Хакерские и вирусные атаки

Обновлено: 19.04.2024

По данным Positive Technologies, 42% кибератак на компании совершаются с целью получения прямой финансовой выгоды. Выявить атаку можно на разных ее этапах — от проникновения в сеть и до того момента, когда хакеры приступят к выводу денег. Разбираем, как распознать злоумышленников на каждом из этапов и свести риски к минимуму.

Проникновение в сеть компании

Фишинговая рассылка

Чаще всего злоумышленники проникают в локальную сеть при помощи рассылки фишинговых писем с вредоносными вложениями. По нашим данным, именно так начинают свою атаку 9 из 10 APT-группировок.

Перед запуском документа следует сперва провести статический анализ, который уже может показать, что файл является вредоносным. Наиболее достоверным будет анализ участков кода, в ходе которого можно выделить характерную последовательность операций, особенности шифрования и другие закономерности.

Но более надежным способом является запуск файла в виртуальной среде — песочнице, где анализируется его поведение. В результате запуска вредоносного файла, как правило, происходит создание подпроцесса в контексте офисного приложения. Вызовы для создания нового процесса в пользовательском пространстве, к примеру CreateProcessA или CreateProcessW, перехватываются на уровне ядра за счет вызовов NtCreateUserProcess или NtCreateProcessEx.

Атака на веб-приложение

Другой распространенный способ взлома — это эксплуатация уязвимости в веб-приложении на периметре компании. Результаты проектов по тестированию на проникновение, которые проводят наши эксперты, показывают, что в 86% компаний существует хотя бы один способ проникнуть во внутреннюю сеть через уязвимое веб-приложение.

Необходимо отслеживать подозрительные запуски процессов по событиям журнала событий безопасности Windows с ID 4688 или журнала Sysmon с ID 1. Например, подозрительным будет запуск командной строки cmd.exe, родительским процессом которого является w3wp.exe (сервис OWA). Также следует контролировать создание новых процессов от имени пользователя, который запустил процесс, отвечающий за функционирование атакуемого сервиса.

Об успешной эксплуатации уязвимости и загрузке веб-шелла могут свидетельствовать события создания файлов с определенными расширениями, например .asmx, .jsp, .php, .aspx в файловых директориях работающих сервисов.

Анализ сетевого трафика позволяет выявлять известные техники эксплуатации уязвимостей (например, Path Traversal) или признаки использования конкретных эксплойтов.

Для обнаружения эксплуатации неизвестных уязвимостей нужно отслеживать подозрительную активность, к примеру наличие в трафике строк запуска консольных утилит или паттернов консольного вывода данных утилит. Другой аномалией могут являться множественные запросы, содержащие некорректные данные, исходящие с ограниченного количества внешних адресов.

Строка с запросом на чтение файла /etc/passwd

Строка с запросом на чтение файла /etc/passwd

Подбор учетных данных (Password Spraying)

Третий способ взлома — это подбор учетных данных к доступным сервисам на периметре. Если злоумышленник попробует подбирать пароли к одной учетной записи, то такая атака быстро будет замечена, а учетная запись — заблокирована. Поэтому преступники скорее прибегнут к методу Password Spraying — это атака, в ходе которой подбирается учетная запись к одному распространенному паролю.

Атаку Password Spraying можно выявить путем мониторинга журналов событий. Для этого необходимо отслеживать следующие события в журнале событий безопасности:

Также данный тип атаки можно детектировать по сетевому трафику. Для этого в трафике нужно четко различать источники запросов на аутентификацию и имена используемых учетных записей. Обычно такая атака порождает большое количество неуспешных попыток аутентификации.

С высокой точностью можно выявить атаку, если используются варианты аутентификации, при которых пароль передается в открытом виде. Но чаще всего пароли в открытом виде не передаются, поэтому можно обратить внимание на следующие признаки проведения Password Spraying:

очень частые (от одного до десяти запросов в секунду) неудачные попытки аутентификации с одного адреса, но с разными именами учетных записей;

более редкие попытки аутентификации (например один запрос через каждые 5—10 секунд), но с фиксированным интервалом между запросами и разными именами учетных записей.

