Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Важно отметить, что информация о TTP субъектов угроз важна не только для реагирования на инциденты, но и для их предотвращения, поэтому, если вы или участники вашей команды нашли какую-либо информацию о поведении злоумышленника, следует тут же адекватно настроить средства безопасности.

Рассмотрим ситуацию, когда атака еще не произошла — программа-вымогатель пока не развернута, но замечены некоторые предвестники взлома. Какими они бывают?

Мы уже знаем, что для получения первоначального доступа к сети злоумышленники обычно используют Trickbot или BazarLoader. Это значит, что мы должны реагировать на любые события, связанные с подобными угрозами, например на предупреждения от антивирусного программного обеспечения. Антивирусы могут быть полезны, даже если атака уже состоялась, поскольку злоумышленники используют различные инструменты и некоторые из них не могут остаться незамеченными. Поэтому подобные предупреждения могут подсказывать, где побывали злоумышленники во время постэксплуатации.

Кроме того, очень важно изолировать рабочую станцию (если это осуществимо и не повлияет на бизнес-процессы) и проверить, нет ли других необнаруженных артефактов. Если вы успешно обнаружили и удалили штамм BazarLoader, в памяти вполне мог остаться Cobalt Strike Beacon, а субъекты угрозы уже могли переместиться дальше по сети.

То же самое можно сказать и об уликах, указывающих на разведку сети или Active Directory. Если вы обнаружите такую активность, как, например, использование AdFind, очень важно понять, легитимна ли она, и отреагировать.

Это, конечно, не весь список примеров — мы обсудим их более подробно в главе 5 «Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей».

А теперь давайте перейдем к сдерживанию, устранению и восстановлению.

Как только вы разберетесь, с какой атакой имеете дело, пора применить меры сдерживания.

Самое очевидное, что вы можете сделать, — это заблокировать подключения к серверам управления и контроля. Без подключения злоумышленники вряд ли смогут причинить вред сети — если, конечно, они не запланировали выполнение каких-либо задач, которые, например, могут запустить бэкдор с другим адресом командного сервера.

Поэтому может потребоваться отключение всей сети от интернета. Все зависит от стадии жизненного цикла атаки — если вы обнаружили атаку на ранней стадии, изоляция всей сети может быть избыточным решением, но, если злоумышленники провели в вашей сети уже месяц, возможно, стоит перестраховаться.

Многие операторы программ-вымогателей используют легальные приложения для удаленного доступа, например следующие:

TeamViewer

AnyDesk

SupRemo

Remote Utilities

Atera RMM

Splashtop

ScreenConnect

Это значит, что, как только вы обнаружили инцидент, такое программное обеспечение лучше заблокировать.

Как вы уже знаете, большинство злоумышленников занимаются кражей данных. Поэтому, если вы увидели следы деятельности предвестников программ-вымогателей и подозреваете, что злоумышленники все еще находятся в сети, лучше заблокировать доступ к популярным облачным файлообменникам, таким как MEGA, DropMeFiles, MediaFire и пр.

В некоторых случаях — в частности, когда вы имеете дело с первоначальным доступом — может оказаться достаточным изолировать взломанный хост. На самом деле это стоит сделать еще до этапа анализа, чтобы не дать злоумышленникам возможность продвижения по сети.

Киберпреступники стремятся получать повышенные (пусть и не самые высокие) права доступа и действующие учетные записи, поэтому, если вы заметили какие-либо свидетельства, указывающие на скомпрометированные учетные данные, следует сменить их пароли.

Если вы изолировали злоумышленников от взломанной сети и следов последующей вредоносной активности не появляется, можно приступить к удалению вредоносных программ и инструментов, используемых злоумышленниками.

С удалением скриптов и сервисов, не требующих установки, все понятно.

Инструменты удаленного доступа, такие как TeamViewer, имеют удобные деинсталляторы, поэтому удалить их со скомпрометированных хостов будет несложно.

С вредоносными программами несколько сложнее. Например, они могут быть бесфайловыми, то есть находиться только в памяти, не оставляя экземпляра на диске. Если вредоносное ПО закрепилось в скомпрометированной системе, что происходит довольно часто, то оно остается в памяти и после перезагрузки.

Назовем некоторые широко распространенные механизмы закрепления, используемые вредоносными ПО, которые используются в атаках с использованием программ-вымогателей.

Ключи запуска реестра или папки автозагрузки.

Службы Windows.

Запланированные задания.

Можно обойтись без удаления механизма устойчивости, если вы уже удалили вредоносное ПО, но иногда это может привести к ложному обнаружению угрозы. Однажды мой клиент обнаружил вредоносную службу, связанную с Cobalt Strike, — моя команда моментально отреагировала, но вскоре выяснилось, что это всего лишь пережиток прошлой атаки, с которой команда клиента боролась несколько лет назад.