LoveRead.info » Книги » Разная литература » Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!

150 0 11:00, 04-03-2023
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
04 март 2023

Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.

Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

    1 ... 16 17 18 19 20 21 22 23 24 ... 34
    Перейти на страницу:

    Рис. 7.8. $MFT и другие метафайлы NTFS, отображенные в AccessData FTK Imager

    Я не собираюсь утомлять вас внутренним устройством NTFS — на эту тему есть много прекрасных источников информации, например «Криминалистический анализ файловых систем»18 (File System Forensic Analysis) Брайана Кэрриэ: https://www.amazon.com/System-Forensic-Analysis-Brian-Carrier/dp/0321268172.

    Что делать после того, как вы извлекли метафайл $MFT? Можно либо просмотреть его напрямую, либо сначала разобрать его, а затем проанализировать извлеченные данные.

    Я буду ссылаться на Эрика Циммермана — обладателя награды «Компьютерный криминалист года» в 2019 г. и инструктора SANS — и его прославленный набор бесплатных инструментов для цифрового криминалистического анализа. Инструменты доступны по адресу https://ericzimmerman.github.io/#!index.md.

    Если вы предпочитаете просматривать $MFT напрямую, вам подойдет вариант MFTExplorer. К сожалению, подобные просмотровые средства не очень быстро работают, поэтому я бы рекомендовал сначала разобрать метафайл. Для этого существует отдельный инструмент — MFTECmd. Используя его, вы можете преобразовать данные из $MFT в легко читаемый файл с полями, разделенными запятыми (Comma-Separated Values, CSV), который можно анализировать с помощью любого из ваших любимых инструментов, таких как Microsoft Excel.

    Еще один инструмент, представленный в пакете Эрика Циммермана, — Timeline Explorer. Вот как проанализированный файл $MFT может выглядеть в Timeline Explorer.

    Рис. 7.9. Проанализированный $MFT, открытый в Timeline Explorer

    Timeline Explorer позволяет выбрать столбцы, на которых вы хотите сосредоточиться. Он также имеет удобные возможности фильтрации, чтобы вы могли легко отсеивать лишнее.

    В операционной системе Windows существует множество источников артефактов, полезных для специалистов по реагированию на инциденты. Начнем с тех, которые помогают собирать следы выполнения, и для начала обсудим файлы трассировки.

    Файлы трассировки

    Файлы трассировки находятся в папке C: WindowPrefetch и используются для повышения производительности системы за счет предварительной загрузки кода часто используемых приложений.

    Эти файлы имеют расширение. pf и содержат временны́е метки выполнения программы и количество запусков, а также список папок и файлов, с которыми взаимодействовал исполняемый файл.

    Файлы трассировки можно проанализировать с помощью PECmd.

    Рис. 7.10. Часть вывода PECmd

    Разумеется, файлы трассировки — это не единственный источник следов запуска программ, другие мы обсудим в разделах «Реестр Windows» и «Журналы событий Windows».

    А сейчас давайте рассмотрим артефакты доступа к файлам — LNK-файлы и списки переходов.

    LNK-файлы

    Файлы LNK (или «ярлыки») автоматически создаются операционной системой Windows, когда пользователь (или злоумышленник) открывает локальный или удаленный файл. Эти файлы можно найти в следующих местах:

    C: %USERPROFILE%AppDataRoamingMicrosoftWindowsRecent

    C: %USERPROFILE%AppDataRoamingMicrosoftOfficeRecent

    Среди прочих данных такие файлы содержат временные метки как самого файла LNK, так и файла, на который он указывает, то есть того файла, который был открыт (и, возможно, уже удален).

    Существует и инструмент для разбора таких файлов — LECmd.

    Рис. 7.11. Часть вывода LECmd

    На скриншоте видны доказательства того, что злоумышленники делали дамп LSASS, применив очень распространенный метод доступа к учетным данным.

    Давайте рассмотрим другой аналогичный источник цифровых криминалистических артефактов, относящийся к файловой системе, — списки переходов.

    Списки переходов

    Списки переходов — это функция панели задач Windows, которая позволяет пользователям просматривать список недавно использованных элементов. Эту функцию также могут использовать специалисты по цифровой криминалистике и реагированию на инциденты для изучения списка файлов, к которым недавно обращались.

    Такие файлы можно найти в папке C: %USERPROFILE%AppDataRoamingMicrosoftWindowsRecentAutomaticDestinations.

    Для просмотра содержимого таких файлов существует инструмент с графическим интерфейсом JumpList Explorer.

    Как видно на рисунке 7.12, списки переходов содержат информацию не только о файлах, но и, например, о хостах, к которым осуществляется доступ через RDP. Это чрезвычайно полезно при отслеживании горизонтального перемещения по сети.

    Рис. 7.12. Просмотр списков переходов с помощью JumpList Explorer

    Обратимся к одному из инструментов расследования кражи данных — к монитору использования системных ресурсов (System Resource Usage Monitor, SRUM).

    Монитор использования системных ресурсов

    Эта функция Windows используется для мониторинга производительности системы и помогает специалисту по реагированию на инциденты получать информацию о том, сколько данных отправлено/получено каждым приложением в час, что имеет решающее значение при расследовании кражи данных.

