My-library.info
Все категории

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей
Дата добавления:
4 март 2023
Количество просмотров:
66
Читать онлайн
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - описание и краткое содержание, автор Олег Скулкин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - читать книгу онлайн бесплатно, автор Олег Скулкин
class="p1">Во-первых, был запущен NS.exe — очень популярный среди пользователей программ-вымогателей инструмент, который используется ими для взлома RDP. Эта небольшая утилита позволяет злоумышленникам находить и подключать доступные сетевые ресурсы и отключенные локальные диски.

Во-вторых — Everything.exe. Это легитимная программа для индексации и поиска файлов, которую операторы программ-вымогателей обычно используют для разведки, выясняя, какие файлы доступны на взломанном хосте и какой у них размер.

Мы определили вспомогательное программное обеспечение, используемое злоумышленниками, а также идентифицировали учетную запись, используемую для развертывания, — SigmA0. Но нам нужно убедиться, что. cr_hand.exe — это программа-вымогатель.

Давайте изучим еще один источник следов запуска — файл Amcache (рис. 11.4). В числе прочих данных он содержит хеши SHA1, которые мы можем использовать для идентификации вредоносных файлов.

Рис. 11.4. Информация о вредоносном файле, извлеченная из Amcache

Теперь мы получили хеши, так что, даже если мы не сможем восстановить удаленные исполняемые файлы, у нас останется шанс их идентифицировать. Существует довольно много различных онлайн-сервисов, ориентированных на автоматический анализ вредоносного ПО, так что мы можем использовать полученные хеши для поиска подозрительных файлов. Хороший вариант — VirusTotal, сервис, к которому мы уже обращались.

Рис. 11.5. Информация об обнаруженных подозрительных файлах

Самый информативный из выявленных объектов — Ransom.Crylock. Таким образом, мы имеем дело с семейством программ-вымогателей Crylock.

Важное замечание об использовании онлайн-сервисов для идентификации вредоносных программ: вы можете без опасений использовать хеши, но никогда не загружайте на такие сайты образцы программ-вымогателей без надлежащего анализа — они часто содержат информацию, позволяющую идентифицировать жертв. Например, во многих образцах есть персонализированные сообщения о выкупе (файлы с инструкциями для жертв) с названиями пострадавших организаций.

Теперь мы точно знаем, что обнаруженный нами файл — образец программы-вымогателя. Мы также знаем, что он был запущен вручную пользователем SigmA0. Но как злоумышленник смог попасть на скомпрометированный хост?

Если мы посмотрим в журналы событий Windows, то увидим запись об успешном RDP-подключении, которое произошло прямо перед запуском программы-вымогателя Crylock на хосте.

Рис. 11.6. Информация об успешном RDP-подключении, полученная из журналов событий Windows

В данном случае это внешний адрес — значит, скомпрометированный хост был общедоступным. Такую же картину можно наблюдать и в случае локальных хостов — пользователи программ-вымогателей могут переходить с изначально скомпрометированного хоста на другие хосты сети по RDP и запускать вредоносное ПО на каждом из них.

Давайте изучим программу-вымогатель Crylock.

Обзор программы-вымогателя Crylock

Перед запуском процесса шифрования Crylock останавливает ряд служб и процессов из встроенного списка.

Затем программа-вымогатель удаляет теневые и резервные копии, чтобы предотвратить восстановление системы:

Для шифрования файлов она использует специальный симметричный шифр и алгоритм RSA для шифрования ключа.

Затем Crylock создает сообщение с требованием выкупа под названием how_to_decrypt.hta, которое содержит контактные данные и инструкции для жертвы.

Конечно, развертывание программ-вымогателей вручную не очень эффективно, особенно если злоумышленники планируют зашифровать сотни или тысячи хостов. Вот почему они также используют другие методы, например злоупотребление административными общими сетевыми ресурсами.