Закрепление в сети

Когда злоумышленник получил возможность выполнять команды в системе, ему нужно закрепиться, чтобы иметь постоянный канал доступа к инфраструктуре. Один из распространенных способов закрепления на узле — добавление вредоносного исполняемого файла в автозагрузку.

Детектирование по журналам событий

Пример события 4771 с кодом ошибки 0x18

Пример события 4771 с кодом ошибки 0x18

Детектирование по сетевому трафику

Рассматриваемая техника не отражается в сетевом трафике, если действия выполняются локально на узле. Однако иногда атакующая сторона производит манипуляции удаленно. Например, используя доступ к удаленному реестру по протоколу WINREG (Windows Remote Registry Protocol), атакующий добавляет значение в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

Также при наличии соответствующих прав доступа, атакующий может скопировать файл по протоколу SMB. Например, при копировании исполняемого файла или BAT-файла с инструкциями командного интерпретатора в папку C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp операционная система автоматически запустит такой файл при входе любого пользователя в систему.

Сессии с ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN

Сессии с ошибкой KDC_ERR_C_PRINCIPAL_UNKNOWN

Сбор данных об инфраструктуре

Злоумышленнику нужно понять, где он оказался, какие узлы инфраструктуры представляют интерес и как до них добраться. Когда целью является кража денег, это будут компьютеры, на которых есть доступ к финансовым системам. Поэтому преступник проводит разведку: смотрит, какие узлы доступны, получает адрес контроллера домена и список администраторов; выясняет, какие привилегии у него есть на текущий момент, в каких группах состоит пользователь, от имени которого он выполняет команды.

Поиск информации о системе

Применение техники System Information Discovery можно обнаружить по журналам событий безопасности и PowerShell в Windows, а также по журналу Sysmon. Выявлять нужно следующие события:

net.exe или net1.exe с командой config,

wmic.exe с командами os, qfe, win32_quickfixengineering, win32_operatingsystem;

чтение раздела реестра \Software\Microsoft\ Windows\CurrentVersion;

запуск команд PowerShell, в том числе для WMI-запросов, позволяющих получить информацию о системе.

Изучение прав доступа групп пользователей

Признаком использования техники Permission Groups Discovery на локальном узле является запуск процесса net.exe или net1.exe с командами localgroup, group /domain или group /dom. В журнале событий безопасности события запуска процесса имеют идентификатор 4688, а в Sysmon — идентификатор 1.

Перечисление групп пользователей

Перечисление групп пользователей

Выявить технику в сетевом трафике возможно путем отслеживания соответствующих запросов. Для получения информации о группах могут использоваться сетевые протоколы LDAP, SAMR. В случае LDAP для обнаружения интересны прежде всего запросы searchRequest и их поле filter.

Перечисление членов группы доменных администраторов

Перечисление членов группы доменных администраторов

Развитие атаки во внутренней сети

Для подключения к разным узлам инфраструктуры (серверам и рабочим станциям) нужно знать пароли пользователей или хеши паролей, либо иметь соответствующий билет Kerberos.

Атака Kerberoasting

С помощью атаки Kerberoasting злоумышленник может получить пароли сервисных учетных записей, которые зачастую бывают привилегированными. Любой пользователь домена может запросить Kerberos-билет для доступа к сервису, и такой запрос будет считаться легитимным. Для шифрования билета используется хеш пароля сервисной учетной записи, и злоумышленник может попробовать расшифровать его в режиме офлайн, подбирая пароль.

Также нужно проверять алгоритм шифрования в запросах: использование алгоритма RC4 — это один из признаков проведения атаки Kerberoasting.

