Эксклюзив Жизненный цикл современной атаки программы-вымогателя


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 084
Репутация
8 205
wr-960.webp


Атаки с использованием программ-вымогателей могут быть очень сложными, особенно если речь идет об охоте на крупную дичь – корпорации.
Поэтому, прежде чем углубляться в технические детали, очень важно разобраться в том, как устроен жизненный цикл типичной атаки.

Понимание жизненного цикла атаки помогает специалистам по безопасности правильно реконструировать инциденты и принимать верные решения на различных этапах реагирования.

Программой-вымогателем как услугой может управлять как группа лиц, так и ряд отдельных злоумышленников.

Что это значит? Тактики, техники и процедуры могут сильно различаться, но жизненный цикл атаки в большинстве случаев будет примерно одинаковым, поскольку злоумышленники обычно преследуют две основные цели – украсть конфиденциальную информацию из целевой сети и развернуть копию программы-вымогателя в масштабах предприятия.

В этой статье мы кратко обсудим различные этапы атак программ-вымогателей, управляемых человеком, чтобы сформировать ясное представление о жизненном цикле этих атак
и подготовиться к погружению в технические детали.

В этой статье мы рассмотрим следующие темы:

● Начальные векторы атаки.
● Постэксплуатация.
● Кража данных.
● Развертывание программ-вымогателей.

1) Начальные векторы атаки

Любая атака начинается с получения первоначального доступа. Это можно сделать через подключенный к внутренней сети VPN, доставленный с помощью целевого фишинга троян, развернутый с помощью взлома общедоступного приложения, веб-интерфейс и даже с помощью атаки на цепочку поставок (другой термин – атака через третью сторону).

Три наиболее распространенных начальных вектора атаки – это получение доступа через протокол удаленного рабочего стола (RDP), целевой фишинг и эксплуатация уязвимостей программного обеспечения.

Ниже приведены статистические данные о наиболее распространенных векторах атак программ-вымогателей до II квартала 2021 г. включительно, собранные
Coveware (источник: )

1676728058024.png

Рассмотрим каждый из них подробнее и сопроводим примерами.

- Получение доступа через протокол удаленного рабочего стола (RDP)

В течение многих лет RDP оставался наиболее распространенным способом доступа злоумышленников к целевой сети.

Пандемия усугубила ситуацию – многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей.

Например, воспользовавшись системой поиска общедоступных серверов Shodan с открытым портом 3389 (порт по умолчанию для RDP), можно увидеть миллионы устройств.

1676728167799.png

Количество устройств, подключенных к интернету с открытым портом 3389

Простейший поиск выдает миллионы результатов – это одна из причин, по которой данный начальный вектор атаки так популярен среди операторов программ-вымогателей.

На практике злоумышленники не всегда пытаются сами атаковать такие серверы, они могут просто купить доступ к ним.
Операторы программ-вымогателей как услуги могут не только арендовать программы-вымогатели, но и покупать доступ к корпоративным сетям у так называемых брокеров первоначального доступа.

Такие брокеры обычно не участвуют в этапе постэксплуатации, чаще они продают первоначальный доступ или отдают его за долю (в среднем до 10 %) в возможной сумме выкупа.

Иногда операторы программ-вымогателей даже создают темы на андеграундных форумах, чтобы привлечь внимание брокеров первоначального доступа. Вот, например, сообщение, предоставленное платформой Threat Intelligence and Attribution компании Group-IB, – оно показывает, что операторы программы-вымогателя Crylock заинтересованы в покупке различных типов доступа к корпоративным сетям.

1676728279330.png

Пост на андеграундном форуме

Далее мы рассмотрим другой чрезвычайно популярный начальный вектор атаки – целевой фишинг.

- Целевой фишинг

Целевой фишинг подразумевает использование социальной инженерии. Злоумышленники манипулируют пользователями, чтобы те открывали вредоносные вложения или переходили по опасным ссылкам.

Так в их распоряжении оказываются учетные данные, которые потенциально можно использовать для получения VPN-доступа к целевой сети. А также
для заражения устройств троянскими программами.

Поначалу многие злоумышленники использовали такое вредоносное ПО для банковского мошенничества, но оно также применяется для получения первоначального доступа к корпоративным сетям.

Наиболее распространенные примеры подобных троянов:

● BazarLoader
● Hancitor
● IcedID
● Qakbot
● Trickbot

Естественно, список неполный – это лишь наиболее распространенные примеры средств, прокладывающих дорогу операторам программ-вымогателей.

Обычно операторы таких троянов проводят массированные спам-кампании, в основном среди корпоративных пользователей. Чаще всего они используют перехват цепочки сообщений – со взломанных адресов электронной почты злоумышленники отправляют вредоносные документы в ответ на подлинные электронные письма.

