Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Это лишь несколько примеров ценных улик, которые можно найти в реестре Windows. В числе других — различные механизмы закрепления в системе, артефакты удаленного доступа и др.

Существуют различные подходы к анализу реестра. Его можно анализировать вручную, сосредоточив внимание на поиске по ключевым словам — на основе имеющихся у вас индикаторов компрометации. Например, вы можете использовать Registry Explorer (https://f001.backblazeb2.com/file/EricZimmermanTools/RegistryExplorer.zip) — очередной полезный инструмент от Эрика Циммермана, который позволяет просматривать как извлеченные файлы реестра, так и актуальный реестр, включая удаленные ключи и значения.

Я рекомендую этот инструмент для ручного анализа, но он также предоставляет множество плагинов для автоматического анализа распространенных артефактов.

Рис. 7.15. Файл реестра SYSTEM из работающей системы, открытый в Registry Explorer

Стоит упомянуть еще один отличный инструмент для анализа реестра — RegRipper (https://github.com/keydet89/RegRipper3.0) Харлана Карви. Есть версии с графическим интерфейсом и командной строкой, а также различные плагины для анализа артефактов реестра. Дополнительные плагины вы можете написать самостоятельно.

Следующий ценный источник цифровых криминалистических артефактов — журналы событий Windows.

Ведение журнала — это встроенный механизм документирования различных событий, связанных с операционной системой Windows и различными приложениями. Он также может быть чрезвычайно ценным источником улик, связанных с атаками с использованием программ-вымогателей.

Иногда злоумышленники удаляют такие журналы, чтобы замести следы, и одно это может послужить надежным признаком того, что хост был скомпрометирован.

По умолчанию файлы журнала расположены в папке C: \Windows\System32\winevt\Logs и имеют расширение. evtx.

Журналы событий Windows также можно собирать с помощью SIEM (важно проверить, что записываются правильные журналы) или решения EDR/XDR.

Рис. 7.16. Файлы журнала событий Windows, перечисленные в AccessData FTK Imager

Давайте посмотрим на некоторые часто используемые файлы журналов и идентификаторы событий.

Безопасность

4624 — произведен вход в систему.

4625 — неудачная попытка входа в систему.

4720 — создана учетная запись пользователя.

4732 — в локальную группу с поддержкой безопасности добавлен участник.

Система

7045 — служба была установлена системой.

7040 — изменен тип запуска службы.

7036 — служба была остановлена или запущена.

Windows PowerShell

400 — указывает на начало выполнения команды или сеанса.

Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

21 — вход в сеанс выполнен успешно.

24 — сеанс прерван.

25 — возобновление сеанса выполнено успешно.

Оповещения

300 — оповещение, созданное Microsoft Office.

Microsoft-Windows-TaskScheduler/Operational

106 — запланированное задание создано.

200 — запланированное задание запущено.

201 — запланированное задание выполнено.

Microsoft-Windows-Windows-Defender/Operational

1117 — платформа для защиты от вредоносных программ выполнила действие для защиты вашей системы от вредоносного или другого нежелательного программного обеспечения.

Это не исчерпывающий список, но даже в нем мы видим довольно много полезных событий, которые могут помочь при реагировании на инциденты.

События, происходящие в среде Windows, фиксирует не только журнал событий Windows — есть и другие журналы, которые могут представлять для нас интерес.

В заключение перечислим несколько дополнительных журналов, которые могут сыграть ключевую роль в вашем расследовании.

Журналы антивирусного ПО. Как вы уже знаете, операторы программ-вымогателей могут использовать много инструментов — а значит, хотя бы некоторые из них будут обнаружены антивирусным программным обеспечением. Журналы антивирусного ПО могут быть крайне полезны.

Журналы брандмауэра. Эти журналы могут стать источником ценной информации о сетевых подключениях, включая проникновения. Это чрезвычайно ценный источник криминалистических данных, особенно если данные хранятся в течение долгого времени и у вас есть хотя бы какие-то сетевые индикаторы компрометации.

Журналы VPN. VPN — один из популярных начальных векторов доступа к сети, поэтому журналы VPN также могут раскрывать некоторую информацию о сетевой инфраструктуре злоумышленников. Очень полезно произвести анализ GeoIP (геолокации) — вы можете обнаружить подключения из стран, не имеющих отношения к компании.

Журналы прокси-сервера. Если у вас есть сетевые индикаторы или вы просто хотите отследить аномальные события, проверьте, доступен ли прокси-сервер.