LoveRead.info » Книги » Разная литература » Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!

150 0 11:00, 04-03-2023
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
04 март 2023

Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.

Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

    1 ... 7 8 9 10 11 12 13 14 15 ... 34
    Перейти на страницу:
    с Cobalt Strike Beacon. Вы всегда можете собрать дополнительную информацию об IP-адресах, особенно принадлежащих различным фреймворкам постэксплуатации. Например, можно проверить, связан ли сервер с Cobalt Strike (рис. 4.4).

    Рис. 4.4. Информация о проверенном IP-адресе, собранная платформой Group-IB MXDR

    Платформа Group-IB MXDR имеет функцию построения графа связей, которую можно использовать для сбора дополнительной информации о собранных вами индикаторах. На рисунке 4.4 мы видим, что IP-адрес 176.123.8.228 относится к серверу Cobalt Strike, поэтому команде безопасности стоит заблокировать или проверить его.

    Как видите, даже анализ короткого отчета, имеющегося в открытом доступе, позволит опытному аналитику собрать достаточно информации о киберугрозах, что может быть очень полезно при реагировании на инциденты.

    Выводы

    В этой главе мы обсудили различные типы информации о киберугрозах, в том числе стратегическую, оперативную и тактическую информацию, их различия и целевые аудитории. Мы также изучили доступный в сети отчет об угрозах и извлекли разные типы данных, чтобы вы могли получить ясное представление об их различиях.

    Вы уже знаете, что TTP — это наиболее важные элементы образа действий злоумышленников, поэтому в следующей главе мы рассмотрим множество примеров из реальной жизни, чтобы у вас был хороший источник практической информации об атаках программ-вымогателей, управляемых человеком.

    Глава 5

    Тактики, техники и процедуры групп, занимающихся распространением программ-вымогателей

    Вы уже многое знаете о программах-вымогателях, управляемых человеком, неплохо представляете себе, как разворачиваются их атаки и как осуществляется реагирование на инциденты, и понимаете, почему так важно реагировать на инциденты надлежащим образом.

    Но для эффективного реагирования на инциденты недостаточно иметь лишь общее представление о жизненном цикле атаки, поскольку злоумышленники обычно применяют для достижения своих целей разнообразные тактики, техники и процедуры (TTP).

    Существование программ-вымогателей как услуги еще больше запутывает ситуацию, поскольку в атаках с использованием таких программ может участвовать множество аффилированных лиц, и даже для одного и того же штамма программы-вымогателя TTP участников могут значительно различаться.

    Эта глава поможет вам детально разобраться в поведении злоумышленников, участвующих в атаках с использованием программ-вымогателей, на различных этапах жизненного цикла атаки (на основе MITRE ATT&CK).

    Конкретнее мы рассмотрим следующие темы:

    Получение первоначального доступа.

    Запуск вредоносного кода.

    Обеспечение постоянного доступа.

    Повышение привилегий.

    Обход защиты.

    Доступ к учетным данным.

    Продвижение по сети.

    Сбор и кража данных.

    Развертывание программ-вымогателей.

    Получение первоначального доступа

    Получение первоначального доступа к целевой сети — неотъемлемая часть любого вторжения, и атаки с использованием программ-вымогателей не исключение.

    Поскольку в атаках с использованием программ-вымогателей задействованы самые разные злоумышленники, специалисты по реагированию на инциденты могут столкнуться в своей работе практически с любой техникой.

    Тем не менее одна из наиболее распространенных техник, используемых операторами программ-вымогателей, — взлом внешних служб удаленного доступа, таких как протокол удаленного рабочего стола (RDP), поэтому именно с нее мы и начнем.

    Внешние службы удаленного доступа (T1133)

    Использование внешних служб удаленного доступа злоумышленниками весьма распространено. Например, согласно отчету Group-IB «Программы-вымогатели 2020/2021» (Ransomware Uncovered 2020/21), более 50 % всех атак программ-вымогателей, управляемых человеком, начинались со взлома общедоступного RDP-сервера. Пандемия COVID-19 усугубила ситуацию: многим компаниям пришлось создать рабочие места для удаленного персонала, и это дополнительно ослабило защиту серверов по всему миру.

    На рисунке 5.1 приведен пример экрана входа в систему одного из общедоступных серверов.

    Порт по умолчанию для служб удаленных рабочих столов — 3389. Если мы воспользуемся поисковой системой для устройств, подключенных к интернету, например Shodan, мы увидим миллионы таких серверов, и это одна из причин, почему взлом таких серверов стал наиболее распространенной техникой (рис. 5.2).

