class="p1">Во-первых, был запущен NS.exe — очень популярный среди пользователей программ-вымогателей инструмент, который используется ими для взлома RDP. Эта небольшая утилита позволяет злоумышленникам находить и подключать доступные сетевые ресурсы и отключенные локальные диски.
Во-вторых — Everything.exe. Это легитимная программа для индексации и поиска файлов, которую операторы программ-вымогателей обычно используют для разведки, выясняя, какие файлы доступны на взломанном хосте и какой у них размер.
Мы определили вспомогательное программное обеспечение, используемое злоумышленниками, а также идентифицировали учетную запись, используемую для развертывания, — SigmA0. Но нам нужно убедиться, что. cr_hand.exe — это программа-вымогатель.
Давайте изучим еще один источник следов запуска — файл Amcache (рис. 11.4). В числе прочих данных он содержит хеши SHA1, которые мы можем использовать для идентификации вредоносных файлов.
Рис. 11.4. Информация о вредоносном файле, извлеченная из Amcache
Теперь мы получили хеши, так что, даже если мы не сможем восстановить удаленные исполняемые файлы, у нас останется шанс их идентифицировать. Существует довольно много различных онлайн-сервисов, ориентированных на автоматический анализ вредоносного ПО, так что мы можем использовать полученные хеши для поиска подозрительных файлов. Хороший вариант — VirusTotal, сервис, к которому мы уже обращались.
Рис. 11.5. Информация об обнаруженных подозрительных файлах
Самый информативный из выявленных объектов — Ransom.Crylock. Таким образом, мы имеем дело с семейством программ-вымогателей Crylock.
Важное замечание об использовании онлайн-сервисов для идентификации вредоносных программ: вы можете без опасений использовать хеши, но никогда не загружайте на такие сайты образцы программ-вымогателей без надлежащего анализа — они часто содержат информацию, позволяющую идентифицировать жертв. Например, во многих образцах есть персонализированные сообщения о выкупе (файлы с инструкциями для жертв) с названиями пострадавших организаций.
Теперь мы точно знаем, что обнаруженный нами файл — образец программы-вымогателя. Мы также знаем, что он был запущен вручную пользователем SigmA0. Но как злоумышленник смог попасть на скомпрометированный хост?
Если мы посмотрим в журналы событий Windows, то увидим запись об успешном RDP-подключении, которое произошло прямо перед запуском программы-вымогателя Crylock на хосте.
Рис. 11.6. Информация об успешном RDP-подключении, полученная из журналов событий Windows
В данном случае это внешний адрес — значит, скомпрометированный хост был общедоступным. Такую же картину можно наблюдать и в случае локальных хостов — пользователи программ-вымогателей могут переходить с изначально скомпрометированного хоста на другие хосты сети по RDP и запускать вредоносное ПО на каждом из них.
Давайте изучим программу-вымогатель Crylock.
Обзор программы-вымогателя Crylock
Перед запуском процесса шифрования Crylock останавливает ряд служб и процессов из встроенного списка.
Затем программа-вымогатель удаляет теневые и резервные копии, чтобы предотвратить восстановление системы:
Для шифрования файлов она использует специальный симметричный шифр и алгоритм RSA для шифрования ключа.
Затем Crylock создает сообщение с требованием выкупа под названием how_to_decrypt.hta, которое содержит контактные данные и инструкции для жертвы.
Конечно, развертывание программ-вымогателей вручную не очень эффективно, особенно если злоумышленники планируют зашифровать сотни или тысячи хостов. Вот почему они также используют другие методы, например злоупотребление административными общими сетевыми ресурсами.
Изучение злоупотребления административными сетевыми ресурсами
Мы уже обсуждали, что лица, связанные с программами-вымогателями, могут злоупотреблять для горизонтального перемещения административными сетевыми ресурсами. Тот же метод злоумышленники могут применять для развертывания программ-вымогателей, хороший пример — PsExec. Некоторые мошенники используют готовые пакетные файлы, чтобы скопировать исполняемый файл программы-вымогателя на целевые хосты, а затем запустить его с помощью PsExec.
