перейдем непосредственно к методам горизонтального перемещения по сети.

Использование уязвимостей удаленных сервисов (T1210)

Продвижение по сети — еще одна тактика, которая предполагает активное использование уязвимостей. Многие злоумышленники предпочитают распространенные уязвимости, яркий пример — EternalBlue (CVE-2017–0144), уязвимость в протоколе Server Message Block (SMB), которую еще в 2017 г. использовала печально известная программа WannaCry.

Эта уязвимость по-прежнему присутствует во многих корпоративных сетях, поэтому она до сих пор популярна у злоумышленников — например, у группировки LockBit.

В числе других распространенных уязвимостей, которые взломщики используют для горизонтального перемещения, — SMBGhost (CVE-2020–0796) и Zerologon (CVE-2020–1472).

Службы удаленного доступа (T1021)

Операторы программ-вымогателей используют различные удаленные службы, такие как RDP, SMB и др., для горизонтального перемещения с использованием действующих учетных записей. Если злоумышленники получили первоначальный доступ через RDP, во многих случаях они эксплуатируют тот же протокол для подключения к другим хостам в скомпрометированной сети, где они развертывают вредоносные программы, инструменты удаленного доступа и, конечно же, сами программы-вымогатели.

Злоумышленникам, распространяющим программами-вымогателями, нравится RDP, поэтому в их арсенале даже есть заготовленные скрипты для изменения конфигурации с целью получения возможности установления RDP-соединений с целевыми хостами.

Есть и другие подметоды, например SMB и Windows Remote Management (WinRM).

Использование альтернативного материала аутентификации (T1550)

Не всегда операторам программ-вымогателей удается получать пароли в открытом виде, поэтому в некоторых случаях им приходится использовать хеши паролей или билеты Kerberos для горизонтального перемещения по сети. Атаки Pass the Hash (PtH) и Pass the Ticket (PtT) могут быть выполнены с помощью Mimikatz или фреймворков постэксплуатации, таких как Cobalt Strike и Metasploit.

Одна из целей злоумышленников при горизонтальном перемещении — поиск хостов с конфиденциальными данными, которые можно было бы собрать и украсть. Далее мы рассмотрим наиболее популярные методы сбора и эксфильтрации данных.

Сбор и кража данных

Как мы уже говорили, операторы программ-вымогателей в большинстве случаев не только шифруют данные, но и крадут их. Данные можно красть из множества источников. Давайте рассмотрим самые распространенные из них.

Данные из локальной системы (T1005)

Злоумышленники могут найти во взломанных системах ценные данные. Соглашения, контракты или файлы, содержащие персональные данные, — все это может быть использовано лицами, связанными с программами-вымогателями, для дальнейшего шантажа.

Данные с общих сетевых дисков (T1039)

Общие сетевые диски — весьма популярные источники потенциально значимой информации, поэтому участники атак программ-вымогателей часто собирают и крадут данные и с них.

Электронная почта (T1114)

Некоторые злоумышленники действуют более прицельно. Например, операторы программы-вымогателя Clop обычно стремились найти хосты, принадлежащие высшему руководству компании-жертвы, и собирали с них электронные письма как материал для вымогательства.

Архивация собранных данных (T1560)

В некоторых случаях лица, связанные с программами-вымогателями, могут перед кражей архивировать собранные данные. Например, участники Conti использовали популярную утилиту 7-Zip для архивирования собранных данных перед эксфильтрацией.

Эксфильтрация через веб-сервисы (T1567)

Различные веб-сервисы, такие как MEGA, DropMeFiles и др., чрезвычайно популярны среди операторов программ-вымогателей. Они могут использовать веб-браузер для загрузки собранных данных в хранилище или автоматизировать этот процесс при помощи таких инструментов, как RClone.

Ниже пример использования RClone для кражи данных.

Иногда злоумышленники даже разрабатывают отдельные инструменты для сбора и кражи данных.

