Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Файлы шифруются с помощью curve25519/Salsa20, ключ — с помощью curve25519/AES-256-CTR. REvil добавляет собственное расширение к зашифрованным файлам, например.1qu4746az.

REvil также меняет обои рабочего стола (сбрасывает свой вариант в папку %Temp%) и создает сообщения с требованиями выкупа во всех папках с зашифрованными файлами.

Чтобы закрепиться в системе, REvil изменяет ключ реестра SOFTWAREMicrosoftWindowsCurrentVersionRun.

Злоупотребление административными сетевыми ресурсами — это не единственный метод, используемый злоумышленниками для развертывания программ-вымогателей в масштабах предприятия. Другой распространенный путь — изменение групповых политик.

Изучение злоупотребления групповыми политиками

Изменение групповых политик — метод развертывания программ-вымогателей, который набирает все более широкую популярность среди злоумышленников.

В большинстве случаев к моменту развертывания сеть уже полностью скомпрометирована, поэтому злоумышленникам не составит труда перейти на контроллер домена и злоупотребить групповыми политиками для запуска программы-вымогателя в масштабах всего предприятия.

Более того, некоторые программы-вымогатели имеют встроенные возможности использования модификации групповых политик для самостоятельного распространения. Хороший пример — программа-вымогатель LockBit.

Вы можете пойти тем же путем, который мы рассмотрели ранее: найдите первое сообщение с требованием выкупа и начните проверять, что произошло до того, как оно было создано. В этом случае мы видим, что был создан очень подозрительный объект групповой политики (Group Policy Object, GPO).

Рис. 11.15. Объект групповой политики, созданный программой-вымогателем LockBit

Как мы видим, создан новый объект с глобальным уникальным идентификатором (Globally Unique Identifier, GUID) {E97EFF8F-1C38–433C-9715–4F53424B4887}. Более того, в папке C: WindowsSYSVOLdomainscripts находится весьма подозрительный файл 586A97.exe.

Сперва давайте рассмотрим несколько файлов расширяемого языка разметки (Extensible Markup Language, XML). Например, Services.xml содержит информацию о службах, которые следует остановить. Вот выдержка из этого файла.

Следующий файл, Files.xml, копирует подозрительный файл из указанной ранее общей папки в папку Desktop на целевом хосте (рис. 11.16).

Наконец, файл ScheduledTasks.xml используется для создания запланированной задачи, чтобы остановить перечисленные процессы и запустить исполняемый файл программы-вымогателя (рис 11.17).

Рис. 11.16. Содержимое файла Files.xml

Рис. 11.17. Фрагмент списка процессов из ScheduledTasks.xml

Еще один примечательный файл — Registry.pol. Он содержит информацию об изменениях реестра для отключения различных функций Защитника Windows, чтобы тот не мог прервать процесс шифрования.

Мы можем использовать хеш файла 586A97.exe, чтобы попытаться идентифицировать его (рис. 11.18).

Рис. 11.18. Записи о подозрительном файле

Итак, теперь мы твердо знаем, что столкнулись с программой-вымогателем LockBit. Продолжая криминалистический анализ, заглянем в журналы событий Windows, связанные с PowerShell, и найдем запись, изображенную на рисунке 11.19.

Рис. 11.19. Подозрительная запись в журналах событий PowerShell Windows

Как мы видим, LockBit злоупотребляет PowerShell, чтобы принудительно обновить групповые политики.

Давайте посмотрим на саму программу-вымогатель LockBit.

Обзор программы-вымогателя LockBit

Перед началом процесса шифрования программа-вымогатель LockBit останавливает процессы и службы из встроенного списка, а также блокирует восстановление системы, выполняя следующие команды:

LockBit использует шифр AES-128 в режиме CBC для шифрования файлов на целевом хосте. Она добавляет расширение. lockbit к каждому зашифрованному файлу и меняет их значки.