В сетевом трафике нужно фиксировать запросы на перечисление сервисов в Active Directory, которые могут стать целями для атаки. Данный этап необходим злоумышленникам, чтобы выбрать сервис для атаки, и предшествует запросу TGS-билета и подбору пароля офлайн. Перечислить сервисы можно, например, с помощью LDAP и ключевого слова servicePrincipalName в поле фильтра.

Перечисление сервисов в Active Directory

Перечисление сервисов в Active Directory

Административные общие ресурсы SMB/Windows

Общие административные ресурсы, такие как C$, ADMIN$, IPC$ могут использоваться злоумышленником для удаленной работы с системой. Эта техника применяется как для передачи файла, так и запуска службы на удаленном компьютере.

Для обнаружения действий злоумышленников необходимо анализировать события, которые указывают на факты доступа к общим административным ресурсам и запуска процессов:

5140 и 5145 – события доступа к объектам общей сетевой папки;

Для обнаружения работы с файлами необходимо отслеживать сетевые обращения к общим административным ресурсам. Мониторинг обращений по протоколу SVCCTL позволяет обнаружить работу с сервисами.

Запрос на создание сервиса

Запрос на создание сервиса

Получение контроля над инфраструктурой

Как правило, для проведения мошеннической операции не нужен полный контроль над инфраструктурой. Однако максимальные привилегии позволяют беспрепятственно перемещаться между компьютерами, поэтому вполне вероятно, что злоумышленник попробует получить учетную запись KRBTGT. Привилегии этой учетной записи позволяют создавать Kerberos-билеты для доступа к любым ресурсам с максимальными привилегиями.

Для репликации учетных с контроллера домена необходимы привилегии DS-Replication-Get-Changes, DS-Replication-Get-Changes-All, DS-Replication-Get-Changes-In-Filtered-Set.

При указании ключа -just-dc-user утилита secretsdump использует технику DCSync для получения доменных учетных данных. Атака заключается в том, что подконтрольный атакующему узел представляется контроллером домена и запрашивает репликацию учетных данных конкретных пользователей.

Контроллеры домена для репликации используют протокол Directory Replication Service (DRS) Remote Protocol, а точнее вызовы RPC-интерфейса, который реализует данный протокол — DRSUAPI RPC interface. У этого интерфейса есть метод DRSGetNCChanges, который и вызывает репликацию. Если такие вызовы исходят от компьютера, который не является контроллером домена, то это явный признак атаки DCSync.

Трафик атаки DCSync в Wireshark

Трафик атаки DCSync в Wireshark

Доступ к финансовым системам

Получив на предыдущем шаге привилегии учетной записи KRBTGT, злоумышленник может сформировать билет Kerberos для доступа к тем компьютерам, на которых ведется работа с финансовыми системами, например к компьютеру сотрудника бухгалтерии. Такая атака называется Golden Ticket.

Необходимо искать аномалии в поле DOMAIN ACCOUNT в событиях с ID:

Некоторые утилиты для проведения атаки Golden Ticket могут некорректно вписывать значения в данное поле: оно может быть пустым или отличаться от имени домена. Нужно смотреть и на тип шифрования билета: если используется RC4, то это может являться признаком атаки. Кроме того, при атаке Golden Ticket отсутствуют события запроса билета TGT (Event ID 4769) с компьютера пользователя.

В легитимном сценарии работы протокола Kerberos пользователь должен получить билет TGT при первичной аутентификации. Для этого он отправляет запрос AS-REQ контроллеру домена, который в теле ответа AS-REP возвращает ему TGT. Так как атака Golden Ticket предполагает создание билета TGT вне контроллера домена, в трафике будут отсутствовать шаги AS-REQ/AS-REP, то есть будет использоваться билет, который не был выдан. Поэтому цель анализа трафика состоит в обнаружении использования билетов, которые не были выданы контроллером домена.

Легитимный порядок запросов в трафике

Легитимный порядок запросов в трафике

Кража денег

Существуют специальные банковские трояны, способные автоматически подменять платежные реквизиты. В последние несколько лет в атаках широко используется троян RTM. Кроме того, злоумышленник может провести мошенническую операцию и вручную, проследив за рабочим процессом и действиями сотрудников компании. С этой целью на компьютеры устанавливается ВПО для удаленного управления.

