Статьи

Жертвам атак шифровальщиков, в основном, приходится рассчитывать только на себя. В их арсенале должен находиться универсальный инструмент, с помощью которого специалисты компании смогут самостоятельно:

  1. Провести полный цикл расследования атаки посредством извлечения и анализа данных из мобильных устройств, облачных сервисов и персональных компьютеров.
  2. Оптимизировать процесс реагирования на инциденты.
  3. Предотвратить потенциальные инциденты путем обнаружения уязвимостей в IT-инфраструктуре компании.

Одним из таких инструментов является флагманский продукт «Оксиджен Софтвер» «MK Enterprise», позволяющий коммерческим организациям решать поставленные задачи и контролировать угрозы современного цифрового мира. Сегодня мы подробно расскажем о расследовании инцидента, проведенного с помощью этого программного обеспечения, и выясним, как хакерская атака стала для небольшой компании реальной угрозой потери конфиденциальной информации.

Предыстория

Утро в маленьком PR-агентстве «Чувство стиля» (с целью сохранения конфиденциальности информации, название компании и имена сотрудников были изменены) начиналось вполне обычно: главный бухгалтер Мария Ивановна Степанюк в начале рабочего дня планировала подготовить финансовые отчеты в 1С. Когда она оказалась за своим столом и включила компьютер, то обнаружила, что программа не работает. Мария Ивановна решила обратиться в техническую поддержку 1С и попыталась открыть договор с дистрибьютором. К ее удивлению, файл был наполнен непонятным набором символов. Тогда бухгалтер предприняла попытку открыть несколько других документов на жестком диске, но их содержимое также представляло собой ряд нечитаемых символов. Позже Мария Ивановна увидела на рабочем столе своего ПК файл с говорящим названием: «All your files are encrypted».

Именно тогда немногочисленные сотрудники службы информационной безопасности агентства запустили процесс расследования инцидента, так как стало более чем очевидно, что это не просто системный сбой в языковой конфигурации ПК, а настоящая атака вредоносной программы. Важно было действовать быстро, чтобы установить, как далеко смогла продвинуться атака, каковы были цели злоумышленников и насколько велика сумма итогового ущерба. Подробно процесс расследования описал глава службы безопасности, который руководил процессом расследования.

Основа любого расследования

Одной из ключевых составляющих успешного раскрытия инцидента является оперативное извлечение данных из персональных компьютеров. В рамках упоминаемого расследования в этом помогла возможность одновременного поиска информации на рабочих станциях в одной сети средствами Active Directory, реализованная в одном из модулей «MK Enterprise» 一 «MK Скаут». Благодаря этой функции, сбор данных приложений и системных артефактов на всех конечных точках в компании занял всего 15 минут.

Простая настройка поиска существенно сэкономила нам драгоценное время. Поскольку дело связано с шифровальщиком, мы указывали в критериях извлечение всех документов: архив, аудио, видео, документы офисных форматов и всего другого, что могло помочь разобраться в произошедшей ситуации. Также нам требовалось получить информацию из всех приложений и системных артефактов.

Далее мы добавили объект групповой политики AD с задачей исполнения «Скаута» только на рабочих станциях отдела бухгалтерии компании, после чего сразу перешли к процессу извлечения информации. Стоит также отметить, что полученные результаты были импортированы в программу автоматически.

 

Групповой поиск по компьютерам в одной сети.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ПЕРВУЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

Распутывая клубок

Так как обнаружила инцидент главный бухгалтер компании, было принято решение начать расследование с изучения данных ее ПК. После успешного импорта его образа в программу, мы открыли «Ленту Событий» и в строке поиска ввели «Encrypted», чтобы найти злополучный файл с требованием выкупа. Последнее открытие этого документа произошло 15 апреля в 10:47, а создание файла датировалось вечером предыдущего дня, в 18:47. Там же, в «Ленте Событий» отображалось большое количество договоров и прочей рабочей документации, зашифрованных ровно за минуту до появления на компьютере главбуха файла с названием «ALL YOUR FILES ARE ENCRYPTED».

Двумя минутами ранее на рабочей станции Марии, по пути Windows/Temp/ появился подозрительный исполняемый файл rsw.exe. Чтобы изучить активность неизвестной программы, мы перешли во вкладку «Application Traces». Анализ Prefetch-файла RSW.EXE-6A4467C0.pf показал, что это именно rsw.exe зашифровал документацию компании, так как в списке относящихся к нему объектов можно обнаружить все зашифрованные договоры, платежные поручения и зарплатные ведомости. Таким образом, мы убедились, что инцидент произошел в результате атаки вируса-шифровальщика. Следующий важный вопрос: откуда он появился?

 

Атака шифровальщика подтверждена.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ВТОРУЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

Найти верную нить расследования нам помогло изучение системного артефакта «System Resource Usage». Исследовав его, мы обнаружили сетевую активность и объемные входящие пакеты данных в файле \maria.stepanyuk\appdata\onedriveupdate.exe. Вероятно, исходный вредонос попал на рабочую станцию через Интернет.

