Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Unified Kill Chain

Unified Kill Chain объединяет и расширяет Cyber Kill Chain® и MITRE ATT&CK®. Ее разработал Пол Полс в своей магистерской диссертации «Моделирование атак Fancy Bear: унификация жизненного цикла Cyber Kill Chain» (Modeling Fancy Bear Attacks: Unifying the Cyber Kill Chain).

Официальная версия доступна по ссылке: https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf.

Unified Kill Chain разделяет жизненный цикл атаки на три основных этапа: первоначальный доступ, распространение по сети и целевые действия. Рассмотрим каждый этап в отдельности.

Первоначальный доступ

На первом этапе описываются шаги, предпринимаемые злоумышленниками для получения доступа к целевой системе или сети.

Рис. 12.1. Этапы первоначального доступа

Жизненный цикл начинается с изучения цели (Разведка). Затем злоумышленникам необходимо подготовить инфраструктуру: вредоносные программы (в том числе программы-вымогатели) и другие инструменты, а также инфраструктуру управления и контроля и т. д. (Вооружение). Если в контексте вооружения используются те или иные объекты, например вредоносные документы, их необходимо доставить к цели (Доставка). Злоумышленники должны либо обманом заставить жертву загрузить и открыть вредоносный файл (Социальная инженерия), либо использовать для запуска уязвимость (Эксплуатация). После запуска вредоносного объекта злоумышленникам может потребоваться постоянный доступ к взломанной системе (Закрепление). Чтобы начать действовать, злоумышленники должны обойти средства защиты (Обход защиты), а также иметь возможность продолжать взаимодействие со скомпрометированной системой (Управление и контроль).

Распространение по сети

Как только операторы программы-вымогателя закрепятся в целевой системе, они готовы перейти к следующему этапу — распространению по сети.

Рис. 12.2. Этапы распространения по сети

Злоумышленники должны собрать информацию о скомпрометированной системе, чтобы знать свои текущие привилегии и уровень доступа (Обнаружение). Если привилегий недостаточно, взломщики могут повысить их, например, используя уязвимости (Повышение привилегий). Обладая повышенными привилегиями, операторы программы-вымогателя могут запускать произвольный код во взломанной системе (Выполнение). Возможность запуска произвольного кода позволяет мошенникам получать учетные данные (Доступ к учетным данным). Имея надлежащие учетные данные, пользователи программы-вымогателя могут обнаружить удаленные хосты (Обнаружение) и начать горизонтальное перемщение (Горизонтальное перемещение), чтобы перейти к целевым действиям.

Целевые действия

Имея надлежащие учетные данные и возможность горизонтального перемещения, операторы программ-вымогателей могут перейти к заключительному этапу — целевым действиям.

Как вы уже хорошо знаете, в большинстве атак с использованием программ-вымогателей, управляемых человеком, одна из основных целей

Рис. 12.3. Этапы целевых действий

злоумышленников — доступ к ценным данным. Как только такие данные обнаружены, их собирают (Сбор данных) и выгружают (Кража данных). Когда данные выгружены, злоумышленники могут переходить к заключительному этапу — развертыванию программы-вымогателя (Воздействие).

Мы рассмотрели различные жизненные циклы, и теперь давайте составим собственный — Unified Ransomware Kill Chain.

Unified Ransomware Kill Chain

Из этой книги вы узнали многое о киберугрозах, связанных с программами-вымогателями, а также рассмотрели наиболее распространенные методы, используемые злоумышленниками. Теперь у вас есть четкое представление об атаках с использованием программ-вымогателей, управляемых человеком, и мы готовы построить собственный жизненный цикл Unified Ransomware Kill Chain.

Получение доступа к сети

Операторы программ-вымогателей могут получать доступ к целевой сети самостоятельно или приобретая его у брокеров первоначального доступа. Это может быть доступ к определенному хосту в сети или к самой сети, например, через скомпрометированные учетные данные VPN.