1676728519488.png

Пример перехвата цепочки сообщений операторами Qakbot

В некоторых случаях злоумышленники используют еще более изощренные методы:

Например операторы BazarLoader также использовали вишинг (голосовой фишинг).
Пример такого электронного письма приведен ниже.

1676728592414.png

Пример фишингового письма с целью распространения BazarLoader

Как видите, вредоносных вложений в данном случае нет. Вместо этого злоумышленники просят жертву не отвечать на письмо, а позвонить по телефону службы поддержки, чтобы связаться с подставной компанией и отменить подписку.

Если жертва позвонит, злоумышленники из фальшивого кол-центра направят ее на вебсайт, чтобы она самостоятельно открыла вредоносный документ и включила макросы, чтобы загрузить и запустить BazarLoader.

В завершение нашего обзора начальных векторов атак мы сделаем обзор различных уязвимостей программного обеспечения, позволяющих операторам программ-вымогателей получать доступ к целевой сети.

- Уязвимости ПО

Уязвимости программного обеспечения позволили многим брокерам начального доступа разбогатеть на сотни тысяч долларов, но при помощи программ-вымогателей как услуги были получены миллионы.

Конечно, не каждая уязвимость дает злоумышленнику возможность получить первоначальный доступ в сеть. Чаще всего используются уязвимости, которые позволяют удаленно запустить код или получить файлы с учетными данными.

Хороший пример уязвимости – приложение Pulse Secure VPN. Например, уязвимость CVE-2019–11510 позволяла злоумышленникам получать имена пользователей и незашифрованные пароли от уязвимых устройств, чтобы использовать их для доступа в сеть.

Другая уязвимость, популярная среди операторов программ-вымогателей, – CVE-2018–13379 в серверах FortiGate VPN. Она тоже позволяет злоумышленникам читать файлы с незашифрованными учетными данными.

Уязвимость CVE-2019–19781 в решении Citrix ADC and Gateway также активно использовалась многими группами вымогателей – она позволяла злоумышленникам удаленно загружать и запускать вредоносный код и выполнять другие действия постэксплуатации.

Еще один пример – многочисленные уязвимости в Accellion Legacy File Transfer Appliance, включая CVE-2021–27101, CVE-2021–27102, CVE-2021–27103 и CVE-2021–27104, используемые бандой вымогателей Clop.

Наконец, в некоторых случаях злоумышленникам удается использовать даже уязвимости «нулевого дня» – это такие уязвимости в системах или устройствах, которые уже стали известны, но еще не были исправлены разработчиками. В июле 2021 г. участники группировки REvil успешно воспользовались несколькими уязвимостями в службе удаленного управления Kaseya VSA и запустили вредоносный пакет обновления, что привело к развертыванию программы-вымогателя.
Атака затронула многих клиентов Kaseya, в том числе поставщиков услуг комплексного управления ИТ-инфраструктурой, поэтому злоумышленники запросили
действительно крупный выкуп – $70 млн.

Конечно, получение начального доступа в сеть – это еще не все. В большинстве случаев злоумышленникам приходится повышать права доступа, получать учетные данные, выполнять разведку сети и другие действия постэксплуатации.

2) Постэксплуатация

Доступ в сеть – это только полдела. Во многих случаях злоумышленники недостаточно хорошо знакомы с сетью и получают доступ только к учетным записям с ограниченными правами, а значит, не могут отключить элементы управления безопасностью и продвигаться по сети, чтобы получить конфиденциальные данные и развернуть программу-вымогатель.

Действия в рамках постэксплуатации зависят от типа доступа. Например, если злоумышленники имеют доступ к VPN, они могут просканировать сеть на наличие уязвимостей, которые обеспечат им возможность продвижения по ней.

Не удивляйтесь – пресловутый эксплойт EternalBlue (CVE-2017–0144) до сих пор чрезвычайно распространен во многих корпоративных сетях, в том числе на действительно крупных предприятиях.

Еще одна очень распространенная уязвимость, используемая различными операторами программ-вымогателей, – Zerologon (CVE-2020–1472). Она позволяет злоумышленникам получить доступ к контроллеру домена в несколько щелчков мышью.

Злоумышленники, которые применяют различные трояны, обычно начинают с использования встроенных сервисов Windows для диагностики сети и службы каталогов Active Directory, таких как net.exe, nltest и др., а затем пользуются сторонними инструментами, загружаемыми на скомпрометированный хост.

Наиболее распространенные инструменты:

● AdFind
● Bloodhound (Sharphound)
● ADRecon

Эти инструменты позволяют собирать информацию о пользователях и группах, компьютерах, подсетях, правах доступа к доменам и даже выявлять доверительные отношения внутри Active Directory.

Если взломщики получили доступ к скомпрометированному узлу по RDP, они обычно используют широкий набор инструментов – от сетевых сканеров до дамперов паролей.

Вот некоторые самые распространенные инструменты:

● SoftPerfect Network Scanner
● Advanced IP Scanner
● Mimikatz
● LaZagne
● Process Hacker
● ProcDump
● NLBrute

В некоторых случаях, особенно если злоумышленники уже имеют первоначальный доступ к серверу, они могут почти сразу получить учетные данные с повышенными правами, используя части загруженного набора инструментов, например, для создания снимка памяти процесса Сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service, LSASS).

Другая типичная характеристика современных атак программ-вымогателей, управляемых человеком, – интенсивное использование различных фреймворков постэксплуатации.

Я почти уверен, что вы слышали о Cobalt Strike. Это самый распространенный фреймворк, используемый не только киберпреступниками, но и хакерами, действующими по заказу государств.

Но это только один из примеров. Реагируя на атаки с использованием программ-вымогателей, вы можете также столкнуться с:

● Metasploit
● PowerShell Empire
● CrackMapExec
● Koadic
● PoshC2

Подобные сервисы позволяют операторам программ-вымогателей решать различные задачи: сканировать сеть, повышать права доступа, выгружать учетные данные, загружать и запускать сторонние инструменты и сценарии, горизонтально перемещаться по сети с использованием различных методов и многое другое.

Еще один важный шаг злоумышленников – обеспечение резервного доступа. В частности, они могут распространять трояны, которые уже использовались для получения первоначального доступа, запускать элементы фреймворков постэксплуатации на удаленных хостах и даже устанавливать на отдельные серверы с доступом в интернет легитимное программное обеспечение для удаленного доступа, такое как TeamViewer.

Как только злоумышленники достаточно хорошо изучат сеть, в которую проникли, и получат повышенные права, они могут приступить к достижению основных целей – краже данных и развертыванию программ-вымогателей.

3)Кража данных

Кражу данных иногда называют утечкой данных, экспортом данных или эксфильтрацией данных, и она чрезвычайно популярна среди операторов программ-вымогателей.

Практически у всех злоумышленников, связанных с атаками программ-вымогателей, управляемых человеком, есть собственные сайты утечки данных (Data Leak Site, DLS). Они публикуют на таких веб-сайтах информацию об успешных атаках – и даже сами украденные данные, если компания отказывается платить выкуп.

Объем украденных данных может быть самым разным. В некоторых случаях это всего несколько гигабайт, в других – терабайты. Эксфильтрованные данные могут включать информацию о кредитных картах, номера социального страхования (англ. Social Security numbers, сокр. SSN), персональные данные (Personal Identifiable Information, PII), защищенную медицинскую информацию (Protected Health Information, PHI) и национальные идентификаторы поставщиков медицинских услуг (National Provider Identifiers, NPI) и не ограничены частной и конфиденциальной информацией компании.

Большинство таких веб-сайтов расположены в даркнете, и доступ к ним можно получить, например, через браузер Tor. Если вы хотите отслеживать изменения на таких сайтах с помощью обычного веб-браузера, рекомендуем использовать проект Ransomwatch ( ).

Этот веб-сайт автоматически снимает и публикует скриншоты активных DLS, принадлежащих различным операторам программ-вымогателей.

1676729405910.png

DLS программы-вымогателя Conti

Злоумышленники могут потратить довольно много времени на извлечение данных из взломанной сети – иногда несколько месяцев. За это время они могут найти наиболее конфиденциальные данные и обеспечить дополнительные средства удаленного доступа к скомпрометированной сети на случай, если метод первоначального доступа будет раскрыт и доступ заблокирован.

Как правило, применяется один из двух подходов к эксфильтрации данных.

В первом случае преступники могут настроить для этой цели сервер или использовать те же серверы, с которых осуществлялась атака, – например, с помощью фреймворков постэксплуатации.

В этих случаях злоумышленники обычно крадут данные с помощью легальных инструментов, таких как WinSCP или FileZilla. Обнаружить такие инструменты может быть чрезвычайно сложно, особенно если в составе службы безопасности организации нет специальной группы мониторинга, которая постоянно вела бы активный поиск угроз.

Как правило, данные сначала нужно собрать, но в некоторых случаях их можно извлечь прямо с файлового сервера – даже без архивации.

Другой подход – использовать общедоступные облачные хранилища, такие как MEGA, DropMeFiles и др. Эти же хранилища злоумышленники могут использовать для публикации данных на своих DLS.

Так выглядят данные, украденные злоумышленниками, использующими программу-вымогатель Everest, и загруженные в DropMeFiles.

