Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Злоумышленник описывает процесс, популярный у операторов программ-вымогателей для краж данных из взломанных сетей. По словам автора поста, мошенники обычно используют Rclone и учетные записи распространенных поставщиков облачных хранилищ, таких как MEGA и pCloud. При этом он пишет, что некоторые программы RaaS предлагают специальные программы для кражи данных (стилеры). На самом деле он пытается прорекламировать StealBit, специальный инструмент для эксфильтрации, предлагаемый пользователям программы-вымогателя LockBit.

Другой пост того же злоумышленника посвящен отключению антивирусного программного обеспечения в масштабах предприятия.

Рис. 6.8. Пост LockBitSupp

Злоупотребление объектами групповой политики (Group Policy Objects, GPO) используется не только для отключения продуктов безопасности — это широко распространенный способ выполнения различных сценариев в масштабах предприятия. Стоит отметить, что сама программа-вымогатель LockBit имеет встроенную возможность злоупотребления объектами групповой политики для распространения своих копий через корпоративную сеть.

Последнее сообщение, которое мы рассмотрим, — это пост одного из пользователей программы-вымогателя LockBit под псевдонимом uhodiransomwar, приведенный на рисунке 6.9.

Рис. 6.9. Пост uhodiransomwar

В этой беседе злоумышленник делится списком скомпрометированных серверов Pulse Secure VPN, которые другие взломщики могут использовать для получения первоначального доступа к сетям. Вероятнее всего, серверы были уязвимы для CVE-2019–11510, что позволило злоумышленнику получить действительные учетные данные, использовав метод чтения произвольного файла.

Как видите, возможностей для сбора полезных CTI, которые могут значительно облегчить вашу работу по реагированию на инциденты, связанные с программами-вымогателями, действительно много.

В этой главе мы рассмотрели различные источники CTI, связанные с программами-вымогателями. Мы проанализировали несколько открытых отчетов и извлекли ценные данные, которые позволили нам реконструировать различные части жизненного цикла атаки и преобразовать их в CTI.

Мы научились анализировать социальные сети, чтобы получать сведения о киберугрозах, которыми делятся представители сообщества кибербезопасности.

Наконец, мы изучили теневые форумы и узнали, как получать CTI непосредственно от наших противников — операторов программ-вымогателей.

Теперь, когда вы уже многое узнали об атаках программ-вымогателей, управляемых человеком, и имеете ясное представление о том, как происходят такие атаки, вы готовы погрузиться в процесс расследования.

В следующей главе мы рассмотрим основные источники цифровых криминалистических артефактов, которые позволяют службам реагирования на инциденты реконструировать атаку с использованием программы-вымогателя и выяснить, что именно было сделано в ходе ее жизненного цикла.

Вы уже многое знаете об атаках программ-вымогателей, управляемых людьми, — о наиболее распространенных тактиках, техниках и процедурах, используемых злоумышленниками, а также о том, как ускорить расследование инцидента, собирая полезную информацию о киберугрозах. Теперь пора сосредоточиться на самом процессе расследования.

Вы наверняка слышали о принципе обмена Локара, но все же напомню: преступник всегда оставляет что-то на месте преступления и что-то оттуда забирает. И то и другое может быть использовано в качестве улик.

Знакомо, не правда ли? Пользователи программ-вымогателей оставляют на месте преступления свои инструменты, включая саму программу-вымогатель, и, как правило, забирают с собой большой объем конфиденциальных данных.

Мы уже знаем, что жизненный цикл атаки с использованием программы-вымогателя довольно сложен. Но как определить, какие методы использовались злоумышленниками на разных этапах? Ответ — использовать методы цифровой криминалистики!

В этой главе мы рассмотрим различные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты воспроизвести ход атаки с использованием программы-вымогателя. Цифровая криминалистика позволяет обнаруживать и реконструировать данные, благодаря которым можно смягчить последствия кибератаки или снизить связанные с ней риски.

Сбор и анализ энергозависимой памяти.

Сбор данных энергонезависимой памяти.

Главная файловая таблица.

Файлы трассировки (prefetch-файлы).

Ярлыки (LNK-файлы).

Списки переходов.

Монитор использования системных ресурсов.

Веб-браузеры.

Реестр Windows.

Журналы событий Windows.

Другие журналы.