My-library.info
Все категории

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

На электронном книжном портале my-library.info можно читать бесплатно книги онлайн без регистрации, в том числе Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин. Жанр: Прочая околокомпьтерная литература год 2004. В онлайн доступе вы получите полную версию книги с кратким содержанием для ознакомления, сможете читать аннотацию к книге (предисловие), увидеть рецензии тех, кто произведение уже прочитал и их экспертное мнение о прочитанном.
Кроме того, в библиотеке онлайн my-library.info вы найдете много новинок, которые заслуживают вашего внимания.

Название:
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей
Дата добавления:
4 март 2023
Количество просмотров:
66
Читать онлайн
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин краткое содержание

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин - описание и краткое содержание, автор Олег Скулкин, читайте бесплатно онлайн на сайте электронной библиотеки My-Library.Info

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке.
«Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %».
В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза.
Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты.
«Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте».
По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались.
«Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности
• История атак программ-вымогателей;
• Как действуют киберпреступники: их тактика, методы и процедуры;
• Как реагировать на инциденты с программами-вымогателями.

Для кого
Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей читать онлайн бесплатно

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - читать книгу онлайн бесплатно, автор Олег Скулкин
нужно выделить для общения с техническим персоналом.

Теперь давайте ознакомимся со спецификой подготовки инфраструктуры.

Инфраструктура

Все, что написано в этом разделе, относится к вам только в том случае, если вы входите во внутреннюю группу реагирования на инциденты, то есть можете общаться с другими командами и предоставлять им рекомендации по настройке ИТ-инфраструктуры.

Худшее, с чем вы можете столкнуться в ходе реагирования на инциденты, — это отсутствие коммуникации и пустые (или слишком короткие) журналы событий. Как вы уже знаете, в некоторых случаях злоумышленники могут провести в инфраструктуре не одну неделю до фактического развертывания программы-вымогателя, и чтобы отследить их до первого скомпрометированного хоста, нужно иметь журналы за весь этот период.

Как это работает на практике? Допустим, вы обнаружили следы запуска Cobalt Strike Beacon на хосте с помощью команды jump psexec_psh — такое случается сплошь и рядом, и чаще всего при этом записывается событие создания новой службы с идентификатором 7045 в системном журнале. В первую очередь нас обычно интересует источник запуска — и найти его не очень сложно, например, по входу в систему, то есть событию с ID 4624 в журнале безопасности. Сложности начинаются, когда вы обнаруживаете, что служба была создана две недели назад, а в вашем журнале безопасности есть записи только за последние три дня.

Другой пример — межсетевой экран (брандмауэр). Брандмауэры и правда не останавливают драконов 10, но все же они могут быть очень полезны для реагирования на инциденты — конечно, если у вас сохранились журналы за нужный период.

В моей практике был случай, когда мы определили все хосты, использовавшиеся для первоначального доступа, за один час. Чтобы получить первоначальный доступ, злоумышленники использовали целевые фишинговые электронные письма с вредоносными вложениями, но на этот раз они атаковали не один хост, а четыре. Нам удалось быстро найти один из них, поскольку он использовался для развертывания программы-вымогателя, — мы обнаружили, что хост был скомпрометирован четыре месяца назад. Наш клиент хорошо вел журналы, поэтому мы смогли заглянуть на четыре месяца назад и по коммуникациям с сервером управления и контроля идентифицировать еще три хоста. Если бы не журналы, поиск мог бы занять гораздо больше времени, а злоумышленники успели бы изменить тактики, техники и процедуры (tactics, techniques, and procedures, ТТРs) и внедрить новые бэкдоры.

Думаю, вы убедились, что тщательное ведение журналов имеет решающее значение для реагирования на любые инциденты. Если в данный момент у вас не ведутся журналы, обязательно внедрите процессы их ведения и сохранения. В каждой отрасли есть свои правила и положения, касающиеся ведения и хранения журналов. Обязательно выясните, какие требования относятся к вашей организации.

Еще один важный аспект, связанный с инфраструктурой, — технические средства обеспечения безопасности. Я уже упоминал XDR. Вы можете спросить — почему именно XDR, ведь на рынке много разных решений? Дело в том, что XDR можно использовать для мониторинга, поиска угроз, сбора криминалистических данных и, что еще более важно, для блокировки вредоносных файлов и изоляции скомпрометированных хостов. Конечно, средства Security Information and Event Management (SIEM) тоже могут обеспечивать мониторинг, оповещение и поиск угроз, но они не могут блокировать вредоносные файлы и изолировать хосты, а это играет решающую роль, когда речь идет об атаках с использованием программ-вымогателей. Зато SIEM могут очень долго хранить журналы, поэтому, если вы имеете дело с долгосрочным инцидентом, правильная настройка SIEM может сыграть решающую роль.

