Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

На этапе постэксплуатации применяется Cobalt Strike.

Для горизонтального перемещения используют RDP.

Для выполнения команд и скриптов, в том числе для развертывания программ-вымогателей, операторы Egregor используют PsExec.

Для отключения антивирусного программного обеспечения применяют групповые политики и PowerTool; для удаления SCEP используют scepinstall.exe.

С помощью AnyDesk и SupRemo операторы Egregor сохраняют доступ к скомпрометированной сети.

Кражи данных осуществляются через Rclone и MEGA Desktop App, а также через различные облачные сервисы.

Для развертывания программ-вымогателей лица, связанные с Egregor, используют BITS, PowerShell, общие сетевые ресурсы и rundll32.

Как видите, анализ отчетов от различных компаний, занимающихся кибербезопасностью, помогает получить ценные сведения о деятельности лиц, связанных с программами-вымогателями, — это CTI, которые мы можем использовать для повышения эффективности и ускорения реагирования на инциденты.

Далее мы поговорим о том, как получать CTI от сообщества кибербезопасности.

По всему миру работают тысячи специалистов по реагированию на инциденты, и, разумеется, некоторые из них охотно делятся данными, полученными в ходе работы. Мы уже рассмотрели отчеты об исследовании угроз, но обычно на их создание уходит довольно много времени. Поэтому специалисты по реагированию часто используют другие платформы, позволяющие коротко рассказать о том, что нового они узнали. Популярнейшая медиаплатформа для обмена такой информацией — Twitter.

Если вы столкнулись с атакой с использованием программы-вымогателя и уже определили штамм, вы можете найти довольно много информации о злоумышленниках, включая их TTP. Важнее всего — понять злоумышленников. Обычно операторы программ-вымогателей используют на определенных этапах жизненного цикла атаки вполне конкретные инструменты и процессы.

Давайте начнем с программы-вымогателя RagnarLocker и посмотрим на следующий твит Питера Маккензи, директора по реагированию на инциденты в компании Sophos (рис. 6.1): https://twitter.com/AltShiftPrtScn/status/1403707430765273095.

Что мы можем узнать из этого твита? Прежде всего, мы видим, что лица, связанные с RagnarLocker, вероятно, используют ProxyLogon (Common Vulnerabilities and Exposures, CVE — 2021–26855) для получения первоначального доступа к своим целям. ProxyLogon — это уязвимость в Microsoft Exchange Server, позволяющая злоумышленнику обойти аутентификацию и выдать себя за администратора.

Для сбора информации о внутренней сети операторы RagnarLocker используют Advanced IP Scanner, бесплатный сетевой сканер от Famatech Corp, который довольно популярен среди пользователей различных программ RaaS.

Рис. 6.1. Твит о RagnarLocker14

Как и многие другие злоумышленники, партнеры RagnarLocker широко применяют Cobalt Strike на этапе постэксплуатации, включая горизонтальное перемещение (наряду с RDP). Для загрузки экземпляров на удаленные хосты злоумышленники используют PaExec, альтернативу PsExec от Sysinternals, распространяемую с открытым исходным кодом.

Для обеспечения резервного доступа к взломанной сети операторы RagnarLocker используют ScreenConnect, легитимное программное обеспечение для удаленного управления. Злоумышленники могут применять такое ПО для доступа к скомпрометированной сети, даже если оно разработано для обычных целей.

Собранные конфиденциальные данные злоумышленники архивируют с помощью WinRAR и крадут с помощью Handy Backup, коммерческого решения для резервного копирования, которое устанавливают на целевых хостах. Архивирование и защита паролем часто используются злоумышленниками на этапе эксфильтрации. Тем не менее их можно выявить — для этого существует множество различных источников улик.

Как видите, даже из нескольких сообщений в Twitter можно получить много ценной информации. Давайте изучим другой твит того же автора (рис. 6.2).

Рис. 6.2. Твит о DoppelPaymer15

Так же как и злоумышленники, работающие на RagnarLocker, операторы DoppelPaymer активно используют для постэксплуатации Cobalt Strike.

Кроме того, мы видим, что злоумышленники эксплуатируют Rubeus, довольно популярный набор инструментов для взаимодействия с Kerberos и его компрометации.

Еще один легитимный инструмент удаленного доступа, применяемый злоумышленниками для обеспечения резервного доступа, — TightVNC.

Наконец, операторы DoppelPaymer осуществляют горизонтальное перемещение с помощью RDP — это очень распространенный метод, используемый злоумышленниками как для первоначального доступа, так и для доступа к удаленным хостам в целевой сети.

Интересен и метод создания виртуальной машины (virtual machine, VM) для запуска программы-вымогателя внутри нее. Первоначально этот метод был опробован партнерами Maze и RagnarLocker, но в настоящее время он применяется и другими группами, включая DoppelPaymer.