LoveRead.info » Книги » Разная литература » Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!

150 0 11:00, 04-03-2023
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
04 март 2023

Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.

Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

    1 ... 23 24 25 26 27 28 29 30 31 ... 34
    Перейти на страницу:
    который иногда называют нулевым пациентом.

    Мы также можем получить из этой таблицы метку времени доступа. В нашем случае это 132849977563921851 — она не похожа на временну́ю метку, поскольку сохранена в формате Webkit. Ее можно легко преобразовать в удобочитаемый формат: воскресенье, 26 декабря 2021 г., 13:09:16.

    Зачем злоумышленникам нужны такие утилиты? Скорее всего, для архивации данных перед эксфильтрацией. У нас уже есть первая опорная точка, давайте обработаем $MFT, чтобы проверить наличие других интересных артефактов. Мы видим, что пользователи программы-вымогателя поместили 7-Zip в папку Temp.

    Рис. 10.3. Файл, связанный с 7-Zip, в папке Temp

    Если мы прокрутим нашу временну́ю шкалу на основе MFT, мы вскоре обнаружим еще один интересный артефакт.

    Рис. 10.4. Архив 7z в подозрительной папке

    Мы видим, что злоумышленники, скорее всего, архивировали данные при помощи 7-Zip — вероятно, перед их эксфильтрацией. Это популярный метод, используемый многими операторами программ-вымогателей.

    Теперь давайте посмотрим внутрь файла трассировки 7za.exe (рис. 10.5).

    Поскольку файлы трассировки содержат как имена файлов, так и списки каталогов, с которыми взаимодействовал исполняемый файл, мы можем использовать их, чтобы выяснить, что именно было заархивировано, даже если злоумышленники успели удалить архив.

    Рис. 10.5. Архивные данные в списке файлов, с которыми взаимодействовал исполняемый файл

    Вернемся к истории просмотров веб-страниц, показанной на рисунке 10.2. Вот еще один поиск в Bing.

    На этот раз злоумышленники искали популярный файлообменник DropMeFiles. Этот и другие подобные веб-сайты — распространенные средства, используемые операторами программ-вымогателей для кражи данных. Чтобы замести следы, взломщики используют различные сервисы, в том числе характерные для скомпрометированной инфраструктуры.

    Мы также видим любопытный URL-адрес — https://dropmefiles.com/DRUiq — со следующим содержимым.

    Рис. 10.6. Украденный архив

    Если мы скачаем данные по этой ссылке, то увидим, что найденный ранее архив был загружен в DropMeFiles.

    Конечно, это не единственный метод, используемый злоумышленниками для кражи данных. В следующем разделе мы рассмотрим, как они злоупотребляют клиентскими приложениями облачных хранилищ.

    Изучение злоупотребления клиентскими приложениями облачных хранилищ

    Операторы программ-вымогателей могут использовать для кражи данных не только встроенные, но и сторонние инструменты. Мы всегда рекомендуем проверять недавно установленные программы, поскольку они могут быть связаны с действиями злоумышленников.

    Такую информацию можно получить из файла реестра SOFTWARE, который находится в папке C: WindowsSystem32config. Кроме того, информацию об установленных программах можно найти в разделе SOFTWARE | MicrosoftWindowsCurrentVersionUninstall.

    Рис. 10.7. Информация об установленных программах

    О недавно установленном приложении MEGAsync мы можем узнать еще больше, проверив значения подраздела MEGAsync.

    Рис. 10.8. Детали установки MEGAsync

    Это приложение предоставляет злоумышленникам широкие возможности для кражи данных, поэтому многие операторы программ-вымогателей предпочитают именно его.

    Клиентские приложения часто хранят на хосте различные журналы, поэтому всегда стоит проверять подпапки C: Users%USERNAME%AppData на наличие полезных источников улик. Один из таких источников в случае MEGAsync — файл MEGAsync.log. В нашем случае он находится в папке C: UserssmithAppDataLocalMega LimitedMEGAsynclogs.

    Кроме того, в этом файле журнала есть и информация об учетной записи, использованной для кражи данных.

    Теперь мы знаем, какие данные были извлечены при помощи MEGAsync, а также имя использованной для этого учетной записи, но мы все еще не знаем, как это приложение попало на скомпрометированный хост.

    Давайте еще раз проанализируем историю просмотров веб-страниц другого браузера — Mozilla Firefox. Этот веб-браузер хранит историю просмотров в базе данных SQLite, которая называется places.sqlite. Ее можно изучить при помощи DB Browser.

    Рис. 10.9. Структура базы данных

    Самая интересная для нашего расследования информация находится в таблице moz_places. Здесь показан список посещенных URL-адресов.

    Рис. 10.10. Содержимое таблицы moz_places

    Теперь мы точно знаем, что операторы программы-вымогателя загрузили и запустили установщик MEGAsync с официального сайта, а затем использовали его для эксфильтрации конфиденциальных данных. Осталось проверить, был ли браузер Mozilla Firefox установлен на данном хосте до взлома.

    Вы уже знаете, где искать свидетельства установки программы.

    Рис. 10.11. Дата установки Mozilla Firefox

    Как видите, Mozilla Firefox был установлен в тот же день, что и MEGAsync, а затем злоумышленники использовали его для загрузки и установки клиентского приложения MEGAsync.

    Инструменты для эксфильтрации данных могут быть загружены в целевую систему не только путем злоупотребления веб-браузером. Мошенники, использующие программу-вымогатель, могут применять внешнее или внутреннее RDP-соединение, сервер управления ботом или Cobalt Strike Beacon.

    Давайте рассмотрим другие популярные инструменты, используемые операторами программ-вымогателей.

    Изучение злоупотребления сторонними инструментами облачной синхронизации

    Злоумышленники используют самые разные инструменты, в том числе абсолютно легитимные, на разных этапах жизненного цикла атаки, и этап кражи данных — не исключение. Мы уже видели, как это делается путем злоупотребления веб-браузерами и клиентскими приложениями, теперь давайте рассмотрим еще один случай.

    Чтобы избежать обнаружения, операторы программ-вымогателей прибегают к различным методам маскировки. Например, они могут переименовывать инструменты, чтобы те выглядели как легитимные. Как вы уже знаете, Shimcache — один из самых распространенных источников свидетельств запуска программ. Мы можем извлечь эти данные из файла реестра SYSTEM (расположенного в папке C: WindowsSystem32config), например, с помощью RegRipper и проверить наличие следов использования маскировки.

    Очень скоро мы заметим следующую запись:

    На первый взгляд это легитимный исполняемый файл Windows, который позволяет службам совместно использовать один и тот же процесс. Но есть одна важная деталь — подлинный файл svchost.exe должен находиться в папке C: WindowsSystem32!

    Временна́я метка, хранящаяся в Shimcache, отражает дату последней модификации файла, поэтому давайте просмотрим MFT, чтобы выяснить, когда был создан подозрительный файл.

    Рис. 10.12. Подозрительный файл svchost.exe

    Дата создания почти совпадает с датой модификации. Давайте прокрутим временну́ю шкалу из MFT вниз, чтобы обнаружить больше подозрительных файлов.

    Рис. 10.13. Подозрительный файл конфигурации

    На рисунке 10.13 видно, что сначала была создана папка rclone, в которой затем появился файл rclone.conf. Похоже, что это файл конфигурации. Посмотрим внутрь.

    Это файл конфигурации для учетной записи MEGA, которую мы обнаружили в предыдущем разделе. Это означает, что помимо MEGAsync злоумышленники использовали еще один инструмент для эксфильтрации данных — Rclone.

    Чтобы убедиться, что наше первое предположение соответствует вновь обнаруженным доказательствам, давайте проверим свойства svchost.exe:

    Рис. 10.14. Свойства svchost.exe

    Теперь мы можем с уверенностью сказать, что подозрительный файл svchost.exe — это Rclone, инструмент командной строки для передачи данных в облако и другие внешние хранилища.

    Как

    1 ... 23 24 25 26 27 28 29 30 31 ... 34
    Перейти на страницу:
    1. Жалоба
    Отзывы - 0

    Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.


    Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

    • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
    • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
    • 3. Просьба отказаться от нецензурной лексики.
    • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

    Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.


    Установить VPN и читай слушай бесплатно

    Новые отзывы

    1. Валентина Валентина04 июль 13:25 Большое спасибо за интересную тему.  Сюжет заманчиввй,интересный. Жду продолжения ... Лекарь Фамильяров. Том 7 - Александр Лиманский
    2. Наталья По Наталья По01 июль 10:12 Ужасный перевод:(... Аркадия - Эрин Дум
    3. Вика Вика29 июнь 21:56 Какая хрень с первых строк.  У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ... Вернуть семью любой ценой - Чарли Ви
    Все комметарии
    Новинки бесплатной онлайн библиотеки