Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Так, во время атаки на Kaseya (https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689) операторы REvil использовали следующий скрипт.

Как видите, часть скрипта направлена на отключение различных функций Windows Defender — встроенного антивирусного программного обеспечения Windows.

В большинстве случаев злоумышленникам приходится расправляться и с другими средствами защиты. Распространенный метод — обычная остановка связанных с антивирусом процессов и служб с помощью самой программы-вымогателя или таких инструментов, как Process Hacker или GMER.

Операторам программ-вымогателей обычно нужно оставаться в сети как можно дольше, поэтому они пытаются усложнить жизнь киберзащитникам, удаляя журналы и файлы, которые можно использовать для отслеживания их деятельности в скомпрометированной сети.

В ходе одного из последних мероприятий по реагированию на инцидент мы увидели, что злоумышленники использовали очень простую, но очень эффективную команду.

Эта простая команда позволила им очистить сразу все журналы событий.

Последний метод уклонения от защиты, который мы рассмотрим, — это запуск на исполнение через подписанные бинарные файлы. Операторы программ-вымогателей могут использовать легитимные бинарные файлы в качестве посредников для выполнения вредоносного кода. Наиболее распространенные варианты — rundll32.exe и regsvr32.exe.

Вот пример того, как злоумышленники, связанные с программой-вымогателем Conti, использовали rundll32.exe для запуска Cobalt Strike Beacon.

Еще один пример — IcedID. В этот раз злоумышленниками использовался regsvr32.exe.

Конечно, киберпреступники могут использовать и другие подписанные бинарные файлы. Например, во время одной из последних кампаний операторы Zloader использовали msiexec.exe, чтобы попытаться обойти защиту.

Далее мы рассмотрим некоторые распространенные методы, которые злоумышленники используют для доступа к учетным данным.

Поскольку в большинстве случаев преступники, распространяющие программы-вымогатели, стремятся зашифровать как можно больше хостов, им нужна возможность перемещаться по сети горизонтально или, по крайней мере, удаленно запускать вредоносный код. Чтобы делать это незаметно и эффективно, они предпочитают сначала получить учетные данные с повышенными правами, но их главная цель — учетная запись администратора домена.

Существует довольно много методов, позволяющих злоумышленникам получать данные аутентификации. Давайте рассмотрим самые распространенные из них.

Вы уже знаете, что RDP, VPN и другие внешние службы удаленного доступа часто используются для атак с использованием программ-вымогателей. Такие сервисы во многих случаях плохо защищены, поэтому брокеры первоначального доступа или сами операторы программ-вымогателей могут проводить против них успешные атаки методом грубой силы, чтобы получить доступ к действительным учетным записям.

Другой широко распространенный метод — дампинг учетных данных. Операторы программ-вымогателей до сих пор часто используют Mimikatz, хотя его легко обнаружить. Некоторые злоумышленники даже загружают его вручную на скомпрометированный хост из официального репозитория GitHub.

Это не единственное средство, которое используется для дампинга учетных данных. Одна из альтернатив, которую в последнее время мы встречаем все чаще, — LaZagne, инструмент, способный извлекать учетные данные не только из энергозависимой памяти, но и из различных хранилищ паролей, таких как веб-браузеры.

Другой пример — использование инструмента ProcDump, который, как правило, применяется для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).

Злоумышленники могут выгружать такие дампы и использовать их для извлечения учетных данных с помощью инструментов типа Mimikatz.

Лицам, связанным с программами-вымогателями, даже не обязательно загружать дополнительные инструменты для дампа учетных данных — они могут пользоваться встроенными возможностями Windows. Например, члены группировки Conti использовали функцию MiniDump службы COM+ для создания дампа lsass.exe.

Если злоумышленникам удается получить доступ к контроллеру домена, они также могут создать дамп всей базы данных домена Active Directory, которая хранится в файле NTDS.dit.

Группировка Conti применяла встроенную утилиту ntdsutil для создания копии NTDS.dit.

Этот файл может использоваться вымогателями не только для получения учетных данных, но и для сбора информации о домене.