Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Как вы, возможно, уже поняли, ответ на вопрос «как» позволяет борцам со взломщиками собирать информацию о различных тактиках, техниках и процедурах преступников и помогает обнаружить и нейтрализовать их. Отвечая на вопрос «где», мы узнаем, где искать следы реализации различных тактик, техник и процедур, что позволяет нам применять упреждающий подход.

Давайте продолжим анализ отчета SentinelLabs о программе-вымогателе Hive и сосредоточимся на разделе «Технический анализ» (Technical analysis).

Одна из лучших структур, описывающая тактики, техники и процедуры (англ. tactics, techniques, and procedures, сокр. TTP), — MITRE ATT&CK®.

MITRE ATT&CK® представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак. Она состоит из следующих основных частей.

Тактики — тактические цели нарушителей, такие как получение первоначального доступа к целевой сети.

Техники — общие определения средств, которые злоумышленники используют для достижения своих целей, например целевой фишинг.

Подтехники — более конкретные описания методов злоумышленников, такие как использование вредоносных вложений.

Процедуры — как именно злоумышленник использует технику или подтехнику, например вредоносный документ Microsoft Office, вложенный в целевое фишинговое электронное письмо.

В этой книге мы будем активно обращаться к MITRE ATT&CK®, поэтому, если вы не знакомы с этой базой знаний, посетите официальный сайт: https://attack.mitre.org/.

Первое, что мы видим в разделе «Технический анализ» отчета SentinelLabs, — то, что начальные векторы атаки могут различаться. К сожалению, в этом отчете не названы возможные варианты.

Зато мы сразу же узнаем о любимом фреймворке постэксплуатации злоумышленников — Cobalt Strike. Правда, в отчете нет никаких подробностей о том, как именно он использовался во время атак. В то же время исследователи делятся информацией о другом инструменте, ConnectWise — легитимном инструменте удаленного администрирования, используемом злоумышленниками для поддержания доступа к взломанной сети. Как вы уже знаете из главы 3 «Процесс реагирования на инциденты», использование таких инструментов очень распространено среди групп, связанных с программами-вымогателями.

MITRE ATT&CK® содержит описание этого метода. Его ID — T1219, а название — Remote Access Software (https://attack.mitre.org/techniques/T1219/). Суть заключается в том, что злоумышленники могут использовать различные инструменты удаленного доступа, такие как TeamViewer, AnyDesk и т. д., в качестве альтернативных каналов связи для резервного доступа к скомпрометированным хостам.

Далее мы рассмотрим другие методы, описанные в отчете.

Во-первых, мы видим, что для запуска исполняемых файлов злоумышленники использовали cmd.exe. Теперь мы знаем подтехнику, а именно Windows Command Shell (T1059.003).

Кроме того, для обхода защиты злоумышленники использовали rundll32.exe — это пример подтехники «запуск на исполнение через подписанные двоичные файлы» — signed binary proxy execution (T1218.011).

Наконец, основная цель, которую мы здесь видим, — получить доступ к учетным данным. В данном случае это сделано путем злоупотребления системной библиотекой comsvcs.dll для получения дампа процесса lsass.exe, то есть подтехникой дампинга учетных данных ОС — выгрузки памяти Сервиса проверки подлинности локальной системы безопасности (LSASS) (T1003.001).

Зачем нужен дампинг? Дело в том, что система хранит в своей памяти различные элементы учетных данных, и, если злоумышленники смогут сбросить содержимое памяти на диск, они получат возможность использовать различные инструменты для извлечения актуальных учетных данных.

Чтобы включить кэширование учетных данных в открытом виде, злоумышленники внесли изменения в реестр, снова задействовав cmd.exe:

Это еще один метод, задокументированный в MITRE ATT&CK®, — редактирование реестра (Т1112).

Другой важный факт, представленный в этом отчете, состоит в том, что на этапе постэксплуатации злоумышленники использовали ADRecon. Это еще один популярный инструмент, с помощью которого можно извлекать различные артефакты из среды Active Directory, многие операторы программ-вымогателей применяют его на этапе сетевой разведки. Опять же, нет информации о том, как именно он использовался во время данной кампании. Однако, поскольку это инструмент на основе PowerShell, мы можем выделить еще одну подтехнику использования интерпретатора команд и сценариев — PowerShell (T1059.001). Сценарии PowerShell очень распространены, и вы столкнетесь с ними в контексте почти любых инцидентов, связанных с атаками с использованием программ-вымогателей.