выполнения сценариев на удаленных хостах, на которых происходил запуск программы-вымогателя, взломщики использовали PsExec.

Наконец, чтобы замести следы, злоумышленники применяли SDelete — утилиту командной строки для удаления файлов без возможности восстановления. Давайте обобщим результаты, полученные из анализа всех трех отчетов.

Операторы Egregor получают первоначальный доступ, либо заражая целевые хосты различными троянами с помощью фишинговых писем, либо через уязвимые VPN.

Операторы Egregor используют различные механизмы закрепления, в том числе папку автозагрузки, ключ Run системного реестра и запланированные задачи.

Для сбора информации о скомпрометированных сетях и Active Directory операторы Egregor используют ADFind, SharpHound и SoftPerfect Network Scanner.

На этапе постэксплуатации применяется Cobalt Strike.

Для горизонтального перемещения используют RDP.

Для выполнения команд и скриптов, в том числе для развертывания программ-вымогателей, операторы Egregor используют PsExec.

Для отключения антивирусного программного обеспечения применяют групповые политики и PowerTool; для удаления SCEP используют scepinstall.exe.

С помощью AnyDesk и SupRemo операторы Egregor сохраняют доступ к скомпрометированной сети.

Кражи данных осуществляются через Rclone и MEGA Desktop App, а также через различные облачные сервисы.

Для развертывания программ-вымогателей лица, связанные с Egregor, используют BITS, PowerShell, общие сетевые ресурсы и rundll32.

Как видите, анализ отчетов от различных компаний, занимающихся кибербезопасностью, помогает получить ценные сведения о деятельности лиц, связанных с программами-вымогателями, — это CTI, которые мы можем использовать для повышения эффективности и ускорения реагирования на инциденты.

Далее мы поговорим о том, как получать CTI от сообщества кибербезопасности.

Сообщество

По всему миру работают тысячи специалистов по реагированию на инциденты, и, разумеется, некоторые из них охотно делятся данными, полученными в ходе работы. Мы уже рассмотрели отчеты об исследовании угроз, но обычно на их создание уходит довольно много времени. Поэтому специалисты по реагированию часто используют другие платформы, позволяющие коротко рассказать о том, что нового они узнали. Популярнейшая медиаплатформа для обмена такой информацией — Twitter.

Если вы столкнулись с атакой с использованием программы-вымогателя и уже определили штамм, вы можете найти довольно много информации о злоумышленниках, включая их TTP. Важнее всего — понять злоумышленников. Обычно операторы программ-вымогателей используют на определенных этапах жизненного цикла атаки вполне конкретные инструменты и процессы.

Давайте начнем с программы-вымогателя RagnarLocker и посмотрим на следующий твит Питера Маккензи, директора по реагированию на инциденты в компании Sophos (рис. 6.1): https://twitter.com/AltShiftPrtScn/status/1403707430765273095.

Что мы можем узнать из этого твита? Прежде всего, мы видим, что лица, связанные с RagnarLocker, вероятно, используют ProxyLogon (Common Vulnerabilities and Exposures, CVE — 2021–26855) для получения первоначального доступа к своим целям. ProxyLogon — это уязвимость в Microsoft Exchange Server, позволяющая злоумышленнику обойти аутентификацию и выдать себя за администратора.

Для сбора информации о внутренней сети операторы RagnarLocker используют Advanced IP Scanner, бесплатный сетевой сканер от Famatech Corp, который довольно популярен среди пользователей различных программ RaaS.

Рис. 6.1. Твит о RagnarLocker14

Как и многие другие злоумышленники, партнеры RagnarLocker широко применяют Cobalt Strike на этапе постэксплуатации, включая горизонтальное перемещение (наряду с RDP). Для загрузки экземпляров на удаленные хосты злоумышленники используют PaExec, альтернативу PsExec от Sysinternals, распространяемую с открытым исходным кодом.

Для обеспечения резервного доступа к взломанной сети операторы RagnarLocker используют ScreenConnect, легитимное программное обеспечение для удаленного управления. Злоумышленники могут применять такое ПО для доступа к скомпрометированной сети, даже если оно разработано для обычных целей.

