Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Как вы теперь знаете, операторы программ-вымогателей могут использовать широкий спектр тактик, техник и процедур (TTP), поэтому очень полезно знать, что именно они применяют в атаке, на которую вы реагируете. Некоторые из этих тактик и методов предназначены для кратковременного использования, другие для долгосрочного — это зависит от конечной цели злоумышленника.

Обычно первое, что вы узнаете, приступая к реагированию на инциденты (Incident Response, IR), — это штамм программы-вымогателя, используемый злоумышленниками. Многие штаммы программ-вымогателей распространяются по модели «программа-вымогатель как услуга» (RaaS), и разные партнеры могут иметь разные подходы к жизненному циклу атаки, поэтому их TTP также могут различаться.

Принимая это во внимание, очень полезно иметь достоверные киберразведданные (Cyber Threat Intelligence, CTI), которые помогут вам справиться с атакой. Коммерческие платформы CTI, конечно, очень полезны, но даже в таких источниках может не быть всей необходимой вам информации, поэтому важно научиться получать подробные сведения для ваших текущих или будущих мероприятий по реагированию.

Отчеты об исследованиях угроз.

Сообщество.

Злоумышленники.

Большинство компаний, занимающихся кибербезопасностью, выпускают различные отчеты об угрозах, в том числе об угрозах, связанных с атаками с использованием программ-вымогателей, — поэтому такие источники удобно использовать для сбора киберразведданных. Отчеты об исследовании угроз — очень важная часть оценки ландшафта угроз. Эти отчеты помогают как техническому персоналу, так и неспециалистам оценивать текущую ситуацию в компании и сопоставлять ее с общей картиной угроз.

Конечно, ни один отчет не содержит исчерпывающих сведений, поэтому лучше всего изучать ту или иную угрозу по исследованиям, проведенным разными поставщиками решений в сфере кибербезопасности. В ряде отчетов содержатся индикаторы компрометации (indicators of compromise, IoC) и другие важные данные, которыми стоит поделиться с широкой общественностью. Некоторые из этих отчетов могут помочь окружающим подготовиться к противостоянию злоумышленникам и их атакам.

В этой части мы рассмотрим различные отчеты о программе-вымогателе Egregor и постараемся получить как можно больше информации о TTP связанных с ней лиц.

Начнем с отчета Group-IB «Программа-вымогатель Egregor: Наследие Maze живо» (Egregor ransomware: The legacy of Maze lives on), соавтором которого был я. Материал доступен по ссылке: https://explore.group-ib.com/ransomware-reports/egregor_wp.

Все атаки программ-вымогателей начинаются с первоначального доступа к целевой сети. Согласно отчету, который мы анализируем, партнеры Egregor применяли Qakbot, который доставлялся жертвам через фишинговые электронные письма. Целевой фишинг — один из самых распространенных и в то же время очень эффективных способов получить доступ к сети. Злоумышленники знают, что могут атаковать обычных пользователей, потому что тем может не хватить технических навыков, чтобы распознать атаку.

Что же такое Qakbot? Изначально это был банковский троян, впервые обнаруженный в 2007 г. В настоящее время он используется в основном для загрузки дополнительных инструментов, например Cobalt Strike Beacon, а также для массовой рассылки спама с использованием скомпрометированных хостов с целью заражения дополнительных устройств. Многие операторы программ-вымогателей, включая ProLock, Egregor, REvil, Conti и др., используют этот троян, чтобы получить первоначальный доступ к целевым сетям.

Отчет Group-IB также содержит информацию о механизмах закрепления Qakbot в скомпрометированной системе. В их число входит размещение экземпляра или ярлыка (LNK) в папке автозагрузки (startup), запись пути к программе в ключе Run системного реестра и создание запланированного задания.

В ходе постэксплуатации используется Cobalt Strike. Этот коммерческий полнофункциональный фреймворк постэксплуатации создавался как средство имитации продвинутых атак, но вскоре он стал одним из излюбленных инструментов в арсенале реальных злоумышленников, позволяя им использовать многие методы, описанные в MITRE ATT&CK.

Согласно отчету, злоумышленники также использовали ADFind для сбора информации об Active Directory (AD). Как вы узнали из предыдущей главы, этот инструмент довольно часто используется в рамках атак с использованием программ-вымогателей.

Чтобы обеспечить горизонтальное перемещение, партнеры Egregor написали скрипты для внесения необходимых изменений в реестр и брандмауэр, чтобы использовать протокол удаленного рабочего стола (RDP). Скрипты распространяются через PsExec, легитимный инструмент Sysinternals Suite, который позволяет выполнять команды на удаленных хостах. Легитимные инструменты и различные скрипты — основные средства, которые помогают злоумышленникам оставаться незамеченными.