Как работает программа-вымогатель? Пошаговая разбивка
27 февраля 2022 г.В этой статье вы узнаете, что такое программы-вымогатели, как они работают и как злоумышленники используют программы-вымогатели для блокировки бизнес-устройств.
Смотреть видео
https://www.youtube.com/watch?v=Q_ZFVfDSilI&ab_channel=GrantCollins
00:02
это видео спонсировано кемп фломан а
00:04
инструмент сетевой аналитики, способный
00:06
расширенный мониторинг и обнаружение угроз
00:08
больше информации о моих мыслях о
00:09
расширенный мониторинг и
00:11
профилактические предложения за несколько минут
00:13
вы открываете свой компьютер, чтобы найти это
00:16
экран перед вами да действительно
00:18
программа-вымогатель вы слышали об этом вы слышали
00:20
видел, что это кошмар безопасности и
00:23
хорошо, он поддерживает себя в очень
00:24
прибыльный
00:26
порочный круг, но знаете ли вы, как
00:28
программа-вымогатель распространяет какие шаги она
00:30
требуется, чтобы начать работу в процессе
00:33
прежде чем вы доберетесь до экрана, подобного тому,
00:36
передо мной в теме сегодняшнего видео я
00:38
будет расследовать именно это
00:40
вопрос общие шаги вымогателей
00:42
переходит на взломанный компьютер и
00:45
сеть
00:47
[Музыка]
00:48
сейчас я в изолированной среде
00:50
через виртуальную машину, как вы можете видеть на
00:52
передо мной у меня есть этот вымогатель
00:54
штамм из проекта с открытым исходным кодом, который
00:56
содержит целую кучу вредоносных программ, это
00:58
репозиторий github называется зоопарком
01:00
ссылка в описании ниже сейчас
01:02
Конечно, это сделано для обучения
01:04
целях, и эта вредоносная программа очень
01:07
так живи, так что не делай этого на свой обычный
01:10
машина, на которой я использую сервер-вымогатель
01:12
вариант, который является относительно старым
01:15
сервер штамма вымогателей был одним из
01:18
две операции с программами-вымогателями одновременно
01:21
которая положила начало тому, что мы теперь знаем как
01:24
новая модель монетизации программ-вымогателей как
01:26
сервис, так что теперь машина заражена
01:29
как вы можете показать здесь с помощью
01:31
Программа-вымогатель отмечает, что, черт возьми, произошло
01:33
и как мы добрались до этого состояния хорошо
01:35
тут очевидно много сценариев
01:37
может случиться, я просто буду ходить
01:39
с помощью некоторых общих методов
01:41
нити актеры будут использовать, чтобы выздороветь это
01:45
прямо здесь, перед тобой
01:49
все начинается с выполнения некоторых основных
01:51
разведка или обнаружение на
01:53
начальная цель, чтобы она могла начинаться с
01:55
простой поиск в Google, возможно, глядя на
01:57
интерфейсный веб-сайт компании, выглядящий
01:59
у сотрудников
02:01
c-suite руководителей уровня и что
02:04
они ведут аккаунты в социальных сетях и паблики
02:07
записи — хороший способ понять, что
02:10
компания делает в любой день так
02:12
много разных способов, но первое
02:14
нужно просто собрать информацию
02:16
и узнать о бизнесе, что они
02:19
чаще всего злоумышленники собираются
02:20
идти по пути наименьшего сопротивления
02:22
ведь ну лень так они и будут
02:25
сначала попробуй самые простые способы
02:27
а затем подняться по цепочке оттуда и
02:30
это обычно в форме соц.
