Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

На этом этапе описываются все действия, предпринимаемые злоумышленниками для достижения поставленных целей. Он охватывает весь процесс постэксплуатации и может включать повышение привилегий, доступ к учетным данным, горизонтальное перемещение, а также кражу данных и развертывание программ-вымогателей.

Cyber Kill Chain® была разработана довольно давно и в настоящее время уже несколько устарела, поскольку описывает преимущественно начальный этап атаки. Рассмотрим более современную версию — MITRE ATT&CK®.

ATT&CK — это глобально доступная база знаний о стратегиях и процедурах злоумышленников, основанная на реальных наблюдениях. Она разработана и поддерживается корпорацией MITRE при участии глобального сообщества кибербезопасности.

Мы уже ссылались на эту базу знаний в этой книге. Я рекомендую ознакомиться с документом «MITRE ATT&CK®: дизайн и философия» (MITRE ATT&CK®: Design and Philosophy, https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf).

В MITRE ATT&CK® описано 14 тактических действий преступников:

Разведка.

Подготовка ресурсов.

Первоначальный доступ.

Выполнение.

Закрепление.

Повышение привилегий.

Обход защиты.

Доступ к учетным данным.

Обнаружение.

Горизонтальное перемещение по сети.

Сбор данных.

Управление и контроль.

Кража данных.

Воздействие.

Рассмотрим каждое действие отдельно.

Преступник собирает информацию о цели. Как обсуждалось ранее, злоумышленники могут использовать для создания профиля потенциальной жертвы и получения информации, необходимой для начала атаки, как пассивные, так и активные методы.

Есть много способов разведки. Одни взломщики предпочитают использовать инструменты двойного назначения, в то время как другие все делают вручную — это зависит от того, что будет эффективнее работать в каждом конкретном случае.

Это отдельный этап, на котором злоумышленники занимаются подготовкой инфраструктуры — настраивают серверы, регистрируют домены, готовят фишинговые письма, получают программы-вымогатели или другие виды вредоносных программ и инструментов от сторонних поставщиков и т. д.

Злоумышленники, в том числе лица, связанные с программами-вымогателями, могут использовать различные методы для получения первоначального доступа к целевой сети. Как вы уже знаете, они могут использовать общедоступные приложения, целевой фишинг, а также злоупотреблять службами удаленного доступа или доверительными отношениями для перехода из одной скомпрометированной сети в другую.

В течение жизненного цикла атаки злоумышленникам необходимо запускать различные команды и бинарные файлы. Это могут быть инструменты, загруженные и запущенные с помощью вредоносных макросов, встроенных в документ Microsoft Office, различные разведывательные команды, выполняемые через веб-шелл, или двоичный файл программы-вымогателя, запускаемый на удаленном хосте с помощью PsExec.

Взломщикам нужно удерживать занятые позиции. Для резервного доступа к взломанной сети они могут использовать как легитимное программное обеспечение удаленного доступа, так и более традиционные методы сохранения при перезагрузке, например редактирование реестра или создание запланированных задач.

Во многих случаях для эффективного запуска действий постэксплуатации злоумышленникам не хватает привилегий — а значит, их нужно повысить. Для этого операторы программ-вымогателей могут использовать различные ошибки конфигурации и уязвимости, а также некоторые методы закрепления.

Развертывание программ-вымогателей практически невозможно без отключения продуктов безопасности, установленных в целевой сети. Более того, на протяжении всего жизненного цикла атаки злоумышленникам приходится избегать обнаружения, поэтому они запутывают/шифруют свои инструменты и удаляют улики и файлы журналов, чтобы затруднить расследование и процесс реагирования.

Обычно в ходе жизненного цикла атаки пользователям программ-вымогателей требуется доступ к различным серверам, например, для кражи данных или удаления резервных копий. Для этого им нужны соответствующие учетные данные. Вы уже знаете, что злоумышленники могут выгрузить их из памяти, извлечь из различных хранилищ паролей или, например, провести атаку kerberoasting.

Для эксфильтрации наиболее конфиденциальных данных и развертывания программ-вымогателей на максимально возможном количестве хостов злоумышленникам необходимо найти информацию об установленном программном обеспечении, учетных записях, общих сетевых ресурсах и удаленных хостах.

Пользователи программ-вымогателей в основном ориентируются на корпоративные сети, поэтому им нужно перемещаться от одной скомпрометированной системы к другой. В большинстве случаев они используют легитимные учетные данные и протоколы, такие как RDP и SMB.