Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

видите, операторы программ-вымогателей очень часто используют для кражи данных различные легитимные инструменты и веб-сервисы, поэтому рекомендуем проверять соответствующие сетевые подключения в журналах прокси-сервера или брандмауэра.

Стоит отметить, что в некоторых случаях мошенники могут использовать для кражи данных специальные инструменты. Давайте рассмотрим такой случай.

Изучение использования специальных инструментов

В 2021 г. некоторые представители популярных программ-вымогателей как услуг стали предлагать в качестве дополнения к программе-вымогателю и собственные инструменты кражи данных. Один из ярких примеров — StealBit, дополнительная программа для кражи информации, идущая в комплекте с LockBit 2.0. Другие примеры — средство Sidoh для программы-вымогателя Ryuk и инструмент ExMatter для программы-вымогателя BlackMatter.

В некоторых случаях их довольно легко обнаружить во время расследования инцидента — операторы программы-вымогателя могут запускать исполняемый файл с названием StealBit.exe. В этом случае вы можете извлечь информацию из различных источников сведений о выполнении программ, о которых вы уже хорошо знаете, и искать файлы с похожими названиями. Если злоумышленники маскируют свою деятельность, сосредоточьтесь на промежуточных папках, используемых злоумышленниками, или ориентируйтесь для поиска опорных точек на временны́е шкалы.

Рис. 10.15. Информация о StealBit с DLS LockBit 2.0

Давайте более подробно остановимся на StealBit. Во-первых, как и сама программа-вымогатель LockBit, она не работает на компьютерах, использующих азербайджанский, армянский, белорусский, грузинский, казахский, киргизский, молдавский, русский, таджикский, туркменский, узбекский и украинский языки. Правда, в некоторых более новых версиях эти проверки не реализованы, и тогда StealBit можно запустить на любой системе.

Во-вторых, как и LockBit, она использует порты завершения ввода-вывода, но не для шифрования файлов, а для их загрузки на заданные серверы управления и контроля.

Пользователи LockBit могут либо перетаскивать файлы в окно StealBit, либо указывать путь к файлу или папке в качестве аргумента командной строки. Вредоносное ПО использует метод HTTP PUT для передачи данных на сервер управления и контроля.

Кроме того, если указан параметр командной строки — delete/-d, StealBit удаляет себя после завершения процесса эксфильтрации. Для этого вредоносная программа выполняет следующие команды, где <file size> — размер исполняемого файла, а <file path> — путь к StealBit:

Как видите, пользователи программ-вымогателей могут быть очень изобретательны в процессе кражи конфиденциальных данных. Для решения этой задачи они могут использовать широкий спектр инструментов, поэтому очень важно, чтобы лица, реагирующие на инциденты, были вооружены актуальными данными для расследования угроз кибербезопасности.

Выводы

Двойное вымогательство стало весьма популярной так тикой группировок, связанных с программами-вымогателями. Каждый год в интернете публикуются конфиденциальные данные, украденные у сотен организаций. Поэтому специалисты по реагированию на инциденты должны быть хорошо осведомлены о методах и инструментах, используемых операторами программ-вымогателей, а также о криминалистических артефактах, позволяющих обнаруживать такие действия. Мы должны хорошо знать злоумышленников и их методы.

В этой главе мы рассмотрели распространенные подходы, используемые злоумышленниками для сбора и кражи данных из скомпрометированных сетей, и узнали, какие криминалистические артефакты можно использовать для поиска следов их деятельности.

В следующей главе мы узнаем, как киберпреступники достигают своей конечной цели — развертывания программ-вымогателей.

Глава 11

Методы развертывания программ-вымогателей

Главная цель атаки программы-вымогателя, управляемой человеком, — зашифровать как можно больше данных. Для шифрования злоумышленники используют различные инструменты, как полученные от создателей программ-вымогателей как услуги, так и разработанные ими самими. Иногда применяется легитимное программное обеспечение для шифрования, типичные примеры — BitLocker и DiskCryptor.

