My-library.info
Все категории

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей
Дата добавления:
4 март 2023
Количество просмотров:
66
Читать онлайн
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - описание и краткое содержание, автор Олег Скулкин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - читать книгу онлайн бесплатно, автор Олег Скулкин
шифрования данных конфигурации

Файлы шифруются с помощью curve25519/Salsa20, ключ — с помощью curve25519/AES-256-CTR. REvil добавляет собственное расширение к зашифрованным файлам, например.1qu4746az.

REvil также меняет обои рабочего стола (сбрасывает свой вариант в папку %Temp%) и создает сообщения с требованиями выкупа во всех папках с зашифрованными файлами.

Чтобы закрепиться в системе, REvil изменяет ключ реестра SOFTWAREMicrosoftWindowsCurrentVersionRun.

Злоупотребление административными сетевыми ресурсами — это не единственный метод, используемый злоумышленниками для развертывания программ-вымогателей в масштабах предприятия. Другой распространенный путь — изменение групповых политик.

Изучение злоупотребления групповыми политиками

Изменение групповых политик — метод развертывания программ-вымогателей, который набирает все более широкую популярность среди злоумышленников.

В большинстве случаев к моменту развертывания сеть уже полностью скомпрометирована, поэтому злоумышленникам не составит труда перейти на контроллер домена и злоупотребить групповыми политиками для запуска программы-вымогателя в масштабах всего предприятия.

Более того, некоторые программы-вымогатели имеют встроенные возможности использования модификации групповых политик для самостоятельного распространения. Хороший пример — программа-вымогатель LockBit.

Вы можете пойти тем же путем, который мы рассмотрели ранее: найдите первое сообщение с требованием выкупа и начните проверять, что произошло до того, как оно было создано. В этом случае мы видим, что был создан очень подозрительный объект групповой политики (Group Policy Object, GPO).

Рис. 11.15. Объект групповой политики, созданный программой-вымогателем LockBit

Как мы видим, создан новый объект с глобальным уникальным идентификатором (Globally Unique Identifier, GUID) {E97EFF8F-1C38–433C-9715–4F53424B4887}. Более того, в папке C: WindowsSYSVOLdomainscripts находится весьма подозрительный файл 586A97.exe.

Сперва давайте рассмотрим несколько файлов расширяемого языка разметки (Extensible Markup Language, XML). Например, Services.xml содержит информацию о службах, которые следует остановить. Вот выдержка из этого файла.

Следующий файл, Files.xml, копирует подозрительный файл из указанной ранее общей папки в папку Desktop на целевом хосте (рис. 11.16).

Наконец, файл ScheduledTasks.xml используется для создания запланированной задачи, чтобы остановить перечисленные процессы и запустить исполняемый файл программы-вымогателя (рис 11.17).

Рис. 11.16. Содержимое файла Files.xml

Рис. 11.17. Фрагмент списка процессов из ScheduledTasks.xml

Еще один примечательный файл — Registry.pol. Он содержит информацию об изменениях реестра для отключения различных функций Защитника Windows, чтобы тот не мог прервать процесс шифрования.

Мы можем использовать хеш файла 586A97.exe, чтобы попытаться идентифицировать его (рис. 11.18).

Рис. 11.18. Записи о подозрительном файле

Итак, теперь мы твердо знаем, что столкнулись с программой-вымогателем LockBit. Продолжая криминалистический анализ, заглянем в журналы событий Windows, связанные с PowerShell, и найдем запись, изображенную на рисунке 11.19.

Рис. 11.19. Подозрительная запись в журналах событий PowerShell Windows

Как мы видим, LockBit злоупотребляет PowerShell, чтобы принудительно обновить групповые политики.

Давайте посмотрим на саму программу-вымогатель LockBit.

Обзор программы-вымогателя LockBit

Перед началом процесса шифрования программа-вымогатель LockBit останавливает процессы и службы из встроенного списка, а также блокирует восстановление системы, выполняя следующие команды:

LockBit использует шифр AES-128 в режиме CBC для шифрования файлов на целевом хосте. Она добавляет расширение. lockbit к каждому зашифрованному файлу и меняет их значки.

