Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Рис. 10.11. Дата установки Mozilla Firefox

Как видите, Mozilla Firefox был установлен в тот же день, что и MEGAsync, а затем злоумышленники использовали его для загрузки и установки клиентского приложения MEGAsync.

Инструменты для эксфильтрации данных могут быть загружены в целевую систему не только путем злоупотребления веб-браузером. Мошенники, использующие программу-вымогатель, могут применять внешнее или внутреннее RDP-соединение, сервер управления ботом или Cobalt Strike Beacon.

Давайте рассмотрим другие популярные инструменты, используемые операторами программ-вымогателей.

Злоумышленники используют самые разные инструменты, в том числе абсолютно легитимные, на разных этапах жизненного цикла атаки, и этап кражи данных — не исключение. Мы уже видели, как это делается путем злоупотребления веб-браузерами и клиентскими приложениями, теперь давайте рассмотрим еще один случай.

Чтобы избежать обнаружения, операторы программ-вымогателей прибегают к различным методам маскировки. Например, они могут переименовывать инструменты, чтобы те выглядели как легитимные. Как вы уже знаете, Shimcache — один из самых распространенных источников свидетельств запуска программ. Мы можем извлечь эти данные из файла реестра SYSTEM (расположенного в папке C: \Windows\System32\config), например, с помощью RegRipper и проверить наличие следов использования маскировки.

Очень скоро мы заметим следующую запись:

На первый взгляд это легитимный исполняемый файл Windows, который позволяет службам совместно использовать один и тот же процесс. Но есть одна важная деталь — подлинный файл svchost.exe должен находиться в папке C: \Windows\System32!

Временна́я метка, хранящаяся в Shimcache, отражает дату последней модификации файла, поэтому давайте просмотрим MFT, чтобы выяснить, когда был создан подозрительный файл.

Рис. 10.12. Подозрительный файл svchost.exe

Дата создания почти совпадает с датой модификации. Давайте прокрутим временну́ю шкалу из MFT вниз, чтобы обнаружить больше подозрительных файлов.

Рис. 10.13. Подозрительный файл конфигурации

На рисунке 10.13 видно, что сначала была создана папка rclone, в которой затем появился файл rclone.conf. Похоже, что это файл конфигурации. Посмотрим внутрь.

Это файл конфигурации для учетной записи MEGA, которую мы обнаружили в предыдущем разделе. Это означает, что помимо MEGAsync злоумышленники использовали еще один инструмент для эксфильтрации данных — Rclone.

Чтобы убедиться, что наше первое предположение соответствует вновь обнаруженным доказательствам, давайте проверим свойства svchost.exe:

Рис. 10.14. Свойства svchost.exe

Теперь мы можем с уверенностью сказать, что подозрительный файл svchost.exe — это Rclone, инструмент командной строки для передачи данных в облако и другие внешние хранилища.

Как видите, операторы программ-вымогателей очень часто используют для кражи данных различные легитимные инструменты и веб-сервисы, поэтому рекомендуем проверять соответствующие сетевые подключения в журналах прокси-сервера или брандмауэра.

Стоит отметить, что в некоторых случаях мошенники могут использовать для кражи данных специальные инструменты. Давайте рассмотрим такой случай.

В 2021 г. некоторые представители популярных программ-вымогателей как услуг стали предлагать в качестве дополнения к программе-вымогателю и собственные инструменты кражи данных. Один из ярких примеров — StealBit, дополнительная программа для кражи информации, идущая в комплекте с LockBit 2.0. Другие примеры — средство Sidoh для программы-вымогателя Ryuk и инструмент ExMatter для программы-вымогателя BlackMatter.

В некоторых случаях их довольно легко обнаружить во время расследования инцидента — операторы программы-вымогателя могут запускать исполняемый файл с названием StealBit.exe. В этом случае вы можете извлечь информацию из различных источников сведений о выполнении программ, о которых вы уже хорошо знаете, и искать файлы с похожими названиями. Если злоумышленники маскируют свою деятельность, сосредоточьтесь на промежуточных папках, используемых злоумышленниками, или ориентируйтесь для поиска опорных точек на временны́е шкалы.

Рис. 10.15. Информация о StealBit с DLS LockBit 2.0

Давайте более подробно остановимся на StealBit. Во-первых, как и сама программа-вымогатель LockBit, она не работает на компьютерах, использующих азербайджанский, армянский, белорусский, грузинский, казахский, киргизский, молдавский, русский, таджикский, туркменский, узбекский и украинский языки. Правда, в некоторых более новых версиях эти проверки не реализованы, и тогда StealBit можно запустить на любой системе.

Во-вторых, как и LockBit, она использует порты завершения ввода-вывода, но не для шифрования файлов, а для их загрузки на заданные серверы управления и контроля.