Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Как видите, использование интерпретаторов команд и сценариев очень распространено, но часто в этих случаях жертва сама должна запустить скрипт или включить макросы. Конечно, это не единственный вариант, поскольку иногда злоумышленники используют уязвимости в программном обеспечении для автоматического запуска вредоносного кода. Казалось бы, использование PowerShell в преступных целях может остаться незамеченным, но на самом деле PowerShell с его системой мониторинга создает много шума и иногда позволяет легко сузить область поиска.

Мы уже обсуждали, как для получения первоначального доступа к сети злоумышленники используют уязвимости в общедоступных приложениях, но в некоторых случаях они также могут использовать уязвимости в офисном ПО, например в Microsoft Office. Тем не менее, прежде чем вы сосредоточитесь на внутренних уязвимостях, настоятельно рекомендуется сначала закрыть уязвимости в публично доступных приложениях.

Очень хороший пример — недавняя уязвимость в MSHTML (CVE-2021–40444), которую группа Wizard Spider активно использовала для доставки экземпляров Bazar и Cobalt Strike.

Часто злоупотребляют встроенными инструментами. Еще один пример помимо интерпретаторов команд и сценариев — Windows Management Instrumentation (WMI).

Windows Management Instrumentation — это распространенный инструмент, которым пользуются различные операторы программ-вымогателей для запуска кода, как локально, так и удаленно, например при продвижении по сети. Так, Cobalt Strike, фреймворк постэксплуатации, чрезвычайно популярный среди лиц, связанных с программами-вымогателями, имеет встроенную возможность использовать WMI для удаленного запуска кода.

Как вы уже знаете, атаки программ-вымогателей под управлением человека могут длиться довольно долго, поэтому злоумышленники должны быть в состоянии выдержать перезагрузки, сохраняя постоянный доступ ко взломанной сети.

Часто на этапе постэксплуатации злоумышленникам требуется постоянный доступ к сети — поэтому, реагируя на инциденты, вы можете столкнуться с различными методами закрепления. Этот шаг почти так же важен, как и само проникновение в сеть. Использование дополнительных бэкдоров гарантирует злоумышленнику, что он всегда сможет вернуться. Давайте рассмотрим примеры наиболее распространенных методов.

Часто, особенно в случаях взлома RDP или VPN, злоумышленники используют для доступа в корпоративную сеть действующие учетные записи. Поскольку они могут пользоваться сразу несколькими взломанными учетными записями, этот метод можно использовать для закрепления в скомпрометированной сети. Более того, с легитимными учетными данными операторы программ-вымогателей могут довольно долго оставаться незамеченными.

Если у злоумышленников уже есть учетные данные администратора, они могут использовать их для создания дополнительных учетных записей, чтобы получить резервный доступ к сети, даже если скомпрометированные учетные записи будут обнаружены и заблокированы сотрудниками службы безопасности.

Используя в качестве инструмента первоначального доступа в сеть различные широко доступные программы, операторы программ-вымогателей также активно применяют некоторые распространенные методы закрепления. Например, известно, что Bazar Loader использует для закрепления во взломанной системе ключ реестра Run (Software\Microsoft\Windows\CurrentVersion\Run).

Другой подметод, используемый тем же трояном, заключается в злоупотреблении функциями Winlogon для запуска программы при входе пользователя в систему. Это делается путем изменения ключа реестра Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Создание запланированной задачи — еще один широко распространенный метод, который используется многими троянами, участвующими в атаках программ-вымогателей, управляемых человеком. Вот пример командной строки, которую использует для обеспечения персистентности Qakbot.

Запланированная задача будет выполнять запуск Qakbot каждые шесть часов.

Вы уже знаете, что использование общедоступных приложений — довольно распространенный среди операторов программ-вымогателей метод получения первоначального доступа в сеть. А чтобы обеспечить перманентный доступ, они довольно часто применяют веб-шеллы.

Веб-шеллы — это скрипты, размещенные на общедоступных веб-серверах, позволяющие злоумышленникам запускать различные команды через интерфейс командной строки.

Мы рассмотрели наиболее распространенные методы, которые используют операторы программ-вымогателей для закрепления в скомпрометированных сетях. Теперь давайте посмотрим, как им удается повышать привилегии.