LoveRead.info » Книги » Разная литература » Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин

Книгу Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читаем онлайн бесплатно полную версию! Чтобы начать читать не надо регистрации. Напомним, что читать онлайн вы можете не только на компьютере, но и на андроид (Android), iPhone и iPad. Приятного чтения!

149 0 11:00, 04-03-2023
Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин
04 март 2023

Книга Шифровальщики. Как реагировать на атаки с использованием программ-вымогателей - Олег Скулкин читать онлайн бесплатно без регистрации

«Шифровальщики» — это программы, которые находят уязвимости в сетях предприятий, чтобы потом с помощью этих уязвимостей внедриться в сеть, завладеть ценной для предприятия информацией и далее вымогать деньги из руководства компании. Разумеется, программы эти создаются людьми, которые могут как объединяться в преступные группы, так и действовать поодиночке. «Хотя основные цели вымогателей по-прежнему располагаются в Северной и Латинской Америке, Европе, Азиатско-Тихоокеанском регионе, последние пару лет и Россия перестала считаться тихой гаванью. По данным Group-IB, только в 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200 %». В последние годы происходит рост кибератак именно с помощью программ-шифровальщиков. К сожалению, этот тренд не обошел и Россию — здесь количество таких атак только за 2021 год выросло более чем в три (!) раза. Именно поэтому так кстати в русском переводе выходит книга Олега Скулкина, выдающегося эксперта не только в российской, но и в международной цифровой криминалистике. Автор рассказывает обо всем, что касается шифровальщиков, — от истории атак до цифровых улик. Посреди его повествования вполне естественно выглядят фрагменты программного кода, а кое-где — цветные скриншоты. «Тщательная разведка уязвимостей ИТ-инфраструктур и их подготовка к развертыванию программ- вымогателей могут принести киберпреступникам миллионы долларов в криптовалюте». По мнению автора (а это мнение основано на более чем десятилетнем опыте работы в сфере информационной безопасности), сети и деньги предприятия можно уберечь, если понимать жизненный цикл атак программ-вымогателей — об этом цикле подробно рассказывается во второй главе книги, а также в последней главе, где автор помогает читателям научиться реконструировать универсальный жизненный цикл атаки, которому подчиняются все шифровальщики, какими бы индивидуальными особенностями они ни отличались. «Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей».

Особенности • История атак программ-вымогателей; • Как действуют киберпреступники: их тактика, методы и процедуры; • Как реагировать на инциденты с программами-вымогателями.

Для кого Для студентов, изучающих системное администрирование, системных и сетевых администраторов, а также для специалистов по реагированию и аналитиков киберугроз.

    1 2 3 ... 34
    Перейти на страницу:
    оставался наиболее распространенным способом доступа злоумышленников к целевой сети. Из главы 1 «История современных атак с использованием программ-вымогателей» вы уже знаете, что его использовали пионеры подобных атак — операторы SamSam. Конечно, SamSam — не единственный пример. В настоящее время этим вектором пользуется множество злоумышленников — и действующие от случая к случаю, как операторы программы-вымогателя Dharma, и целенаправленные организованные группы вроде REvil.

    Пандемия усугубила ситуацию — многие компании предоставили своим сотрудникам возможность удаленной работы и были вынуждены открыть свои серверы, которые стали мишенями для разного рода злоумышленников, включая операторов программ-вымогателей.

    Например, воспользовавшись системой поиска общедоступных серверов Shodan с открытым портом 3389 (порт по умолчанию для RDP), можно увидеть миллионы устройств.

    Рис. 2.2. Количество устройств, подключенных к интернету с открытым портом 3389

    Простейший поиск выдает миллионы результатов — это одна из причин, по которой данный начальный вектор атаки так популярен среди операторов программ-вымогателей.

    На практике злоумышленники не всегда пытаются сами атаковать такие серверы, они могут просто купить доступ к ним. Операторы программ-вымогателей как услуги могут не только арендовать программы-вымогатели, но и покупать доступ к корпоративным сетям у так называемых брокеров первоначального доступа. Такие брокеры обычно не участвуют в этапе постэксплуатации, чаще они продают первоначальный доступ или отдают его за долю (в среднем до 10 %) в возможной сумме выкупа.

