Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Мы уже обсуждали, что лица, связанные с программами-вымогателями, могут злоупотреблять для горизонтального перемещения административными сетевыми ресурсами. Тот же метод злоумышленники могут применять для развертывания программ-вымогателей, хороший пример — PsExec. Некоторые мошенники используют готовые пакетные файлы, чтобы скопировать исполняемый файл программы-вымогателя на целевые хосты, а затем запустить его с помощью PsExec.

Конечно, это не единственный метод, задействующий административные сетевые ресурсы. Давайте рассмотрим другой пример и снова начнем с временно́й шкалы на основе MFT.

Рис. 11.7. Сообщения с требованиями выкупа, созданные на скомпрометированном хосте

На рисунке 11.7 показано множество сообщений с требованиями выкупа, созданных вредоносным исполняемым файлом, а также подозрительный файл трассировки.

Расследуя злоупотребления административными сетевыми ресурсами, вы всегда должны обращать внимание на такой распространенный артефакт, как событие установки службы. Его можно найти в файле журнала событий Windows System.evtx — ID 7045.

Рис. 11.8. Файл журнала событий System.evtx

Мы видим доказательства того, что подозрительный файл msedgeupdater.exe был запущен с хоста srvdc01, который, скорее всего, является контроллером домена, путем создания новой службы.

Таким образом, в процессе горизонтального перемещения операторы программы-вымогателя взломали один из контроллеров домена и использовали его для развертывания программы-вымогателя — такое происходит довольно часто. Поскольку служба была, скорее всего, создана удаленно, мы можем внимательно изучить события в журнале событий Windows Security.evtx, чтобы выявить действия по входу в систему.

Рис. 11.9. Действия по входу в систему, связанные с развертыванием программы-вымогателя

Мы видим, что злоумышленники использовали учетную запись администратора для развертывания программы-вымогателя с контроллера домена посредством создания удаленной службы.

Однако мы до сих пор не идентифицировали штамм программы-вымогателя. Мы уже умеем использовать для этого хеши, но давайте изменим тактику и сосредоточимся на других уликах, оставленных программой-вымогателем.

Во многих случаях самый простой способ определить штамм — заглянуть в сообщение с требованием выкупа.

Рис. 11.10. Часть сообщения с требованием выкупа, созданного программой-вымогателем

Как видите, сообщение с требованием выкупа содержит два подозрительных URL-адреса: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/062E246860D29CB2 и hxxp://decoder[.]re/062E246860D29CB2.

Для идентификации программы-вымогателя бывает достаточно поискать в Google.

Рис. 11.11. Пример результатов поиска в Google

По результатам поиска можно предположить, что мы имеем дело с программой-вымогателем REvil (Sodinokibi).

Кроме того, поскольку многие программы-вымогатели редактируют реестр, обратим внимание на уникальные ключи реестра и их значения. Так как мы знаем, что шифрование произошло 27 июня 2021 г., мы можем проверить наличие ключей, которые были созданы или изменены в этот день.

Рис. 11.12. Подозрительный ключ реестра, созданный после запуска программы-вымогателя

Мы нашли подозрительный ключ с названием BlackLivesMatter. Выполнив быстрый поиск с использованием общедоступных данных, мы обнаруживаем отчет BlackBerry Research & Intelligence Team о программе-вымогателе REvil, в котором упоминается этот ключ.

Рис. 11.13. Выдержка из отчета BlackBerry Research & Intelligence Team о программе-вымогателе REvil

Теперь у нас достаточно информации, подтверждающей, что мы имеем дело с программой-вымогателем REvil, — самое время узнать о ней больше.

Для начала REvil собирает информацию о системе и выявляет ее особенности. Перед запуском процесса шифрования программа останавливает процессы по списку в соответствии с данными конфигурации, которые хранятся в виде зашифрованного ресурса. Ключ имеет длину 32 байта и располагается перед зашифрованными данными.

После остановки процессов программа-вымогатель удаляет теневые копии, чтобы их нельзя было использовать для восстановления данных.

Рис. 11.14. Ключ, используемый для шифрования данных конфигурации

Файлы шифруются с помощью curve25519/Salsa20, ключ — с помощью curve25519/AES-256-CTR. REvil добавляет собственное расширение к зашифрованным файлам, например.1qu4746az.

REvil также меняет обои рабочего стола (сбрасывает свой вариант в папку %Temp%) и создает сообщения с требованиями выкупа во всех папках с зашифрованными файлами.

Чтобы закрепиться в системе, REvil изменяет ключ реестра SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Злоупотребление административными сетевыми ресурсами — это не единственный метод, используемый злоумышленниками для развертывания программ-вымогателей в масштабах предприятия. Другой распространенный путь — изменение групповых политик.

Изменение групповых политик — метод развертывания программ-вымогателей, который набирает все более широкую популярность среди злоумышленников.