02:32
инженерная социальная инженерия – это
02:34
фактор, который нельзя свести к минимуму, социальный
02:37
инженерия обычно через форму
02:39
из того, что вы знаете, вероятно, к настоящему времени
02:41
фишинговое письмо о программе-вымогателе 78
02:44
атаки начинаются с фишингового письма
02:47
например вот этот
02:51
вот у меня, казалось бы, безобидное электронное письмо
02:54
с вложением, включенным в реальный
02:56
мировая среда отсутствует мой юмор
02:58
слава богу, вы бы нашли, что
03:01
электронная почта содержит некоторые документы или, возможно,
03:04
некоторая важная информация, ведущая к
03:07
веб-сайт для более подробной информации о том, что происходит
03:10
возможно, это вложение, представляющее
03:12
выписка с банковской информацией или
03:15
обновление платежной информации сотрудника
03:17
или это срочное электронное письмо от генерального директора
03:20
вызывая это чувство срочности или
03:22
все, что действительно относится к
03:24
деловая и да личная среда
03:26
а также здесь, в этом письме, в качестве примера
03:29
мы получаем фишинговое сообщение, говорящее
03:32
о том, как нам нужно идти вперед и обновлять
03:34
наша информация для управления поставщиком
03:38
компания, и, как вы можете видеть, есть
03:40
обновленные документы для выставления счетов, которые
03:44
в этом случае, вероятно, будет включать
03:46
что-то вредоносное, например макрос
03:48
что приводит нас в
03:50
следующая точная ситуация
03:54
[Музыка]
03:55
допустим, этого пользователя обманули
03:57
обновление платежной информации в этом
03:59
кейс для управляющей компании-вендора
04:01
нажимает кнопку загрузки и сохраняет
04:03
файл, вложение может содержать
04:06
общий тип файла, такой как pdf с
04:08
черный ход, может быть, текстовый документ с
04:11
встроенный макрос в этом случае или
04:14
исполняемый файл, который выглядит как
04:16
легитимная программа, она может
04:18
также использовать силу команды
04:21
интерпретатор, такой как powershell или
04:24
командная строка Windows, которая предоставит
04:26
список команд для запуска в
04:28
фон через powershell или windows
04:30
командная строка, и она запросит
04:33
полезная нагрузка для загрузки, возможно, это
04:35
с помощью javascript python
04:38
или сервер подключения rdb есть
04:40
многие тактики, используемые для достижения казни
04:43
и цель состоит в том, чтобы выполнить полезную нагрузку
04:45
теперь самой полезной нагрузки может не быть
04:48
программа-вымогатель или вредоносное ПО, это может быть
04:51
техника эксплуатации, используемая для получения
04:54
дальнейшее закрепление в сети
04:56
дальнейшее соединение связи может
04:59
происходят вниз по цепочке и часто
05:02
будет, так что это приведет нас к следующему шагу
05:05
хорошо скомпрометированной сети
05:10
поэтому после выполнения полезной нагрузки
05:12
пришло время выполнить некоторые дополнительные
05:14
обнаружение установить постоянство и получить
05:17
черный ход с повышенными привилегиями
05:19
в сеть обнаружение сети
05:21
позволяет злоумышленнику понять больше
05:24
об окружающей среде, в которой они находятся
05:27
злоумышленник, скорее всего, соберет
05:29
информация о хостах и сетевых данных
05:32
злоумышленники, скорее всего, будут использовать встроенные
05:36
собственные команды, такие как команда net
05:38
в командной строке в этом случае с
05:41
команда net вы можете получить список
05:43
пользователи группируют хосты и файлы, которые вы можете
05:46
также запросите активный каталог, если они
05:48
внутри домена сканирование сети и
05:50
перечисление дает злоумышленникам
05:53
видимость топологии сети
05:55
хост-операционные системы и возможные
05:58
уязвимости, которыми могут быть эти хосты
06:00
вы знаете, что следующим предметом является настойчивость
06:02
настойчивость позволяет злоумышленнику получить
06:05
постоянный плацдарм внутри сети в
06:08
случай, когда нападающий должен был проиграть
06:10
первый первоначальный способ доступа они
06:13
мог попасть в сеть с
06:15
другим способом, которым злоумышленник может установить
06:17
настойчивость за счет создания дополнительных
06:19
учетные записи пользователей компьютеров, которые могут выглядеть
06:21
очень похоже на другие dll учетные записи
06:24
угон, злоупотребление реестром Windows
06:27
системы или с помощью веб-оболочки это
06:30
пример лишь нескольких способов, которыми они
06:32
сделает это, как только настойчивость будет
06:34
установлено, что пришло время эскалации этих
06:36
привилегии и двигаться в поперечном направлении через
06:39
сети этот шаг может совпадать с
06:41
этап обнаружения в зависимости от
06:44
повышение приоритета привилегий может быть
06:45
достигается за счет сброса учетных данных
06:47
обход процесса управления доступом пользователей
06:50
инъекция с использованием известного
06:52
уязвимость и многое другое
06:54
тактика, конечно, общая цель состоит в том, чтобы
06:56
достичь уровня администратора домена или системы
06:58
привилегии, которые являются высшими
07:00
привилегированная учетная запись в домене Windows
07:02
система
07:05
следующим шагом является установление
07:07
линия связи с набором
07:10
компьютеры в сети для обратного подключения
07:13
команде, контролируемой злоумышленником, и
07:15
Злоумышленники Control Serp или C2 Server будут
07:19
попытайтесь имитировать обычную дорожную активность и
07:22
избежать обнаружения контролирует цель
07:25
сервер управления и контроля или c2 должен
07:29
извлекать конфиденциальные данные и отправлять
07:31
дальнейшие инструкции для жертвы
07:34
компьютеры теперь сервер c2 обычно
07:37
использовать для установления этого соединения и
07:40
трафик можно олицетворять на
07:42
протокол прикладного уровня, такой как DNS
07:45
почтовые протоколы потоковая передача данных один раз в
07:47
линия связи установлена
07:49
наконец, пытаясь эксфильтровать данные, это
07:52
была скорее новой или более новой техникой
07:53
за последние пару лет, где
07:56
они сначала будут эксфильтровать данные, чтобы
07:59
шантажировать жертву, чтобы она заплатила
08:01
выкуп, вот где фактическое
08:03
исполняемый файл программы-вымогателя или полезная нагрузка могут быть
08:07
отправлено через
08:08
[Музыка]
08:10
как только злоумышленник выполнил все
08:12
из этих шагов вы увидите экран
08:14
с чего мы начали в начале
08:16
видео, которое программа-вымогатель часто отмечает
08:19
у них будет небольшой файл или html
08:21
документ
08:22
говоря эй вот где вы можете получить
08:24
ваш ключ дешифрования, который вы должны отправить
08:26
биткойн на этот адрес, как вы можете видеть
08:28
файлы теперь зашифрованы, это
08:31
пример файла на моем рабочем столе здесь
08:33
развертывание программ-вымогателей может происходить из
08:35
запланированные задачи, из которых они могут быть
08:37
развертывание по сценарию политика gpo
08:40
обновления реализации действительно зависят от
08:42
техника злоумышленника, которую вы знаете
08:45
способность и что они хотят сделать эти
08:47
это всего лишь несколько примеров того, как
08:49
программа-вымогатель была развернута в прошлом
08:51
и вот он у вас есть на компьютере
08:54
был скомпрометирован, и вы можете только надеяться
08:56
что у компании достаточно резервных копий
08:58
и что данные не были
09:00
эксфильтровано злоумышленниками до
09:03
развертывание программы-вымогателя, как вы можете видеть
09:05
многие компании становятся жертвами атак
09:07
такие в любую неделю и месяц
09:09
так что теперь происходит три слова
09:11
предотвращение обнаружения и восстановления и
09:14
тогда у вас тоже есть образование и есть
09:16
также другие стратегии стратегии могут быть
09:18
осуществляется посредством информирования о политике и
09:20
эффективно обрабатывается безопасностью
09:24
команда есть стратегии технологии
09:26
инструменты и фреймворки откуда угодно
09:28
ответ обнаружения конечной точки на
09:30
внедрение почтовых шлюзов есть так
09:33
множество различных инструментов предприятия или
09:35
компания имеет в сегодняшних условиях так
