Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Теперь просмотрим журналы событий. Как мы уже знаем, злоумышленники часто используют PowerShell для загрузки с удаленных серверов, поэтому при расследовании фишинговых атак нужно обязательно исследовать журнал событий Windows PowerShell.

Действительно, в данном журнале есть интересная запись.

Что это означает? PowerShell использовали для загрузки с одного из семи URL-адресов, перечисленных в предыдущем сценарии. Программа была сохранена в C: \ProgramData под случайным именем и запущена через rundll32.exe. Что еще более важно, это событие произошло сразу после того, как был открыт подозрительный DOCM-файл.

Подведем итоги. 16 ноября 2021 г. в 08:49:55 (UTC) пользователь CARPC открыл вредоносный документ FILE_24561806179285605525.docm, полученный им по электронной почте. После открытия документа и включения защищенного содержимого запустился PowerShell для загрузки и запуска Emotet с удаленного сервера. Бот скопировал себя в C: \Users\CARPC\AppData\Local\Iqnmqm\jwkgphpq.euz и обеспечил закрепление в скомпрометированной системе, записав путь к себе в Software\Microsoft\Windows\CurrentVersion\Run. Для управления и контроля использовались удаленные серверы с IP-адресами 81.0.236.93 и 163.172.50.82.

В этой главе мы рассмотрели два очень распространенных метода, используемых операторами программ-вымогателей для получения первоначального доступа, — взлом внешних служб удаленного доступа и фишинг.

Как видите, при реконструкции вредоносных действий можно опираться на различные артефакты из всевозможных источников — от энергозависимой памяти до журналов событий Windows. Кроме того, мы можем использовать различные средства сбора данных и фильтровать полученные данные. Это очень важно, особенно когда нужно собирать и анализировать данные с нескольких хостов одновременно.

Конечно, первоначальный доступ — это только начало атаки с использованием программы-вымогателя, поэтому специалистам по реагированию на инциденты нужно уметь обнаруживать множество других улик.

В следующей главе мы сосредоточимся на различных действиях постэксплуатации, таких как сетевая разведка и доступ к учетным данным.

Для злоумышленника первоначальный доступ — это лишь первый шаг. Когда-то целью атак было немедленное шифрование первого же взломанного хоста, но теперь многие операторы программ-вымогателей уделяют внимание постэксплуатации, в процессе которой может происходить повышение привилегий, доступ к учетным данным, разведка и другие действия, обеспечивающие контроль всей сети и позволяющие извлечь самые ценные данные и зашифровать как можно больше хостов. Кроме того, поскольку многие злоумышленники также занимаются кражей данных, они стремятся оставаться в сети как можно дольше, чтобы иметь возможность получить наиболее важные данные. По той же причине им могут понадобиться дополнительные лазейки — например, легитимное программное обеспечение для удаленного доступа.

Как вы узнали из главы 5 «Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей», наиболее распространенные действия постэксплуатации — это доступ к учетным данным, разведка и, конечно же, горизонтальное перемещение по сети.

В этой главе мы сосредоточимся на цифровых криминалистических артефактах, которые позволяют реконструировать действия операторов программ-вымогателей на этих трех этапах жизненного цикла атаки.

Изучение методов доступа к учетным данным.

Изучение методов разведки.

Изучение методов горизонтального перемещения по сети.

Чтобы начать горизонтальное перемещение по сети, операторы программы-вымогателя должны получить привилегированные учетные данные. Существует ряд популярных методов, используемых злоумышленниками для решения этой задачи. Например, они могут создать дамп памяти процесса Local Security Authority Subsystem Service (LSASS) для извлечения учетных данных или провести атаку Kerberoasting. Давайте посмотрим, как анализ цифровых улик помогает нам обнаружить эти методы.

Как вы уже знаете, самый популярный инструмент для кражи учетных данных — пресловутый Mimikatz, разработанный и поддерживаемый Бенджамином Делпи. Он настолько широко распространен, что обычно его может обнаружить и удалить даже стандартное антивирусное программное обеспечение. Но, как правило, злоумышленники деактивируют встроенные антивирусы, что дает возможность некоторым операторам программ-вымогателей просто загружать Mimikatz на скомпрометированный хост с официальной страницы GitHub.

Рис. 9.1. Описание Mimikatz со страницы GitHub