Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Здесь немало интересных записей. Прежде всего мы видим, что операторы программы-вымогателя использовали поисковую систему Bing, чтобы найти популярный инструмент архивации — 7-Zip.

Рис. 10.1. Файл WebCacheV01.dat, открытый в ESEDatabaseView

Рис. 10.2. Таблица Container_7

Это не единственный важный артефакт, еще один — имя пользователя. В некоторых случаях оно может даже привести исследователя к изначально скомпрометированному хосту, который иногда называют нулевым пациентом.

Мы также можем получить из этой таблицы метку времени доступа. В нашем случае это 132849977563921851 — она не похожа на временну́ю метку, поскольку сохранена в формате Webkit. Ее можно легко преобразовать в удобочитаемый формат: воскресенье, 26 декабря 2021 г., 13:09:16.

Зачем злоумышленникам нужны такие утилиты? Скорее всего, для архивации данных перед эксфильтрацией. У нас уже есть первая опорная точка, давайте обработаем $MFT, чтобы проверить наличие других интересных артефактов. Мы видим, что пользователи программы-вымогателя поместили 7-Zip в папку Temp.

Рис. 10.3. Файл, связанный с 7-Zip, в папке Temp

Если мы прокрутим нашу временну́ю шкалу на основе MFT, мы вскоре обнаружим еще один интересный артефакт.

Рис. 10.4. Архив 7z в подозрительной папке

Мы видим, что злоумышленники, скорее всего, архивировали данные при помощи 7-Zip — вероятно, перед их эксфильтрацией. Это популярный метод, используемый многими операторами программ-вымогателей.

Теперь давайте посмотрим внутрь файла трассировки 7za.exe (рис. 10.5).

Поскольку файлы трассировки содержат как имена файлов, так и списки каталогов, с которыми взаимодействовал исполняемый файл, мы можем использовать их, чтобы выяснить, что именно было заархивировано, даже если злоумышленники успели удалить архив.

Рис. 10.5. Архивные данные в списке файлов, с которыми взаимодействовал исполняемый файл

Вернемся к истории просмотров веб-страниц, показанной на рисунке 10.2. Вот еще один поиск в Bing.

На этот раз злоумышленники искали популярный файлообменник DropMeFiles. Этот и другие подобные веб-сайты — распространенные средства, используемые операторами программ-вымогателей для кражи данных. Чтобы замести следы, взломщики используют различные сервисы, в том числе характерные для скомпрометированной инфраструктуры.

Мы также видим любопытный URL-адрес — https://dropmefiles.com/DRUiq — со следующим содержимым.

Рис. 10.6. Украденный архив

Если мы скачаем данные по этой ссылке, то увидим, что найденный ранее архив был загружен в DropMeFiles.

Конечно, это не единственный метод, используемый злоумышленниками для кражи данных. В следующем разделе мы рассмотрим, как они злоупотребляют клиентскими приложениями облачных хранилищ.

Операторы программ-вымогателей могут использовать для кражи данных не только встроенные, но и сторонние инструменты. Мы всегда рекомендуем проверять недавно установленные программы, поскольку они могут быть связаны с действиями злоумышленников.

Такую информацию можно получить из файла реестра SOFTWARE, который находится в папке C: \Windows\System32\config. Кроме того, информацию об установленных программах можно найти в разделе SOFTWARE | Microsoft\Windows\CurrentVersion\Uninstall.

Рис. 10.7. Информация об установленных программах

О недавно установленном приложении MEGAsync мы можем узнать еще больше, проверив значения подраздела MEGAsync.

Рис. 10.8. Детали установки MEGAsync

Это приложение предоставляет злоумышленникам широкие возможности для кражи данных, поэтому многие операторы программ-вымогателей предпочитают именно его.

Клиентские приложения часто хранят на хосте различные журналы, поэтому всегда стоит проверять подпапки C: \Users\%USERNAME%\AppData на наличие полезных источников улик. Один из таких источников в случае MEGAsync — файл MEGAsync.log. В нашем случае он находится в папке C: \Users\smith\AppData\Local\Mega Limited\MEGAsync\logs.

Кроме того, в этом файле журнала есть и информация об учетной записи, использованной для кражи данных.

Теперь мы знаем, какие данные были извлечены при помощи MEGAsync, а также имя использованной для этого учетной записи, но мы все еще не знаем, как это приложение попало на скомпрометированный хост.

Давайте еще раз проанализируем историю просмотров веб-страниц другого браузера — Mozilla Firefox. Этот веб-браузер хранит историю просмотров в базе данных SQLite, которая называется places.sqlite. Ее можно изучить при помощи DB Browser.

Рис. 10.9. Структура базы данных

Самая интересная для нашего расследования информация находится в таблице moz_places. Здесь показан список посещенных URL-адресов.

Рис. 10.10. Содержимое таблицы moz_places

Теперь мы точно знаем, что операторы программы-вымогателя загрузили и запустили установщик MEGAsync с официального сайта, а затем использовали его для эксфильтрации конфиденциальных данных. Осталось проверить, был ли браузер Mozilla Firefox установлен на данном хосте до взлома.

Вы уже знаете, где искать свидетельства установки программы.