Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

\Documents and Settings\user\Application Data\TeamViewer\ TeamViewer6_Logfile.log

В процессе восстановления и анализа удаленной информации обнаружены следующие файлы (рис. 2.8):

Рис. 2.8.Журнал событий SysEvent.Evt

— Documents and Settings\user\Local Settmgs\Temp\Новый документ в формате Word.rar/_/^/Новый документ в формате Word.exe;

— Documents and Settings\user\Local Settings\Temp\файлы. zip// Новый документ в формате Word.exe.

Файл «Новый документ в формате Word» с расширением «.exe» размещался в двух архивах «Новый документ в формате Word.rar» и «файлы. zip», обнаруженных во временной папке пользователя.

Обнаруженный файл является разновидностью вредоносной программы Backdoor.Bot, скомпилированной 16.10.2015 в 06:08:13, после чего злоумышленником проведена проверка на ресурсе https:// www.virustotaL.com 16.10.2015 в 07:57:04. Надо сказать, что на момент первичной проверки данная программа антивирусным программным обеспечением как вредоносная не определялась.

Анализ обнаруженной программы позволяет определить время ее компиляции (создания), а также ее функциональные возможности.

Кроме того, внимательное исследование вредоносной программы может дать множество полезной информации для дальнейшего расследования инцидента. Так, можно установить серверы, на которые вредоносной программой отправлялась информация и где может располагаться панель управления.

Оперативное отслеживание таких серверов позволяет пресекать деятельность злоумышленников и приводить деятельность вредоносной программы к бессмысленному исполнению. Если вредоносная программа типа бэкдора не получает команд и лишена обратной связи, ее нахождение в системе не сможет привести ни к каким плачевым последствиям.

Как правило, функционал бэкдора включает в себя оповещение злоумышленника о факте его запуска (установки). И обнаруженная разновидность также содержит возможность сбора и отправки файлов и другой информации посредством почтового сервиса.

В приведенном примере анализ вредоносной программы позволил выявить сетевую активность и установить ресурсы, к которым обращалась программа: IP-адреса и удаленные порты. Если правильно и своевременно использовать полученную информацию, она может многократно увеличить шансы на раскрытие преступления и установление злоумышленников.

Анализ сетевой активности указывает на обращение программы (обмен данными) к ресурсу http://Lastsnow.Link/, на момент времени проведения данного исследования указанный ресурс размещен на сервере с IP-адресом 109.236.90.125. Анализ сетевой активности программы указывает на обращение к IP-адресу 109.236.90.125 с использованием порта 80.

Функционал программы содержит возможность отправки файлов и другой информации посредством почтового сервиса gmail.com. Программа предназначена для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации, предоставления удаленного неправомерного доступа.

В процессе восстановления и анализа удаленной информации обнаружены также командные файлы (программы), предназначенные для модификации и удаления информации:

sys.bat 16.10.2015 13:39

4echoc.bat 16.10.2015 13:43

4echod.bat 16.10.2015 13:46

4echoe.bat 16.10.2015 13:48

4echog.bat 16.10.2015 13:49

Выявленные командные файлы были созданы на диске «С» в период времени с 13:39 до 13:49 16.10.2015, после чего были активизированы (запущены), на что указывают записи в журнале событий SysEvent.evt.

Свойства файлов и записи в журналах событий указывают на то, что к операционной системе был совершен доступ посредством локальной сети или сети Интернет, после чего, с целью сокрытия следов, злоумышленником были созданы и запущены для исполнения командные файлы, предназначенные для удаления файлов.

Очевидно, что компьютер был выбран не случайно, на это указывают многочисленные попытки подключений с использованием протокола RDP, которые, однако, успехом не увенчались. Был бы пароль проще, злоумышленники не перешли бы к плану «Б» своей комбинированной атаки.

Планом «Б» был заброс вредоносной программы через электронную почту в результате фишинговой атаки. Небольшой сбор информации позволил злоумышленникам установить круг возможных партнеров организации и направление деятельности. На основе собранной информации было подготовлено фишинговое письмо от некоего партнера, содержащее вложенные файлы якобы в формате Microsoft Word.

Следующим этапом стали проникновение в операционную систему, изучение обстановки, размещение на компьютере жертвы вспомогательных вредоносных программ, позволяющих более комфортно чувствовать себя во взломанной системе.