Программа-вымогатель также меняет фоновое изображение рабочего стола на следующее:

Рис. 11.20. Фоновое изображение LockBit 2.0

LockBit создает сообщения с требованием выкупа в каждой папке с зашифрованными файлами. Файлы с сообщениями с требованием выкупа имеют имя RESTORE-MY-FILES.txt.

Программа-вымогатель LockBit также может создавать объекты групповой политики, чтобы отключать антивирусное программное обеспечение, завершать список процессов и распространять себя.

Выводы

Лица, связанные с программами-вымогателями, в зависимости от своих навыков и целей используют различные методы для распространения вредоносного кода в масштабах предприятия.

В этой главе мы рассмотрели самые распространенные методы развертывания программ-вымогателей на предприятиях, наблюдаемые в современных атаках, управляемых человеком, и узнали, как использовать различные криминалистические артефакты для обнаружения атаки и ее реконструкции.

Поскольку мы уже много знаем о том, как реагировать на атаки с использованием программ-вымогателей и обнаруживать различные методы злоумышленников, можно подвести итоги и представить унифицированный жизненный цикл атак с использованием программ-вымогателей.

В последней главе мы рассмотрим различные жизненные циклы, в том числе Cyber Kill Chain, MITRE ATT&CK и Unified Kill Chain, а также рассмотрим унифицированный жизненный цикл, характерный для атак с использованием программ-вымогателей — Unified Ransomware Kill Chain.

Глава 12

Унифицированный жизненный цикл атак с использованием программ-вымогателей

Теперь вы многое знаете о том, как действуют злоумышленники на различных этапах жизненного цикла атак программ-вымогателей, управляемых человеком. Мы обсудили, как получать и использовать знания о киберугрозах, как собирать данные из различных источников и как выполнять криминалистический анализ цифровых данных, чтобы реконструировать различные этапы атак в ходе реагирования на инциденты.

В этой главе мы обобщим все эти знания, рассмотрев различные жизненные циклы атак, и сформируем унифицированный жизненный цикл атак с использованием программ-вымогателей.

Мы рассмотрим следующие темы:

Cyber Kill Chain®.

MITRE ATT&CK®.

Unified Kill Chain.

Unified Ransomware Kill Chain.

Cyber Kill Chain®

Cyber Kill Chain® была представлена компанией Lockheed Martin как часть модели Intelligence Driven Defense®. Эта модель описана в официальном документе «Защита компьютерной сети на основе разведданных, собранных при анализе кампаний злоумышленников и жизненных циклов вторжений» (Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains,  https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf).

Согласно этому документу, Cyber Kill Chain® состоит из следующих семи этапов.

Разведка.

Подготовка.

Доставка.

Эксплуатация.

Установка.

Управление и контроль.

Целевые действия.

Рассмотрим каждый этап более подробно.

Разведка

На этом этапе злоумышленники собирают информацию о цели, изучая веб-сайты и социальные сети, а также собственно целевую инфраструктуру — особенно ее общедоступную часть. Также на этом этапе операторы программ-вымогателей могут общаться с брокерами первоначального доступа и собирать информацию о доходах будущей жертвы — она нужна для определения суммы выкупа.

Этап разведки сильно недооценен. Часто злоумышленник изучает потенциальную жертву в течение недель или месяцев, а иногда — и лет. Это делается не только для того, чтобы получить полную внешнюю картину, но и для того, чтобы изучить особенности работы бизнеса цели.

Подготовка

В документе Lockheed Martin описан процесс подготовки вредоносного документа, который впоследствии доставляется путем целевого фишинга. Кроме того, операторам программ-вымогателей могут потребоваться эксплойты, подходящие для получения начального доступа, повышения привилегий или, например, горизонтального перемещения по сети. Также они занимаются подготовкой и настройкой серверов (например, Cobalt Strike) и выбором подходящих инструментов для планируемой атаки.

Доставка

На этом этапе выполняется доставка вредоносных инструментов, в документе описан используемый для этого метод.

Этот этап можно разделить на два. Пользователям программ-вымогателей может потребоваться доставить бот, инструмент удаленного доступа (remote access tool, RAT) / троян или, например, веб-шелл для получения


Олег Скулкин читать все книги автора по порядку

Олег Скулкин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей отзывы

Отзывы читателей о книге Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей, автор: Олег Скулкин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.