Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

В большинстве случаев к моменту развертывания сеть уже полностью скомпрометирована, поэтому злоумышленникам не составит труда перейти на контроллер домена и злоупотребить групповыми политиками для запуска программы-вымогателя в масштабах всего предприятия.

Более того, некоторые программы-вымогатели имеют встроенные возможности использования модификации групповых политик для самостоятельного распространения. Хороший пример — программа-вымогатель LockBit.

Вы можете пойти тем же путем, который мы рассмотрели ранее: найдите первое сообщение с требованием выкупа и начните проверять, что произошло до того, как оно было создано. В этом случае мы видим, что был создан очень подозрительный объект групповой политики (Group Policy Object, GPO).

Рис. 11.15. Объект групповой политики, созданный программой-вымогателем LockBit

Как мы видим, создан новый объект с глобальным уникальным идентификатором (Globally Unique Identifier, GUID) {E97EFF8F-1C38–433C-9715–4F53424B4887}. Более того, в папке C: \Windows\SYSVOL\domain\scripts находится весьма подозрительный файл 586A97.exe.

Сперва давайте рассмотрим несколько файлов расширяемого языка разметки (Extensible Markup Language, XML). Например, Services.xml содержит информацию о службах, которые следует остановить. Вот выдержка из этого файла.

Следующий файл, Files.xml, копирует подозрительный файл из указанной ранее общей папки в папку Desktop на целевом хосте (рис. 11.16).

Наконец, файл ScheduledTasks.xml используется для создания запланированной задачи, чтобы остановить перечисленные процессы и запустить исполняемый файл программы-вымогателя (рис 11.17).

Рис. 11.16. Содержимое файла Files.xml

Рис. 11.17. Фрагмент списка процессов из ScheduledTasks.xml

Еще один примечательный файл — Registry.pol. Он содержит информацию об изменениях реестра для отключения различных функций Защитника Windows, чтобы тот не мог прервать процесс шифрования.

Мы можем использовать хеш файла 586A97.exe, чтобы попытаться идентифицировать его (рис. 11.18).

Рис. 11.18. Записи о подозрительном файле

Итак, теперь мы твердо знаем, что столкнулись с программой-вымогателем LockBit. Продолжая криминалистический анализ, заглянем в журналы событий Windows, связанные с PowerShell, и найдем запись, изображенную на рисунке 11.19.

Рис. 11.19. Подозрительная запись в журналах событий PowerShell Windows

Как мы видим, LockBit злоупотребляет PowerShell, чтобы принудительно обновить групповые политики.

Давайте посмотрим на саму программу-вымогатель LockBit.

Перед началом процесса шифрования программа-вымогатель LockBit останавливает процессы и службы из встроенного списка, а также блокирует восстановление системы, выполняя следующие команды:

LockBit использует шифр AES-128 в режиме CBC для шифрования файлов на целевом хосте. Она добавляет расширение. lockbit к каждому зашифрованному файлу и меняет их значки.

Программа-вымогатель также меняет фоновое изображение рабочего стола на следующее:

Рис. 11.20. Фоновое изображение LockBit 2.0

LockBit создает сообщения с требованием выкупа в каждой папке с зашифрованными файлами. Файлы с сообщениями с требованием выкупа имеют имя RESTORE-MY-FILES.txt.

Программа-вымогатель LockBit также может создавать объекты групповой политики, чтобы отключать антивирусное программное обеспечение, завершать список процессов и распространять себя.

Лица, связанные с программами-вымогателями, в зависимости от своих навыков и целей используют различные методы для распространения вредоносного кода в масштабах предприятия.

В этой главе мы рассмотрели самые распространенные методы развертывания программ-вымогателей на предприятиях, наблюдаемые в современных атаках, управляемых человеком, и узнали, как использовать различные криминалистические артефакты для обнаружения атаки и ее реконструкции.

Поскольку мы уже много знаем о том, как реагировать на атаки с использованием программ-вымогателей и обнаруживать различные методы злоумышленников, можно подвести итоги и представить унифицированный жизненный цикл атак с использованием программ-вымогателей.

В последней главе мы рассмотрим различные жизненные циклы, в том числе Cyber Kill Chain, MITRE ATT&CK и Unified Kill Chain, а также рассмотрим унифицированный жизненный цикл, характерный для атак с использованием программ-вымогателей — Unified Ransomware Kill Chain.

Теперь вы многое знаете о том, как действуют злоумышленники на различных этапах жизненного цикла атак программ-вымогателей, управляемых человеком. Мы обсудили, как получать и использовать знания о киберугрозах, как собирать данные из различных источников и как выполнять криминалистический анализ цифровых данных, чтобы реконструировать различные этапы атак в ходе реагирования на инциденты.