LoveRead.info » Книги » Разная литература » Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!

150 0 11:00, 04-03-2023
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
04 март 2023

Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.

Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

    1 ... 25 26 27 28 29 30 31 32 33 34
    Перейти на страницу:
    Kill Chain.

    Unified Kill Chain

    Unified Kill Chain объединяет и расширяет Cyber Kill Chain® и MITRE ATT&CK®. Ее разработал Пол Полс в своей магистерской диссертации «Моделирование атак Fancy Bear: унификация жизненного цикла Cyber Kill Chain» (Modeling Fancy Bear Attacks: Unifying the Cyber Kill Chain).

    Официальная версия доступна по ссылке: https://www.unifiedkillchain.com/assets/The-Unified-Kill-Chain.pdf.

    Unified Kill Chain разделяет жизненный цикл атаки на три основных этапа: первоначальный доступ, распространение по сети и целевые действия. Рассмотрим каждый этап в отдельности.

    Первоначальный доступ

    На первом этапе описываются шаги, предпринимаемые злоумышленниками для получения доступа к целевой системе или сети.

    Рис. 12.1. Этапы первоначального доступа

    Жизненный цикл начинается с изучения цели (Разведка). Затем злоумышленникам необходимо подготовить инфраструктуру: вредоносные программы (в том числе программы-вымогатели) и другие инструменты, а также инфраструктуру управления и контроля и т. д. (Вооружение). Если в контексте вооружения используются те или иные объекты, например вредоносные документы, их необходимо доставить к цели (Доставка). Злоумышленники должны либо обманом заставить жертву загрузить и открыть вредоносный файл (Социальная инженерия), либо использовать для запуска уязвимость (Эксплуатация). После запуска вредоносного объекта злоумышленникам может потребоваться постоянный доступ к взломанной системе (Закрепление). Чтобы начать действовать, злоумышленники должны обойти средства защиты (Обход защиты), а также иметь возможность продолжать взаимодействие со скомпрометированной системой (Управление и контроль).

    Распространение по сети

    Как только операторы программы-вымогателя закрепятся в целевой системе, они готовы перейти к следующему этапу — распространению по сети.

    Рис. 12.2. Этапы распространения по сети

    Злоумышленники должны собрать информацию о скомпрометированной системе, чтобы знать свои текущие привилегии и уровень доступа (Обнаружение). Если привилегий недостаточно, взломщики могут повысить их, например, используя уязвимости (Повышение привилегий). Обладая повышенными привилегиями, операторы программы-вымогателя могут запускать произвольный код во взломанной системе (Выполнение). Возможность запуска произвольного кода позволяет мошенникам получать учетные данные (Доступ к учетным данным). Имея надлежащие учетные данные, пользователи программы-вымогателя могут обнаружить удаленные хосты (Обнаружение) и начать горизонтальное перемщение (Горизонтальное перемещение), чтобы перейти к целевым действиям.

    Целевые действия

    Имея надлежащие учетные данные и возможность горизонтального перемещения, операторы программ-вымогателей могут перейти к заключительному этапу — целевым действиям.

    Как вы уже хорошо знаете, в большинстве атак с использованием программ-вымогателей, управляемых человеком, одна из основных целей

    Рис. 12.3. Этапы целевых действий

    злоумышленников — доступ к ценным данным. Как только такие данные обнаружены, их собирают (Сбор данных) и выгружают (Кража данных). Когда данные выгружены, злоумышленники могут переходить к заключительному этапу — развертыванию программы-вымогателя (Воздействие).

    Мы рассмотрели различные жизненные циклы, и теперь давайте составим собственный — Unified Ransomware Kill Chain.

    Unified Ransomware Kill Chain

    Из этой книги вы узнали многое о киберугрозах, связанных с программами-вымогателями, а также рассмотрели наиболее распространенные методы, используемые злоумышленниками. Теперь у вас есть четкое представление об атаках с использованием программ-вымогателей, управляемых человеком, и мы готовы построить собственный жизненный цикл Unified Ransomware Kill Chain.

    Получение доступа к сети

    Операторы программ-вымогателей могут получать доступ к целевой сети самостоятельно или приобретая его у брокеров первоначального доступа. Это может быть доступ к определенному хосту в сети или к самой сети, например, через скомпрометированные учетные данные VPN.

    Для получения доступа может использоваться широкий спектр методов, от довольно распространенных, таких как атаки методом грубой силы и фишинговые электронные письма, до более сложных, таких как атаки на цепочку поставок.

