Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Надеюсь, вы помните, что пользователи программ-вымогателей часто удаляют свои инструменты со взломанных хостов. Иногда это делают сами программы-вымогатели — многие штаммы имеют функцию самоудаления. Тем не менее в нашем распоряжении остаются самые разнообразные источники доказательств исполнения. Эти улики позволяют службам реагирования на инциденты идентифицировать вредоносные и подозрительные исполняемые файлы, использованные злоумышленниками.

В данном случае нам недоступен собственно вредоносный исполняемый файл — зато у нас есть файл трассировки, указывающий на подозрительный запуск файла непосредственно перед началом создания файлов с инструкциями. Файл назывался. cr_hand.exe — не самое распространенное название.

Еще один вопрос, на который вы должны попытаться ответить, заключается в следующем: как злоумышленник запустил программу-вымогатель на хосте или хостах? Если используется RDP, то в большинстве случаев пользователи программы-вымогателя просто копируют вредоносный файл на целевой хост и запускают его вручную. Это значит, что мы можем обнаружить соответствующие артефакты в NTUSER.DAT, например UserAssist.

Рис. 11.3. Записи UserAssist, извлеченные с помощью RegRipper

Теперь мы знаем, что интересующий нас файл был запущен в 10:30:27 по Гринвичу. Но здесь есть и другие интересные записи.

Во-первых, был запущен NS.exe — очень популярный среди пользователей программ-вымогателей инструмент, который используется ими для взлома RDP. Эта небольшая утилита позволяет злоумышленникам находить и подключать доступные сетевые ресурсы и отключенные локальные диски.

Во-вторых — Everything.exe. Это легитимная программа для индексации и поиска файлов, которую операторы программ-вымогателей обычно используют для разведки, выясняя, какие файлы доступны на взломанном хосте и какой у них размер.

Мы определили вспомогательное программное обеспечение, используемое злоумышленниками, а также идентифицировали учетную запись, используемую для развертывания, — SigmA0. Но нам нужно убедиться, что. cr_hand.exe — это программа-вымогатель.

Давайте изучим еще один источник следов запуска — файл Amcache (рис. 11.4). В числе прочих данных он содержит хеши SHA1, которые мы можем использовать для идентификации вредоносных файлов.

Рис. 11.4. Информация о вредоносном файле, извлеченная из Amcache

Теперь мы получили хеши, так что, даже если мы не сможем восстановить удаленные исполняемые файлы, у нас останется шанс их идентифицировать. Существует довольно много различных онлайн-сервисов, ориентированных на автоматический анализ вредоносного ПО, так что мы можем использовать полученные хеши для поиска подозрительных файлов. Хороший вариант — VirusTotal, сервис, к которому мы уже обращались.

Рис. 11.5. Информация об обнаруженных подозрительных файлах

Самый информативный из выявленных объектов — Ransom.Crylock. Таким образом, мы имеем дело с семейством программ-вымогателей Crylock.

Важное замечание об использовании онлайн-сервисов для идентификации вредоносных программ: вы можете без опасений использовать хеши, но никогда не загружайте на такие сайты образцы программ-вымогателей без надлежащего анализа — они часто содержат информацию, позволяющую идентифицировать жертв. Например, во многих образцах есть персонализированные сообщения о выкупе (файлы с инструкциями для жертв) с названиями пострадавших организаций.

Теперь мы точно знаем, что обнаруженный нами файл — образец программы-вымогателя. Мы также знаем, что он был запущен вручную пользователем SigmA0. Но как злоумышленник смог попасть на скомпрометированный хост?

Если мы посмотрим в журналы событий Windows, то увидим запись об успешном RDP-подключении, которое произошло прямо перед запуском программы-вымогателя Crylock на хосте.

Рис. 11.6. Информация об успешном RDP-подключении, полученная из журналов событий Windows

В данном случае это внешний адрес — значит, скомпрометированный хост был общедоступным. Такую же картину можно наблюдать и в случае локальных хостов — пользователи программ-вымогателей могут переходить с изначально скомпрометированного хоста на другие хосты сети по RDP и запускать вредоносное ПО на каждом из них.

Давайте изучим программу-вымогатель Crylock.

Перед запуском процесса шифрования Crylock останавливает ряд служб и процессов из встроенного списка.

Затем программа-вымогатель удаляет теневые и резервные копии, чтобы предотвратить восстановление системы:

Для шифрования файлов она использует специальный симметричный шифр и алгоритм RSA для шифрования ключа.

Затем Crylock создает сообщение с требованием выкупа под названием how_to_decrypt.hta, которое содержит контактные данные и инструкции для жертвы.

Конечно, развертывание программ-вымогателей вручную не очень эффективно, особенно если злоумышленники планируют зашифровать сотни или тысячи хостов. Вот почему они также используют другие методы, например злоупотребление административными общими сетевыми ресурсами.