Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Теперь мы видим, что netscan.exe находится в папке C: \Users\Public. Более того, мы видим, что файл трассировки был создан сразу после исполняемого файла. Как вы уже знаете, это означает, что файл был запущен. Но кем?

Давайте рассмотрим еще один источник информации о запусках программ — на этот раз UserAssist. Чтобы извлечь информацию, нам нужно получить файл NTUSER.dat и обработать его, например, с помощью RegRipper.

Рис. 9.10. Данные UserAssist, проанализированные с помощью RegRipper

Проанализировав файл NTUSER.dat, расположенный в папке C: \Users\smith, мы видим, что запуск файла netscan.exe был выполнен пользователем smith. Но уверены ли мы, что сканирование сети действительно имело место? Еще нет! Давайте изучим свойства файла.

Рис. 9.11. Свойства netscan.exe

Со свойствами файла все понятно: похоже, мы имеем дело с SoftPerfect Network Scanner. Как видите, свойства файла могут пролить свет на многие особенности рассматриваемого файла, включая его версию, разработчика и т. д. Но давайте изучим папку, в которой мы его нашли.

Рис. 9.12. Содержимое C: \Users\Public

Как видите, в этой папке довольно много интересных файлов. Дело в том, что лица, связанные с программами-вымогателями, могут использовать несколько промежуточных папок для своих инструментов, поэтому обязательно проверяйте каждый артефакт и постарайтесь не пропустить ни одной ценной улики.

Итак, в папке C: \Users\Public есть еще несколько интересных файлов. Один из них — AdFind.exe. Скорее всего, это AdFind — бесплатный инструмент для сбора информации из Active Directory. Кроме того, есть несколько файлов с расширением. txt — связаны ли они с AdFind?

Также в этой папке есть еще один подозрительный файл — a.bat. Заглянем внутрь.

Теперь мы можем с уверенностью сказать, что злоумышленники использовали AdFind для сбора информации об Active Directory. Допустим, они получили доступ к учетным данным и собрали информацию о взломанной сети — что дальше? А дальше — горизонтальное перемещение по сети.

Операторы программ-вымогателей не останавливаются на первом взломанном хосте — им нужно собрать информацию о сети и начать как можно быстрее двигаться дальше, чтобы найти и собрать ценные конфиденциальные данные и перейти к заключительному этапу — развертыванию программы-вымогателя.

Один из распространенных способов начать горизонтальное перемещение — злоупотребление административными общими ресурсами Windows, такими как C$, ADMIN$ и $IPC. Если злоумышленники уже получили соответствующие учетные данные, они с легкостью могут просматривать файлы на удаленных хостах или даже копировать туда файлы.

Мы уже просмотрели файл NTUSER.dat. Давайте снова его изучим, на этот раз с помощью Registry Explorer (рис. 9.13).

Рис. 9.13. Свидетельство доступа к диску C: \ адреса 192.168.1.76

Мы видим, что наш взломанный пользователь зашел на адрес 192.168.1.76. Интересно! Давайте получим файл $MFT с этого хоста и попробуем понять, было ли что-то скопировано на хост. Обработаем его с помощью MFTECmd и просмотрим результат в Timeline Explorer.

Рис. 9.14. Подозрительный файл на 192.168.1.76

Анализ выявил очень подозрительный файл в папке C: \Users\Public — промежуточной папке, используемой злоумышленниками. Посмотрим внутрь файла.

Похоже, что злоумышленники использовали этот файл для включения RDP-соединений. Но выполнялся ли его запуск в системе? Мы выясним это в следующем разделе.

Прежде всего, поскольку мы уже знаем, что rdp.bat можно использовать для включения возможности RDP-подключений через редактирование реестра, давайте проверим файл реестра SYSTEM.

Рис. 9.15. Содержимое HKLM\System\CurrentControlSet\Control\TerminalServer

Как видно на рисунке 9.15, значение fDenyTSConnections равно 0, то есть злоумышленники успешно запустили сценарий. Давайте попробуем собрать больше доказательств. Думаю, вы заметили, что скрипт также влияет на работу брандмауэра. Мы можем заглянуть в файл журнала событий Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx и проверить события с идентификатором 2005.

Рис. 9.16. Изменение правил брандмауэра

Мы видим, что правила брандмауэра также были изменены, то есть можем с уверенностью сказать, что в целевой системе был выполнен вредоносный скрипт. Но как именно?

Продолжим изучать журналы событий Windows — на этот раз System.evtx и идентификатор события 7045.

Рис. 9.17. Служба, связанная с PsExec

На рисунке 9.17 вы можете видеть весьма распространенный артефакт, связанный с PsExec — популярным инструментом для удаленного запуска, который обычно используется как системными администраторами, так и операторами программ-вымогателей.

Скорее всего, этот инструмент был запущен с первого взломанного хоста, но все же нам нужно найти доказательства. Изучим файл журнала событий Security.evtx и поищем ID 5140 или 4624 рядом с запуском PsExec.