Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Следующий раздел отчета посвящен анализу самой программы-вымогателя Hive. Он также может раскрыть информацию о TTP злоумышленников. Первое, что мы видим, — программа написана на языке Go, который становится все более и более популярным среди создателей программ-вымогателей. Важно и то, что программа упакована с помощью UPX, распространенного упаковщика, используемого многими злоумышленниками для обхода некоторых средств защиты. Здесь мы имеем дело с подтехникой обфускации (запутывания) файлов или информации — упаковкой программного обеспечения (T1027.002).

Далее мы видим еще один очень распространенный метод, используемый многими преступниками, связанными с программами-вымогателями, — остановка ряда процессов и служб, чтобы без помех все зашифровать. В MITRE ATT&CK® задокументирован и этот метод — остановка служб (T1489).

Идем дальше — программа-вымогатель создает пакетный файл с именем hive.bat, который используется для удаления компонентов вредоносной программы. Вот его содержимое:

Здесь мы имеем дело с подтехникой удаления следов на хосте — удалением файла (Т1070.004).

Это был не единственный пакетный файл, созданный программой-вымогателем. Другой файл, с именем shadow.bat, использовался для удаления теневых копий, чтобы файлы нельзя было восстановить с помощью встроенных возможностей ОС.

Вот содержимое этого командного файла:

Здесь речь идет о методе подавления возможностей восстановления системы (T1490).

И, наконец, одна из самых важных техник программ-вымогателей — это шифрование данных для оказания воздействия на жертву (T1486).

Давайте соберем найденные данные в таблицу.

Таблица 4.1. Сводная таблица MITRE ATT&CK

Как видно из таблицы, мы не смогли реконструировать весь жизненный цикл атаки из отчета, но все же мы извлекли много TTP, на знания о которых можно опереться как в ходе реагирования на инциденты, так и при проактивном поиске угроз.

Мы продолжим анализ доступных отчетов в главе 6 «Сбор данных о киберугрозах, связанных с программами-вымогателями».

Тактическая информация о киберугрозах нужна для работы различных продуктов безопасности, таких как система управления информацией и событиями безопасности (Security Information and Event Management, SIEM), межсетевые экраны, системы обнаружения/предотвращения вторжений (Intrusion Detection Systems/Intrusion Prevention Systems, IDS/IPS) и т. д. с индикаторами компрометации (Indicators of Compromise, IoC).

Этот уровень информации о киберугрозах сосредоточен на том, «что» — что конкретно происходит. Традиционно этот вид аналитики был самым распространенным, и многие вендоры предоставляли так называемые фиды — новостные ленты, или ленты актуальной информации, но в настоящее время все больше организаций ориентируются на TTP, так как классические индикаторы имеют очень короткий жизненный цикл.

В большинстве случаев эти индикаторы состоят из IP-адресов, доменных имен и хешей. Обычно хеши бывают следующих типов:

MD5

SHA1

SHA256

Этими индикаторами удобно делиться с помощью платформ анализа киберугроз, таких как MISP, их можно использовать как для исследования, так и для обнаружения.

Вернемся к отчету, который мы анализируем. В нем есть раздел «Индикаторы компрометации». Он содержит ряд хешей, как типа SHA1, так и типа SHA256. Поскольку это хеши одних и тех же файлов, давайте сосредоточимся на первом типе — SHA1:

Если воспользоваться одним из сервисов для анализа разного рода вредоносного контента, например VirusTotal (https://www.virustotal.com/), можно обнаружить, что все эти хеши относятся к штаммам программы-вымогателя Hive.

Рис. 4.3. Записи VirusTotal для одного из хешей

С точки зрения обнаружения они не очень полезны, так как версии программ-вымогателей в большинстве случаев создаются специально под каждую атаку, а значит, их хеши не будут совпадать.

Кроме того, в отчете есть IP-адрес, связанный с Cobalt Strike Beacon. Вы всегда можете собрать дополнительную информацию об IP-адресах, особенно принадлежащих различным фреймворкам постэксплуатации. Например, можно проверить, связан ли сервер с Cobalt Strike (рис. 4.4).

Рис. 4.4. Информация о проверенном IP-адресе, собранная платформой Group-IB MXDR

Платформа Group-IB MXDR имеет функцию построения графа связей, которую можно использовать для сбора дополнительной информации о собранных вами индикаторах. На рисунке 4.4 мы видим, что IP-адрес 176.123.8.228 относится к серверу Cobalt Strike, поэтому команде безопасности стоит заблокировать или проверить его.

Как видите, даже анализ короткого отчета, имеющегося в открытом доступе, позволит опытному аналитику собрать достаточно информации о киберугрозах, что может быть очень полезно при реагировании на инциденты.

В этой главе мы обсудили различные типы информации о киберугрозах, в том числе стратегическую, оперативную и тактическую информацию, их различия и целевые аудитории. Мы также изучили доступный в сети отчет об угрозах и извлекли разные типы данных, чтобы вы могли получить ясное представление об их различиях.