Журнал "Директор по безопасности" Сентябрь 2020 | Page 14

ЕСТЬ РЕШЕНИЕ
Место преступления:
вымогатели
оставляют следы
КРИСТИАН БИК,
руководитель подразделения
McAfee ATR по реагированию
и расследованию киберинцидентов
Хакерская атака – это спланированное
преступление с определенной целью,
которое имеет своих организаторов и
исполнителей, свои масштабы и расценки
в зависимости от тяжести. Как и
любое преступление, хакерскую атаку
необходимо расследовать, чтобы предотвратить
подобное в будущем. Пионер
судебной медицины Эдмон Локар сформулировал
известный принцип «Каждый
контакт оставляет след». Если перевести
на мир цифровых технологий: «когда
злоумышленник взламывает систему, он
оставляет следы». Задача состоит в том,
чтобы своевременно обнаружить эти
следы, предпринять необходимые меры
и выяснить, где находится источник атаки.
Кратковременные доказательства
проникновения в систему должны
быть обнаружены как можно скорее.
Следы, которые остаются на бэкапах, на
съемных и других носителях информации,
редко меняющихся со временем,
имеют более низкий приоритет.
На первом этапе компанию заражают
вредоносным ПО, которое
крадет данные (например,
Azorult, Dridex, Trickbot) или нарушает
работу из-за слабой защиты конечных
точек.
Второй этап наступает через несколько
недель, когда та же жертва
подвергается целевой атаке с целью
вымогательства. Тогда используются
вредоносные программы Ryuk,
Bitpaymer или другие, к которым у
злоумышленника есть доступ.
Исполнитель первого этапа не обязательно
тот же, кто выполняет второй.
На черном рынке можно найти
множество учетных данных, собранных
благодаря Azorult или RDP.
Рисунок 1. Этап 1.
Схема на рис. 1 демонстрирует
начало большинства подобных атак.
Пользователь открывает зараженный
сайт или скачивает фишинговый документ,
и в результате загружает вредоносную
программу, которая крадет
учетные данные. Это приводит к тому,
что личная информация жертвы оказывается
в распоряжении злоумышленника.
Другой сценарий – покупка
действующей учетной записи в даркнете.
Наличие таких данных дает
удаленный или прямой доступ к компьютеру
жертвы с помощью зараженного
ПО. Когда злоумышленник делает
следующий шаг, в 9 из 10 случаев
используется инструмент для считывания
и сохранения учетных данных,
такой как Mimikatz или через скрипты
PowerShell. Цель в том, чтобы получить
права локального администратора
в системе жертвы.
В этом случае жертва, скорее всего,
открывает сайт, который содержит
вредоносный скрипт. Если обратиться
к таблице порядка волатильности, где
искать доказательства? В зависимости
от того, какие действия определены
во вредоносном скрипте, злоумышленник
может оставить следы на диске
или в памяти при внедрении.
T1192 и T1193 Фишинговые
ссылки/вложения
В этом случае жертва получает электронное
письмо со ссылкой (T1192)
или с «зараженным» прикрепленным
файлом (T1193). При нажатии
на ссылку открывается сайт и выполняются
последующие действия, как
описывается выше в технике T1189:
Drive-by. Приоритеты видов уязвимости
аналогичны, но будут иметь длинную
цепочку исполнения. Поскольку
пользователь инициировал действие,
на компьютере жертвы будет больше
цифровых доказательств:
Запуск почты (Email-клиент)
Открытие настроенного по умолчанию
браузера при нажатии на ссылку
Переход браузера на сайт
Выполнение скрипта
Доказательства выполнения программ
и их запуска сохраняются непосредственно
в самом процессе, в хранилище,
из которого был произведен
запуск, а также в памяти таких приложений,
как UserAssist, Shimcache,
RecentApps. Электронное письмо может
остаться в почтовом ящике жертвы,
либо в загруженных файлах из
Интернета.
В случае фишинговой атаки с опасными
вложениями, процедура будет
выглядеть примерно так, как показано
ниже (но есть и другие вариации):
Запуск почты (Email-клиент).
Открытие вложения.
Запуск приложения Office.
Выполнение макроса.
PowerShell/WMIC с последующей
загрузкой файла из Интернета.
Выполнение скрипта/открытие
файла.
Загрузка в память компьютера
или запись на диск и последующий запуск.
В этом случае открываются приложения
Office. Если вложение было
открыто перед сохранением на диск,
то в Outlook файл копируется в папку
«SecureTemp», которая имеет атрибут
«скрытая» и находится в папке
Temporary Internet files.
В зависимости от нагрузки макроса,
улики можно найти в релевантном
интернет-трафике. Когда используется
PowerShell или WMIC, информация
о его запуске записывается в каталог
Windows Prefetch, а также следы сохраняются
в журнале событий. Исходя
из того, какой тип скрипта или файла
выполняется, следы могут быть обнаружены
в памяти или на диске, причем
в первом случае эти следы пропадают
очень быстро, а во втором – хранятся
долго.
Когда вредоносное ПО, такое как
Azorult, появляется на компьютере
жертвы, последовательность событий
выглядит, как показано на рис. 2.
Рисунок 2. Фильтрация и связи
Эксфильтрация данных в основном
происходит через TCP-порт 80
по направлению к C2
(command and control). Как T1043,
так и T1041 тактики, которые оставляют
долгохранящиеся следы в сетевых
журналах прокси-сервера/шлюза/межсетевого
экрана.
Инфекции вроде AZORULT часто
игнорируются или недооцениваются.
