My-library.info
Все категории

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей
Дата добавления:
4 март 2023
Количество просмотров:
66
Читать онлайн
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - описание и краткое содержание, автор Олег Скулкин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - читать книгу онлайн бесплатно, автор Олег Скулкин
Kill Chain.

Unified Kill Chain

Unified Kill Chain объединяет и расширяет Cyber Kill Chain® и MITRE ATT&CK®. Ее разработал Пол Полс в своей магистерской диссертации «Моделирование атак Fancy Bear: унификация жизненного цикла Cyber Kill Chain» (Modeling Fancy Bear Attacks: Unifying the Cyber Kill Chain).

Официальная версия доступна по ссылке: https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf.

Unified Kill Chain разделяет жизненный цикл атаки на три основных этапа: первоначальный доступ, распространение по сети и целевые действия. Рассмотрим каждый этап в отдельности.

Первоначальный доступ

На первом этапе описываются шаги, предпринимаемые злоумышленниками для получения доступа к целевой системе или сети.

Рис. 12.1. Этапы первоначального доступа

Жизненный цикл начинается с изучения цели (Разведка). Затем злоумышленникам необходимо подготовить инфраструктуру: вредоносные программы (в том числе программы-вымогатели) и другие инструменты, а также инфраструктуру управления и контроля и т. д. (Вооружение). Если в контексте вооружения используются те или иные объекты, например вредоносные документы, их необходимо доставить к цели (Доставка). Злоумышленники должны либо обманом заставить жертву загрузить и открыть вредоносный файл (Социальная инженерия), либо использовать для запуска уязвимость (Эксплуатация). После запуска вредоносного объекта злоумышленникам может потребоваться постоянный доступ к взломанной системе (Закрепление). Чтобы начать действовать, злоумышленники должны обойти средства защиты (Обход защиты), а также иметь возможность продолжать взаимодействие со скомпрометированной системой (Управление и контроль).

Распространение по сети

Как только операторы программы-вымогателя закрепятся в целевой системе, они готовы перейти к следующему этапу — распространению по сети.

Рис. 12.2. Этапы распространения по сети

Злоумышленники должны собрать информацию о скомпрометированной системе, чтобы знать свои текущие привилегии и уровень доступа (Обнаружение). Если привилегий недостаточно, взломщики могут повысить их, например, используя уязвимости (Повышение привилегий). Обладая повышенными привилегиями, операторы программы-вымогателя могут запускать произвольный код во взломанной системе (Выполнение). Возможность запуска произвольного кода позволяет мошенникам получать учетные данные (Доступ к учетным данным). Имея надлежащие учетные данные, пользователи программы-вымогателя могут обнаружить удаленные хосты (Обнаружение) и начать горизонтальное перемщение (Горизонтальное перемещение), чтобы перейти к целевым действиям.

Целевые действия

Имея надлежащие учетные данные и возможность горизонтального перемещения, операторы программ-вымогателей могут перейти к заключительному этапу — целевым действиям.

Как вы уже хорошо знаете, в большинстве атак с использованием программ-вымогателей, управляемых человеком, одна из основных целей

Рис. 12.3. Этапы целевых действий

злоумышленников — доступ к ценным данным. Как только такие данные обнаружены, их собирают (Сбор данных) и выгружают (Кража данных). Когда данные выгружены, злоумышленники могут переходить к заключительному этапу — развертыванию программы-вымогателя (Воздействие).

Мы рассмотрели различные жизненные циклы, и теперь давайте составим собственный — Unified Ransomware Kill Chain.

Unified Ransomware Kill Chain

Из этой книги вы узнали многое о киберугрозах, связанных с программами-вымогателями, а также рассмотрели наиболее распространенные методы, используемые злоумышленниками. Теперь у вас есть четкое представление об атаках с использованием программ-вымогателей, управляемых человеком, и мы готовы построить собственный жизненный цикл Unified Ransomware Kill Chain.

Получение доступа к сети

Операторы программ-вымогателей могут получать доступ к целевой сети самостоятельно или приобретая его у брокеров первоначального доступа. Это может быть доступ к определенному хосту в сети или к самой сети, например, через скомпрометированные учетные данные VPN.

