Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!
150 0 11:00, 04-03-2023Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации
«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».
Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.
Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.
Рис. 7.8. $MFT и другие метафайлы NTFS, отображенные в AccessData FTK Imager
Я не собираюсь утомлять вас внутренним устройством NTFS — на эту тему есть много прекрасных источников информации, например «Криминалистический анализ файловых систем»18 (File System Forensic Analysis) Брайана Кэрриэ: https://www.amazon.com/System-Forensic-Analysis-Brian-Carrier/dp/0321268172.
Что делать после того, как вы извлекли метафайл $MFT? Можно либо просмотреть его напрямую, либо сначала разобрать его, а затем проанализировать извлеченные данные.
Я буду ссылаться на Эрика Циммермана — обладателя награды «Компьютерный криминалист года» в 2019 г. и инструктора SANS — и его прославленный набор бесплатных инструментов для цифрового криминалистического анализа. Инструменты доступны по адресу https://ericzimmerman.github.io/#!index.md.
Если вы предпочитаете просматривать $MFT напрямую, вам подойдет вариант MFTExplorer. К сожалению, подобные просмотровые средства не очень быстро работают, поэтому я бы рекомендовал сначала разобрать метафайл. Для этого существует отдельный инструмент — MFTECmd. Используя его, вы можете преобразовать данные из $MFT в легко читаемый файл с полями, разделенными запятыми (Comma-Separated Values, CSV), который можно анализировать с помощью любого из ваших любимых инструментов, таких как Microsoft Excel.
Еще один инструмент, представленный в пакете Эрика Циммермана, — Timeline Explorer. Вот как проанализированный файл $MFT может выглядеть в Timeline Explorer.
Рис. 7.9. Проанализированный $MFT, открытый в Timeline Explorer
Timeline Explorer позволяет выбрать столбцы, на которых вы хотите сосредоточиться. Он также имеет удобные возможности фильтрации, чтобы вы могли легко отсеивать лишнее.
В операционной системе Windows существует множество источников артефактов, полезных для специалистов по реагированию на инциденты. Начнем с тех, которые помогают собирать следы выполнения, и для начала обсудим файлы трассировки.
Файлы трассировки
Файлы трассировки находятся в папке C: WindowPrefetch и используются для повышения производительности системы за счет предварительной загрузки кода часто используемых приложений.
Эти файлы имеют расширение. pf и содержат временны́е метки выполнения программы и количество запусков, а также список папок и файлов, с которыми взаимодействовал исполняемый файл.
Файлы трассировки можно проанализировать с помощью PECmd.
Рис. 7.10. Часть вывода PECmd
Разумеется, файлы трассировки — это не единственный источник следов запуска программ, другие мы обсудим в разделах «Реестр Windows» и «Журналы событий Windows».
А сейчас давайте рассмотрим артефакты доступа к файлам — LNK-файлы и списки переходов.
LNK-файлы
Файлы LNK (или «ярлыки») автоматически создаются операционной системой Windows, когда пользователь (или злоумышленник) открывает локальный или удаленный файл. Эти файлы можно найти в следующих местах:
C: %USERPROFILE%AppDataRoamingMicrosoftWindowsRecent
C: %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent
Среди прочих данных такие файлы содержат временные метки как самого файла LNK, так и файла, на который он указывает, то есть того файла, который был открыт (и, возможно, уже удален).
Существует и инструмент для разбора таких файлов — LECmd.
Рис. 7.11. Часть вывода LECmd
На скриншоте видны доказательства того, что злоумышленники делали дамп LSASS, применив очень распространенный метод доступа к учетным данным.
Давайте рассмотрим другой аналогичный источник цифровых криминалистических артефактов, относящийся к файловой системе, — списки переходов.
Списки переходов
Списки переходов — это функция панели задач Windows, которая позволяет пользователям просматривать список недавно использованных элементов. Эту функцию также могут использовать специалисты по цифровой криминалистике и реагированию на инциденты для изучения списка файлов, к которым недавно обращались.
Такие файлы можно найти в папке C: %USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations.
Для просмотра содержимого таких файлов существует инструмент с графическим интерфейсом JumpList Explorer.
Как видно на рисунке 7.12, списки переходов содержат информацию не только о файлах, но и, например, о хостах, к которым осуществляется доступ через RDP. Это чрезвычайно полезно при отслеживании горизонтального перемещения по сети.
Рис. 7.12. Просмотр списков переходов с помощью JumpList Explorer
Обратимся к одному из инструментов расследования кражи данных — к монитору использования системных ресурсов (System Resource Usage Monitor, SRUM).