    Иногда операторы программ-вымогателей даже создают темы на андеграундных форумах, чтобы привлечь внимание брокеров первоначального доступа. Вот, например, сообщение, предоставленное платформой Threat Intelligence and Attribution компании Group-IB, — оно показывает, что операторы программы-вымогателя Crylock заинтересованы в покупке различных типов доступа к корпоративным сетям.

    Рис. 2.3. Пост на андеграундном форуме

    Далее мы рассмотрим другой чрезвычайно популярный начальный вектор атаки — целевой фишинг.

    Целевой фишинг

    Целевой фишинг подразумевает использование социальной инженерии. Злоумышленники манипулируют пользователями, чтобы те открывали вредоносные вложения или переходили по опасным ссылкам. Так в их распоряжении оказываются учетные данные, которые потенциально можно использовать для получения VPN-доступа к целевой сети или, как вы уже знаете из главы 1 «История современных атак с использованием программ-вымогателей», для заражения устройств троянскими программами. Поначалу многие злоумышленники использовали такое вредоносное ПО для банковского мошенничества, но оно также применяется для получения первоначального доступа к корпоративным сетям.

    Наиболее распространенные примеры подобных троянов:

    BazarLoader

    Hancitor

    IcedID

    Qakbot

    Trickbot

    Естественно, список неполный — это лишь наиболее распространенные примеры средств, прокладывающих дорогу операторам программ-вымогателей.

    Обычно операторы таких троянов проводят массированные спам-кампании, в основном среди корпоративных пользователей. Чаще всего они используют перехват цепочки сообщений — со взломанных адресов электронной почты злоумышленники отправляют вредоносные документы в ответ на подлинные электронные письма.

    Рис. 2.4. Пример перехвата цепочки сообщений операторами Qakbot5

    В некоторых случаях злоумышленники используют еще более изощренные методы: из главы 1 «История современных атак с использованием программ-вымогателей» вы знаете, что операторы BazarLoader также использовали вишинг (голосовой фишинг).

    Пример такого электронного письма приведен ниже.

    Рис. 2.5. Пример фишингового письма с целью распространения BazarLoader6

    Как видите, вредоносных вложений в данном случае нет. Вместо этого злоумышленники просят жертву не отвечать на письмо, а позвонить по телефону службы поддержки, чтобы связаться с подставной компанией и отменить подписку.

    Если жертва позвонит, злоумышленники из фальшивого кол-центра направят ее на веб-сайт, чтобы она самостоятельно открыла вредоносный документ и включила макросы, чтобы загрузить и запустить BazarLoader.

    Мы рассмотрим дополнительные технические подробности запуска и маскировки таких троянских программ в следующих главах, а пока запомните, что злоумышленники могут использовать их для загрузки дополнительных инструментов на скомпрометированный хост, чтобы затем выполнить шаги постэксплуатации и получить в свое распоряжение привилегированные учетные записи для продвижения по сети.

    В завершение нашего обзора начальных векторов атак мы сделаем обзор различных уязвимостей программного обеспечения, позволяющих операторам программ-вымогателей получать доступ к целевой сети.

    Уязвимости ПО

    Уязвимости программного обеспечения позволили многим брокерам начального доступа разбогатеть на сотни тысяч долларов, но при помощи программ-вымогателей как услуги были получены миллионы.

    Конечно, не каждая уязвимость дает злоумышленнику возможность получить первоначальный доступ в сеть. Чаще всего используются уязвимости, которые позволяют удаленно запустить код или получить файлы с учетными данными.

    Хороший пример уязвимости — приложение Pulse Secure VPN. Например, уязвимость CVE-2019–11510 позволяла злоумышленникам получать имена пользователей и незашифрованные пароли от уязвимых устройств, чтобы использовать их для доступа в сеть.

