Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Для того чтобы украсть ценные данные и разместить их на DLS, сначала их нужно собрать. Злоумышленники могут извлекать данные из локальных систем, общих сетевых дисков, электронных писем и других источников конфиденциальных данных.

Чтобы избежать обнаружения в процессе взаимодействия со скомпрометированными системами, мошенники могут имитировать обычный трафик, запутывать или шифровать передаваемые данные или, например, использовать для подключения прокси-сервер.

Пользователи программ-вымогателей могут красть собранные данные, задействуя канал управления и контроля, а также различные веб-сервисы. Перед извлечением данные могут быть заархивированы и/или зашифрованы.

Основная цель большинства операторов программ-вымогателей — шифрование данных в целевых системах. При этом они всегда пытаются помешать восстановлению системы, уничтожая как встроенные, так и сторонние резервные копии.

Обе модели — Cyber Kill Chain® и MITRE ATT&CK® — имеют свои преимущества и недостатки, поэтому некоторые исследователи пытаются создать на их основе новые модели. Яркий пример — Unified Kill Chain.

Unified Kill Chain объединяет и расширяет Cyber Kill Chain® и MITRE ATT&CK®. Ее разработал Пол Полс в своей магистерской диссертации «Моделирование атак Fancy Bear: унификация жизненного цикла Cyber Kill Chain» (Modeling Fancy Bear Attacks: Unifying the Cyber Kill Chain).

Официальная версия доступна по ссылке: https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf.

Unified Kill Chain разделяет жизненный цикл атаки на три основных этапа: первоначальный доступ, распространение по сети и целевые действия. Рассмотрим каждый этап в отдельности.

На первом этапе описываются шаги, предпринимаемые злоумышленниками для получения доступа к целевой системе или сети.

Рис. 12.1. Этапы первоначального доступа

Жизненный цикл начинается с изучения цели (Разведка). Затем злоумышленникам необходимо подготовить инфраструктуру: вредоносные программы (в том числе программы-вымогатели) и другие инструменты, а также инфраструктуру управления и контроля и т. д. (Вооружение). Если в контексте вооружения используются те или иные объекты, например вредоносные документы, их необходимо доставить к цели (Доставка). Злоумышленники должны либо обманом заставить жертву загрузить и открыть вредоносный файл (Социальная инженерия), либо использовать для запуска уязвимость (Эксплуатация). После запуска вредоносного объекта злоумышленникам может потребоваться постоянный доступ к взломанной системе (Закрепление). Чтобы начать действовать, злоумышленники должны обойти средства защиты (Обход защиты), а также иметь возможность продолжать взаимодействие со скомпрометированной системой (Управление и контроль).

Как только операторы программы-вымогателя закрепятся в целевой системе, они готовы перейти к следующему этапу — распространению по сети.

Рис. 12.2. Этапы распространения по сети

Злоумышленники должны собрать информацию о скомпрометированной системе, чтобы знать свои текущие привилегии и уровень доступа (Обнаружение). Если привилегий недостаточно, взломщики могут повысить их, например, используя уязвимости (Повышение привилегий). Обладая повышенными привилегиями, операторы программы-вымогателя могут запускать произвольный код во взломанной системе (Выполнение). Возможность запуска произвольного кода позволяет мошенникам получать учетные данные (Доступ к учетным данным). Имея надлежащие учетные данные, пользователи программы-вымогателя могут обнаружить удаленные хосты (Обнаружение) и начать горизонтальное перемщение (Горизонтальное перемещение), чтобы перейти к целевым действиям.

Имея надлежащие учетные данные и возможность горизонтального перемещения, операторы программ-вымогателей могут перейти к заключительному этапу — целевым действиям.

Как вы уже хорошо знаете, в большинстве атак с использованием программ-вымогателей, управляемых человеком, одна из основных целей

Рис. 12.3. Этапы целевых действий

злоумышленников — доступ к ценным данным. Как только такие данные обнаружены, их собирают (Сбор данных) и выгружают (Кража данных). Когда данные выгружены, злоумышленники могут переходить к заключительному этапу — развертыванию программы-вымогателя (Воздействие).

Мы рассмотрели различные жизненные циклы, и теперь давайте составим собственный — Unified Ransomware Kill Chain.

Из этой книги вы узнали многое о киберугрозах, связанных с программами-вымогателями, а также рассмотрели наиболее распространенные методы, используемые злоумышленниками. Теперь у вас есть четкое представление об атаках с использованием программ-вымогателей, управляемых человеком, и мы готовы построить собственный жизненный цикл Unified Ransomware Kill Chain.