Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Теперь у нас есть доказательства того, что PsExec был запущен с изначально скомпрометированного хоста 192.168.1.77, причем злоумышленники успешно получили данные аутентификации для учетной записи администратора (Administrator).

Рис. 9.18. Доступ к сетевому ресурсу был получен (5140)

Итак, злоумышленники включили RDP — давайте выясним, пользовались ли они этими подключениями.

RDP — один из наиболее распространенных методов, используемых злоумышленниками для горизонтального перемещения по сети. Вы постоянно будете сталкиваться с этим методом, расследуя атаки программ-вымогателей, управляемых человеком.

Существует довольно много источников артефактов, которые могут помочь вам обнаружить этот вид деятельности. Один из наиболее распространенных — файл журнала событий Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx. Как правило, нужно искать события с идентификаторами 21 (Успешный вход в сеанс) и 25 (Успешное возобновление сеанса).

Рис. 9.19. Успешное возобновление сеанса

Вы также можете использовать события с идентификатором 4624 из Security.evtx, ориентируясь на входы в систему с типом 10.

Рис. 9.20. Вход в систему с типом 10

Таким образом, мы можем заключить, что злоумышленники получили привилегированные учетные данные, провели разведку сети и Active Directory и начали перемещаться по сети в горизонтальном направлении, используя различные методы. Конечно, это еще не все.

Атаки программ-вымогателей, управляемых человеком, довольно сложны, жизненный цикл атаки состоит из многих этапов. После того как на начальном этапе злоумышленники закрепились, они начинают постэксплуатацию, чтобы получить контроль над всей сетью.

В этой главе мы рассмотрели различные методы постэксплуатации и на основе различных криминалистических артефактов реконструировали часть атаки с использованием программы-вымогателя.

Мы выяснили, как злоумышленники получают доступ к привилегированным учетным записям, как они проводят разведку сети и Active Directory, а также какие методы они используют для горизонтального перемещения по сети.

В следующей главе мы сосредоточимся на том, как операторы программ-вымогателей решают одну из основных задач современных атак — крадут данные.

Получив доступ к привилегированным учетным данным и обеспечив возможность горизонтального перемещения по сети, пользователи программ-вымогателей начинают работать над своими реальными целями. Одна из таких целей — кража данных.

Конечно, не каждая группа выполняет подобные действия, и даже злоумышленники со своим DLS не всегда этим занимаются. Тем не менее двойное вымогательство весьма распространено, и специалисты по реагированию на инциденты должны быть хорошо осведомлены о подходах, используемых вымогателями для кражи конфиденциальных данных из взломанных сетей.

В этой главе мы рассмотрим криминалистические артефакты, которые позволяют нам разобраться в том, как операторы программ-вымогателей выгружают данные. Подходы могут существенно различаться в зависимости от каждого конкретного злоумышленника. Некоторые предпочитают легкий путь и используют веб-браузер или клиентское приложение облачного хранилища, другие выбирают специальные приложения, входящие в пакет программы-вымогателя как услуги.

Изучение злоупотребления веб-браузером.

Изучение злоупотребления клиентскими приложениями облачных хранилищ.

Изучение злоупотребления сторонними инструментами облачной синхронизации.

Изучение использования специальных инструментов.

Как вы уже знаете из предыдущих глав, пользователи программ-вымогателей довольно часто злоупотребляют подключениями по протоколу удаленного рабочего стола (RDP) как для первоначального доступа, так и для горизонтального перемещения, а значит, могут легко применять для кражи данных встроенные легитимные инструменты.

Один из таких инструментов — веб-браузер. Злоумышленники могут использовать его для выгрузки собранных ими конфиденциальных данных на различные файлообменные сервисы, например DropMeFiles.

Веб-браузеры имеют широкие возможности ведения журналов, поэтому аналитики киберпреступлений и специалисты по реагированию на инциденты всегда могут проверить историю просмотров на наличие следов утечки данных.

Давайте рассмотрим классическую версию встроенного веб-браузера — Microsoft Edge. История хранится в файле WebCacheV01.dat, который представляет собой базу данных ESE (Extensible Storage Engine). Существует немало инструментов, которые можно использовать для просмотра и анализа его содержимого. Хороший вариант — ESEDatabaseView от NirSoft.

На рисунке 10.1 вы видите таблицу с названием Containers. Она может помочь нам определить, какие именно таблицы базы данных содержат интересующую нас информацию. Чтобы изучить историю просмотров веб-страниц, нужно проверить таблицы, помеченные как History, например таблицу с именем Container_7 (идентификатор виден слева). Давайте посмотрим на столбец Url (рис. 10.2).