    База данных с данными SRUM находится в папке C: WindowsSystem32SRU.

    Для корректного анализа данных вам также может потребоваться файл с разделом реестра SOFTWARE, расположенный в папке C: WindowsSystem32config.

    Оба этих файла можно обработать с помощью SrumECmd. Полученные файлы можно просмотреть с помощью Timeline Explorer (рис. 7.13).

    Рис. 7.13. Просмотр проанализированных данных SRUM с помощью Timeline Explorer

    Что еще используют злоумышленники для кражи данных и копирования инструментов? Конечно, веб-браузеры!

    Веб-браузеры

    Веб-браузеры широко применяются как обычными пользователями, которые могут оказаться жертвами целевых фишинговых атак, так и злоумышленниками, которые обычно используют их для загрузки дополнительных инструментов и кражи данных.

    Давайте сосредоточимся на трех основных браузерах — Microsoft Edge, Google Chrome и Mozilla Firefox.

    Основной источник улик, связанных с браузером, — история просмотров. Ее анализ может выявить места, откуда взломщики загружали инструменты или, например, где они размещали собранные данные. Обычно эти данные хранятся в базах данных SQLite, которые можно найти здесь:

    Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultHistory

    Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultHistory

    Mozilla Firefox: C: Users%USERPNAME%AppDataRoamingMozillaFirefoxProfiles<random text>.defaultplaces.sqlite

    Базы данных SQLite можно анализировать либо вручную, используя, например, DB Browser для SQLite (https://sqlitebrowser.org/dl/), либо с помощью специализированных инструментов криминалистики для браузеров, например BrowsingHistoryView (https://www.nirsoft.net/utils/browsing_history_view.html).

    Рис. 7.14. Анализ истории веб-поиска с помощью BrowsingHistoryView

    Полезными криминалистическими артефактами также являются файлы «куки» и кэш.

    Файлы «куки» позволяют веб-браузерам отслеживать и сохранять информацию о сеансе каждого пользователя, в том числе и о посещенных веб-сайтах. Эта информация также хранится в базах данных SQLite:

    Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultCookies

    Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultCookies

    Mozilla Firefox: C: Users%USERNAME%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultcookies.sqlite

    Еще один артефакт, связанный с браузером, — его кэш, то есть компоненты веб-страниц, сохраненные (или кэшированные) локально, чтобы при следующем посещении страницы загружались быстрее.

    Вот где находятся файлы кэша для разных браузеров:

    Microsoft Edge: C: Users%USERNAME%AppDataLocalMicrosoftEdgeUser DataDefaultCache

    Google Chrome: C: Users%USERNAME%AppDataLocalGoogleChromeUser DataDefaultCache

    Mozilla Firefox: C: Users%USERNAME%AppDataRoamingMozillaFirefoxProfiles<randomtext>.defaultCache

    Существует несколько инструментов, способных интерпретировать данные, хранящиеся в файлах кэша. Некоторые из них — ChromeCacheView (https://www.nirsoft.net/utils/chrome_cache_view.html) и MozillaCacheView (https://www.nirsoft.net/utils/mozilla_cache_viewer.html), но есть и другие.

    Еще один источник цифровых улик — реестр Windows.

    Реестр Windows

    Реестр Windows представляет собой иерархическую базу данных, в которой хранятся различные параметры конфигурации, а также важная информация о запуске программ и действиях пользователей.

    Вот где расположены файлы реестра:

    Файлы SAM, SYSTEM и SOFTWARE находятся в папке C: WindowsSystem32config.

    Файлы NTUSER.DAT и USRCLASS.DAT индивидуальны для каждого пользователя, NTUSER.DAT находится в папке C: Users%USERNAME%, а USRCLASS.DAT — в папке C: Users%USERNAME%AppDataLocalMicrosoftWindows.

    Файл Amcache.hve находится в папке C: WindowsAppCompatPrograms.

    Файл Syscache.hve хранится в папке C: System Volume Information. Он имеется только в Windows 7 и Windows Server 2008 R2, но может быть очень полезен, поскольку содержит хеши SHA1 для двоичных файлов, которые были запущены.

    Теперь давайте рассмотрим

    1 ... 16 17 18 19 20 21 22 23 24 ... 34
    Перейти на страницу:
    1. Жалоба
    Отзывы - 0

    Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.


    Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

    • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
    • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
    • 3. Просьба отказаться от нецензурной лексики.
    • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

    Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.


    Установить VPN и читай слушай бесплатно

    Новые отзывы

    1. Валентина Валентина04 июль 13:25 Большое спасибо за интересную тему.  Сюжет заманчиввй,интересный. Жду продолжения ... Лекарь Фамильяров. Том 7 - Александр Лиманский
    2. Наталья По Наталья По01 июль 10:12 Ужасный перевод:(... Аркадия - Эрин Дум
    3. Вика Вика29 июнь 21:56 Какая хрень с первых строк.  У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ... Вернуть семью любой ценой - Чарли Ви
    Все комметарии
    Новинки бесплатной онлайн библиотеки