Когда обнаруживается заражение,
оно либо блокируется, либо очищается,
однако возможность атаки вредоносного
ПО сохраняется.
Если снова обратиться к таблице
«Порядок волатильности», то мы увидим,
что временные рамки обнаружения
следов начального этапа атаки от
секунд до минут с момента первой сетевой
активности или запуска системного
процесса. Между заражением и
эксфильтрацией проходит достаточное
количество времени в интервале
до нескольких минут, чего более чем
достаточно для кражи учетных данных
перед выполнением злонамеренных
действий. Эта временная «дельта»
становится вызовом, сможет ли совокупность
доступных ИБ специалистов,
технологий, методик, которые используются
в организации, адекватно ответить
на возникшую угрозу в рамках
отведенного временного окна? Возможность
предвидеть и анализировать
ранние оповещения наряду с пониманием
возможностей различного
вредоносного ПО может помочь предотвратить
больший ущерб.
В последнее время растет число
атак с целью вымогательства, первая
стадия которых – заражение ПО для получения
доступа к учетным данным. На
второй стадии злоумышленник использует
точку доступа к сети, чтобы
контролировать зараженный хост, или
действующую учетную запись для подключения
к удаленному серверу.
Рисунок 3. Плацдарм
Некоторые инструменты
имеют двойное
назначение, и могут быть
использованы как для
защиты, так и в целях
исполнения реальной
атаки злоумышленниками
Имея действующую учетную запись
или доступ к системе компании, важно
знать:
Какими правами вы обладаете?
Какое место вы занимаете в этой
сети?
Одна из первых команд, которую
вы увидите, это «whoami/all». Вывод
этой команды предоставит подробную
информацию об учетной записи,
которую злоумышленник использует
на компьютере для получения привилегий.
Лучший способ обнаружить
подозрительную активность в вашей
сети – установить правило обнаружения
для команды «whoami» и задать
его всем, кто занимает ключевую
должность в компании. Даже руководители
ИТ-подразделений не всегда
используют эту команду.
При атаке злоумышленник, как правило,
хочет получить права локального/доменного
администратора. Это откроет
ему все двери в вашу сеть.
На следующем этапе, чаще всего,
наблюдаются варианты из Mimikatz
или других инструментов для сбора
учетных данных компьютера.
Mimikatz может присутствовать в других
форматах, либо являться частью
инструментария PowerShell, например,
Empire.
Любой контакт с системой оставляет
за собой цифровые следы, в этом примере
с Empire происходит следующее:
Злоумышленник получает доступ
к системе с использованием сценариев,
закрепленных в автозапуске;
Злоумышленник использует C2
(командный центр) для управления;
Злоумышленник использует
PowerShell для выполнения команд.
Рассмотрим этот метод взаимодействия
с точки зрения MITRE ATT&CK
Techniques (рис. 4).
Рисунок 4. Атака с помощью Empire
Что же позволит распознать атаку
на раннем этапе?
При использовании PowerShell
остается несколько цифровых следов.
Помимо следов в оперативной
памяти, есть следы в журнале событий
Windows, в реестре, на файловой
системе, например в каталоге
Prefetch, а при наличии версии
PowerShell v5 и выше доступен даже
файл истории команд PowerShell,
Доступный по такому пути:
C:\Users\<имя пользователя>
\AppData\Roaming\Microsoft\ Windows
PowerShell\PSReadline\ConsoleHost_
history.txt
Empire шифрует свои коммуникации,
создает нечастые и случайные соединения
и зеркалирует HTTP трафик,
чтобы оставаться скрытым в «нормальном»
трафике. Если посмотреть
на порядок волатильности, сетевой
трафик изменится в течение промежутка
от одной секунды до минуты,
что даст очень короткое окно, чтобы
осуществить полный захват пакета и
проверку нашего сетевого трафика.
В активности сети это сложно заметить,
однако существуют индикаторы,
которые отражают активность трафика
Empire. Чтобы настроить трафик
C2, злоумышленнику необходимо
установить «прослушиватель», который
содержит параметры взаимодействия
трафика C2.
Одновременное обнаружение трех
URI в пределах определенного интервала
времени, в сочетании с заголовком
HTTP может быть очень хорошим
индикатором для обнаружения трафика
Empire C2. При обнаружении этих
индикаторов, в случае если вы отвечаете
за реагирование, вернитесь к рис.
3 и начните охоту в обратном направлении.
Вы обнаружили C2 активность,
а это означает, что хосты, взаимодействующие
с ней, используют протокол
PowerShell и самое время для защиты
собранных улик. Применение модели
MITRE ATT&CK позволяет понять,
что именно вы только что обнаружили,
оценить последствия, а затем искать
доказательства или предвидеть
следующий шаг злоумышленника и
действовать на опережение.
Следует отметить, что эта настройка
стоит по умолчанию, и может быть
изменена злоумышленником. Опыт
показывает, что киберпреступники,
которые жаждут наживы, часто спешат
и используют базовые настройки инструментов.
Более искушенные атаки,
организовываемые более опытными
и выдержанными злоумышленниками,
готовятся тщательнее, поскольку
преступники хотят дольше присутствовать
в сети жертвы.
Вернемся к сценарию атаки. Злоумышленник
получил необходимые
привилегии и в режиме администратора
вошел в сеть. Теперь необходимо
понять, насколько большая эта сеть и
выявить критически важные объекты.
Скорее всего, он обратит внимание
на общие папки с большим количеством
данных внутри.