с Cobalt Strike Beacon. Вы всегда можете собрать дополнительную информацию об IP-адресах, особенно принадлежащих различным фреймворкам постэксплуатации. Например, можно проверить, связан ли сервер с Cobalt Strike (рис. 4.4).

Рис. 4.4. Информация о проверенном IP-адресе, собранная платформой Group-IB MXDR

Платформа Group-IB MXDR имеет функцию построения графа связей, которую можно использовать для сбора дополнительной информации о собранных вами индикаторах. На рисунке 4.4 мы видим, что IP-адрес 176.123.8.228 относится к серверу Cobalt Strike, поэтому команде безопасности стоит заблокировать или проверить его.

Как видите, даже анализ короткого отчета, имеющегося в открытом доступе, позволит опытному аналитику собрать достаточно информации о киберугрозах, что может быть очень полезно при реагировании на инциденты.

Выводы

В этой главе мы обсудили различные типы информации о киберугрозах, в том числе стратегическую, оперативную и тактическую информацию, их различия и целевые аудитории. Мы также изучили доступный в сети отчет об угрозах и извлекли разные типы данных, чтобы вы могли получить ясное представление об их различиях.

Вы уже знаете, что TTP — это наиболее важные элементы образа действий злоумышленников, поэтому в следующей главе мы рассмотрим множество примеров из реальной жизни, чтобы у вас был хороший источник практической информации об атаках программ-вымогателей, управляемых человеком.

Глава 5

Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей

Вы уже многое знаете о программах-вымогателях, управляемых человеком, неплохо представляете себе, как разворачиваются их атаки и как осуществляется реагирование на инциденты, и понимаете, почему так важно реагировать на инциденты надлежащим образом.

Но для эффективного реагирования на инциденты недостаточно иметь лишь общее представление о жизненном цикле атаки, поскольку злоумышленники обычно применяют для достижения своих целей разнообразные тактики, техники и процедуры (TTP).

Существование программ-вымогателей как услуги еще больше запутывает ситуацию, поскольку в атаках с использованием таких программ может участвовать множество аффилированных лиц, и даже для одного и того же штамма программы-вымогателя TTP участников могут значительно различаться.

Эта глава поможет вам детально разобраться в поведении злоумышленников, участвующих в атаках с использованием программ-вымогателей, на различных этапах жизненного цикла атаки (на основе MITRE ATT&CK).

Конкретнее мы рассмотрим следующие темы:

Получение первоначального доступа.

Запуск вредоносного кода.

Обеспечение постоянного доступа.

Повышение привилегий.

Обход защиты.

Доступ к учетным данным.

Продвижение по сети.

Сбор и кража данных.

Развертывание программ-вымогателей.

Получение первоначального доступа

Получение первоначального доступа к целевой сети — неотъемлемая часть любого вторжения, и атаки с использованием программ-вымогателей не исключение.

Поскольку в атаках с использованием программ-вымогателей задействованы самые разные злоумышленники, специалисты по реагированию на инциденты могут столкнуться в своей работе практически с любой техникой.

Тем не менее одна из наиболее распространенных техник, используемых операторами программ-вымогателей, — взлом внешних служб удаленного доступа, таких как протокол удаленного рабочего стола (RDP), поэтому именно с нее мы и начнем.

Внешние службы удаленного доступа (T1133)

Использование внешних служб удаленного доступа злоумышленниками весьма распространено. Например, согласно отчету Group-IB «Программы-вымогатели 2020/2021» (Ransomware Uncovered 2020/21), более 50 % всех атак программ-вымогателей, управляемых человеком, начинались со взлома общедоступного RDP-сервера. Пандемия COVID-19 усугубила ситуацию: многим компаниям пришлось создать рабочие места для удаленного персонала, и это дополнительно ослабило защиту серверов по всему миру.

На рисунке 5.1 приведен пример экрана входа в систему одного из общедоступных серверов.