Обычно на этом этапе пользователи программ-вымогателей полностью контролируют взломанную сеть: они уже собрали информацию о доступных хостах, получили привилегированные учетные данные, удалили резервные копии, отключили продукты безопасности и позаботились о лазейках для резервного доступа.

В этой главе мы рассмотрим наиболее распространенные методы, используемые злоумышленниками для развертывания программ-вымогателей в корпоративных сетях, а также кратко обсудим процесс их анализа.

Мы затронем следующие темы:

Изучение злоупотребления RDP.

Изучение злоупотребления административными сетевыми ресурсами.

Изучение злоупотребления групповыми политиками.

Изучение злоупотребления RDP

Как вы уже знаете, многие вымогатели получают первоначальный доступ, атакуя общедоступные серверы протокола удаленного рабочего стола (RDP). Кроме того, службы удаленного доступа и особенно RDP — один из наиболее распространенных методов, используемых злоумышленниками для горизонтального перемещения. К сожалению, многие системные и сетевые администраторы также постоянно используют эти сервисы, в результате все, что нужно злоумышленникам, — это получить соответствующие учетные данные. Поэтому вполне естественно, что многие киберпреступники злоупотребляют RDP в том числе и для развертывания программ-вымогателей.

В большинстве случаев вам приходится начинать расследование с последней стадии жизненного цикла атаки — с развертывания программы-вымогателя. Поэтому первое, что вы должны сделать, — это выяснить, каким образом была развернута программа-вымогатель и что стало источником заражения.

Современные программы-вымогатели часто меняют расширения зашифрованных файлов, а также создают файлы с инструкциями для жертвы. Чтобы попытаться выявить первую опорную точку, то есть начало процесса шифрования, можно начать с анализа главной файловой таблицы (Master File Table, MFT).

Как видно на рисунке 11.1, процесс шифрования начался 14 ноября 2021 г., около 10:37 по Гринвичу. Программа-вымогатель создала ряд файлов с именем how_to_decrypt.hta — эти файлы содержат инструкции для жертвы о том, как связаться со злоумышленниками, чтобы заплатить выкуп и получить программное обеспечение для дешифровки.

Рис. 11.1. Файлы с инструкциями по расшифровке, созданные программой-вымогателем

Попробуем идентифицировать исполняемый файл программы-вымогателя. Мы можем прокрутить временну́ю шкалу до первого созданного файла. Здесь мы видим очень подозрительный файл трассировки.

Рис. 11.2. Файл трассировки, возможно, связанный с программой-вымогателем

Надеюсь, вы помните, что пользователи программ-вымогателей часто удаляют свои инструменты со взломанных хостов. Иногда это делают сами программы-вымогатели — многие штаммы имеют функцию самоудаления. Тем не менее в нашем распоряжении остаются самые разнообразные источники доказательств исполнения. Эти улики позволяют службам реагирования на инциденты идентифицировать вредоносные и подозрительные исполняемые файлы, использованные злоумышленниками.

В данном случае нам недоступен собственно вредоносный исполняемый файл — зато у нас есть файл трассировки, указывающий на подозрительный запуск файла непосредственно перед началом создания файлов с инструкциями. Файл назывался. cr_hand.exe — не самое распространенное название.

Еще один вопрос, на который вы должны попытаться ответить, заключается в следующем: как злоумышленник запустил программу-вымогатель на хосте или хостах? Если используется RDP, то в большинстве случаев пользователи программы-вымогателя просто копируют вредоносный файл на целевой хост и запускают его вручную. Это значит, что мы можем обнаружить соответствующие артефакты в NTUSER.DAT, например UserAssist.

Рис. 11.3. Записи UserAssist, извлеченные с помощью RegRipper

Теперь мы знаем, что интересующий нас файл был запущен в 10:30:27 по Гринвичу. Но здесь есть и другие интересные записи.