Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

\Documents and Settings\Admin\Pa6°4KM стол\AA_v3.4.exe RemoteAdmin.Win32.Ammyy.xkg\Documents and Settings\Admin\Application Data\TeamViewerUpdate\2.exe Trojan-Spy.Win32.Teamspy.ca

Анализ файловой структуры и событий в операционной системе показал, что в директории \Documents and Settings\Admm\AppHcation Data\Div\ в период инцидента были созданы следующие файлы (рис. 2.5):

Рис 2.5.Скрытые файлы в директории \Div\

avicap32.dll

cfmon.exe

scankey.pg

TeamViewer_Desktop.exe

TeamViewer_Resource_en.dll

tv.cfg

tv_w32.dll

tv_w32.exe

tv_x64.dll

tv_x64.exe

Среди них также была обнаружена вредоносная программа:

\Documents and Settings\Admin\Application Data\Div\avicap32.dll Backdoor.Win32.TeamBot.z

Обнаруженная разновидность бэкдора (Backdoor.Win32.TeamBot) обладает возможностью управлять файлами и папками на зараженных компьютерах, а также использовать широко распространенные средства удаленного администрирования TeamViewer. Для атаки используется программа удаленного администрирования, распространяемая совместно с вредоносным dll-файлом и зашифрованными в файле конфигурации параметрами для подключения к серверу управления.

Несколько версий программ удаленного доступа может натолкнуть на мысль о том, что кто-либо из сотрудников установил на компьютер указанное ПО и, выбрав удобное время, провел несанкционированные операции.

Анализ журналов операционной системы выявил, что появление вредоносных файлов на компьютере началось одновременно с обращением пользователя к файлам с наименованиями:

— «письмо налогоплательщикам_7dd599820d…»,

— «Рассылка_ИФНС_23129е60с107…».

В результате проведенного анализа компьютера главного бухгалтера в директории «Documents and Settings\Admin\Application Data\ Div\» обнаружены скрытые файлы: avicap32.dll, cfmon.exe, scankey.pg, TeamViewer_Desktop.exe, TeamViewer_Resource_en.dll, tv.cfg, tv_w32. dll, tv_w32.exe, tv_x64.dll, tv_x64.exe, среди которых находится программа удаленного доступа TeamViewer Remote Control Application, замаскированная под системный процесс операционной системы cfmon.exe (языковая панель) и avicap32.dll, относящаяся к вредоносным программам типа «Backdoor».

Обнаруженные файлы и данные системных журналов указывают на осуществление удаленного неправомерного доступа к операционной системе посредством программ удаленного доступа и вредоносных компьютерных программ, предназначенных для несанкционированного уничтожения, модификации и копирования компьютерной информации.

Как показал опрос бухгалтера, при открытии некоторых полученных по электронной почте файлов программа, предназначеннаядля просмотра документов, «ругнулась» на поврежденные файлы, но на этот незначительный инцидент никто внимания не обратил. Рассмотрим анализ другого похожего инцидента.

На компьютере после восстановления файлов произведен анализ журналов событий[38] операционной системы. Журналы событий содержат записи о программных и аппаратных событиях.

В журнале событий SysEvent.Evt (рис. 2.6) содержатся многочисленные записи (в дневное и ночное время):

Удаленный сеанс от клиента по имени а превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Рис. 2.6.Журнал событий SysEvent.Evt

Данные сообщения могут указывать на открытый порт 3389 исследуемого компьютера, на который через локальную сеть (или сеть Интернет) осуществлялись попытки соединения программного обеспечения, использующего протокол RDP (англ. Remote Desktop Protocol) — протокол удаленного рабочего стола.

Функция удаленного рабочего стола предоставляет доступ ко всем программам, ресурсам и возможностям компьютера с любого другого компьютера.

В результате восстановления и анализа удаленных данных выявлено, что в директории

«C: \Documents and Settings\user\Application Data\AdobeTemp»

находились следующие файлы (рис. 2.7):

rundll.exe

TeamViewer_Desktop.exe

TeamViewer_Resource_en.dll

rdw.pg

tv_x64.exe

tv_w32.exe

tv_x64.dll

tv_w32.dll

installvpn.pg

scankey.pg

tv.cfg

Рис. 2.7.Журнал событий SysEvent.Evt

В результате поиска информации среди восстановленных файлов также обнаружен файл, являющийся лог-файлом программы «TeamViewer», используемой для удаленного доступа: