для сбора информации об Active Directory. Допустим, они получили доступ к учетным данным и собрали информацию о взломанной сети — что дальше? А дальше — горизонтальное перемещение по сети.

Изучение методов горизонтального перемещения по сети

Операторы программ-вымогателей не останавливаются на первом взломанном хосте — им нужно собрать информацию о сети и начать как можно быстрее двигаться дальше, чтобы найти и собрать ценные конфиденциальные данные и перейти к заключительному этапу — развертыванию программы-вымогателя.

Административные сетевые ресурсы

Один из распространенных способов начать горизонтальное перемещение — злоупотребление административными общими ресурсами Windows, такими как C$, ADMIN$ и $IPC.