Использование ПО для удаленного управления

Злоумышленники могут использовать разные инструменты удаленного доступа к рабочему столу, в том числе технологию VNC: TightVNC, UltraVNC, RealVNC, VNC Connect. В даркнете продаются модифицированные версии этих программ, которые работают незаметно для пользователя.

Рассмотрим, как можно обнаружить вредоносную активность применительно к разным функциям удаленного управления.

Функция удаленного управления

Подход к обнаружению

Перехват изменений изображения на целевом компьютере

Отслеживание установки перехватов (SetWindowsHookEx) и частого получения скриншотов (CreateCompatibleDC, CreateDIBSection, BitBlt, GetDIBits)

Внедрение ввода клавиатуры на целевой компьютер

Отслеживание установки перехватов (SetWindowsHookEx) на нажатие клавиш, проверки и назначения состояния нажатых клавиш (GetKeyboardState, SetKeyboardState, GetAsyncKeyState)

Внедрение нажатий кнопок мыши на целевой компьютер

Отслеживание получения (GetCursorPos) и присваивания (SetCursorPos) позиции курсора, а также перехвата и обработки нажатий кнопок мыши (SetWindowsHookEx)

Передача содержимого буфера обмена

Отслеживание чтения (GetClipboardData) и записи (SetClipboardData) в буфер обмена, факта изменения состояния буфера обмена средствами SetClipboardViewer

Передача кадров изображений и вводимых команд по сети

Для передачи данных оператору используется протокол RFB. Кроме того, что протокол может характеризоваться использованием заданных сетевых интерфейсов (5900-5906), формат пакетов также поддается описанию и обнаруживается сетевыми сигнатурами

Использование банковских троянов

Зачастую цель банковских троянов — получить удаленный доступ к системе ДБО или платежной системе. Поэтому обычно используются общие методы кражи доступа, такие как перехват нажатий клавиш, снятие снимков экрана, запись данных из буфера обмена или встраивание в браузеры. Но есть и специфические техники для данного типа троянов:

Подмена реквизитов в буфере обмена

Подмена платежных распоряжений

Выявлять можно сам факт перехвата событий, отслеживая вызов VirtualProtect с параметром защиты памяти PAGE_EXECUTE_READWRITE по адресу, указывающему на функции CreateFileW или WriteFile. В качестве косвенного признака также подойдет обнаружение вызова установки перехватов SetWindowsHookExA.

Модификация файлов ДБО

Эта техника используется для обхода самозащиты систем ДБО. В качестве примера можно привести троян BlueNoroff, который изменяет в памяти модули банковской программы SWIFT Alliance, чтобы отключить проверку базы данных и дать злоумышленникам возможность ее редактировать.

Детектировать можно сам факт модификации процессов и файлов систем ДБО. Вызов VirtualProtectEx с параметром защиты памяти PAGE_EXECUTE_READWRITE для процессов ДБО является крайне подозрительным, а в сочетании с вызовом WriteProcessMemory может служить индикатором изменения процессов ДБО.

Кража ключей от платежных систем и кошельков

Некоторые трояны крадут приватные ключи от платежных систем и кошельков: к примеру, Buhtrap ClipBanker крадет ключи от кошельков Electrum и Bitcoin. Ищет он эти ключи по путям %appdata%\eLectrUm*\wAllEts\ и %appdata%\BiTcOin\wAllEts\walLet.dAt.

Участок кода трояна Buhtrap ClipBanker

Участок кода трояна Buhtrap ClipBanker

Детектировать такое поведение можно по обращению к данным путям. Обычно поиск файлов происходит при помощи функций FindFirstFile и FindNextFile. Кроме этого, можно отслеживать попытки открыть файлы средствами CreateFileA, проверяя пути до файлов. В песочницу можно поместить подставные файлы по соответствующим путям, а затем следить за доступом к ним.

