Помоги проекту - поделись книгой:
Наиболее распространенные примеры подобных троянов:
BazarLoader
Hancitor
IcedID
Qakbot
Trickbot
Естественно, список неполный — это лишь наиболее распространенные примеры средств, прокладывающих дорогу операторам программ-вымогателей.
Обычно операторы таких троянов проводят массированные спам-кампании, в основном среди корпоративных пользователей. Чаще всего они используют перехват цепочки сообщений — со взломанных адресов электронной почты злоумышленники отправляют вредоносные документы в ответ на подлинные электронные письма.
Рис. 2.4. Пример перехвата цепочки сообщений операторами Qakbot5
В некоторых случаях злоумышленники используют еще более изощренные методы: из главы 1 «История современных атак с использованием программ-вымогателей» вы знаете, что операторы BazarLoader также использовали вишинг (голосовой фишинг).
Пример такого электронного письма приведен ниже.
Рис. 2.5. Пример фишингового письма с целью распространения BazarLoader6
Как видите, вредоносных вложений в данном случае нет. Вместо этого злоумышленники просят жертву не отвечать на письмо, а позвонить по телефону службы поддержки, чтобы связаться с подставной компанией и отменить подписку.
Если жертва позвонит, злоумышленники из фальшивого кол-центра направят ее на веб-сайт, чтобы она самостоятельно открыла вредоносный документ и включила макросы, чтобы загрузить и запустить BazarLoader.
Мы рассмотрим дополнительные технические подробности запуска и маскировки таких троянских программ в следующих главах, а пока запомните, что злоумышленники могут использовать их для загрузки дополнительных инструментов на скомпрометированный хост, чтобы затем выполнить шаги постэксплуатации и получить в свое распоряжение привилегированные учетные записи для продвижения по сети.
В завершение нашего обзора начальных векторов атак мы сделаем обзор различных уязвимостей программного обеспечения, позволяющих операторам программ-вымогателей получать доступ к целевой сети.
Уязвимости программного обеспечения позволили многим брокерам начального доступа разбогатеть на сотни тысяч долларов, но при помощи программ-вымогателей как услуги были получены миллионы.
Конечно, не каждая уязвимость дает злоумышленнику возможность получить первоначальный доступ в сеть. Чаще всего используются уязвимости, которые позволяют удаленно запустить код или получить файлы с учетными данными.
Хороший пример уязвимости — приложение Pulse Secure VPN. Например, уязвимость CVE-2019–11510 позволяла злоумышленникам получать имена пользователей и незашифрованные пароли от уязвимых устройств, чтобы использовать их для доступа в сеть.
Другая уязвимость, популярная среди операторов программ-вымогате-лей, — CVE-2018–13379 в серверах FortiGate VPN. Она тоже позволяет злоумышленникам читать файлы с незашифрованными учетными данными.
Уязвимость CVE-2019–19781 в решении Citrix ADC and Gateway также активно использовалась многими группами вымогателей — она позволяла злоумышленникам удаленно загружать и запускать вредоносный код и выполнять другие действия постэксплуатации.
Еще один пример — многочисленные уязвимости в Accellion Legacy File Transfer Appliance, включая CVE-2021–27101, CVE-2021–27102, CVE-2021–27103 и CVE-2021–27104, используемые бандой вымогателей Clop.
Наконец, в некоторых случаях злоумышленникам удается использовать даже уязвимости «нулевого дня» — это такие уязвимости в системах или устройствах, которые уже стали известны, но еще не были исправлены разработчиками. В июле 2021 г. участники группировки REvil успешно воспользовались несколькими уязвимостями в службе удаленного управления Kaseya VSA и запустили вредоносный пакет обновления, что привело к развертыванию программы-вымогателя. Атака затронула многих клиентов Kaseya, в том числе поставщиков услуг комплексного управления ИТ-инфраструктурой, поэтому злоумышленники запросили действительно крупный выкуп — $70 млн.
Рис. 2.6. Информация об атаке на DLS REvil7
Конечно, получение начального доступа в сеть — это еще не все. В большинстве случаев злоумышленникам приходится повышать права доступа, получать учетные данные, выполнять разведку сети и другие действия постэксплуатации.
Доступ в сеть — это только полдела. Во многих случаях злоумышленники недостаточно хорошо знакомы с сетью и получают доступ только к учетным записям с ограниченными правами, а значит, не могут отключить элементы управления безопасностью и продвигаться по сети, чтобы получить конфиденциальные данные и развернуть программу-вымогатель.
Действия в рамках постэксплуатации зависят от типа доступа. Например, если злоумышленники имеют доступ к VPN, они могут просканировать сеть на наличие уязвимостей, которые обеспечат им возможность продвижения по ней.
