Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Пользователи LockBit могут либо перетаскивать файлы в окно StealBit, либо указывать путь к файлу или папке в качестве аргумента командной строки. Вредоносное ПО использует метод HTTP PUT для передачи данных на сервер управления и контроля.

Кроме того, если указан параметр командной строки — delete/-d, StealBit удаляет себя после завершения процесса эксфильтрации. Для этого вредоносная программа выполняет следующие команды, где — размер исполняемого файла, а  — путь к StealBit:

Как видите, пользователи программ-вымогателей могут быть очень изобретательны в процессе кражи конфиденциальных данных. Для решения этой задачи они могут использовать широкий спектр инструментов, поэтому очень важно, чтобы лица, реагирующие на инциденты, были вооружены актуальными данными для расследования угроз кибербезопасности.

Двойное вымогательство стало весьма популярной так тикой группировок, связанных с программами-вымогателями. Каждый год в интернете публикуются конфиденциальные данные, украденные у сотен организаций. Поэтому специалисты по реагированию на инциденты должны быть хорошо осведомлены о методах и инструментах, используемых операторами программ-вымогателей, а также о криминалистических артефактах, позволяющих обнаруживать такие действия. Мы должны хорошо знать злоумышленников и их методы.

В этой главе мы рассмотрели распространенные подходы, используемые злоумышленниками для сбора и кражи данных из скомпрометированных сетей, и узнали, какие криминалистические артефакты можно использовать для поиска следов их деятельности.

В следующей главе мы узнаем, как киберпреступники достигают своей конечной цели — развертывания программ-вымогателей.

Главная цель атаки программы-вымогателя, управляемой человеком, — зашифровать как можно больше данных. Для шифрования злоумышленники используют различные инструменты, как полученные от создателей программ-вымогателей как услуги, так и разработанные ими самими. Иногда применяется легитимное программное обеспечение для шифрования, типичные примеры — BitLocker и DiskCryptor.

Обычно на этом этапе пользователи программ-вымогателей полностью контролируют взломанную сеть: они уже собрали информацию о доступных хостах, получили привилегированные учетные данные, удалили резервные копии, отключили продукты безопасности и позаботились о лазейках для резервного доступа.

В этой главе мы рассмотрим наиболее распространенные методы, используемые злоумышленниками для развертывания программ-вымогателей в корпоративных сетях, а также кратко обсудим процесс их анализа.

Изучение злоупотребления RDP.

Изучение злоупотребления административными сетевыми ресурсами.

Изучение злоупотребления групповыми политиками.

Как вы уже знаете, многие вымогатели получают первоначальный доступ, атакуя общедоступные серверы протокола удаленного рабочего стола (RDP). Кроме того, службы удаленного доступа и особенно RDP — один из наиболее распространенных методов, используемых злоумышленниками для горизонтального перемещения. К сожалению, многие системные и сетевые администраторы также постоянно используют эти сервисы, в результате все, что нужно злоумышленникам, — это получить соответствующие учетные данные. Поэтому вполне естественно, что многие киберпреступники злоупотребляют RDP в том числе и для развертывания программ-вымогателей.

В большинстве случаев вам приходится начинать расследование с последней стадии жизненного цикла атаки — с развертывания программы-вымогателя. Поэтому первое, что вы должны сделать, — это выяснить, каким образом была развернута программа-вымогатель и что стало источником заражения.

Современные программы-вымогатели часто меняют расширения зашифрованных файлов, а также создают файлы с инструкциями для жертвы. Чтобы попытаться выявить первую опорную точку, то есть начало процесса шифрования, можно начать с анализа главной файловой таблицы (Master File Table, MFT).

Как видно на рисунке 11.1, процесс шифрования начался 14 ноября 2021 г., около 10:37 по Гринвичу. Программа-вымогатель создала ряд файлов с именем how_to_decrypt.hta — эти файлы содержат инструкции для жертвы о том, как связаться со злоумышленниками, чтобы заплатить выкуп и получить программное обеспечение для дешифровки.

Рис. 11.1. Файлы с инструкциями по расшифровке, созданные программой-вымогателем

Попробуем идентифицировать исполняемый файл программы-вымогателя. Мы можем прокрутить временну́ю шкалу до первого созданного файла. Здесь мы видим очень подозрительный файл трассировки.

Рис. 11.2. Файл трассировки, возможно, связанный с программой-вымогателем