Для получения доступа может использоваться широкий спектр методов, от довольно распространенных, таких как атаки методом грубой силы и фишинговые электронные письма, до более сложных, таких как атаки на цепочку поставок.

Подготовка к развитию атаки

Этот этап может включать в себя различные действия: сбор информации о взломанном хосте, поиск способов повышения привилегий и доступа к учетным данным, а также отключение или обход средств защиты для того, чтобы начать разведку и продвижение по сети.

Кроме того, злоумышленникам может потребоваться постоянный и резервный доступ к скомпрометированной системе.

Сетевая разведка

Прежде чем начать распространение по сети, взломщики должны собрать информацию об удаленных системах, чтобы знать, на что им следует обратить внимание в первую очередь.

Обнаружение ключевых объектов

Не каждый хост одинаково ценен для злоумышленников. В основном их интересуют объекты, где можно получить дополнительные привилегированные учетные данные, собрать ценную информацию и, конечно же, добраться до резервных копий.

Продвижение по сети

Чтобы получить доступ к наиболее ценным объектам, операторы программ-вымогателей должны перемещаться по сети в горизонтальном направлении. Как вы уже знаете, для этого они обычно используют легитимные инструменты и методы.

Кража данных

Иногда операторы программ-вымогателей крадут данные только с одного хоста, например с файлового сервера, иногда они собирают и выгружают данные из нескольких источников. В некоторых случаях эти действия занимают месяц и даже больше.

Как правило, современные атаки с использованием программ-вымогателей сопровождаются кражей данных, но иногда злоумышленники пропускают этот этап.

Подготовка к развертыванию

Злоумышленники должны отключить продукты безопасности, установленные в скомпрометированной сети, и удалить резервные копии данных. Это делается до того, как взломщики могут приступить к развертыванию программы-вымогателя.

Развертывание программ-вымогателей

На этом этапе злоумышленники пытаются достичь своей главной цели — развернуть программу-вымогатель. Важно отметить, что в некоторых случаях они даже не используют вредоносный код, а шифруют данные с помощью легитимных инструментов, таких как BitLocker и DiskCryptor.

Большинство программ-вымогателей очень заметны, поэтому злоумышленники пытаются найти новые способы обхода защиты.

Вымогательство

Зашифровать всю сеть и ждать ответа от жертвы может быть не очень эффективно, поэтому лица, связанные с программами-вымогателями, изобретают новые способы ускорения процесса. Они могут размещать образцы украденных данных на DLS, звонить сотрудникам жертвы и даже проводить DDoS-атаки на уже скомпрометированную инфраструктуру.

Рис. 12.4. Унифицированный жизненный цикл атак с использованием программ-вымогателей

Три этапа унифицированного жизненного цикла закольцованы, потому что операторы программ-вымогателей могут выполнять одни и те же действия на нескольких хостах.

Службы реагирования на инциденты могут использовать данный жизненный цикл для реконструкции атак при реагировании на инциденты, а также для структурирования окончательного отчета, чтобы каждый этап атаки был доступно описан с использованием достаточного количества артефактов.

Выводы

Теперь вы многое знаете о современных атаках с использованием программ-вымогателей и о том, как находить и отслеживать различные источники знаний о киберугрозах.

Понимая жизненный цикл атак с использованием программ-вымогателей, вы можете использовать различные модели, в том числе унифицированный жизненный цикл атак с использованием программ-вымогателей, для реконструкции таких атак. Кроме того, теперь вы знаете, как решать эту задачу при помощи наиболее распространенных криминалистических артефактов.

Я надеюсь, что эта книга поможет вам не только реагировать на инциденты, но и лучше понять текущий ландшафт угроз, связанный с атаками программ-вымогателей, управляемых человеком.

Последнее важное замечание: не стоит ограничиваться только теми криминалистическими артефактами, которые описаны в