    Другая уязвимость, популярная среди операторов программ-вымогате-лей, — CVE-2018–13379 в серверах FortiGate VPN. Она тоже позволяет злоумышленникам читать файлы с незашифрованными учетными данными.

    Уязвимость CVE-2019–19781 в решении Citrix ADC and Gateway также активно использовалась многими группами вымогателей — она позволяла злоумышленникам удаленно загружать и запускать вредоносный код и выполнять другие действия постэксплуатации.

    Еще один пример — многочисленные уязвимости в Accellion Legacy File Transfer Appliance, включая CVE-2021–27101, CVE-2021–27102, CVE-2021–27103 и CVE-2021–27104, используемые бандой вымогателей Clop.

    Наконец, в некоторых случаях злоумышленникам удается использовать даже уязвимости «нулевого дня» — это такие уязвимости в системах или устройствах, которые уже стали известны, но еще не были исправлены разработчиками. В июле 2021 г. участники группировки REvil успешно воспользовались несколькими уязвимостями в службе удаленного управления Kaseya VSA и запустили вредоносный пакет обновления, что привело к развертыванию программы-вымогателя. Атака затронула многих клиентов Kaseya, в том числе поставщиков услуг комплексного управления ИТ-инфраструктурой, поэтому злоумышленники запросили действительно крупный выкуп — $70 млн.

    Рис. 2.6. Информация об атаке на DLS REvil7

    Конечно, получение начального доступа в сеть — это еще не все. В большинстве случаев злоумышленникам приходится повышать права доступа, получать учетные данные, выполнять разведку сети и другие действия постэксплуатации.

    Постэксплуатация

    Доступ в сеть — это только полдела. Во многих случаях злоумышленники недостаточно хорошо знакомы с сетью и получают доступ только к учетным записям с ограниченными правами, а значит, не могут отключить элементы управления безопасностью и продвигаться по сети, чтобы получить конфиденциальные данные и развернуть программу-вымогатель.

    Действия в рамках постэксплуатации зависят от типа доступа. Например, если злоумышленники имеют доступ к VPN, они могут просканировать сеть на наличие уязвимостей, которые обеспечат им возможность продвижения по ней.

    Не удивляйтесь — пресловутый эксплойт EternalBlue (CVE-2017–0144) до сих пор чрезвычайно распространен во многих корпоративных сетях, в том числе на действительно крупных предприятиях.

    Еще одна очень распространенная уязвимость, используемая различными операторами программ-вымогателей, — Zerologon (CVE-2020–1472). Она позволяет злоумышленникам получить доступ к контроллеру домена в несколько щелчков мышью.

    Злоумышленники, которые применяют различные трояны, обычно начинают с использования встроенных сервисов Windows для диагностики сети и службы каталогов Active Directory, таких как net.exe, nltest и др., а

    1 2 3 ... 34
    Перейти на страницу:
    1. Жалоба
    Отзывы - 0

    Прочитали книгу? Предлагаем вам поделится своим отзывом от прочитанного(прослушанного)! Ваш отзыв будет полезен читателям, которые еще только собираются познакомиться с произведением.


    Уважаемые читатели, слушатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

    • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
    • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
    • 3. Просьба отказаться от нецензурной лексики.
    • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

    Надеемся на Ваше понимание и благоразумие. С уважением, администратор LoveRead.info.


    Установить VPN и читай слушай бесплатно

    Новые отзывы

    1. Валентина Валентина04 июль 13:25 Большое спасибо за интересную тему.  Сюжет заманчиввй,интересный. Жду продолжения ... Лекарь Фамильяров. Том 7 - Александр Лиманский
    2. Наталья По Наталья По01 июль 10:12 Ужасный перевод:(... Аркадия - Эрин Дум
    3. Вика Вика29 июнь 21:56 Какая хрень с первых строк.  У ребенка в 14 месяце не может быть черепно мозговой травмы при падании с дивана ... Вернуть семью любой ценой - Чарли Ви
    Все комметарии
    Новинки бесплатной онлайн библиотеки