Для получения доступа может использоваться широкий спектр методов, от довольно распространенных, таких как атаки методом грубой силы и фишинговые электронные письма, до более сложных, таких как атаки на цепочку поставок.

Подготовка к развитию атаки

Этот этап может включать в себя различные действия: сбор информации о взломанном хосте, поиск способов повышения привилегий и доступа к учетным данным, а также отключение или обход средств защиты для того, чтобы начать разведку и продвижение по сети.

Кроме того, злоумышленникам может потребоваться постоянный и резервный доступ к скомпрометированной системе.

Сетевая разведка

Прежде чем начать распространение по сети, взломщики должны собрать информацию об удаленных системах, чтобы знать, на что им следует обратить внимание в первую очередь.

Обнаружение ключевых объектов

Не каждый хост одинаково ценен для злоумышленников. В основном их интересуют объекты, где можно получить дополнительные привилегированные учетные данные, собрать ценную информацию и, конечно же, добраться до резервных копий.

Продвижение по сети

Чтобы получить доступ к наиболее ценным объектам, операторы программ-вымогателей должны перемещаться по сети в горизонтальном направлении. Как вы уже знаете, для этого они обычно используют легитимные инструменты и методы.

Кража данных

Иногда операторы программ-вымогателей крадут данные только с одного хоста, например с файлового сервера, иногда они собирают и выгружают данные из нескольких источников. В некоторых случаях эти действия занимают месяц и даже больше.

Как правило, современные атаки с использованием программ-вымогателей сопровождаются кражей данных, но иногда злоумышленники пропускают этот этап.

Подготовка к развертыванию

Злоумышленники должны отключить продукты безопасности, установленные в скомпрометированной сети, и удалить резервные копии данных. Это делается до того, как взломщики могут приступить к развертыванию программы-вымогателя.

Развертывание программ-вымогателей

На этом этапе злоумышленники пытаются достичь своей главной цели — развернуть программу-вымогатель. Важно отметить, что в некоторых случаях они даже не используют вредоносный код, а шифруют данные с помощью легитимных инструментов, таких как BitLocker и DiskCryptor.

Большинство программ-вымогателей очень заметны, поэтому злоумышленники пытаются найти новые способы обхода защиты.

Вымогательство

Зашифровать всю сеть и ждать ответа от жертвы может быть не очень эффективно, поэтому лица, связанные с программами-вымогателями, изобретают новые способы ускорения процесса. Они могут размещать образцы украденных данных на DLS, звонить сотрудникам жертвы и даже проводить DDoS-атаки на уже скомпрометированную инфраструктуру.

Рис. 12.4. Унифицированный жизненный цикл атак с использованием программ-вымогателей

Три этапа унифицированного жизненного цикла закольцованы, потому что операторы программ-вымогателей могут выполнять одни и те же действия на нескольких хостах.

Службы реагирования на инциденты могут использовать данный жизненный цикл для реконструкции атак при реагировании на инциденты, а также для структурирования окончательного отчета, чтобы каждый этап атаки был доступно описан с использованием достаточного количества артефактов.

Выводы

Теперь вы многое знаете о современных атаках с использованием программ-вымогателей и о том, как находить и отслеживать различные источники знаний о киберугрозах.

Понимая жизненный цикл атак с использованием программ-вымогателей, вы можете использовать различные модели, в том числе унифицированный жизненный цикл атак с использованием программ-вымогателей, для реконструкции таких атак. Кроме того, теперь вы знаете, как решать эту задачу при помощи наиболее распространенных криминалистических артефактов.

Я надеюсь, что эта книга поможет вам не только реагировать на инциденты, но и лучше понять текущий ландшафт угроз, связанный с атаками программ-вымогателей, управляемых человеком.

Последнее важное замечание: не стоит ограничиваться только теми криминалистическими артефактами, которые описаны в


Олег Скулкин читать все книги автора по порядку

Олег Скулкин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей отзывы

Отзывы читателей о книге Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей, автор: Олег Скулкин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.