Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Поскольку многие злоумышленники пользуются подручными средствами — то есть инструментами, имеющимися в целевой инфраструктуре, — анализ энергозависимой памяти поможет найти ключевые следы, необходимые специалисту по реагированию на инциденты для правильной реконструкции методов проникновения. В противном случае злоумышленники могут остаться вне поля зрения службы безопасности.

Так как энергозависимые данные чаще всего хранятся в оперативной памяти (Random Access Memory, RAM) устройства, для их извлечения обычно применяются методы создания дампа памяти.

Существует множество инструментов, которые можно использовать для сброса энергозависимой памяти. Вот некоторые из них.

AccessData FTK Imager (https://accessdata.com/product-download/ftk-imager-version-4–5)

Belkasoft RAM Capturer (https://belkasoft.com/ram-capturer)

Magnet RAM Capturer (https://www.magnetforensics.com/resources/magnet-ram-capture/)

Внимание: никогда не копируйте инструменты сбора данных и полученный дамп памяти на то же устройство, с которого вы их копируете. Используйте внешний диск или сетевой ресурс. Почему? Потому что вы можете случайно перезаписать потенциальные источники цифровых следов!

Пример захвата памяти с помощью AccessData FTK Imager приведен на рисунке 7.1.

Популярнейший инструмент для анализа дампов памяти — Volatility, платформа с открытым исходным кодом для криминалистического исследования дампов памяти. На момент написания данной книги существовало две версии этого инструмента:

Volatility 2 (https://www.volatilityfoundation.org/releases)

Volatility 3 (https://www.volatilityfoundation.org/releases-vol3)

Рис. 7.1. Захват памяти с помощью AccessData FTK Imager

Обе версии требуют хотя бы минимальных навыков работы с командной строкой, но, поскольку к ним прилагаются ясные инструкции, научиться с ними работать довольно просто.

Если вам не нравится командная строка, стоит попробовать средство Volatility Workbench от PassMark — это графический интерфейс пользователя (Graphical User Interface, GUI) для Volatility).

Рис. 7.2. Запуск плагина Volatility через PassMark Volatility Workbench

Анализ дампа памяти помогает выявить множество артефактов, связанных с атакой, которые впоследствии могут послужить ценными IoC для обнаружения угроз в масштабах всего предприятия.

Существуют версии PassMark Volatility Workbench для Volatility 2 и Volatility 3. Обе версии можно загрузить с https://www.osforensics.com/tools/volatility-workbench.html.

Дампинг памяти — не всегда лучший способ анализа. Вы можете не знать, какие именно хосты требуют проверки, а анализировать дампы памяти сотен машин — трудоемкая и неэффективная стратегия.

Существуют инструменты, которые позволяют специалисту по реагированию на инциденты выполнять анализ в реальном времени. Например, популярный у злоумышленников Process Hacker могут использовать и борцы с атаками. Он позволяет проверять данные энергозависимой памяти, включая запущенные процессы, их командные строки и, конечно же, сетевые подключения — и это далеко не все. Вот пример использования Process Hacker для оперативного анализа.

Рис. 7.3. Проверка запущенных процессов с помощью Process Hacker

Process Hacker можно получить по ссылке http://sourceforge.io/downloads.php.

Интересно, что артефакты энергозависимой памяти можно найти не только в дампах памяти. Некоторые системные файлы тоже содержат остатки памяти:

pagefile.sys — этот файл находится в корневом каталоге системного диска (обычно C: \) и используется для хранения страничных блоков памяти, которые в данный момент не используются, — это так называемый файл подкачки операционной системы, он же страничный файл или виртуальная память. С помощью Volatility этот файл проанализировать нельзя, но есть и другие подходящие средства, например page_brute (https://github.com/matonis/page_brute).

hiberfil.sys — файл режима гибернации Windows, который также хранится в корневом каталоге системного диска и используется для сохранения состояния машины на время гибернации. Этот файл можно преобразовать с помощью плагина Volatility imagecopy, а затем проанализировать, как обычный дамп памяти.

Мы еще вернемся к артефактам файловой системы и к тому, как они могут помочь нам в расследовании атак с использованием программ-вымогателей. Но сначала нужно научиться собирать данные из энергонезависимой памяти — те данные, которые доступны, когда система выключена.