Не удивляйтесь — пресловутый эксплойт EternalBlue (CVE-2017–0144) до сих пор чрезвычайно распространен во многих корпоративных сетях, в том числе на действительно крупных предприятиях.
Еще одна очень распространенная уязвимость, используемая различными операторами программ-вымогателей, — Zerologon (CVE-2020–1472). Она позволяет злоумышленникам получить доступ к контроллеру домена в несколько щелчков мышью.
Злоумышленники, которые применяют различные трояны, обычно начинают с использования встроенных сервисов Windows для диагностики сети и службы каталогов Active Directory, таких как net.exe, nltest и др., а затем пользуются сторонними инструментами, загружаемыми на скомпрометированный хост. Наиболее распространенные инструменты:
AdFind
Bloodhound (Sharphound)
ADRecon
Эти инструменты позволяют собирать информацию о пользователях и группах, компьютерах, подсетях, правах доступа к доменам и даже выявлять доверительные отношения внутри Active Directory.
Если взломщики получили доступ к скомпрометированному узлу по RDP, они обычно используют широкий набор инструментов — от сетевых сканеров до дамперов паролей. Вот некоторые самые распространенные инструменты:
SoftPerfect Network Scanner
Advanced IP Scanner
Mimikatz
LaZagne
Process Hacker
ProcDump
NLBrute
В некоторых случаях, особенно если злоумышленники уже имеют первоначальный доступ к серверу, они могут почти сразу получить учетные данные с повышенными правами, используя части загруженного набора инструментов, например, для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).
Другая типичная характеристика современных атак программ-вымогателей, управляемых человеком, — интенсивное использование различных фреймворков постэксплуатации. Я почти уверен, что вы слышали о Cobalt Strike. Это самый распространенный фреймворк, используемый не только киберпреступниками, но и хакерами, действующими по заказу государств.
Но это только один из примеров. Реагируя на атаки с использованием программ-вымогателей, вы можете также столкнуться с:
Metasploit
PowerShell Empire
CrackMapExec
Koadic
PoshC2
Подобные сервисы позволяют операторам программ-вымогателей решать различные задачи: сканировать сеть, повышать права доступа, выгружать учетные данные, загружать и запускать сторонние инструменты и сценарии, горизонтально перемещаться по сети с использованием различных методов и многое другое.
Еще один важный шаг злоумышленников — обеспечение резервного доступа. В частности, они могут распространять трояны, которые уже использовались для получения первоначального доступа, запускать элементы фреймворков постэксплуатации на удаленных хостах и даже устанавливать на отдельные серверы с доступом в интернет легитимное программное обеспечение для удаленного доступа, такое как TeamViewer.
Как только злоумышленники достаточно хорошо изучат сеть, в которую проникли, и получат повышенные права, они могут приступить к достижению основных целей — краже данных и развертыванию программ-вымогателей.
Кражу данных иногда называют утечкой данных, экспортом данных или эксфильтрацией данных, и она чрезвычайно популярна среди операторов программ-вымогателей. Практически у всех злоумышленников, связанных с атаками программ-вымогателей, управляемых человеком, есть собственные сайты утечки данных (Data Leak Site, DLS). Они публикуют на таких веб-сайтах информацию об успешных атаках — и даже сами украденные данные, если компания отказывается платить выкуп.
Объем украденных данных может быть самым разным. В некоторых случаях это всего несколько гигабайт, в других — терабайты. Эксфильтрованные данные могут включать информацию о кредитных картах, номера социального страхования (англ. Social Security numbers, сокр. SSN), персональные данные (Personal Identifiable Information, PII), защищенную медицинскую информацию (Protected Health Information, PHI) и национальные идентификаторы поставщиков медицинских услуг (National Provider Identifiers, NPI) и не ограничены частной и конфиденциальной информацией компании.
На рисунке 2.7 приведен пример DLS программы-вымогателя Conti.
Большинство таких веб-сайтов расположены в даркнете, и доступ к ним можно получить, например, через браузер Tor. Если вы хотите отслеживать изменения на таких сайтах с помощью обычного веб-браузера, рекомендуем использовать проект Ransomwatch (https://www.ransomwatch.org/). Этот веб-сайт автоматически снимает и публикует скриншоты активных DLS, принадлежащих различным операторам программ-вымогателей.
Рис. 2.7. DLS программы-вымогателя Conti8
Злоумышленники могут потратить довольно много времени на извлечение данных из взломанной сети — иногда несколько месяцев. За это время они могут найти наиболее конфиденциальные данные и обеспечить дополнительные средства удаленного доступа к скомпрометированной сети на случай, если метод первоначального доступа будет раскрыт и доступ заблокирован.