Собранные конфиденциальные данные злоумышленники архивируют с помощью WinRAR и крадут с помощью Handy Backup, коммерческого решения для резервного копирования, которое устанавливают на целевых хостах. Архивирование и защита паролем часто используются злоумышленниками на этапе эксфильтрации. Тем не менее их можно выявить — для этого существует множество различных источников улик.

Как видите, даже из нескольких сообщений в Twitter можно получить много ценной информации. Давайте изучим другой твит того же автора (рис. 6.2).

Рис. 6.2. Твит о DoppelPaymer15

Так же как и злоумышленники, работающие на RagnarLocker, операторы DoppelPaymer активно используют для постэксплуатации Cobalt Strike.

Кроме того, мы видим, что злоумышленники эксплуатируют Rubeus, довольно популярный набор инструментов для взаимодействия с Kerberos и его компрометации.

Еще один легитимный инструмент удаленного доступа, применяемый злоумышленниками для обеспечения резервного доступа, — TightVNC.

Наконец, операторы DoppelPaymer осуществляют горизонтальное перемещение с помощью RDP — это очень распространенный метод, используемый злоумышленниками как для первоначального доступа, так и для доступа к удаленным хостам в целевой сети.

Интересен и метод создания виртуальной машины (virtual machine, VM) для запуска программы-вымогателя внутри нее. Первоначально этот метод был опробован партнерами Maze и RagnarLocker, но в настоящее время он применяется и другими группами, включая DoppelPaymer.

Как и у многих других злоумышленников, у операторов DoppelPaymer есть специальный сайт утечки данных (DLS) — то есть они занимаются кражей информации. Из анализируемого источника видно, что для хранения данных они используют сервис MediaFire.

Как видите, мы смогли получить много ценных данных о злоумышленниках, причастных к атакам с использованием программы-вымогателя, всего из одного твита.

Давайте рассмотрим еще одно сообщение, на этот раз твит Тахи Карима, директора по анализу угроз в Confiant.

Рис. 6.3. Твит о Clop16

Примечательно, что этот твит появился задолго до того, как была опубликована какая-либо информация о TTP операторов Clop.

Как видно из твита, операторы Clop использовали фишинговые кампании для заражения своих жертв FlawedAmmyy RAT. FlawedAmmyy — распространенный троян удаленного доступа (remote access trojan, RAT), обычно приписываемый TA505. Этот RAT основан на утечке исходного кода Ammyy Admin и позволяет злоумышленникам скрыто манипулировать взломанным хостом.

Мы уже знаем, что в среде злоумышленников очень популярен Cobalt Strike, и пользователи Clop не исключение. Как видите, он позволяет атакующим обходить контроль учетных записей пользователей (User Account Control, UAC) и применять распространенные инструменты дампа учетных данных, такие как Mimikatz. Несмотря на то, что он оставляет много следов, распространители программ-вымогателей продолжают активно его эксплуатировать.

Наконец, из твита следует, что пользователи Clop злоупотребляют диспетчером управления службами (Service Control Manager, SCM) для развертывания программы-вымогателя в рамках всего предприятия.

К сожалению, не всегда можно получить достаточно информации о TTP, используемых злоумышленниками в ходе жизненного цикла атаки. Кроме того, может потребоваться информация о самой программе-вымогателе. Вот твит Андрея Жданова, который активно отслеживает образцы программы-вымогателя BlackMatter.

Рис. 6.4. Твит о BlackMatter17

Как видите, в этом твите не так много информации о TTP, но зато есть ссылка на анализируемый образец, а также кое-какая информация о его функциональности.

Twitter — не единственная медиаплатформа для сбора такого рода аналитики: другой полезный источник — LinkedIn. Кроме того, вы всегда можете попросить своих коллег по реагированию на инциденты и аналитиков CTI поделиться обнаруженными данными, поэтому не стесняйтесь участвовать в глобальном сообществе.

Давайте рассмотрим еще более интересный источник