Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Журналы веб-сервера. Если вы подозреваете, что операторы программы-вымогателя использовали для первоначального закрепления веб-шелл, убедитесь, что вы проверили журналы веб-сервера.

Журналы почтовых серверов. Почтовые серверы тоже могут быть уязвимы: вспомните группировку Conti, которая использовала ProxyLogon для получения первоначального доступа. Вот почему журналы почтового сервера могут оказаться весьма полезными.

Теперь вы неплохо разбираетесь в различных источниках цифровых криминалистических артефактов и готовы перейти к самой интересной части — расследованию.

В этой главе мы обсудили наиболее распространенные источники цифровых криминалистических артефактов, которые могут помочь службам реагирования на инциденты в расследовании атак с использованием программ-вымогателей.

Мы рассмотрели наиболее популярные источники артефактов файловой системы, реестр, различные журналы, а также узнали, как получать данные из энергозависимой и энергонезависимой памяти и как преобразовать собранные данные в удобный формат для углубленного криминалистического анализа.

Теперь вы готовы приступить к более практическим задачам — реконструкции реальных атак с использованием программ-вымогателей по различным цифровым криминалистическим артефактам.

В следующей главе мы рассмотрим несколько сценариев первоначального доступа и воспользуемся полученными знаниями, чтобы понять, как взломщики смогли получить первоначальный доступ и перейти к постэксплуатации.

В главе 7 мы рассмотрели различные источники цифровых криминалистических артефактов, доступные в операционных системах Windows. Пора перейти к анализу конкретных примеров, чтобы узнать, как эти артефакты можно использовать для реконструкции жизненного цикла атак с использованием программ-вымогателей.

Начнем с поиска следов наиболее распространенных методов первоначального доступа — злоупотребления внешними службами удаленного доступа и фишинга.

Взлом внешних служб удаленного доступа, особенно общедоступных серверов RDP, чрезвычайно популярен. Более 50 % успешных атак начинаются с проникновения на такие серверы методом грубой силы.

Почти то же самое можно сказать и о фишинге — предвестниками атак с использованием программ-вымогателей являются различные боты, которые во множестве распространяются через электронную почту и социальные сети.

Сбор данных (улик) для расследования взлома внешних служб удаленного доступа.

Расследование атаки на RDP методом грубой силы.

Сбор улик для расследования фишинговой атаки.

Расследование фишинговой атаки.

Для того чтобы выявить начальный вектор взлома, в первую очередь нужно собрать соответствующие данные. Зачастую у моей команды уже есть краткий список возможных методов проникновения, составленный на основе наблюдаемого поведения злоумышленника. Правда, в реальных расследованиях мы, как правило, выясняем детали используемого метода первоначального доступа ближе к концу анализа, поскольку начинать обычно приходится с одного из зашифрованных хостов и ликвидации последствий. Но в этой и следующих главах мы будем искать улики шаг за шагом, как если бы мы прослеживали жизненный цикл атаки с использованием программы-вымогателя от начала до конца. В своих реальных расследованиях вы всегда можете выполнить те же шаги анализа в обратном порядке.

Во многих инцидентах, связанных с программами-вымогателями, у жертв не были установлены расширенные продукты безопасности, поэтому мы сосредоточимся на подходах и уликах, доступных почти всегда.

В анализ злоупотреблений внешними службами удаленного доступа обычно входит анализ журналов. Это могут быть журналы брандмауэра, журналы VPN или чаще всего журналы событий Windows, особенно если речь идет о взломе RDP.

Забавно, что во многих случаях, когда мы почти уверены, что атака начиналась со взлома общедоступного RDP-сервера, ИТ-команда клиента пытается убедить нас, что таких серверов в организации нет, — хотя из правил брандмауэра очевидно, что такой сервер есть или недавно был (правило только что удалено). Иногда ИТ-команда хочет усложнить вам работу и скрыть улики, потому что важную роль во многих инцидентах играет человеческий фактор — те, кто сделал атаку возможной, просто не хотят, чтобы их поймали.

Поскольку мы решили сосредоточиться на популярных и, что важнее, бесплатных инструментах, воспользуемся для сбора данных средством KAPE.

Если вы уже идентифицировали сервер, вы можете просто подключить к нему внешний диск и запустить версию KAPE с графическим интерфейсом, чтобы выбрать интересующие вас объекты и начать сбор данных.

Рис. 8.1. Сбор журналов событий Windows, связанных с RDP, с помощью KAPE

Как видно на рисунке 8.1, в KAPE есть готовый набор настроек для сбора журналов, связанных с RDP. Рисунок 8.2 показывает, какие именно файлы журналов собирает данный инструмент.