Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

первоначального доступа, а по завершении постэксплуатации и кражи данных им нужно будет развернуть программу-вымогатель.

В некоторых случаях на этом этапе может быть задействована отдельная команда злоумышленников, включая брокера первоначального доступа.

Доставка — это часть жизненного цикла атаки. Другой распространенный метод — установка дополнительной лазейки перед развертыванием. Как мы видели, большинство современных злоумышленников прибегают к этому, чтобы быть уверенными в том, что они не потеряют соединение или не будут заблокированы.

Эксплуатация

Обычно этот этап связан с эксплуатацией уязвимостей для запуска инструментов.

Разумеется, вы помните об уязвимостях, связанных с Microsoft Office, Microsoft Exchange и другими программами, но помимо них злоумышленники могут пользоваться человеческими уязвимостями, применяя для этого множество методов, основанных на фишинге.

Кроме того — особенно когда речь идет о развертывании программ-вымогателей — злоумышленники могут использовать различные встроенные функции и «подручные средства», то есть имеющиеся функции взломанных систем, чтобы обойти защиту и действовать незаметно.

Установка

На этом этапе злоумышленники должны закрепить доставленные инструменты в скомпрометированной системе, чтобы обеспечить резервный доступ к ней. Речь идет не о какой-то одной программной закладке, а об обширном наборе инструментов. Злоумышленники могут воспользоваться учетными данными к общедоступным серверам, организовать VPN-доступ к скомпрометированной сети, установить легитимное программное обеспечение для удаленного доступа и т. д.

Важно, что на этом этапе может существовать несколько установок инструментов и несколько рабочих каталогов, включая фальшивые каталоги, которые создаются, чтобы отвлечь специалиста по реагированию от инструментов, предназначенных для «боевого» использования.

Управление и контроль

После успешной установки злоумышленники должны обеспечить возможность взаимодействия со скомпрометированным хостом извне.

Как вы уже знаете, операторы программ-вымогателей могут использовать различные инструменты и технологии: боты, RAT, веб-шеллы и даже легитимное программное обеспечение для удаленного доступа. То, какие именно каналы коммуникации будут задействованы, во многом зависит от предпочтений злоумышленников.

Целевые действия

На этом этапе описываются все действия, предпринимаемые злоумышленниками для достижения поставленных целей. Он охватывает весь процесс постэксплуатации и может включать повышение привилегий, доступ к учетным данным, горизонтальное перемещение, а также кражу данных и развертывание программ-вымогателей.

Cyber Kill Chain® была разработана довольно давно и в настоящее время уже несколько устарела, поскольку описывает преимущественно начальный этап атаки. Рассмотрим более современную версию — MITRE ATT&CK®.

MITRE ATT&CK®

ATT&CK — это глобально доступная база знаний о стратегиях и процедурах злоумышленников, основанная на реальных наблюдениях. Она разработана и поддерживается корпорацией MITRE при участии глобального сообщества кибербезопасности.

Мы уже ссылались на эту базу знаний в этой книге. Я рекомендую ознакомиться с документом «MITRE ATT&CK®: дизайн и философия» (MITRE ATT&CK®: Design and Philosophy, https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf).

В MITRE ATT&CK® описано 14 тактических действий преступников:

Разведка.

Подготовка ресурсов.

Первоначальный доступ.

Выполнение.

Закрепление.

Повышение привилегий.

Обход защиты.

Доступ к учетным данным.

Обнаружение.

Горизонтальное перемещение по сети.

Сбор данных.

Управление и контроль.

Кража данных.

Воздействие.

Рассмотрим каждое действие отдельно.

Разведка

Преступник собирает информацию о цели. Как обсуждалось ранее, злоумышленники могут использовать для создания профиля потенциальной жертвы и получения информации, необходимой для начала атаки, как пассивные, так и активные методы.

Есть много способов разведки. Одни взломщики предпочитают использовать инструменты двойного назначения, в то время как другие все делают вручную — это зависит от того, что будет эффективнее работать в каждом конкретном случае.

