реагированию на инциденты (Incident Response, IR), — это штамм программы-вымогателя, используемый злоумышленниками. Многие штаммы программ-вымогателей распространяются по модели «программа-вымогатель как услуга» (RaaS), и разные партнеры могут иметь разные подходы к жизненному циклу атаки, поэтому их TTP также могут различаться.

Принимая это во внимание, очень полезно иметь достоверные киберразведданные (Cyber Threat Intelligence, CTI), которые помогут вам справиться с атакой. Коммерческие платформы CTI, конечно, очень полезны, но даже в таких источниках может не быть всей необходимой вам информации, поэтому важно научиться получать подробные сведения для ваших текущих или будущих мероприятий по реагированию.

В этой главе мы рассмотрим некоторые источники киберразведданных, а именно:

Отчеты об исследованиях угроз.

Сообщество.

Злоумышленники.

Отчеты об исследовании угроз

Большинство компаний, занимающихся кибербезопасностью, выпускают различные отчеты об угрозах, в том числе об угрозах, связанных с атаками с использованием программ-вымогателей, — поэтому такие источники удобно использовать для сбора киберразведданных. Отчеты об исследовании угроз — очень важная часть оценки ландшафта угроз. Эти отчеты помогают как техническому персоналу, так и неспециалистам оценивать текущую ситуацию в компании и сопоставлять ее с общей картиной угроз.

Конечно, ни один отчет не содержит исчерпывающих сведений, поэтому лучше всего изучать ту или иную угрозу по исследованиям, проведенным разными поставщиками решений в сфере кибербезопасности. В ряде отчетов содержатся индикаторы компрометации (indicators of compromise, IoC) и другие важные данные, которыми стоит поделиться с широкой общественностью. Некоторые из этих отчетов могут помочь окружающим подготовиться к противостоянию злоумышленникам и их атакам.

В этой части мы рассмотрим различные отчеты о программе-вымогателе Egregor и постараемся получить как можно больше информации о TTP связанных с ней лиц.

Начнем с отчета Group-IB «Программа-вымогатель Egregor: Наследие Maze живо» (Egregor ransomware: The legacy of Maze lives on), соавтором которого был я. Материал доступен по ссылке: https://explore.group-ib.com/ransomware-reports/egregor_wp.

Все атаки программ-вымогателей начинаются с первоначального доступа к целевой сети. Согласно отчету, который мы анализируем, партнеры Egregor применяли Qakbot, который доставлялся жертвам через фишинговые электронные письма. Целевой фишинг — один из самых распространенных и в то же время очень эффективных способов получить доступ к сети. Злоумышленники знают, что могут атаковать обычных пользователей, потому что тем может не хватить технических навыков, чтобы распознать атаку.

Что же такое Qakbot? Изначально это был банковский троян, впервые обнаруженный в 2007 г. В настоящее время он используется в основном для загрузки дополнительных инструментов, например Cobalt Strike Beacon, а также для массовой рассылки спама с использованием скомпрометированных хостов с целью заражения дополнительных устройств. Многие операторы программ-вымогателей, включая ProLock, Egregor, REvil, Conti и др., используют этот троян, чтобы получить первоначальный доступ к целевым сетям.

Отчет Group-IB также содержит информацию о механизмах закрепления Qakbot в скомпрометированной системе. В их число входит размещение экземпляра или ярлыка (LNK) в папке автозагрузки (startup), запись пути к программе в ключе Run системного реестра и создание запланированного задания.

В ходе постэксплуатации используется Cobalt Strike. Этот коммерческий полнофункциональный фреймворк постэксплуатации создавался как средство имитации продвинутых атак, но вскоре он стал одним из излюбленных инструментов в арсенале реальных злоумышленников, позволяя им использовать многие методы, описанные в MITRE ATT&CK.

Согласно отчету, злоумышленники также использовали ADFind для сбора информации об Active Directory (AD). Как вы узнали из предыдущей главы, этот инструмент довольно часто используется в рамках атак с использованием программ-вымогателей.

Чтобы обеспечить горизонтальное перемещение, партнеры Egregor написали скрипты для внесения необходимых изменений в реестр и брандмауэр, чтобы использовать протокол удаленного рабочего стола (RDP). Скрипты распространяются через PsExec, легитимный инструмент Sysinternals Suite, который позволяет выполнять команды на удаленных хостах. Легитимные инструменты и различные скрипты — основные средства, которые помогают злоумышленникам оставаться незамеченными.

