Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

который иногда называют нулевым пациентом.

Мы также можем получить из этой таблицы метку времени доступа. В нашем случае это 132849977563921851 — она не похожа на временну́ю метку, поскольку сохранена в формате Webkit. Ее можно легко преобразовать в удобочитаемый формат: воскресенье, 26 декабря 2021 г., 13:09:16.

Зачем злоумышленникам нужны такие утилиты? Скорее всего, для архивации данных перед эксфильтрацией. У нас уже есть первая опорная точка, давайте обработаем $MFT, чтобы проверить наличие других интересных артефактов. Мы видим, что пользователи программы-вымогателя поместили 7-Zip в папку Temp.

Рис. 10.3. Файл, связанный с 7-Zip, в папке Temp

Если мы прокрутим нашу временну́ю шкалу на основе MFT, мы вскоре обнаружим еще один интересный артефакт.

Рис. 10.4. Архив 7z в подозрительной папке

Мы видим, что злоумышленники, скорее всего, архивировали данные при помощи 7-Zip — вероятно, перед их эксфильтрацией. Это популярный метод, используемый многими операторами программ-вымогателей.

Теперь давайте посмотрим внутрь файла трассировки 7za.exe (рис. 10.5).

Поскольку файлы трассировки содержат как имена файлов, так и списки каталогов, с которыми взаимодействовал исполняемый файл, мы можем использовать их, чтобы выяснить, что именно было заархивировано, даже если злоумышленники успели удалить архив.

Рис. 10.5. Архивные данные в списке файлов, с которыми взаимодействовал исполняемый файл

Вернемся к истории просмотров веб-страниц, показанной на рисунке 10.2. Вот еще один поиск в Bing.

На этот раз злоумышленники искали популярный файлообменник DropMeFiles. Этот и другие подобные веб-сайты — распространенные средства, используемые операторами программ-вымогателей для кражи данных. Чтобы замести следы, взломщики используют различные сервисы, в том числе характерные для скомпрометированной инфраструктуры.

Мы также видим любопытный URL-адрес — https://dropmefiles.com/DRUiq — со следующим содержимым.

Рис. 10.6. Украденный архив

Если мы скачаем данные по этой ссылке, то увидим, что найденный ранее архив был загружен в DropMeFiles.

Конечно, это не единственный метод, используемый злоумышленниками для кражи данных. В следующем разделе мы рассмотрим, как они злоупотребляют клиентскими приложениями облачных хранилищ.

Изучение злоупотребления клиентскими приложениями облачных хранилищ

Операторы программ-вымогателей могут использовать для кражи данных не только встроенные, но и сторонние инструменты. Мы всегда рекомендуем проверять недавно установленные программы, поскольку они могут быть связаны с действиями злоумышленников.

Такую информацию можно получить из файла реестра SOFTWARE, который находится в папке C: WindowsSystem32config. Кроме того, информацию об установленных программах можно найти в разделе SOFTWARE | MicrosoftWindowsCurrentVersionUninstall.

Рис. 10.7. Информация об установленных программах

О недавно установленном приложении MEGAsync мы можем узнать еще больше, проверив значения подраздела MEGAsync.

Рис. 10.8. Детали установки MEGAsync

Это приложение предоставляет злоумышленникам широкие возможности для кражи данных, поэтому многие операторы программ-вымогателей предпочитают именно его.

Клиентские приложения часто хранят на хосте различные журналы, поэтому всегда стоит проверять подпапки C: Users%USERNAME%AppData на наличие полезных источников улик. Один из таких источников в случае MEGAsync — файл MEGAsync.log. В нашем случае он находится в папке C: UserssmithAppDataLocalMega LimitedMEGAsynclogs.

Кроме того, в этом файле журнала есть и информация об учетной записи, использованной для кражи данных.

Теперь мы знаем, какие данные были извлечены при помощи MEGAsync, а также имя использованной для этого учетной записи, но мы все еще не знаем, как это приложение попало на скомпрометированный хост.

Давайте еще раз проанализируем историю просмотров веб-страниц другого браузера — Mozilla Firefox. Этот веб-браузер хранит историю просмотров в базе данных SQLite, которая называется places.sqlite. Ее можно изучить при помощи DB Browser.

Рис. 10.9. Структура базы данных

Самая интересная для нашего расследования информация находится в таблице moz_places. Здесь показан список посещенных URL-адресов.

Рис. 10.10. Содержимое таблицы moz_places

Теперь мы точно знаем, что операторы программы-вымогателя загрузили и запустили установщик MEGAsync с официального сайта, а затем использовали его для эксфильтрации конфиденциальных данных. Осталось проверить, был ли браузер Mozilla Firefox установлен на данном хосте до взлома.

Вы уже знаете, где искать свидетельства установки программы.

Рис. 10.11. Дата установки Mozilla Firefox

Как видите, Mozilla Firefox был установлен в тот же день, что и MEGAsync, а затем злоумышленники использовали его для загрузки и установки клиентского приложения MEGAsync.

Инструменты для эксфильтрации данных могут быть загружены в целевую систему не только путем злоупотребления веб-браузером. Мошенники, использующие программу-вымогатель, могут применять внешнее или внутреннее RDP-соединение, сервер управления ботом или Cobalt Strike Beacon.

Давайте рассмотрим другие популярные инструменты, используемые операторами программ-вымогателей.

Изучение злоупотребления сторонними инструментами облачной синхронизации

Злоумышленники используют самые разные инструменты, в том числе абсолютно легитимные, на разных этапах жизненного цикла атаки, и этап кражи данных — не исключение. Мы уже видели, как это делается путем злоупотребления веб-браузерами и клиентскими приложениями, теперь давайте рассмотрим еще один случай.

Чтобы избежать обнаружения, операторы программ-вымогателей прибегают к различным методам маскировки. Например, они могут переименовывать инструменты, чтобы те выглядели как легитимные. Как вы уже знаете, Shimcache — один из самых распространенных источников свидетельств запуска программ. Мы можем извлечь эти данные из файла реестра SYSTEM (расположенного в папке C: WindowsSystem32config), например, с помощью RegRipper и проверить наличие следов использования маскировки.

Очень скоро мы заметим следующую запись:

На первый взгляд это легитимный исполняемый файл Windows, который позволяет службам совместно использовать один и тот же процесс. Но есть одна важная деталь — подлинный файл svchost.exe должен находиться в папке C: WindowsSystem32!

Временна́я метка, хранящаяся в Shimcache, отражает дату последней модификации файла, поэтому давайте просмотрим MFT, чтобы выяснить, когда был создан подозрительный файл.

Рис. 10.12. Подозрительный файл svchost.exe

Дата создания почти совпадает с датой модификации. Давайте прокрутим временну́ю шкалу из MFT вниз, чтобы обнаружить больше подозрительных файлов.

Рис. 10.13. Подозрительный файл конфигурации

На рисунке 10.13 видно, что сначала была создана папка rclone, в которой затем появился файл rclone.conf. Похоже, что это файл конфигурации. Посмотрим внутрь.

Это файл конфигурации для учетной записи MEGA, которую мы обнаружили в предыдущем разделе. Это означает, что помимо MEGAsync злоумышленники использовали еще один инструмент для эксфильтрации данных — Rclone.

Чтобы убедиться, что наше первое предположение соответствует вновь обнаруженным доказательствам, давайте проверим свойства svchost.exe:

Рис. 10.14. Свойства svchost.exe

Теперь мы можем с уверенностью сказать, что подозрительный файл svchost.exe — это Rclone, инструмент командной строки для передачи данных в облако и другие внешние хранилища.

Как