Конечно, речь идет не только о XDR: это просто самый современный и эффективный инструмент предотвращения инцидентов и реагирования на них. Чем больше у вас инструментов, тем проще справляться с инцидентами.

Теперь рассмотрим этапы обнаружения и анализа угроз.

Обнаружение и анализ угроз

Это два наиболее важных этапа процесса реагирования на инциденты. Почему? Если обнаружение и анализ не увенчались успехом, то, скорее всего, ваша инфраструктура или инфраструктура вашего клиента будут зашифрованы той или иной программой-вымогателем.

Возможны два сценария:

все уже зашифровано — то есть произошла атака, которую нужно реконструировать;

в сети появился предвестник программы-вымогателя, который нужно как можно скорее локализовать и устранить.

Как правило, если атака уже произошла, понять, с каким штаммом программы-вымогателя вы столкнулись, несложно — просто прочитайте сообщение с требованием выкупа. Такие сообщения часто содержат ссылки на порталы, где жертвы могут вступить в переговоры со злоумышленниками.

Рис. 3.1. Портал программы-вымогателя BlackMatter

Как видно на рисунке 3.1, такие порталы предоставляют жертве много информации, включая сумму выкупа, платежные реквизиты, украденные данные — и даже возможность тестовой расшифровки и поддержку в чате. Но что более важно, в верхней части экрана мы видим название семейства программ-вымогателей — BlackMatter.

Используя эту информацию, можно двигаться дальше и попытаться понять, какие TTP обычно используются этим злоумышленником.

Какую-то информацию вы можете получить из различных общедоступных источников, мы подробно поговорим об этом в главе 6 «Сбор данных о киберугрозах, связанных с программами-вымогателями».

Также может быть весьма полезно иметь доступ к коммерческим платформам анализа киберугроз.

Рис. 3.2. Профиль BlackMatter на платформе Group-IB Threat Intelligence

Почему это удобно? Такие платформы содержат много информации о программах-вымогателях на всех уровнях — стратегическом, оперативном и тактическом. Там вы найдете информацию о TTP программ-вымогателей, включая используемые ими инструменты, уязвимости и т. д. Кроме того, вы увидите множество различных индикаторов компрометации, таких как хеши, имена файлов и IP-адреса. Наконец, обычно там есть информация о целевых странах и отраслях. Мы обсудим эту тему более подробно в главе 4 «Киберразведка и программы-вымогатели».

Располагая этой информацией, уже можно предположить, как злоумышленники получили первоначальный доступ к скомпрометированной сети и чем они пользовались для повышения привилегий, доступа к учетным данным, продвижения и т. д.

Давайте рассмотрим один из примеров, которые мы уже обсуждали в предыдущих главах, — программу-вымогатель Ryuk.

Если атака произошла и файлы уже зашифрованы, нужно найти источник развертывания программы-вымогателя и используемый метод. Ryuk зачастую развертывается с контроллера домена. Допустим, вам посчастливилось найти, с какого именно, но есть проблема: из-за недостатка записей в журнале вы не видите источник подключения к этому серверу.

Тогда вы анализируете имеющиеся у вас сведения о киберугрозах и обнаруживаете, что связанные с Ryuk преступники обычно используют такие инструменты, как Cobalt Strike, AdFind и Bloodhound, и получают первоначальный доступ к сетям с помощью целевых фишинговых электронных писем, доставляя Trickbot или BazarLoader.

Теперь вы знаете, что искать, — у операторов программ-вымогателей чрезвычайно популярны различные фреймворки постэксплуатации, такие как Cobalt Strike, а они, к счастью, оставляют множество следов, которые можно найти в процессе реагирования на инциденты. Больше об источниках криминалистических артефактов вы узнаете из главы 7 «Цифровые криминалистические артефакты и


Олег Скулкин читать все книги автора по порядку

Олег Скулкин - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки My-Library.Info.


Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей отзывы

Отзывы читателей о книге Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей, автор: Олег Скулкин. Читайте комментарии и мнения людей о произведении.

Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*
Все материалы на сайте размещаются его пользователями.
Администратор сайта не несёт ответственности за действия пользователей сайта..
Вы можете направить вашу жалобу на почту librarybook.ru@gmail.com или заполнить форму обратной связи.