В ходе своей кампании злоумышленникам придется применить множество техник. Для того, чтобы выявить атаку в целом, вовсе не обязательно выявлять все без исключения техники, достаточно вовремя заметить какой-либо из ее шагов. Однако, чем раньше будут обнаружены действия хакеров, тем проще предотвратить негативные последствия.

С полным текстом исследования можно ознакомиться на сайте Positive Technologies.

Фото: Shutterstock

Кибератаки — это вредоносная деятельность киберпреступников, направленная на компьютерные системы, базы данных, инфраструктуру и посетителей веб-сайтов.

По данным компании информационной безопасности Check Point Software Technologies, число кибератак в 2021 году выросло на 40% по сравнению с 2020 годом. В России количество таких атак увеличилось на 54%. В среднем, каждую неделю хакеры совершали 1153 кибератаки.

Статистика кибератак

Фото:Shutterstock

Виды атак

Хакеры применяют множество способов, чтобы добыть конфиденциальную информацию и использовать ее в своих целях:

Пять крупнейших атак уходящего года

Атака вредоноса на Microsoft

В конце декабря 2020 года СМИ узнали о взломе ПО компании SolarWinds, который позволил хакерам получить доступ к облачному сервису Microsoft. Им помогло то, что один из серверов SolarWinds был защищен с помощью простого пароля solarwinds123, установленного стажером. Хакеры заразили вредоносным кодом ПО Orion, а Microsoft загрузила его вместе с продуктом от поставщика. В итоге хакеры получили доступ к исходному коду и внутренним системам корпорации Microsoft.

США заподозрили в атаках хакерскую группу APT29, или Cozy Bear, связанную, по мнению западных специалистов, с российскими спецслужбами. Россия опровергла все обвинения. В ходе взлома пострадали 200 организаций по всему миру, а также подразделения ВС США, Министерства юстиции, Госдепартамента, Агентства национальной безопасности, Почтовой службы и 425 компаний из американского списка Fortune 500. По данным Microsoft, атаки пророссийских хакеров на госагентства США продолжились в 2021 году. В результате одной из них в открытом доступе оказались данные кредитных карт более 1 млн американцев и граждан других стран.

Параллельно Microsoft атаковали из Китая. Хакеры использовали уязвимость в локальных версиях сервера почтовых ящиков Microsoft Exchange Server и пытались получить информацию от разных организаций в США. Сначала они получали доступ к серверу Exchange с помощью украденных паролей или уязвимостей, а затем создавали вредоносный код для удаленного управления взломанным сервером.

Под угрозой оказались более 20 тыс. организаций в США.

Взлом сайта АЭС

Примечательно, что этот текст появился 25 апреля, в канун годовщины аварии на Чернобыльской АЭС.

Остановка американского трубопровода и работы 200 компаний

В мае 2021 года программа-вымогатель DarkSide заблокировала работу крупнейшего американского оператора трубопроводов Colonial Pipeline. Работу топливопровода пришлось остановить на несколько дней, что привело к скачку цен на бензин и временной нехватке топлива на юго-востоке США. Региональное чрезвычайное положение затронуло 17 штатов и округ Колумбия.

Хакеры требовали выкуп в биткоинах на $4,4 млн, и Colonial Pipeline выплатила эти деньги.

Исследователь безопасности Брайан Кребс выяснил, что хакеры DarkSide не атакуют системы в странах бывшего советского блока, а их вредонос не будет устанавливаться на компьютерах с кириллическими клавиатурами. Поэтому спецслужбы США связали группировку с Россией. Впоследствии ФБР смогло найти и изъять кошелек с криптовалютой, принадлежащий DarkSide.

Однако следом под удар попал крупный дистрибьютор химической продукции Brenntag. Хакеры DarkSide похитили 150 Гб важных данных и потребовали за них выкуп в размере 133,65 биткоинов ($7,5 млн). Стороны сошлись на $4,4 млн.