Установив возможную связь с подозрительным файлом, мы хотели подтвердить наше предположение. Для этого в строке поиска «Ленты Событий» мы ввели «onedriveupdate». Открылась цепочка событий, включающая в себя создание onedriveupdate.exe 14 апреля в 17:33. Отдельно стоит отметить использование и повышение привилегий в системе для запуска исполняемого файла. Тогда нам необходимо было понять, как именно он появился на рабочей станции.

В ходе дальнейшего поиска мы заметили активность Microsoft Office Word. Так как эти события могли быть связаны, мы проанализировали действия с документами: их открытие, редактирование и т.д. Время появления exe-файла совпало с открытием в Microsoft Office Word файла yprint_bank_rekvisity.doc. Вполне логично было предположить, что найденный файл причастен к появлению onedriveupdate.exe.

Позже мы действительно обнаружили событие, которое свидетельствует о том, что во временной папке был создан документ yprint_bank_rekvisity.doc. Судя по информации из Alternate Data Streams, данный файл также был получен пользователем из Интернета.

Далее, по системным артефактам было определено, что открытие /AppData/Local/Temp/yprint_bank_rekvisity.doc привело к появлению и выполнению файла /AppData/Local/Temp/OneDriveUpdate.exe. А затем, менее чем через минуту, к выполнению /AppData/OneDriveUpdate.exe. Таким образом, наша гипотеза подтвердилась. Тем не менее, нам необходимо было получить ответ на вопрос, как этот документ попал на ПК главного бухгалтера.

 

Совпадение с появлением документа Microsoft Word.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ТРЕТЬЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

При анализе данных веб-браузеров мы не обнаружили yprint_bank_rekvisity.doc в загрузках. Делаем вывод, что документ мог быть получен при общении в мессенджере или почтовом агенте. Осуществляем поиск по всему извлечению, используя индикатор yprint_. По итогам поиска мы установили, что данный файл действительно попал на компьютер главного бухгалтера из электронного письма от коллеги от 14 апреля в 17:21. Просмотр структуры документа показал, что он содержал в себе макросы, выполнение которых привело к загрузке и установке вредоносного программного обеспечения.

 

Поиск и письмо в Thunderbird.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ЧЕТВЕРТУЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

После определения канала попадания шифровальщика на рабочую станцию Марии Ивановны, необходимо было понять, как именно он оказался на ПК помощника бухгалтера. Благодаря заблаговременному извлечению данных из рабочих станций всего отдела, мы немедленно перешли к изучению информации на ПК Анны Копыловой, коллеги, от которой и пришло письмо с макросом. Мы провели поиск по всем данным на ПК Анны, используя индикаторы, обнаруженные на рабочей станции Марии Ивановны, а именно названия файлов yprint_bank_rekvisity.doc, rsw.exe, OneDriveUpdate.exe. В целом, была выявлена идентичная картина: те же следы и исполняемые файлы. За исключением одной детали: документ, отправленный Анной письмом в Thunderbird, был скачан из сети с помощью Microsoft Edge. Изучение истории браузера не показало ничего подозрительного. Сайт, с которого загрузили вредоносный файл, был посещен по прямой ссылке, наверняка полученной из стороннего источника.

 

Документ загружен с сайта.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ПЯТУЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

Чтобы найти источник, мы скопировали ссылку и снова осуществили поиск по всему извлечению. Оказалось, что ссылка также была получена в электронном письме. Оно пришло от одного из контрагентов компании, в котором сотрудник компании-партнера сообщил об изменении реквизитов оплаты и прикрепил ссылку для их обновления. При внимательном просмотре оказалось, что адрес отправителя несколько отличается от действительного почтового домена партнера: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. (настоящий) и Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра. (поддельный). В этом нам помог убедиться и «Граф Связей», позволяющий наглядно увидеть различия в доменах двух контактов.

 

Поддельный домен.
 
НАЖМИТЕ НА КАРТИНКУ, ЧТОБЫ ПОСМОТРЕТЬ ШЕСТУЮ ЧАСТЬ РАССЛЕДОВАНИЯ
 

На этом расследование было завершено: мы восстановили полную хронологию событий и определили начальный вектор атаки шифровальщика. Благодаря функционалу «MK Enterprise» и, в частности, «MK Скаут», нам удалось провести полный цикл реагирования на инцидент в максимально короткие сроки. Этому способствовал как групповой поиск по рабочим станциям одной сети средствами Active Directory, так и широкий аналитический функционал, существенно сокративший затраченное на анализ данных время.

Резюмируя итоги

Таким образом, произошла не простая атака с применением шифровальщика. Злоумышленник знал о сотрудничестве двух компаний и выкупил похожий домен для осуществления своего замысла. Фишинговые кампании сегодня 一 не просто массовая рассылка на тысячи почтовых адресов, а один выверенный выстрел, включающий в себя долгую разведку и иногда методы социальной инженерии. К сожалению, подобные атаки становятся все более частым явлением. Защититься от них помогут постоянная бдительность и соблюдение мер информационной безопасности.