Еще один распространенный метод, применяемый лицами, связанными с Egregor, — это инъекция в процесс при помощи Cobalt Strike Beacon. Эта техника может использоваться злоумышленниками и в контексте горизонтального перемещения по взломанной сети. Такие методы позволяют злоумышленникам скрывать используемые ими команды, не раскрывая своего присутствия.

Для извлечения конфиденциальных данных из сети операторы Egregor использовали Rclone, инструмент командной строки для управления файлами в облачном хранилище. Кроме того, они применили метод маскировки, переименовав исполняемый файл Rclone в svchost.exe.

Для отключения антивирусной защиты злоумышленники использовали групповую политику, а также scepinstall.exe, чтобы удалить System Center Endpoint Protection (SCEP). Подобные атаки — яркий пример того, как злоумышленники злоупотребляют легитимными функциями современных операционных систем.

Для развертывания программы-вымогателя партнеры Egregor применяли различные методы, основанные на скриптах, в том числе:

злоупотребление Background Intelligent Transfer Service (BITS) для загрузки программы-вымогателя с сервера, контролируемого злоумышленниками, и ее запуска через rundll32;

подключение диска C:  удаленного хоста в качестве общего сетевого ресурса, копирование программы-вымогателя в C: Windows и запуск с помощью rundll32;

копирование и запуск программы-вымогателя через сеанс PowerShell на удаленном хосте.

Как видите, даже один отчет может быть хорошим источником информации, но дополнительные данные никогда не помешают.

Давайте изучим другой отчет, на этот раз компании Cybereason, озаглавленный «Cybereason против программы-вымогателя Egregor» (Cybereason vs. Egregor Ransomware). Отчет доступен по ссылке: https://www.cybereason.com/blog/cybereason-vs-egregor-ransomware.

Нам нужно проанализировать отчет, извлечь данные, которых у нас еще нет, и преобразовать их в CTI, применимую на практике.

Во-первых, из отчета Cybereason мы видим, что партнеры Egregor получают первоначальный доступ к целевым сетям не только через заражения Qakbot, но также через Ursnif и IcedID. Как и Qakbot, оба эти семейства вредоносных программ раньше были банковскими троянами, но теперь широко используются для загрузки дополнительных инструментов. Злоумышленники часто разрабатывают новые функции, чтобы их атаки приносили все больше и больше прибыли.

Кроме того, согласно отчету, операторы Egregor используют SharpHound (сборщик данных для BloodHound, который обычно применяется пентестерами и злоумышленниками для поиска связей в Active Directory) для сбора информации о пользователях, группах, компьютерах и т. д.

Нам удалось собрать еще больше CTI, но давайте изучим еще один документ — это отчет Morphisec «Анализ программы-вымогателя Egregor» (An analysis of the Egregor ransomware). Отчет доступен по ссылке: https://www.morphisec.com/hubfs/eBooks_and_Whitepapers/EGREGOR%20REPORT%20WEB%20FINAL.pdf.

Согласно этому отчету, пользователи Egregor получили первоначальный доступ через уязвимость в межсетевом экране, которая позволила им попасть в виртуальную частную сеть (VPN), то есть на этот раз обошлись без троянов.

Злоумышленники использовали легитимное программное обеспечение для удаленного доступа, такое как AnyDesk и SupRemo, для сохранения доступа к скомпрометированной сети. В 2021 г. AnyDesk стал одним из наиболее распространенных инструментов злоумышленников для резервного доступа.

Чтобы завершать нежелательные процессы (например, принадлежащие антивирусному ПО), злоумышленники применяли бесплатную антируткит-утилиту PowerTool, а для сбора информации о скомпрометированной сети — популярный бесплатный инструмент SoftPerfect Network Scanner.

Для получения учетных данных операторы Egregor использовали Mimikatz, еще один популярный инструмент специалистов по тестированию на проникновение и злоумышленников для извлечения из памяти паролей и другого аутентификационного материала — хешей, PIN-ов и билетов Kerberos.

Кражу данных злоумышленники осуществляли через различные облачные сервисы, такие как WeTransfer и SendSpace, а также MEGA Desktop App. Для