Изучение злоупотребления административными сетевыми ресурсами

Мы уже обсуждали, что лица, связанные с программами-вымогателями, могут злоупотреблять для горизонтального перемещения административными сетевыми ресурсами. Тот же метод злоумышленники могут применять для развертывания программ-вымогателей, хороший пример — PsExec. Некоторые мошенники используют готовые пакетные файлы, чтобы скопировать исполняемый файл программы-вымогателя на целевые хосты, а затем запустить его с помощью PsExec.

Конечно, это не единственный метод, задействующий административные сетевые ресурсы. Давайте рассмотрим другой пример и снова начнем с временно́й шкалы на основе MFT.

Рис. 11.7. Сообщения с требованиями выкупа, созданные на скомпрометированном хосте

На рисунке 11.7 показано множество сообщений с требованиями выкупа, созданных вредоносным исполняемым файлом, а также подозрительный файл трассировки.

Расследуя злоупотребления административными сетевыми ресурсами, вы всегда должны обращать внимание на такой распространенный артефакт, как событие установки службы. Его можно найти в файле журнала событий Windows System.evtx — ID 7045.

Рис. 11.8. Файл журнала событий System.evtx

Мы видим доказательства того, что подозрительный файл msedgeupdater.exe был запущен с хоста srvdc01, который, скорее всего, является контроллером домена, путем создания новой службы.

Таким образом, в процессе горизонтального перемещения операторы программы-вымогателя взломали один из контроллеров домена и использовали его для развертывания программы-вымогателя — такое происходит довольно часто. Поскольку служба была, скорее всего, создана удаленно, мы можем внимательно изучить события в журнале событий Windows Security.evtx, чтобы выявить действия по входу в систему.

Рис. 11.9. Действия по входу в систему, связанные с развертыванием программы-вымогателя

Мы видим, что злоумышленники использовали учетную запись администратора для развертывания программы-вымогателя с контроллера домена посредством создания удаленной службы.

Однако мы до сих пор не идентифицировали штамм программы-вымогателя. Мы уже умеем использовать для этого хеши, но давайте изменим тактику и сосредоточимся на других уликах, оставленных программой-вымогателем.

Во многих случаях самый простой способ определить штамм — заглянуть в сообщение с требованием выкупа.

Рис. 11.10. Часть сообщения с требованием выкупа, созданного программой-вымогателем

Как видите, сообщение с требованием выкупа содержит два подозрительных URL-адреса: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/062E246860D29CB2 и hxxp://decoder[.]re/062E246860D29CB2.

Для идентификации программы-вымогателя бывает достаточно поискать в Google.

Рис. 11.11. Пример результатов поиска в Google

По результатам поиска можно предположить, что мы имеем дело с программой-вымогателем REvil (Sodinokibi).

Кроме того, поскольку многие программы-вымогатели редактируют реестр, обратим внимание на уникальные ключи реестра и их значения. Так как мы знаем, что шифрование произошло 27 июня 2021 г., мы можем проверить наличие ключей, которые были созданы или изменены в этот день.

Рис. 11.12. Подозрительный ключ реестра, созданный после запуска программы-вымогателя

Мы нашли подозрительный ключ с названием BlackLivesMatter. Выполнив быстрый поиск с использованием общедоступных данных, мы обнаруживаем отчет BlackBerry Research & Intelligence Team о программе-вымогателе REvil, в котором упоминается этот ключ.

Рис. 11.13. Выдержка из отчета BlackBerry Research & Intelligence Team о программе-вымогателе REvil

Теперь у нас достаточно информации, подтверждающей, что мы имеем дело с программой-вымогателем REvil, — самое время узнать о ней больше.

Обзор программы-вымогателя REvil

Для начала REvil собирает информацию о системе и выявляет ее особенности. Перед запуском процесса шифрования программа останавливает процессы по списку в соответствии с данными конфигурации, которые хранятся в виде зашифрованного ресурса. Ключ имеет длину 32 байта и располагается перед зашифрованными данными.

После остановки процессов программа-вымогатель удаляет теневые копии, чтобы их нельзя было использовать для восстановления данных.

Рис. 11.14. Ключ, используемый для


Олег Скулкин читать все книги автора по порядку

Олег Скулкин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей отзывы

Отзывы читателей о книге Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей, автор: Олег Скулкин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.