Программа-вымогатель также меняет фоновое изображение рабочего стола на следующее:

Рис. 11.20. Фоновое изображение LockBit 2.0

LockBit создает сообщения с требованием выкупа в каждой папке с зашифрованными файлами. Файлы с сообщениями с требованием выкупа имеют имя RESTORE-MY-FILES.txt.

Программа-вымогатель LockBit также может создавать объекты групповой политики, чтобы отключать антивирусное программное обеспечение, завершать список процессов и распространять себя.

Выводы

Лица, связанные с программами-вымогателями, в зависимости от своих навыков и целей используют различные методы для распространения вредоносного кода в масштабах предприятия.

В этой главе мы рассмотрели самые распространенные методы развертывания программ-вымогателей на предприятиях, наблюдаемые в современных атаках, управляемых человеком, и узнали, как использовать различные криминалистические артефакты для обнаружения атаки и ее реконструкции.

Поскольку мы уже много знаем о том, как реагировать на атаки с использованием программ-вымогателей и обнаруживать различные методы злоумышленников, можно подвести итоги и представить унифицированный жизненный цикл атак с использованием программ-вымогателей.

В последней главе мы рассмотрим различные жизненные циклы, в том числе Cyber Kill Chain, MITRE ATT&CK и Unified Kill Chain, а также рассмотрим унифицированный жизненный цикл, характерный для атак с использованием программ-вымогателей — Unified Ransomware Kill Chain.

Глава 12

Унифицированный жизненный цикл атак с использованием программ-вымогателей

Теперь вы многое знаете о том, как действуют злоумышленники на различных этапах жизненного цикла атак программ-вымогателей, управляемых человеком. Мы обсудили, как получать и использовать знания о киберугрозах, как собирать данные из различных источников и как выполнять криминалистический анализ цифровых данных, чтобы реконструировать различные этапы атак в ходе реагирования на инциденты.

В этой главе мы обобщим все эти знания, рассмотрев различные жизненные циклы атак, и сформируем унифицированный жизненный цикл атак с использованием программ-вымогателей.

Мы рассмотрим следующие темы:

Cyber Kill Chain®.

MITRE ATT&CK®.

Unified Kill Chain.

Unified Ransomware Kill Chain.

Cyber Kill Chain®

Cyber Kill Chain® была представлена компанией Lockheed Martin как часть модели Intelligence Driven Defense®. Эта модель описана в официальном документе «Защита компьютерной сети на основе разведданных, собранных при анализе кампаний злоумышленников и жизненных циклов вторжений» (Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf).

Согласно этому документу, Cyber Kill Chain® состоит из следующих семи этапов.

Разведка.

Подготовка.

Доставка.

Эксплуатация.

Установка.

Управление и контроль.

Целевые действия.

Рассмотрим каждый этап более подробно.

Разведка

На этом этапе злоумышленники собирают информацию о цели, изучая веб-сайты и социальные сети, а также собственно целевую инфраструктуру — особенно ее общедоступную часть. Также на этом этапе операторы программ-вымогателей могут общаться с брокерами первоначального доступа и собирать информацию о доходах будущей жертвы — она нужна для определения суммы выкупа.

Этап разведки сильно недооценен. Часто злоумышленник изучает потенциальную жертву в течение недель или месяцев, а иногда — и лет. Это делается не только для того, чтобы получить полную внешнюю картину, но и для того, чтобы изучить особенности работы бизнеса цели.

Подготовка

В документе Lockheed Martin описан процесс подготовки вредоносного документа, который впоследствии доставляется путем целевого фишинга. Кроме того, операторам программ-вымогателей могут потребоваться эксплойты, подходящие для получения начального доступа, повышения привилегий или, например, горизонтального перемещения по сети. Также они занимаются подготовкой и настройкой серверов (например, Cobalt Strike) и выбором подходящих инструментов для планируемой атаки.

Доставка

На этом этапе выполняется доставка вредоносных инструментов, в документе описан используемый для этого метод.

Этот этап можно разделить на два. Пользователям программ-вымогателей может потребоваться доставить бот, инструмент удаленного доступа (remote access tool, RAT) / троян или, например, веб-шелл для получения