Конечно, это не единственный метод, задействующий административные сетевые ресурсы. Давайте рассмотрим другой пример и снова начнем с временно́й шкалы на основе MFT.
Рис. 11.7. Сообщения с требованиями выкупа, созданные на скомпрометированном хосте
На рисунке 11.7 показано множество сообщений с требованиями выкупа, созданных вредоносным исполняемым файлом, а также подозрительный файл трассировки.
Расследуя злоупотребления административными сетевыми ресурсами, вы всегда должны обращать внимание на такой распространенный артефакт, как событие установки службы. Его можно найти в файле журнала событий Windows System.evtx — ID 7045.
Рис. 11.8. Файл журнала событий System.evtx
Мы видим доказательства того, что подозрительный файл msedgeupdater.exe был запущен с хоста srvdc01, который, скорее всего, является контроллером домена, путем создания новой службы.
Таким образом, в процессе горизонтального перемещения операторы программы-вымогателя взломали один из контроллеров домена и использовали его для развертывания программы-вымогателя — такое происходит довольно часто. Поскольку служба была, скорее всего, создана удаленно, мы можем внимательно изучить события в журнале событий Windows Security.evtx, чтобы выявить действия по входу в систему.
Рис. 11.9. Действия по входу в систему, связанные с развертыванием программы-вымогателя
Мы видим, что злоумышленники использовали учетную запись администратора для развертывания программы-вымогателя с контроллера домена посредством создания удаленной службы.
Однако мы до сих пор не идентифицировали штамм программы-вымогателя. Мы уже умеем использовать для этого хеши, но давайте изменим тактику и сосредоточимся на других уликах, оставленных программой-вымогателем.
Во многих случаях самый простой способ определить штамм — заглянуть в сообщение с требованием выкупа.
Рис. 11.10. Часть сообщения с требованием выкупа, созданного программой-вымогателем
Как видите, сообщение с требованием выкупа содержит два подозрительных URL-адреса: hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd[.]onion/062E246860D29CB2 и hxxp://decoder[.]re/062E246860D29CB2.
Для идентификации программы-вымогателя бывает достаточно поискать в Google.
Рис. 11.11. Пример результатов поиска в Google
По результатам поиска можно предположить, что мы имеем дело с программой-вымогателем REvil (Sodinokibi).
Кроме того, поскольку многие программы-вымогатели редактируют реестр, обратим внимание на уникальные ключи реестра и их значения. Так как мы знаем, что шифрование произошло 27 июня 2021 г., мы можем проверить наличие ключей, которые были созданы или изменены в этот день.
Рис. 11.12. Подозрительный ключ реестра, созданный после запуска программы-вымогателя
Мы нашли подозрительный ключ с названием BlackLivesMatter. Выполнив быстрый поиск с использованием общедоступных данных, мы обнаруживаем отчет BlackBerry Research & Intelligence Team о программе-вымогателе REvil, в котором упоминается этот ключ.
Рис. 11.13. Выдержка из отчета BlackBerry Research & Intelligence Team о программе-вымогателе REvil
Теперь у нас достаточно информации, подтверждающей, что мы имеем дело с программой-вымогателем REvil, — самое время узнать о ней больше.
Обзор программы-вымогателя REvil
Для начала REvil собирает информацию о системе и выявляет ее особенности. Перед запуском процесса шифрования программа останавливает процессы по списку в соответствии с данными конфигурации, которые хранятся в виде зашифрованного ресурса. Ключ имеет длину 32 байта и располагается перед зашифрованными данными.
После остановки процессов программа-вымогатель удаляет теневые копии, чтобы их нельзя было использовать для восстановления данных.
Рис. 11.14. Ключ, используемый для