Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Если злоумышленники уже получили соответствующие учетные данные, они с легкостью могут просматривать файлы на удаленных хостах или даже копировать туда файлы.

Мы уже просмотрели файл NTUSER.dat. Давайте снова его изучим, на этот раз с помощью Registry Explorer (рис. 9.13).

Рис. 9.13. Свидетельство доступа к диску C: адреса 192.168.1.76

Мы видим, что наш взломанный пользователь зашел на адрес 192.168.1.76. Интересно! Давайте получим файл $MFT с этого хоста и попробуем понять, было ли что-то скопировано на хост. Обработаем его с помощью MFTECmd и просмотрим результат в Timeline Explorer.

Рис. 9.14. Подозрительный файл на 192.168.1.76

Анализ выявил очень подозрительный файл в папке C: UsersPublic — промежуточной папке, используемой злоумышленниками. Посмотрим внутрь файла.

Похоже, что злоумышленники использовали этот файл для включения RDP-соединений. Но выполнялся ли его запуск в системе? Мы выясним это в следующем разделе.

PsExec

Прежде всего, поскольку мы уже знаем, что rdp.bat можно использовать для включения возможности RDP-подключений через редактирование реестра, давайте проверим файл реестра SYSTEM.

Рис. 9.15. Содержимое HKLMSystemCurrentControlSetControlTerminalServer

Как видно на рисунке 9.15, значение fDenyTSConnections равно 0, то есть злоумышленники успешно запустили сценарий. Давайте попробуем собрать больше доказательств. Думаю, вы заметили, что скрипт также влияет на работу брандмауэра. Мы можем заглянуть в файл журнала событий Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx и проверить события с идентификатором 2005.

Рис. 9.16. Изменение правил брандмауэра

Мы видим, что правила брандмауэра также были изменены, то есть можем с уверенностью сказать, что в целевой системе был выполнен вредоносный скрипт. Но как именно?

Продолжим изучать журналы событий Windows — на этот раз System.evtx и идентификатор события 7045.

Рис. 9.17. Служба, связанная с PsExec

На рисунке 9.17 вы можете видеть весьма распространенный артефакт, связанный с PsExec — популярным инструментом для удаленного запуска, который обычно используется как системными администраторами, так и операторами программ-вымогателей.

Скорее всего, этот инструмент был запущен с первого взломанного хоста, но все же нам нужно найти доказательства. Изучим файл журнала событий Security.evtx и поищем ID 5140 или 4624 рядом с запуском PsExec.

Теперь у нас есть доказательства того, что PsExec был запущен с изначально скомпрометированного хоста 192.168.1.77, причем злоумышленники успешно получили данные аутентификации для учетной записи администратора (Administrator).

Рис. 9.18. Доступ к сетевому ресурсу был получен (5140)

Итак, злоумышленники включили RDP — давайте выясним, пользовались ли они этими подключениями.

RDP

RDP — один из наиболее распространенных методов, используемых злоумышленниками для горизонтального перемещения по сети. Вы постоянно будете сталкиваться с этим методом, расследуя атаки программ-вымогателей, управляемых человеком.

Существует довольно много источников артефактов, которые могут помочь вам обнаружить этот вид деятельности. Один из наиболее распространенных — файл журнала событий Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx. Как правило, нужно искать события с идентификаторами 21 (Успешный вход в сеанс) и 25 (Успешное возобновление сеанса).

Рис. 9.19. Успешное возобновление сеанса

Вы также можете использовать события с идентификатором 4624 из Security.evtx, ориентируясь на входы в систему с типом 10.

Рис. 9.20. Вход в систему с типом 10

Таким образом, мы можем заключить, что злоумышленники получили привилегированные учетные данные, провели разведку сети и Active Directory и начали перемещаться по сети в горизонтальном направлении, используя различные методы. Конечно, это еще не все.

Выводы

Атаки программ-вымогателей, управляемых человеком, довольно сложны, жизненный цикл атаки состоит из многих этапов. После того как на начальном этапе злоумышленники закрепились, они начинают постэксплуатацию, чтобы получить контроль над всей сетью.

В этой главе мы рассмотрели различные методы постэксплуатации и на основе различных криминалистических артефактов реконструировали часть атаки с использованием программы-вымогателя.

Мы выяснили, как злоумышленники получают доступ к привилегированным учетным записям, как они проводят разведку сети и Active Directory, а также какие методы они используют для горизонтального перемещения по сети.

В следующей главе мы сосредоточимся на том, как операторы программ-вымогателей решают одну из основных задач современных атак — крадут данные.

Глава 10

Методы кражи данных

Получив доступ к привилегированным учетным данным и обеспечив возможность горизонтального перемещения по сети, пользователи программ-вымогателей начинают работать над своими реальными целями. Одна из таких целей — кража данных.

Конечно, не каждая группа выполняет подобные действия, и даже злоумышленники со своим DLS не всегда этим занимаются. Тем не менее двойное вымогательство весьма распространено, и специалисты по реагированию на инциденты должны быть хорошо осведомлены о подходах, используемых вымогателями для кражи конфиденциальных данных из взломанных сетей.

В этой главе мы рассмотрим криминалистические артефакты, которые позволяют нам разобраться в том, как операторы программ-вымогателей выгружают данные. Подходы могут существенно различаться в зависимости от каждого конкретного злоумышленника. Некоторые предпочитают легкий путь и используют веб-браузер или клиентское приложение облачного хранилища, другие выбирают специальные приложения, входящие в пакет программы-вымогателя как услуги.

Мы рассмотрим следующие темы:

Изучение злоупотребления веб-браузером.

Изучение злоупотребления клиентскими приложениями облачных хранилищ.

Изучение злоупотребления сторонними инструментами облачной синхронизации.

Изучение использования специальных инструментов.

Изучение злоупотребления веб-браузером

Как вы уже знаете из предыдущих глав, пользователи программ-вымогателей довольно часто злоупотребляют подключениями по протоколу удаленного рабочего стола (RDP) как для первоначального доступа, так и для горизонтального перемещения, а значит, могут легко применять для кражи данных встроенные легитимные инструменты.

Один из таких инструментов — веб-браузер. Злоумышленники могут использовать его для выгрузки собранных ими конфиденциальных данных на различные файлообменные сервисы, например DropMeFiles.

Веб-браузеры имеют широкие возможности ведения журналов, поэтому аналитики киберпреступлений и специалисты по реагированию на инциденты всегда могут проверить историю просмотров на наличие следов утечки данных.

Давайте рассмотрим классическую версию встроенного веб-браузера — Microsoft Edge. История хранится в файле WebCacheV01.dat, который представляет собой базу данных ESE (Extensible Storage Engine). Существует немало инструментов, которые можно использовать для просмотра и анализа его содержимого. Хороший вариант — ESEDatabaseView от NirSoft.

На рисунке 10.1 вы видите таблицу с названием Containers. Она может помочь нам определить, какие именно таблицы базы данных содержат интересующую нас информацию. Чтобы изучить историю просмотров веб-страниц, нужно проверить таблицы, помеченные как History, например таблицу с именем Container_7 (идентификатор виден слева). Давайте посмотрим на столбец Url (рис. 10.2).

Здесь немало интересных записей. Прежде всего мы видим, что операторы программы-вымогателя использовали поисковую систему Bing, чтобы найти популярный инструмент архивации — 7-Zip.

Рис. 10.1. Файл WebCacheV01.dat, открытый в ESEDatabaseView

Рис. 10.2. Таблица Container_7

Это не единственный важный артефакт, еще один — имя пользователя. В некоторых случаях оно может даже привести исследователя к изначально скомпрометированному хосту,