    Подготовка к развитию атаки

    Этот этап может включать в себя различные действия: сбор информации о взломанном хосте, поиск способов повышения привилегий и доступа к учетным данным, а также отключение или обход средств защиты для того, чтобы начать разведку и продвижение по сети.

    Кроме того, злоумышленникам может потребоваться постоянный и резервный доступ к скомпрометированной системе.

    Сетевая разведка

    Прежде чем начать распространение по сети, взломщики должны собрать информацию об удаленных системах, чтобы знать, на что им следует обратить внимание в первую очередь.

    Обнаружение ключевых объектов

    Не каждый хост одинаково ценен для злоумышленников. В основном их интересуют объекты, где можно получить дополнительные привилегированные учетные данные, собрать ценную информацию и, конечно же, добраться до резервных копий.

    Продвижение по сети

    Чтобы получить доступ к наиболее ценным объектам, операторы программ-вымогателей должны перемещаться по сети в горизонтальном направлении. Как вы уже знаете, для этого они обычно используют легитимные инструменты и методы.

    Кража данных

    Иногда операторы программ-вымогателей крадут данные только с одного хоста, например с файлового сервера, иногда они собирают и выгружают данные из нескольких источников. В некоторых случаях эти действия занимают месяц и даже больше.

    Как правило, современные атаки с использованием программ-вымогателей сопровождаются кражей данных, но иногда злоумышленники пропускают этот этап.

    Подготовка к развертыванию

    Злоумышленники должны отключить продукты безопасности, установленные в скомпрометированной сети, и удалить резервные копии данных. Это делается до того, как взломщики могут приступить к развертыванию программы-вымогателя.

    Развертывание программ-вымогателей

    На этом этапе злоумышленники пытаются достичь своей главной цели — развернуть программу-вымогатель. Важно отметить, что в некоторых случаях они даже не используют вредоносный код, а шифруют данные с помощью легитимных инструментов, таких как BitLocker и DiskCryptor.

    Большинство программ-вымогателей очень заметны, поэтому злоумышленники пытаются найти новые способы обхода защиты.

    Вымогательство

    Зашифровать всю сеть и ждать ответа от жертвы может быть не очень эффективно, поэтому лица, связанные с программами-вымогателями, изобретают новые способы ускорения процесса. Они могут размещать образцы украденных данных на DLS, звонить сотрудникам жертвы и даже проводить DDoS-атаки на уже скомпрометированную инфраструктуру.

    Рис. 12.4. Унифицированный жизненный цикл атак с использованием программ-вымогателей

    Три этапа унифицированного жизненного цикла закольцованы, потому что операторы программ-вымогателей могут выполнять одни и те же действия на нескольких хостах.

    Службы реагирования на инциденты могут использовать данный жизненный цикл для реконструкции атак при реагировании на инциденты, а также для структурирования окончательного отчета, чтобы каждый этап атаки был доступно описан с использованием достаточного количества артефактов.

    Выводы

    Теперь вы многое знаете о современных атаках с использованием программ-вымогателей и о том, как находить и отслеживать различные источники знаний о киберугрозах.

    Понимая жизненный цикл атак с использованием программ-вымогателей, вы можете использовать различные модели, в том числе унифицированный жизненный цикл атак с использованием программ-вымогателей, для реконструкции таких атак. Кроме того, теперь вы знаете, как решать эту задачу при помощи наиболее распространенных криминалистических артефактов.

    Я надеюсь, что эта книга поможет вам не только реагировать на инциденты, но и лучше понять текущий ландшафт угроз, связанный с атаками программ-вымогателей, управляемых человеком.

    Последнее важное замечание: не стоит ограничиваться только теми криминалистическими артефактами, которые описаны в

    1 ... 25 26 27 28 29 30 31 32 33 34
    Перейти на страницу:
    1. Жалоба
    Отзывы - 0

    Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.


    Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

    • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
    • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
    • 3. Просьба отказаться от нецензурной лексики.
    • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

    Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.


    Установить VPN и читай слушай бесплатно

    Новые отзывы

    1. Валентина Валентина04 июль 13:25 Большое спасибо за интересную тему.  Сюжет заманчиввй,интересный. Жду продолжения ... Лекарь Фамильяров. Том 7 - Александр Лиманский
    2. Наталья По Наталья По01 июль 10:12 Ужасный перевод:(... Аркадия - Эрин Дум
    3. Вика Вика29 июнь 21:56 Какая хрень с первых строк.  У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ... Вернуть семью любой ценой - Чарли Ви
    Все комметарии
    Новинки бесплатной онлайн библиотеки