Как правило, применяется один из двух подходов к эксфильтрации данных. В первом случае преступники могут настроить для этой цели сервер или использовать те же серверы, с которых осуществлялась атака, — например, с помощью фреймворков постэксплуатации.
В этих случаях злоумышленники обычно крадут данные с помощью легальных инструментов, таких как WinSCP или FileZilla. Обнаружить такие инструменты может быть чрезвычайно сложно, особенно если в составе службы безопасности организации нет специальной группы мониторинга, которая постоянно вела бы активный поиск угроз.
Как правило, данные сначала нужно собрать, но в некоторых случаях их можно извлечь прямо с файлового сервера — даже без архивации.
Другой подход — использовать общедоступные облачные хранилища, такие как MEGA, DropMeFiles и др. Эти же хранилища злоумышленники могут использовать для публикации данных на своих DLS.
Так выглядят данные, украденные злоумышленниками, использующими программу-вымогатель Everest, и загруженные в DropMeFiles.
Рис. 2.8. Украденные данные, опубликованные злоумышленниками, использующими программу-вымогатель Everest
Чтобы выгружать данные таким способом, злоумышленники могут использовать обычный веб-браузер или, в некоторых случаях, соответствующие клиентские приложения. Например, операторы программы-вымогателя Nefilim просто установили MEGAsync на целевой хост и выгружали данные с его помощью.
Другой яркий пример: партнеры Mount Locker использовали для кражи собранных данных хранилище Amazon S3. AWS и другие облачные решения могут быть хорошим подспорьем для крупных краж данных, так что использование таких решений без надлежащего управления и надзора — большая помощь злоумышленникам.
Как только все конфиденциальные данные (по крайней мере с точки зрения злоумышленников) извлечены, сеть жертвы готова к развертыванию программы-вымогателя.
Как вы думаете, кто злейший враг оператора программы-вымогателя? Верно, резервные копии — если они защищены от взлома и хранятся в безопасном месте. Но у них есть досадное слабое место — злоумышленники могут их удалить.
К сожалению, системные администраторы часто не помнят ни о правиле 3–2–1 (три резервные копии на двух разных носителях, один из которых находится вне предприятия), ни о необходимости иметь отдельные учетные записи и использовать многофакторную аутентификацию для серверов резервного копирования. А ведь сегодня надлежащее обеспечение безопасности резервных копий важно не только для защиты от программ-вымогателей, но и для соответствия организации отраслевым нормативным требованиям.
Чем это грозит? Обладая правами администратора домена, злоумышленники смогут легко получить доступ к серверам резервного копирования и стереть все доступные резервные копии. После этого у компании-жертвы не останется другого выбора, кроме как заплатить выкуп.
Некоторые программы-вымогатели имеют встроенные возможности для удаления файлов с расширением типичных решений резервного копирования. Вот, например, список расширений резервных файлов, стираемых TinyCryptor:
vbm
vib
vbk
bkf
vlb
vlm
iso
Возможно, вы знаете о том, что операционная система Windows имеет встроенный механизм резервного копирования, называемый Volume Shadow Copy Service. Он создает резервные копии файлов и даже томов, чтобы пользователь мог восстановить данные до прежнего состояния.
Разумеется, операторы программ-вымогателей обратили внимание на эту функцию Windows — большинство программ-вымогателей отключают ее и удаляют доступные копии.
Резервные копии — не единственный враг операторов программ-вымогателей. Еще один — программные решения для обеспечения безопасности, которые могут легко заблокировать выполнение программ-вымогателей, если, конечно, работают правильно.
Злоумышленники могут добавить программу-вымогатель в исключения или просто отключить имеющееся защитное ПО. На этом этапе у злоумышленников обычно есть учетные права администратора домена, поэтому для достижения своей цели они могут развертывать пакетные сценарии, манипулирующие групповыми политиками. Конечно, это не единственный способ — можно отключить программное обеспечение для безопасности с его же консольного интерфейса.
Существуют различные методы развертывания программ-вымогателей, включая изменение групповых политик, использование PsExec или даже ручное копирование и запуск — на усмотрение киберпреступников.
Еще один важный момент — система должна оставаться доступной, чтобы жертва могла получить электронное письмо или ссылку на портал для связи со злоумышленниками. Вот почему многие программы-вымогатели добавляют в исключения список системных папок. Ниже приведен список исключений программы-вымогателя Darkside:
$recycle.bin
config.msi
$windows.~bt
$windows.~ws
windows
appdata
Поделиться книгой: