Место преступления: вымогатели оставляют следы - часть II
(Окончание. Начало читайте по адресу)
В последнее время растет число атак с целью вымогательства, первая стадия которых — заражение ПО для получения доступа к учетным данным. На второй стадии злоумышленник использует точку доступа к сети, чтобы контролировать зараженный хост, или действующую учетную запись для подключения к удаленному серверу.
Рис. 1. Плацдарм
Имея действующую учетную запись или доступ к системе компании, важно знать:
- Какими правами вы обладаете?
- Какое место вы занимаете в этой сети?
Одна из первых команд, которую вы увидите, это «whoami/all». Вывод этой команды предоставит подробную информацию об учетной записи, которую злоумышленник использует на компьютере для получения привилегий. Лучший способ обнаружить подозрительную активность в вашей сети — установить правило обнаружения для команды «whoami» и задать его всем, кто занимает ключевую должность в компании. Даже руководители ИТ-подразделений не всегда используют эту команду.
При атаке злоумышленник, как правило, хочет получить права локального/доменного администратора. Это откроет ему все двери в вашу сеть.
На следующем этапе, чаще всего, наблюдаются варианты из Mimikatz или других инструментов для сбора учетных данных компьютера. Mimikatz может присутствовать в других форматах, либо являться частью инструментария PowerShell, например, Empire:
Рис. 2. Empire Mimikatz (источник: powershellempire.com)
Любой контакт с системой оставляет за собой цифровые следы, в этом примере с Empire происходит следующее:
· Злоумышленник получает доступ к системе с использованием сценариев, закреплённых в автозапуске;
· Злоумышленник использует C2 (командный центр) для управления;
· Злоумышленник использует PowerShell для выполнения команд.
Рассмотрим этот метод взаимодействия с точки зрения MITRE ATT&CK Techniques:
Рис. 3. Атака с помощью Empire
Что же позволит распознать атаку на раннем этапе?
При использовании PowerShell остается несколько цифровых следов. Помимо следов в оперативной памяти, есть следы в журнале событий Windows, в реестре, на файловой системе, например в каталоге Prefetch, а при наличии версии PowerShell v5 и выше доступен даже файл истории команд PowerShell, Доступный по такому пути:
C: \ Users \ <имя пользователя> \ AppData \ Roaming \ Microsoft \ Windows PowerShell \ PSReadline \ ConsoleHost_history.txt
Empire шифрует свои коммуникации, создает нечастые и случайные соединения и зеркалирует HTTP трафик, чтобы оставаться скрытым в «нормальном» трафике. Если посмотреть на порядок волатильности из первой статьи, сетевой трафик изменится в течение промежутка от одной секунды до минуты, что даст очень короткое окно, чтобы осуществить полный захват пакета и проверку нашего сетевого трафика.
В активности сети это сложно заметить, однако существуют индикаторы, которые отражают активность трафика Empire. Чтобы настроить трафик C2, злоумышленнику необходимо установить «прослушиватель», который содержит параметры взаимодействия трафика C2.
Рис. 4. Настройка Empire Listener
На экране настройки отображённого на рисунке 4 видно три настраиваемых URI, которые будут часто запрашиваться и объединяться с заголовком HTTP. Одновременное обнаружение трех URI в пределах определенного интервала времени, в сочетании с заголовком HTTP может быть очень хорошим индикатором для обнаружения трафика Empire C2. При обнаружении этих индикаторов, в случае если вы отвечаете за реагирование, вернитесь к рисунку 3 и начните охоту в обратном направлении. Вы обнаружили C2 активность, а это означает, что хосты, взаимодействующие с ней, используют протокол PowerShell и самое время для защиты собранных улик. Применение модели MITRE ATT&CK позволяет понять, что именно вы только что обнаружили, оценить последствия, а затем искать доказательства или предвидеть следующий шаг злоумышленника и действовать на опережение.
Следует отметить, что эта настройка стоит по умолчанию, и может быть изменена злоумышленником. Опыт показывает, что киберпреступники, которые жаждут наживы, часто спешат и используют базовые настройки инструментов. Более искушённые атаки, организовываемые более опытными и выдержанными злоумышленниками, готовятся тщательнее, поскольку преступники хотят дольше присутствовать в сети жертвы.
Вернемся к сценарию атаки. Злоумышленник получил необходимые привилегии и в режиме администратора вошел в сеть. Теперь необходимо понять, насколько большая эта сеть и выявить критически важные объекты. Скорее всего, он обратит внимание на общие папки с большим количеством данных внутри.
Затем злоумышленник подготовит уникальную версию вируса-вымогателя и удостоверится, что её просто так не обнаружить через нелегальные сервисы AV-тестирования. В зависимости от навыков и возможностей, вирус-вымогатель может быть загружен в сеть жертвы различными способами и после выполнения первой атаки в службу поддержки компании-жертвы начнут поступать первые звонки от пользователей, которые стали жертвой данного вымогателя.
