Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Загрузив файл, жертва должна открыть его и в большинстве случаев включить макросы, чтобы вредоносное содержимое записалось на диск или загрузилось с контролируемого злоумышленником или взломанного сервера.

Обычно такие вредоносные документы мотивируют пользователя включить макросы.

Рис. 5.7. Содержимое вредоносного документа13

Тем самым жертва активирует вредоносный контент. Правда, если у жертвы хорошая защита от спама, доставить ей зараженные ссылки или вложения будет не так-то просто. Злоумышленникам приходится действовать более творчески — и у них получается!

Группа киберпреступников Wizard Spider — операторы Bazar, Trickbot, Ryuk, Conti и Diavol — использовала фишинговые письма с информацией о платных подписках и указывала в теле письма номер телефона, по которому жертва могла позвонить, чтобы отменить подписку. Никаких подписок на самом деле не было — это вишинг (голосовой фишинг). Телефонные операторы заманивали жертву на поддельный веб-сайт, чтобы она загрузила форму, необходимую для отмены. Ниже пример такого поддельного сайта.

Рис. 5.8. Поддельный веб-сайт, распространяющий вредоносные документы

Единственной целью таких поддельных веб-сайтов была доставка вредоносных документов.

Выяснить, не столкнулся ли пользователь с попыткой вишинга, довольно просто. Иногда достаточно задать несколько уточняющих вопросов и углубиться в тему, чтобы мошенник сдался.

Другой пример — вредоносная реклама. Например, операторы Zloader создают вредоносные рекламные объявления, и, если жертва использует определенные ключевые слова во время поиска в Google, ее перенаправляют на контролируемый злоумышленниками веб-сайт, где размещен вредоносный файл.

Рис. 5.9. Поддельный сайт, распространяющий Zloader

Иногда злоумышленники используют еще более изощренные тактики первоначального доступа, такие как атаки через цепочку поставок.

Атаки через цепочку поставок обычно требуют больших усилий. И хотя такие атаки весьма прибыльны, они не очень распространены, о них мало кто слышал или рассказывал. Тем не менее примеры подобных атак, приводящих к развертыванию программ-вымогателей, известны.

Первую такую операцию провели операторы программы-вымогателя REvil, взломав итальянскую версию веб-сайта WinRar, чтобы распространять копии REvil.

Вот еще более интересный случай: лица, связанные с программой-вымогателем Darkside, взломали веб-сайт программного обеспечения SmartPSS и стали доставлять бэкдор SMOKEDHAM. Более подробно об этой атаке можно узнать в блоге FireEye: https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html.

Итак, мы обсудили наиболее распространенные тактики первоначального доступа. Далее мы посмотрим, как злоумышленники запускают вредоносный код на целевых системах.

После того как злоумышленники получат доступ к целевой системе, им нужно обеспечить запуск вредоносного кода или инструментов двойного назначения для решения задач постэксплуатации.

Для этого существуют разнообразные методы. Давайте рассмотрим наиболее часто наблюдаемые методы, используемые в контексте атак с использованием программ-вымогателей.

Как вы уже знаете, многие злоумышленники активно используют для получения первоначального доступа фишинг, и в большинстве случаев жертвы должны открыть вложение или ссылку, чтобы запустить вредоносный код. Только после этого злоумышленник получает первоначальный доступ.

Можно посмотреть на этот метод и с другой стороны. Например, если операторы программы-вымогателя проникают в сеть через общедоступный RDP-сервер, они обычно сразу же получают доступ к аккаунтам с повышенными привилегиями, например к учетной записи администратора. Таким образом, в этом случае они сами могут выступать в роли злонамеренного пользователя и выполнять различные команды и инструменты.

На тех или иных этапах жизненного цикла атаки операторы программ-вымогателей могут использовать различные интерпретаторы команд и сценариев.

В случае с фишингом чрезвычайно распространены Windows Command Shell, PowerShell, Visual Basic и даже JavaScript. Давайте рассмотрим некоторые примеры.

Зараженные документы Microsoft Word используются злоумышленниками для распространения экземпляров Trickbot и выполнения вредоносных скриптов VBScript.

Этот скрипт может показаться сложным, но это не так. Он просто загружает Trickbot (inlinelots.png) с адреса 172.83.155[.]147, сохраняет его в папку C: \Users\%user%\AppData\Local и запускает через rundll32.exe — и все!

Другой пример — IcedID. Был случай, когда для доставки этого трояна злоумышленники распространяли архивы с вредоносными файлами JavaScript. Скрипт запускает cmd.exe, который, в свою очередь, запускает powershell.exe.

Если мы декодируем base64, мы увидим, что он загружает с сервера, контролируемого злоумышленником, код для следующего этапа атаки.