Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Найти доказательства такой активности может быть довольно сложно, поскольку злоумышленники злоупотребляют rundll32.exe для вызова экспортированной функции MiniDump из comsvcs.dll. Тем не менее есть несколько весьма полезных криминалистических артефактов, которые могут помочь вам обнаружить этот метод.

Как вы знаете, файлы трассировки содержат не только свидетельство запуска на исполнение, но также список папок и файлов, с которыми взаимодействовал исполняемый файл. Поскольку rundll32.exe обычно не ссылается на comsvcs.dll, мы можем изучить связанные файлы трассировки.

В нашем случае имеется семь файлов трассировки, связанных с рассматриваемым исполняемым файлом. Если разобрать каждый из них, например при помощи PECmd, мы обнаружим в списке файлов, с которыми взаимодействовал исполняемый файл, подозрительные записи (рис. 9.7).

Рис. 9.7. Список файлов, с которыми установлено взаимодействие, извлеченный из файла трассировки rundll32.exe

На рисунке указан comsvcs.dll — скорее всего, злоумышленники использовали эту технику для сброса учетных данных вместе с SafetyKatz.

Давайте рассмотрим еще один артефакт, который часто упускают из виду в ходе криминалистических экспертиз, — файлы истории консоли PowerShell. Эти файлы находятся в папке %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine. Их можно просматривать в любом текстовом редакторе, и они доступны по умолчанию, начиная с PowerShell v5 в Windows 10 и более поздних версиях. Проверим, нет ли в этих файлах полезных улик:

Теперь мы ясно видим, что злоумышленники злоупотребили comsvcs.dll, чтобы получить дамп lsass.exe. Также мы видим еще одно доказательство выполнения SafetyKatz (SK.exe).

Есть еще один очень интересный исполняемый файл — Rubeus.exe. Что это такое? Попробуем выяснить!

Дампинг учетных данных — очень распространенный метод, используемый злоумышленниками в ходе атак программ-вымогателей, управляемых человеком. Но не всегда возможно получить учетные данные для горизонтального перемещения по сети, поэтому взломщики вынуждены использовать другие методы.

Один из методов, к которым злоумышленники прибегают все чаще и чаще, — kerberoasting. Этот тип атаки позволяет атакующим злоупотреблять действующим билетом Kerberos ticket-granting ticket (TGT) или перехватывать сетевой трафик, чтобы получить билет ticket-granting service (TGS), а затем попытаться получить пароль в автономном режиме с помощью перебора.

В предыдущем разделе мы видели, что злоумышленники скачали и запустили Rubeus.exe — очень распространенный инструмент для выполнения таких атак, в использовании которого замечены, в частности, лица, связанные с группировкой Conti. Вы можете сталкиваться с подобными методами довольно часто, поскольку злоумышленникам нужны действующие учетные данные, чтобы начать горизонтальное перемещение по сети.

Мы уже видели доказательства запуска Rubeus в файле истории консоли PowerShell, но давайте изучим некоторые другие источники, к которым мы еще не обращались, например монитор использования системных ресурсов (System Resource Usage Monitor, SRUM).

Эта функция появилась в Windows 8 и собирает информацию о различных исполняемых файлах и потребляемых ими ресурсах, включая сетевой трафик и общее время процессора. Эта информация хранится в базе данных Extensible Storage Engine (ESE), которая обычно находится в папке C: \Windows\System32\sru в файле SRUDB.dat.

Мы можем извлечь из этого файла интересующие нас данные, например, с помощью SrumECmd.

Рис. 9.8. Часть вывода SrumECmd

Как видно на рисунке 9.8, есть еще одно доказательство запуска Rubeus. Очень важно проверять различные источники улик, так как в зависимости от обстоятельств разные исполняемые файлы могут оставлять разные артефакты. Кроме того, не забывайте, что пользователи программ-вымогателей часто удаляют свои инструменты со взломанных хостов.

Еще один важный артефакт — свидетельство запуска netscan.exe. Попробуем узнать о нем больше.

Как вы помните, одна из основных целей злоумышленников — зашифровать как можно больше хостов, а для этого им нужно собрать информацию о сети, в которую они проникли. Можно просто просканировать сеть, чтобы получить информацию об удаленных хостах, или использовать различные инструменты разведки Active Directory, такие как AdFind или ADRecon.

Благодаря анализу артефактов SRUM мы уже собрали информацию об исполняемом файле netscan.exe. Основываясь на этой информации, мы можем предположить, что файл использовался лицами, связанными с программой-вымогателем, для сканирования сети.

Прежде всего нам нужно узнать, где он находится. Мы уже проанализировали $MFT, так что давайте начнем с него. Анализ MFT лучше показывает, какие артефакты могут быть полезны для дальнейшего расследования, и позволяет посмотреть на атаку с точки зрения файловой системы.

Рис. 9.9. Путь к netscan.exe, полученный из $MFT