09:37
сегодня я хочу поговорить об одном
09:39
конкретной технологии, которая называется
09:41
ответ обнаружения сети или ndr
09:44
ответ обнаружения сети является решением
09:46
который постоянно отслеживает и анализирует
09:49
необработанный корпоративный трафик при подозрении
09:53
активность или обычные схемы движения
09:56
отклоняться от нормы, инструмент ndr будет
09:59
предупредить группы безопасности
10:01
потенциальные угрозы в их
10:03
среды, поэтому возвращаясь к
10:05
предыдущий сценарий, через который мы прошли
10:07
инструмент ndr сможет анализировать
10:10
шаблоны сетевого трафика и оповещения о
10:12
происходит любая подозрительная активность, и я
10:14
собираюсь пойти дальше и сломать это очень
10:16
быстро я собираюсь идти вперед и использовать
10:19
инструмент в качестве примера в данном случае это
10:21
сегодняшний спонсор, и вы можете подумать
10:23
вы просто продвигаете какой-то случайный инструмент
10:26
гм, и это действительно так, но в конечном итоге
10:29
Кемп Фломон — отличный пример
10:32
технология реагирования на обнаружение сети
10:34
давайте вернемся к
10:37
начало каждого шага и
10:39
я собираюсь использовать этот инструмент в качестве
10:41
пример когда дело доходит до разведки
10:43
и обнаружение первой фазы
10:45
Программа-вымогатель flowmod обнаруживает перечисление
10:48
в активных соседних хостах в сети
10:51
и он выполняет сканирование обнаружения против
10:54
обнаружить цели, а затем шаг два, когда
10:56
атакующий ищет начальную ось
10:58
возможно, злоумышленник пытается взломать
11:00
пароль в учетной записи, пока kem
11:02
флаумон умеет обнаруживать брутфорс
11:05
методы для учетных данных этих пользователей
11:07
и сообщите об этом соответствующей команде, а затем
11:10
когда вы попадаете в казнь злоумышленника
11:12
возможно, объясняет учетные данные rdp как
11:14
мы говорили о том, что flowmon обнаруживает использование
11:17
учетных данных rdp, но также может
11:19
обнаруживать другие установки
11:22
вредоносное программное обеспечение, такое как кейлоггеры
11:25
или даже подключение к серверу c2
11:27
когда дело доходит до открытия
11:30
сохранение и повышение привилегий
11:32
Фаза, что произойдет дальше, это
11:34
злоумышленник собирается разделить данные на
11:36
меньшие куски, чтобы имитировать то, что обычно
11:38
корпоративная сеть
11:40
трафик будет выглядеть так, как будто они
11:42
может делать это через разделение
11:43
icmp-трафик с правильным шифрованием
11:46
flowmod может обнаруживать большие объемы данных
11:49
передача это важный шаг и
11:51
Flowmon действительно может показать
11:54
что происходит за пределами вашей сети, когда
11:56
дело доходит до командования и контроля
11:58
серверы серверы c2 и эти подключения
12:01
flowmon может обнаруживать команды ботмата и
12:05
команды, которые отправляются на c2
12:07
сервер, наконец, когда злоумышленник развертывает
12:09
программа-вымогатель
12:10
и злоумышленник шифрует
12:13
информация, как мы видели в начале
12:14
видео bluemon может обнаружить сеть
12:17
деятельность, которая в данном случае будет
12:19
большое количество шифрования и предупредить
12:22
надлежащая команда безопасности и на протяжении каждого
12:24
из этих шагов такой инструмент, как ndr
12:27
инструмент kemflowmon может помочь вам предотвратить
12:30
обнаружить
12:31
восстанавливать и реагировать на те
12:35
атаки внутри цепочки, так что это
12:38
шаги плодовитого варианта программы-вымогателя
12:42
так что я ценю Кева Фломана за
12:44
спонсируя сегодняшнее видео я тоже надеюсь
12:45
что вы узнали что-то новое о
12:47
шаги, которые он предпринимает для программы-вымогателя
12:50
вариант пройти и скомпрометировать
12:53
сети, чтобы они могли получить
12:54
достаточное количество данных, а затем
12:57
они могут зашифровать ваши файлы, так что спасибо
12:59
очень хочу посмотреть, если вам понравилось
13:01
это все, о чем я действительно хочу просить, и
13:04
да до следующего видео хорошего дня
Оригинал