Автоматическая эксфильтрация (T1020)

Операторы LockBit предлагали своим партнерам не только программу-вымогатель для развертывания, но и инструмент для кражи данных — StealBit.

Этот инструмент автоматически извлекает со взломанного хоста все доступные файлы, кроме системных файлов, файлов реестра и некоторых других файлов с расширениями из встроенного списка. Как только все собранные данные украдены, наступает время для финального этапа — развертывания программы-вымогателя.

Развертывание программ-вымогателей

Конечная цель любой атаки с использованием программы-вымогателя — непосредственно развертывание самой программы-вымогателя. К этому времени резервные копии уже стерты (или будут зашифрованы в первую очередь), продукты обеспечения безопасности отключены, а данные украдены.

Один из наиболее распространенных методов развертывания — копирование программы-вымогателя через SMB и ее запуск на исполнение с помощью PsExec — легитимного инструмента из пакета SysInternals. Злоумышленники обычно применяют его для удаленного запуска.

Вот пример того, как преступники, работающие с программой-вымогателем Netwalker, используют этот инструмент для удаленного запуска.

Другой пример — операторы вредоносной программы Egregor используют для развертывания Windows Management Instrumentation command-line (WMIC).

Рассмотрим еще один пример. На этот раз речь пойдет о программе-вымогателе Ryuk. На этот раз атакующие выполняли развертывание с помощью Background Intelligent Transfer Service (BITS).

Сами программы-вымогатели также зачастую реализуют несколько техник. Давайте их рассмотрим.

Обеспечение невозможности восстановления системы (T1490)

Почти каждая программа-вымогатель имеет встроенную возможность удаления или отключения функций восстановления системы. Весьма широко распространенный пример — возможность удаления теневых копий тома.

На завершающем этапе производится шифрование данных.

Шифрование данных (T1490)

Основная цель любой атаки программ-вымогателей — зашифровать файлы на скомпрометированных хостах. Разработчики используют различные алгоритмы шифрования, в том числе AES, RSA, Salsa20, ChaCha и собственные разработки. Не получив от злоумышленников ключ, к сожалению, невозможно расшифровать файлы. Жертвы платят, и это мотивирует создателей программ-вымогателей на дальнейшие атаки.

Итак, мы изучили весь жизненный цикл атаки, сделав акцент на наиболее распространенных методах, используемых операторами программ-вымогателей. Важно отметить, что TTP преступников периодически меняются, поэтому очень важно быть в курсе актуальной информации о киберугрозах.

Выводы

Современные атаки программ-вымогателей, управляемых человеком, — это не только шифрование данных. Чтобы развернуть программу-вымогатель в масштабе предприятия, злоумышленники должны пройти долгий путь от первоначального доступа до кражи данных, поэтому у отдела кибербезопасности обычно есть много возможностей для обнаружения. Тем не менее, как специалисты по реагированию на инциденты, мы должны быть хорошо осведомлены о текущих тактиках, техниках и процедурах, которые используют операторы программ-вымогателей, чтобы быстро и эффективно реагировать на атаки.

Поскольку TTP могут со временем меняться, крайне важно, чтобы специалисты по реагированию на инциденты и другие сотрудники службы безопасности компании могли собирать, обрабатывать и распространять практическую информацию о киберугрозах, связанных с программами-вымогателями.

В следующей главе мы рассмотрим различные открытые источники, которые можно использовать для сбора сведений о киберугрозах.

Глава 6

Сбор данных о киберугрозах, связанных с программами-вымогателями

Как вы теперь знаете, операторы программ-вымогателей могут использовать широкий спектр тактик, техник и процедур (TTP), поэтому очень полезно знать, что именно они применяют в атаке, на которую вы реагируете. Некоторые из этих тактик и методов предназначены для кратковременного использования, другие для долгосрочного — это зависит от конечной цели злоумышленника.

Обычно первое, что вы узнаете, приступая к