Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Еще один распространенный метод, применяемый лицами, связанными с Egregor, — это инъекция в процесс при помощи Cobalt Strike Beacon. Эта техника может использоваться злоумышленниками и в контексте горизонтального перемещения по взломанной сети. Такие методы позволяют злоумышленникам скрывать используемые ими команды, не раскрывая своего присутствия.

Для извлечения конфиденциальных данных из сети операторы Egregor использовали Rclone, инструмент командной строки для управления файлами в облачном хранилище. Кроме того, они применили метод маскировки, переименовав исполняемый файл Rclone в svchost.exe.

Для отключения антивирусной защиты злоумышленники использовали групповую политику, а также scepinstall.exe, чтобы удалить System Center Endpoint Protection (SCEP). Подобные атаки — яркий пример того, как злоумышленники злоупотребляют легитимными функциями современных операционных систем.

Для развертывания программы-вымогателя партнеры Egregor применяли различные методы, основанные на скриптах, в том числе:

злоупотребление Background Intelligent Transfer Service (BITS) для загрузки программы-вымогателя с сервера, контролируемого злоумышленниками, и ее запуска через rundll32;

подключение диска C: \ удаленного хоста в качестве общего сетевого ресурса, копирование программы-вымогателя в C: \Windows и запуск с помощью rundll32;

копирование и запуск программы-вымогателя через сеанс PowerShell на удаленном хосте.

Как видите, даже один отчет может быть хорошим источником информации, но дополнительные данные никогда не помешают.

Давайте изучим другой отчет, на этот раз компании Cybereason, озаглавленный «Cybereason против программы-вымогателя Egregor» (Cybereason vs. Egregor Ransomware). Отчет доступен по ссылке: https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware.

Нам нужно проанализировать отчет, извлечь данные, которых у нас еще нет, и преобразовать их в CTI, применимую на практике.

Во-первых, из отчета Cybereason мы видим, что партнеры Egregor получают первоначальный доступ к целевым сетям не только через заражения Qakbot, но также через Ursnif и IcedID. Как и Qakbot, оба эти семейства вредоносных программ раньше были банковскими троянами, но теперь широко используются для загрузки дополнительных инструментов. Злоумышленники часто разрабатывают новые функции, чтобы их атаки приносили все больше и больше прибыли.

Кроме того, согласно отчету, операторы Egregor используют SharpHound (сборщик данных для BloodHound, который обычно применяется пентестерами и злоумышленниками для поиска связей в Active Directory) для сбора информации о пользователях, группах, компьютерах и т. д.

Нам удалось собрать еще больше CTI, но давайте изучим еще один документ — это отчет Morphisec «Анализ программы-вымогателя Egregor» (An analysis of the Egregor ransomware). Отчет доступен по ссылке: https://www.morphisec.com/hubfs/eBooks_and_Whitepapers/EGREGOR%20REPORT%20WEB%20FINAL.pdf.

Согласно этому отчету, пользователи Egregor получили первоначальный доступ через уязвимость в межсетевом экране, которая позволила им попасть в виртуальную частную сеть (VPN), то есть на этот раз обошлись без троянов.

Злоумышленники использовали легитимное программное обеспечение для удаленного доступа, такое как AnyDesk и SupRemo, для сохранения доступа к скомпрометированной сети. В 2021 г. AnyDesk стал одним из наиболее распространенных инструментов злоумышленников для резервного доступа.

Чтобы завершать нежелательные процессы (например, принадлежащие антивирусному ПО), злоумышленники применяли бесплатную антируткит-утилиту PowerTool, а для сбора информации о скомпрометированной сети — популярный бесплатный инструмент SoftPerfect Network Scanner.

Для получения учетных данных операторы Egregor использовали Mimikatz, еще один популярный инструмент специалистов по тестированию на проникновение и злоумышленников для извлечения из памяти паролей и другого аутентификационного материала — хешей, PIN-ов и билетов Kerberos.

Кражу данных злоумышленники осуществляли через различные облачные сервисы, такие как WeTransfer и SendSpace, а также MEGA Desktop App. Для выполнения сценариев на удаленных хостах, на которых происходил запуск программы-вымогателя, взломщики использовали PsExec.

Наконец, чтобы замести следы, злоумышленники применяли SDelete — утилиту командной строки для удаления файлов без возможности восстановления. Давайте обобщим результаты, полученные из анализа всех трех отчетов.

Операторы Egregor получают первоначальный доступ, либо заражая целевые хосты различными троянами с помощью фишинговых писем, либо через уязвимые VPN.

Операторы Egregor используют различные механизмы закрепления, в том числе папку автозагрузки, ключ Run системного реестра и запланированные задачи.

Для сбора информации о скомпрометированных сетях и Active Directory операторы Egregor используют ADFind, SharpHound и SoftPerfect Network Scanner.