Порт по умолчанию для служб удаленных рабочих столов — 3389. Если мы воспользуемся поисковой системой для устройств, подключенных к интернету, например Shodan, мы увидим миллионы таких серверов, и это одна из причин, почему взлом таких серверов стал наиболее распространенной техникой (рис. 5.2).

Рис. 5.1. Экран входа в систему общедоступного RDP-сервера

Рис. 5.2. Результаты поиска Shodan

Как видите, только в США более 1,5 млн таких серверов. Неудивительно, что эта техника настолько распространена — как и то, что жертвами различных программ-вымогателей часто становятся организации из США.

Как получить доступ к общедоступному RDP-серверу? Самый распространенный способ — атака методом грубой силы, то есть полным перебором наиболее распространенных паролей по словарю. Как ни странно, это вполне эффективный подход.

Чаще всего сначала сканируют интернет на наличие общедоступных RDP-серверов при помощи masscan, а затем используют инструменты типа NLBrute для выполнения атаки методом грубой силы. Злоумышленникам даже не обязательно делать это самим — они могут приобрести доступ на различных черных рынках и у брокеров первоначального доступа.

Вот несколько примеров таких черных рынков:

RussianMarket

Odin

UAS RDP Shop

Xleet

Infinity Shop

Отметим, что доступ к общедоступному RDP-серверу может стоить всего несколько долларов.

Рис. 5.3. RDP-серверы для продажи на UAS RDP Shop

RDP — не единственный тип внешней службы удаленного доступа, которым пользуются злоумышленники. Другой весьма распространенный тип — доступ через виртуальную частную сеть (Virtual Private Network, VPN).

В этом случае операторы программ-вымогателей тоже могут выполнять атаки методом грубой силы, чтобы получать учетные данные VPN, а также, например, использовать уязвимости в программном обеспечении. Мы обсудим это в следующем разделе — «Эксплуатация общедоступных приложений (T1190)».

Как и RDP-доступ, этот тип доступа можно получить у брокеров первоначального доступа. Пример соответствующего объявления на русскоязычном андеграундном форуме на рисунке 5.4.

Рис. 5.4. Пост с русскоязычного андеграундного форума на платформе Group-IB Threat Intelligence

Как видите, получить первоначальный доступ через внешние удаленные сервисы очень просто, особенно теперь, во времена пандемии COVID-19. Но это не единственный способ. Давайте рассмотрим еще одну распространенную технику — эксплуатацию общедоступных приложений.

Эксплуатация общедоступных приложений (T1190)

Эксплуатация общедоступных приложений в атаках программ-вымогателей, управляемых человеком, — еще одна распространенная техника злоумышленников.

Вы уже знаете, что вымогатели часто взламывают серверы RDP: они могут либо провести атаку методом грубой силы, либо просто купить доступ на черном рынке или у брокеров первоначального доступа.

Но также они могут удаленно запускать код на серверах, используя уязвимости реализации RDP, например BlueKeep (CVE-2019–0708). Известно, что она до сих пор активно эксплуатируется, в частности лицами, связанными с программой-вымогателем LockBit.

То же самое можно сказать и о доступе через VPN. Злоумышленники используют многочисленные уязвимости, которые позволяют им получить VPN-доступ к целевой сети. Рассмотрим наиболее популярные уязвимости.

Уязвимость в Fortinet, FortiOS и FortyProxy (CVE-2018–13379) позволяла различным операторам программ-вымогателей получать доступ к системным файлам, в том числе содержащим учетные данные, чтобы впоследствии использовать их для получения VPN-доступа к сети.

Другая уязвимость произвольного чтения файлов, связанная с VPN, имеется в Pulse Secure Pulse Connect Secure (CVE-2019–11510). Ее эксплуатация позволяет злоумышленникам получать доступ к закрытым ключам и паролям пользователей. Эта уязвимость активно использовалась лицами, связанными с программой-вымогателем REvil.

Наконец, упомянем уязвимость в SonicWall SMA100 (CVE-2019–7481). Ею активно