Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

В этой главе мы обобщим все эти знания, рассмотрев различные жизненные циклы атак, и сформируем унифицированный жизненный цикл атак с использованием программ-вымогателей.

Cyber Kill Chain®.

MITRE ATT&CK®.

Unified Kill Chain.

Unified Ransomware Kill Chain.

Cyber Kill Chain® была представлена компанией Lockheed Martin как часть модели Intelligence Driven Defense®. Эта модель описана в официальном документе «Защита компьютерной сети на основе разведданных, собранных при анализе кампаний злоумышленников и жизненных циклов вторжений» (Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf).

Согласно этому документу, Cyber Kill Chain® состоит из следующих семи этапов.

Разведка.

Подготовка.

Доставка.

Эксплуатация.

Установка.

Управление и контроль.

Целевые действия.

Рассмотрим каждый этап более подробно.

На этом этапе злоумышленники собирают информацию о цели, изучая веб-сайты и социальные сети, а также собственно целевую инфраструктуру — особенно ее общедоступную часть. Также на этом этапе операторы программ-вымогателей могут общаться с брокерами первоначального доступа и собирать информацию о доходах будущей жертвы — она нужна для определения суммы выкупа.

Этап разведки сильно недооценен. Часто злоумышленник изучает потенциальную жертву в течение недель или месяцев, а иногда — и лет. Это делается не только для того, чтобы получить полную внешнюю картину, но и для того, чтобы изучить особенности работы бизнеса цели.

В документе Lockheed Martin описан процесс подготовки вредоносного документа, который впоследствии доставляется путем целевого фишинга. Кроме того, операторам программ-вымогателей могут потребоваться эксплойты, подходящие для получения начального доступа, повышения привилегий или, например, горизонтального перемещения по сети. Также они занимаются подготовкой и настройкой серверов (например, Cobalt Strike) и выбором подходящих инструментов для планируемой атаки.

На этом этапе выполняется доставка вредоносных инструментов, в документе описан используемый для этого метод.

Этот этап можно разделить на два. Пользователям программ-вымогателей может потребоваться доставить бот, инструмент удаленного доступа (remote access tool, RAT) / троян или, например, веб-шелл для получения первоначального доступа, а по завершении постэксплуатации и кражи данных им нужно будет развернуть программу-вымогатель.

В некоторых случаях на этом этапе может быть задействована отдельная команда злоумышленников, включая брокера первоначального доступа.

Доставка — это часть жизненного цикла атаки. Другой распространенный метод — установка дополнительной лазейки перед развертыванием. Как мы видели, большинство современных злоумышленников прибегают к этому, чтобы быть уверенными в том, что они не потеряют соединение или не будут заблокированы.

Обычно этот этап связан с эксплуатацией уязвимостей для запуска инструментов.

Разумеется, вы помните об уязвимостях, связанных с Microsoft Office, Microsoft Exchange и другими программами, но помимо них злоумышленники могут пользоваться человеческими уязвимостями, применяя для этого множество методов, основанных на фишинге.

Кроме того — особенно когда речь идет о развертывании программ-вымогателей — злоумышленники могут использовать различные встроенные функции и «подручные средства», то есть имеющиеся функции взломанных систем, чтобы обойти защиту и действовать незаметно.

На этом этапе злоумышленники должны закрепить доставленные инструменты в скомпрометированной системе, чтобы обеспечить резервный доступ к ней. Речь идет не о какой-то одной программной закладке, а об обширном наборе инструментов. Злоумышленники могут воспользоваться учетными данными к общедоступным серверам, организовать VPN-доступ к скомпрометированной сети, установить легитимное программное обеспечение для удаленного доступа и т. д.

Важно, что на этом этапе может существовать несколько установок инструментов и несколько рабочих каталогов, включая фальшивые каталоги, которые создаются, чтобы отвлечь специалиста по реагированию от инструментов, предназначенных для «боевого» использования.

После успешной установки злоумышленники должны обеспечить возможность взаимодействия со скомпрометированным хостом извне.

Как вы уже знаете, операторы программ-вымогателей могут использовать различные инструменты и технологии: боты, RAT, веб-шеллы и даже легитимное программное обеспечение для удаленного доступа. То, какие именно каналы коммуникации будут задействованы, во многом зависит от предпочтений злоумышленников.