Подготовка ресурсов

Это отдельный этап, на котором злоумышленники занимаются подготовкой инфраструктуры — настраивают серверы, регистрируют домены, готовят фишинговые письма, получают программы-вымогатели или другие виды вредоносных программ и инструментов от сторонних поставщиков и т. д.

Первоначальный доступ

Злоумышленники, в том числе лица, связанные с программами-вымогателями, могут использовать различные методы для получения первоначального доступа к целевой сети. Как вы уже знаете, они могут использовать общедоступные приложения, целевой фишинг, а также злоупотреблять службами удаленного доступа или доверительными отношениями для перехода из одной скомпрометированной сети в другую.

Выполнение

В течение жизненного цикла атаки злоумышленникам необходимо запускать различные команды и бинарные файлы. Это могут быть инструменты, загруженные и запущенные с помощью вредоносных макросов, встроенных в документ Microsoft Office, различные разведывательные команды, выполняемые через веб-шелл, или двоичный файл программы-вымогателя, запускаемый на удаленном хосте с помощью PsExec.

Закрепление

Взломщикам нужно удерживать занятые позиции. Для резервного доступа к взломанной сети они могут использовать как легитимное программное обеспечение удаленного доступа, так и более традиционные методы сохранения при перезагрузке, например редактирование реестра или создание запланированных задач.

Повышение привилегий

Во многих случаях для эффективного запуска действий постэксплуатации злоумышленникам не хватает привилегий — а значит, их нужно повысить. Для этого операторы программ-вымогателей могут использовать различные ошибки конфигурации и уязвимости, а также некоторые методы закрепления.

Обход защиты

Развертывание программ-вымогателей практически невозможно без отключения продуктов безопасности, установленных в целевой сети. Более того, на протяжении всего жизненного цикла атаки злоумышленникам приходится избегать обнаружения, поэтому они запутывают/шифруют свои инструменты и удаляют улики и файлы журналов, чтобы затруднить расследование и процесс реагирования.

Доступ к учетным данным

Обычно в ходе жизненного цикла атаки пользователям программ-вымогателей требуется доступ к различным серверам, например, для кражи данных или удаления резервных копий. Для этого им нужны соответствующие учетные данные. Вы уже знаете, что злоумышленники могут выгрузить их из памяти, извлечь из различных хранилищ паролей или, например, провести атаку kerberoasting.

Обнаружение

Для эксфильтрации наиболее конфиденциальных данных и развертывания программ-вымогателей на максимально возможном количестве хостов злоумышленникам необходимо найти информацию об установленном программном обеспечении, учетных записях, общих сетевых ресурсах и удаленных хостах.

Горизонтальное перемещение по сети

Пользователи программ-вымогателей в основном ориентируются на корпоративные сети, поэтому им нужно перемещаться от одной скомпрометированной системы к другой. В большинстве случаев они используют легитимные учетные данные и протоколы, такие как RDP и SMB.

Сбор данных

Для того чтобы украсть ценные данные и разместить их на DLS, сначала их нужно собрать. Злоумышленники могут извлекать данные из локальных систем, общих сетевых дисков, электронных писем и других источников конфиденциальных данных.

Управление и контроль

Чтобы избежать обнаружения в процессе взаимодействия со скомпрометированными системами, мошенники могут имитировать обычный трафик, запутывать или шифровать передаваемые данные или, например, использовать для подключения прокси-сервер.

Кража данных

Пользователи программ-вымогателей могут красть собранные данные, задействуя канал управления и контроля, а также различные веб-сервисы. Перед извлечением данные могут быть заархивированы и/или зашифрованы.

Воздействие

Основная цель большинства операторов программ-вымогателей — шифрование данных в целевых системах. При этом они всегда пытаются помешать восстановлению системы, уничтожая как встроенные, так и сторонние резервные копии.

Обе модели — Cyber Kill Chain® и MITRE ATT&CK® — имеют свои преимущества и недостатки, поэтому некоторые исследователи пытаются создать на их основе новые модели. Яркий пример — Unified