Монитор использования системных ресурсов
Эта функция Windows используется для мониторинга производительности системы и помогает специалисту по реагированию на инциденты получать информацию о том, сколько данных отправлено/получено каждым приложением в час, что имеет решающее значение при расследовании кражи данных.
База данных с данными SRUM находится в папке C: WindowsSystem32SRU.
Для корректного анализа данных вам также может потребоваться файл с разделом реестра SOFTWARE, расположенный в папке C: WindowsSystem32config.
Оба этих файла можно обработать с помощью SrumECmd. Полученные файлы можно просмотреть с помощью Timeline Explorer (рис. 7.13).
Рис. 7.13. Просмотр проанализированных данных SRUM с помощью Timeline Explorer
Что еще используют злоумышленники для кражи данных и копирования инструментов? Конечно, веб-браузеры!
Веб-браузеры
Веб-браузеры широко применяются как обычными пользователями, которые могут оказаться жертвами целевых фишинговых атак, так и злоумышленниками, которые обычно используют их для загрузки дополнительных инструментов и кражи данных.
Давайте сосредоточимся на трех основных браузерах — Microsoft Edge, Google Chrome и Mozilla Firefox.
Основной источник улик, связанных с браузером, — история просмотров. Ее анализ может выявить места, откуда взломщики загружали инструменты или, например, где они размещали собранные данные. Обычно эти данные хранятся в базах данных SQLite, которые можно найти здесь:
Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultHistory
Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultHistory
Mozilla Firefox: C: Users%USERPNAME%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultplaces.sqlite
Базы данных SQLite можно анализировать либо вручную, используя, например, DB Browser для SQLite (https://sqlitebrowser.org/dl/), либо с помощью специализированных инструментов криминалистики для браузеров, например BrowsingHistoryView (https://www.nirsoft.net/utils/browsing_history_view.html).
Рис. 7.14. Анализ истории веб-поиска с помощью BrowsingHistoryView
Полезными криминалистическими артефактами также являются файлы «куки» и кэш.
Файлы «куки» позволяют веб-браузерам отслеживать и сохранять информацию о сеансе каждого пользователя, в том числе и о посещенных веб-сайтах. Эта информация также хранится в базах данных SQLite:
Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultCookies
Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultCookies
Mozilla Firefox: C: Users%USERNAME%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite
Еще один артефакт, связанный с браузером, — его кэш, то есть компоненты веб-страниц, сохраненные (или кэшированные) локально, чтобы при следующем посещении страницы загружались быстрее.
Вот где находятся файлы кэша для разных браузеров:
Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultCache
Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultCache
Mozilla Firefox: C: Users%USERNAME%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultCache
Существует несколько инструментов, способных интерпретировать данные, хранящиеся в файлах кэша. Некоторые из них — ChromeCacheView (https://www.nirsoft.net/utils/chrome_cache_view.html) и MozillaCacheView (https://www.nirsoft.net/utils/mozilla_cache_viewer.html), но есть и другие.
Еще один источник цифровых улик — реестр Windows.
Реестр Windows
Реестр Windows представляет собой иерархическую базу данных, в которой хранятся различные параметры конфигурации, а также важная информация о запуске программ и действиях пользователей.
Вот где расположены файлы реестра:
Файлы SAM, SYSTEM и SOFTWARE находятся в папке C: WindowsSystem32config.
Файлы NTUSER.DAT и USRCLASS.DAT индивидуальны для каждого пользователя, NTUSER.DAT находится в папке C: Users%USERNAME%, а USRCLASS.DAT — в папке C: Users%USERNAME%AppDataLocalMicrosoftWindows.
Файл Amcache.hve находится в папке C: WindowsAppCompatPrograms.
Файл Syscache.hve хранится в папке C: System Volume Information. Он имеется только в Windows 7 и Windows Server 2008 R2, но может быть очень полезен, поскольку содержит хеши SHA1 для двоичных файлов, которые были запущены.
Теперь давайте рассмотрим
Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.
Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.
- 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
- 2. Просьба отказаться от оскорблений, угроз и запугиваний.
- 3. Просьба отказаться от нецензурной лексики.
- 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.
Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.
Оставить комментарий
-
Валентина04 июль 13:25
Большое спасибо за интересную тему. Сюжет заманчиввй,интересный. Жду продолжения ...
Лекарь Фамильяров. Том 7 - Александр Лиманский
-
Наталья По01 июль 10:12
Ужасный перевод:(...
Аркадия - Эрин Дум
-
Вика29 июнь 21:56
Какая хрень с первых строк. У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ...
Вернуть семью любой ценой - Чарли Ви
