Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Во многих случаях злоумышленники после получения первоначального доступа к целевой системе не имеют надлежащих привилегий. Для повышения привилегий они используют различные методы. Мы рассмотрим самые распространенные из них.

На разных этапах жизненного цикла атаки программы-вымогателя — в том числе на этапе повышения привилегий — злоумышленникам могут помогать различные уязвимости. Например, операторы программы-вымогателя ProLock использовали для получения привилегий уровня администратора уязвимость в функции CreateWindowEx (CVE-2019–0859).

Другой пример — программа-вымогатель REvil. С ее помощью можно было эксплуатировать для повышения привилегий уязвимость драйвера win32.sys Microsoft Windows (CVE-2018–8453).

Таким образом, для получения более высокого уровня прав можно использовать многие распространенные уязвимости. Если компания не исправляет и не устраняет эти уязвимости, она может столкнуться с серьезными проблемами.

Службы Windows обычно используются различными злоумышленниками, в том числе связанными с программами-вымогателями, для локального или удаленного запуска вредоносного кода. Также службы Windows можно использовать и для повышения привилегий, поскольку они могут выполняться с привилегиями SYSTEM. Следует отслеживать аномалии, связанные со службами Windows, а также регулярно разбирать сценарии их злонамеренного использования для улучшения мониторинга.

Еще один весьма распространенный метод — инъекции в процессы. Злоумышленники могут использовать имеющиеся в системе процессы с повышенными привилегиями для выполнения произвольного кода в их адресном пространстве. Эти же приемы можно использовать и для обхода некоторых средств защиты. Например, Trickbot использует для инъекций wermgr.exe (Windows Problem Reporting), а Qakbot — explorer.exe (Windows Explorer).

В Windows есть несколько механизмов контроля прав доступа, и, конечно же, операторы программ-вымогателей находят различные способы их обхода. Хороший пример такого механизма — контроль учетных записей пользователей (User Account Control, UAC). Этот механизм позволяет программам повышать привилегии, запрашивая подтверждение у пользователя. Чтобы обойти его, Trickbot, в частности, использовал WSReset.exe, который нужен для сброса настроек Windows Store.

Привилегии — не единственное препятствие, с которым сталкиваются киберпреступники. Сложности вызывают и различные средства защиты, широко распространенные в корпоративных средах.

В большинстве случаев на протяжении всего жизненного цикла атаки злоумышленникам, управляющим программами-вымогателями, приходится использовать различные методы маскировки. Они могут отключать/удалять защитное ПО, обфусцировать или шифровать данные или, например, удалять улики со скомпрометированных хостов.

Злоумышленники могут использовать различные уязвимости для обхода средств защиты. Приведу пример из практики — операторы программы-вымогателя Robinhood использовали уязвимость в драйвере Gigabyte (CVE-2018–19320). Это позволило злоумышленникам загрузить еще один неподписанный драйвер, который использовался для завершения процессов и служб, связанных с продуктами безопасности, и обеспечения успешного развертывания программы-вымогателя.

Как вредоносные программы, так и программы-вымогатели довольно часто используют для обхода механизмов обнаружения различные методы обфускации (запутывания), такие как шифрование и кодирование. Весьма распространенный метод обфускации — кодирование base64.

Характерный пример этой техники — запуск Cobalt Strike SMB Beacon с помощью PowerShell.

Как уже упоминалось, Cobalt Strike — это широко распространенный фреймворк постэксплуатации, который используется многими лицами, связанными с программами-вымогателями. Изначально этот набор инструментов постэксплуатации с расширенными возможностями был разработан для симуляции атак, но, к сожалению, он обрел популярность и среди реальных злоумышленников.

Часто злоумышленникам, связанным с программами-вымогателями, необходимо получить доступ к защищенным файлам. Такие файлы могут быть зашифрованы.

Многие штаммы программ-вымогателей используют встроенную утилиту icacls, которая позволяет пользователям отображать и изменять дескрипторы безопасности папок и файлов. Вот пример ее использования печально известной программой-вымогателем Ryuk.

Эта команда снимает любые ограничения доступа к папкам и файлам.

В большинстве сред имеются хотя бы минимальные защитные механизмы, которые киберпреступники должны обойти, чтобы достичь своих целей. Например, им приходится отключать антивирусное программное обеспечение или очищать журналы событий Windows.