    Рис. 5.1. Экран входа в систему общедоступного RDP-сервера

    Рис. 5.2. Результаты поиска Shodan

    Как видите, только в США более 1,5 млн таких серверов. Неудивительно, что эта техника настолько распространена — как и то, что жертвами различных программ-вымогателей часто становятся организации из США.

    Как получить доступ к общедоступному RDP-серверу? Самый распространенный способ — атака методом грубой силы, то есть полным перебором наиболее распространенных паролей по словарю. Как ни странно, это вполне эффективный подход.

    Чаще всего сначала сканируют интернет на наличие общедоступных RDP-серверов при помощи masscan, а затем используют инструменты типа NLBrute для выполнения атаки методом грубой силы. Злоумышленникам даже не обязательно делать это самим — они могут приобрести доступ на различных черных рынках и у брокеров первоначального доступа.

    Вот несколько примеров таких черных рынков:

    RussianMarket

    Odin

    UAS RDP Shop

    Xleet

    Infinity Shop

    Отметим, что доступ к общедоступному RDP-серверу может стоить всего несколько долларов.

    Рис. 5.3. RDP-серверы для продажи на UAS RDP Shop

    RDP — не единственный тип внешней службы удаленного доступа, которым пользуются злоумышленники. Другой весьма распространенный тип — доступ через виртуальную частную сеть (Virtual Private Network, VPN).

    В этом случае операторы программ-вымогателей тоже могут выполнять атаки методом грубой силы, чтобы получать учетные данные VPN, а также, например, использовать уязвимости в программном обеспечении. Мы обсудим это в следующем разделе — «Эксплуатация общедоступных приложений (T1190)».

    Как и RDP-доступ, этот тип доступа можно получить у брокеров первоначального доступа. Пример соответствующего объявления на русскоязычном андеграундном форуме на рисунке 5.4.

    Рис. 5.4. Пост с русскоязычного андеграундного форума на платформе Group-IB Threat Intelligence

    Как видите, получить первоначальный доступ через внешние удаленные сервисы очень просто, особенно теперь, во времена пандемии COVID-19. Но это не единственный способ. Давайте рассмотрим еще одну распространенную технику — эксплуатацию общедоступных приложений.

    Эксплуатация общедоступных приложений (T1190)

    Эксплуатация общедоступных приложений в атаках программ-вымогателей, управляемых человеком, — еще одна распространенная техника злоумышленников.

    Вы уже знаете, что вымогатели часто взламывают серверы RDP: они могут либо провести атаку методом грубой силы, либо просто купить доступ на черном рынке или у брокеров первоначального доступа.

    Но также они могут удаленно запускать код на серверах, используя уязвимости реализации RDP, например BlueKeep (CVE-2019–0708). Известно, что она до сих пор активно эксплуатируется, в частности лицами, связанными с программой-вымогателем LockBit.

    То же самое можно сказать и о доступе через VPN. Злоумышленники используют многочисленные уязвимости, которые позволяют им получить VPN-доступ к целевой сети. Рассмотрим наиболее популярные уязвимости.

    Уязвимость в Fortinet, FortiOS и FortyProxy (CVE-2018–13379) позволяла различным операторам программ-вымогателей получать доступ к системным файлам, в том числе содержащим учетные данные, чтобы впоследствии использовать их для получения VPN-доступа к сети.

    Другая уязвимость произвольного чтения файлов, связанная с VPN, имеется в Pulse Secure Pulse Connect Secure (CVE-2019–11510). Ее эксплуатация позволяет злоумышленникам получать доступ к закрытым ключам и паролям пользователей. Эта уязвимость активно использовалась лицами, связанными с программой-вымогателем REvil.

    Наконец, упомянем уязвимость в SonicWall SMA100 (CVE-2019–7481). Ею активно

    1 ... 7 8 9 10 11 12 13 14 15 ... 34
    Перейти на страницу:
    1. Жалоба
    Отзывы - 0

    Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.


    Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

    • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
    • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
    • 3. Просьба отказаться от нецензурной лексики.
    • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

    Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.


    Установить VPN и читай слушай бесплатно

    Новые отзывы

    1. Валентина Валентина04 июль 13:25 Большое спасибо за интересную тему.  Сюжет заманчиввй,интересный. Жду продолжения ... Лекарь Фамильяров. Том 7 - Александр Лиманский
    2. Наталья По Наталья По01 июль 10:12 Ужасный перевод:(... Аркадия - Эрин Дум
    3. Вика Вика29 июнь 21:56 Какая хрень с первых строк.  У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ... Вернуть семью любой ценой - Чарли Ви
    Все комметарии
    Новинки бесплатной онлайн библиотеки