Злоумышленники могут выбрать любой метод. Однако следует фокусироваться на обнаружении доказательств, а не на особенностях реализации. Некоторые инструменты имеют двойное назначение, и могут быть использованы как для защиты, при выполнении тестирования систем «на проникновение» специалистами ИБ, так и в целях исполнения реальной атаки злоумышленниками. Ситуация спорная, с одной стороны, инструменты могут упростить для злоумышленника сценарий атаки, а с другой — без них невозможно нормальное тестирование мер безопасности.
Мы упоминали Empire, хотя эта система, основанная на PowerShell, больше не поддерживается ее разработчиками, существует ветвление, количество примеров использования снизилось, однако следы всё ещё появляются. Коммерческая платформа для симуляции действий злоумышленника Cobalt Strike, которую компании применяют для проверки системы безопасности, все чаще используется преступниками. Хотя лицензии строго контролируются, пиратские и взломанные версии доступны в даркнете. Cobalt Strike регулярно обновляется, чтобы добавлять новейшие методы и инструменты, такие как Mimikatz, расширяющие возможности по проникновению и уклонению от обнаружения. Что также увеличивает вероятность появления новых успешных методов и сценариев атак даже на самые современные операционные системы.
Группировки, распространяющие программы-вымогатели GoGalocker, MegaCortex и Maze, были обнаружены с использованием Cobalt Strike. На данном этапе сценария, с точкой доступа в сети, Cobalt Strike имеет множество вариантов, которые можно использовать для достижения своей цели. К ним относятся T1075 Pass Hash, T1097 Pass Ticket, T1105 Remote File Copy, T1021 Remote Services и старый надежный T1077 Windows Admin Shares.
В прошлой части нашего рассказа мы разобрали, что в разных частях системы следы остаются на разное время. Изучая предыдущие атаки, можно проанализировать общую последовательность использования методов. Это может помочь при выборе сроков и методов сбора доказательств.
Обнаружение атак — непростая задача. Платформы эксплуатирования часто создаются в виде открытых исходных кодов, что позволяет злоумышленнику его изменить и манипулировать так называемыми IOC (индикаторами компрометации). В случае использования «стоковых» инструментов, обладающих стандартными атрибутами, контрольными суммами, форматами пакетов сетевого трафика частично их активность может быть обнаружена сигнатурными методами, но это поможет только в случае использования базового типа атак. Как уже упоминалось, следует сосредоточиться на методах и поведении, а не на инструментах.
Во многих случаях понимание нормального поведения системы имеет решающее значение для выявления атак, а наличие базовой системы для сравнения может помочь анализу.
Вот несколько примеров:
· Объем памяти
o Святой Грааль. Бинарные файлы изменяются, чтобы маскировать их истинные намерения, однако в памяти они могут быть видны в декодированном формате.
o Поиск индикаторов функциональности, таких как подозрительные системные вызовы или чтение/запись конфиденциальных системных файлов (например, lsass).
· Выполняемые процессы
o Схожие выполняемые процессы могут быть подозрительны.
o Хотя процесс «миграции» часто выполняется, обращайте внимание на аномальную иерархию процессов.
o Процесс выдает неожиданный результат? Например, блокнот отправляет http запросы на внешний домен?
· Сетевой трафик
o Домены должны иметь хорошую репутацию и быть хорошо известны.
o Пики или необычные временные изменения диаграммы во временном распределении сетевого трафика.
o Переменные используются необычным образом, например, заголовки http, включая закодированные двоичные данные.
· Диск
o Двоичные и конфигурационные файлы доступны для реверс-инжиниринга.
o Статический анализ не такой мощный, как динамический, исполняющий ПО в динамическом окружении.
o Запук зловредного по в режиме отладки может помочь, но остерегайтесь техник обнаружения «песочниц».
· Резервное копирование / данные в системных журналах
o Никогда безоговорочно не доверяйте записям в системных журналах, поскольку злоумышленники могут легко фальсифицировать эту информацию. Возможность передать данные журналов за пределы системы с использованием Syslog, может повысить надежность этих данных.
o Поиск конкретных маркеров вредоносной активности. Некоторые полезные элементы: журналирование активности в командной строке, журналирование исполняемых сценариев PowerShell, специальные журналы приложений, таких как веб-серверы, установка/запуск системных служб, доступ к общему ресурсу - особенно C$, запуск процесса, вход в учетную запись.
Целевые атаки вымогателей значительно возросли за последние 8 месяцев. Злоумышленники атакуют компании оказывающие услуги в сферез кибер-безопасности одновременно нанося удар по многим их компаниям-клиентам. Жертвами становятся финансовые корпорации, государственные службы и т.д. Часть из них используют очень схожие, описанному выше, техники проведения атаки.
Очень важно определить, какие технологии помогут обеспечить высокую защиту, какие цифровые доказательства существуют, и возможно ли обнаружить их достаточно быстро, чтобы успеть отреагировать? Если начальная стадия взлома пройдена, как выстроить линию обороны и обезвредить угрозу?
Кристиан БИК,
руководитель подразделения McAfee ATR по
реагированию и расследованию киберинцидентов
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 04.07.2020