Читаем Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей полностью

Доступ в сеть — это только полдела. Во многих случаях злоумышленники недостаточно хорошо знакомы с сетью и получают доступ только к учетным записям с ограниченными правами, а значит, не могут отключить элементы управления безопасностью и продвигаться по сети, чтобы получить конфиденциальные данные и развернуть программу-вымогатель.

Действия в рамках постэксплуатации зависят от типа доступа. Например, если злоумышленники имеют доступ к VPN, они могут просканировать сеть на наличие уязвимостей, которые обеспечат им возможность продвижения по ней.

Не удивляйтесь — пресловутый эксплойт EternalBlue (CVE-2017–0144) до сих пор чрезвычайно распространен во многих корпоративных сетях, в том числе на действительно крупных предприятиях.

Еще одна очень распространенная уязвимость, используемая различными операторами программ-вымогателей, — Zerologon (CVE-2020–1472). Она позволяет злоумышленникам получить доступ к контроллеру домена в несколько щелчков мышью.

Злоумышленники, которые применяют различные трояны, обычно начинают с использования встроенных сервисов Windows для диагностики сети и службы каталогов Active Directory, таких как net.exe, nltest и др., а затем пользуются сторонними инструментами, загружаемыми на скомпрометированный хост. Наиболее распространенные инструменты:

AdFind

Bloodhound (Sharphound)

ADRecon

Эти инструменты позволяют собирать информацию о пользователях и группах, компьютерах, подсетях, правах доступа к доменам и даже выявлять доверительные отношения внутри Active Directory.

Если взломщики получили доступ к скомпрометированному узлу по RDP, они обычно используют широкий набор инструментов — от сетевых сканеров до дамперов паролей. Вот некоторые самые распространенные инструменты:

SoftPerfect Network Scanner

Advanced IP Scanner

Mimikatz

LaZagne

Process Hacker

ProcDump

NLBrute

В некоторых случаях, особенно если злоумышленники уже имеют первоначальный доступ к серверу, они могут почти сразу получить учетные данные с повышенными правами, используя части загруженного набора инструментов, например, для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).

Другая типичная характеристика современных атак программ-вымогателей, управляемых человеком, — интенсивное использование различных фреймворков постэксплуатации. Я почти уверен, что вы слышали о Cobalt Strike. Это самый распространенный фреймворк, используемый не только киберпреступниками, но и хакерами, действующими по заказу государств.

Но это только один из примеров. Реагируя на атаки с использованием программ-вымогателей, вы можете также столкнуться с:

Metasploit

PowerShell Empire

CrackMapExec

Koadic

PoshC2

Подобные сервисы позволяют операторам программ-вымогателей решать различные задачи: сканировать сеть, повышать права доступа, выгружать учетные данные, загружать и запускать сторонние инструменты и сценарии, горизонтально перемещаться по сети с использованием различных методов и многое другое.

Еще один важный шаг злоумышленников — обеспечение резервного доступа. В частности, они могут распространять трояны, которые уже использовались для получения первоначального доступа, запускать элементы фреймворков постэксплуатации на удаленных хостах и даже устанавливать на отдельные серверы с доступом в интернет легитимное программное обеспечение для удаленного доступа, такое как TeamViewer.

Как только злоумышленники достаточно хорошо изучат сеть, в которую проникли, и получат повышенные права, они могут приступить к достижению основных целей — краже данных и развертыванию программ-вымогателей.

Кражу данных иногда называют утечкой данных, экспортом данных или эксфильтрацией данных, и она чрезвычайно популярна среди операторов программ-вымогателей. Практически у всех злоумышленников, связанных с атаками программ-вымогателей, управляемых человеком, есть собственные сайты утечки данных (Data Leak Site, DLS). Они публикуют на таких веб-сайтах информацию об успешных атаках — и даже сами украденные данные, если компания отказывается платить выкуп.

Объем украденных данных может быть самым разным. В некоторых случаях это всего несколько гигабайт, в других — терабайты. Эксфильтрованные данные могут включать информацию о кредитных картах, номера социального страхования (англ. Social Security numbers, сокр. SSN), персональные данные (Personal Identifiable Information, PII), защищенную медицинскую информацию (Protected Health Information, PHI) и национальные идентификаторы поставщиков медицинских услуг (National Provider Identifiers, NPI) и не ограничены частной и конфиденциальной информацией компании.

На рисунке 2.7 приведен пример DLS программы-вымогателя Conti.