1676729564376.png


Чтобы выгружать данные таким способом, злоумышленники могут использовать обычный веб-браузер или, в некоторых случаях, соответствующие клиентские приложения.
Например, операторы программы-вымогателя Nefilim просто установили MEGAsync на целевой хост и выгружали данные с его помощью.

Другой яркий пример: партнеры Mount Locker использовали для кражи собранных данных хранилище Amazon S3. AWS и другие облачные решения могут быть хорошим подспорьем для крупных краж данных, так что использование таких решений без надлежащего управления и надзора – большая помощь злоумышленникам.

Как только все конфиденциальные данные (по крайней мере с точки зрения злоумышленников) извлечены, сеть жертвы готова к развертыванию программы-вымогателя.

4) Развертывание программ-вымогателей

Как вы думаете, кто злейший враг оператора программы-вымогателя? Верно, резервные копии – если они защищены от взлома и хранятся в безопасном месте. Но у них есть досадное слабое место – злоумышленники могут их удалить.

К сожалению, системные администраторы часто не помнят ни о правиле 3–2–1 (три резервные копии на двух разных носителях, один из которых находится вне предприятия), ни о необходимости иметь отдельные учетные записи и использовать многофакторную аутентификацию для серверов резервного копирования. А ведь сегодня надлежащее обеспечение безопасности резервных копий важно не только для защиты от программ-вымогателей, но и для соответствия организации отраслевым нормативным требованиям.

Чем это грозит? Обладая правами администратора домена, злоумышленники смогут легко получить доступ к серверам резервного копирования и стереть все доступные резервные копии.

После этого у компании-жертвы не останется другого выбора, кроме как заплатить выкуп.

Некоторые программы-вымогатели имеют встроенные возможности для удаления файлов с расширением типичных решений резервного копирования. Вот, например, список расширений резервных файлов, стираемых TinyCryptor:

.vbm
●.vib
●.vbk
●.bkf
●.vlb
●.vlm
●.iso

Возможно, вы знаете о том, что операционная система Windows имеет встроенный механизм резервного копирования, называемый Volume Shadow Copy Service. Он создает резервные копии файлов и даже томов, чтобы пользователь мог восстановить данные до прежнего состояния.

Разумеется, операторы программ-вымогателей обратили внимание на эту функцию Windows – большинство программ-вымогателей отключают ее и удаляют доступные копии.

Резервные копии – не единственный враг операторов программ-вымогателей. Еще один – программные решения для обеспечения безопасности, которые могут легко заблокировать выполнение программ-вымогателей, если, конечно, работают правильно.

Злоумышленники могут добавить программу-вымогатель в исключения или просто отключить имеющееся защитное ПО.

На этом этапе у злоумышленников обычно есть учетные права администратора домена, поэтому для достижения своей цели они могут развертывать пакетные сценарии, манипулирующие групповыми политиками. Конечно, это не единственный способ – можно отключить программное обеспечение для безопасности с его же консольного интерфейса.

Существуют различные методы развертывания программ-вымогателей, включая изменение групповых политик, использование PsExec или даже ручное копирование и запуск – на усмотрение киберпреступников.

Еще один важный момент – система должна оставаться доступной, чтобы жертва могла получить электронное письмо или ссылку на портал для связи со злоумышленниками.

Вот почему многие программы-вымогатели добавляют в исключения список системных папок.

Ниже приведен список исключений программы-вымогателя Darkside:

● $recycle.bin
● config.msi
● $windows.~bt
● $windows.~ws
● windows
● appdata
● application data
● boot
● google
● mozilla
● program files
● program files (x86)
● programdata
● system volume information
● tor browser
● windows.old
● intel
● msocache
● perflogs
● x64dbg

public

● all users
● default

Интересно, что в списке есть папка tor browser. Дело в том, что у Darkside был портал для жертв в даркнете, доступ к которому возможен только через браузер Tor.

После развертывания программы-вымогателя злоумышленники готовы обсудить с жертвой сумму выкупа. Иногда требуют выкуп отдельно за дешифровку и отдельно – за удаление украденных данных.

Иногда атака на этом не заканчивается. Например, известно, что злоумышленники, связанные с группой REvil, проводят DDoS-атаки против жертв, которые отказываются платить.

Выводы

Теперь у вас есть четкое представление об этапах типовых атак с использованием программ-вымогателей.

Разумеется, с точки зрения тактик, техник и процедур такие атаки могут сильно различаться, но основные цели почти всегда одни и те же: получить полный контроль над доменом, украсть наиболее ценные конфиденциальные данные и развернуть программу-вымогатель.

Источник:

По материалам книги "Олег Скулкин Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей".
 
Верх Низ