Летом активизировалась группировка под именем REvil. Ежемесячно она проводила не менее 15 кибератак. После взлома тайваньского производителя компьютерной техники Quanta Computer хакеры получили доступ к некоторым документам и чертежам еще не анонсированных устройств Apple и запросили выкуп в размере $50 млн. В июне REvil атаковала серверы крупного производителя мяса JBS, и компания выплатила $11 млн. В начале июля группировка взяла на себя ответственность за атаку на серверы международной организации Kaseya, которая производит программное обеспечение. Этот инцидент вызвал перебои в работе 200 организаций в шести странах мира. За разблокировку хакеры потребовали у компании $70 млн.

В середине июля REvil исчезла из даркнета.

Фото:Shutterstock

Власти США призывали Россию отреагировать на атаки и наказать преступников. Американский Госдеп объявил награду в $10 млн за информацию о хакерах. В ноябре Вашингтон ввел санкции против россиянина Евгения Полянина и украинца Ярослава Васинского, которых подозревают в причастности к работе REvil.

Загрузка трояна на сайт правительства Казахстана

В мае 2021 года выяснилось, что хакеры смогли загрузить на сайт электронного правительства Казахстана вирусную программу, которую массово скачивали пользователи. Злоумышленники получили доступ к инструменту загрузки файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение, которое относится к семейству троянов Razy. Первый был подделкой постановления районного органа исполнительной власти, а второй — финансовой сводки по бюджету.

Анализ вредоносного документа

После скачивания этих файлов на компьютер пользователь активировал обычный троян-загрузчик, который уже может сам загружать другие вредоносные программы, например, банковский троян Trickbot и программу-вымогатель Ryuk. Такую программу хакеры могут удаленно обновлять, и ее невозможно обнаружить при антивирусной проверке.

Фото:Unsplash

Схема атаки ботнета

Выяснилось, что ботнет построен на роутерах латвийской компании MikroTik. Большинство роутеров компании работают на устаревших версиях операционных систем с известными уязвимостями. MikroTik признала, что часть ботнета базировалась на ее устройствах. Однако на компании не лежит обязанность обновлять роутеры ее производства — это должны делать системные администраторы организаций.

Тренды кибератак

С каждым годом киберпреступники совершенствуют тактики и техники для проведения атак. Check Point Software Technologies прогнозирует, что в 2022 году злоумышленники продолжат использовать влияние пандемии COVID-19, а также найдут новые возможности для атак с помощью дипфейков, криптовалюты, мобильных кошельков и приложений, микросервисов и так далее. Кроме того, ожидается рост утечек личных данных, которые будут более масштабными.

Фото: Shutterstock

Кибератака — или хакерская атака — это вредоносное вмешательство в информационную систему компании, взлом сайтов и приложений, личных аккаунтов и устройств [1].

Главные цели — получить выгоду от использования этих данных или шантажа владельцев. Есть целые хакерские группы, которые взламывают сайты, инфраструктуры и сервисы, чтобы заявить о себе. Такие атаки сравнимы с террористическими.

Кибератаки различают по способу воздействия:

1. WannaCry — самый массовый вирус десятилетия

Когда: май 2017 года.

Кого или что атаковали: компьютеры на ОС Microsoft Windows.

Что произошло:

WannaCry — вредоносная программа-вымогатель, которая использовала уязвимость нулевого дня в различных версиях Windows. Проникая в компьютеры, вирус зашифровывал все содержимое, а затем начинал требовать деньги за разблокировку. Однако расшифровать файлы было невозможно.

Окошко с требованиями вымогателей WannaCry

Впервые его обнаружили в Испании, а затем и в других странах. Больше всего пострадали Россия, Украина и Индия. Из-за WannaCry остановилась работа банков, правительственных организаций, аэропортов. В ряде британских больниц не смогли провести срочные операции. Код вируса выглядел слишком примитивным и как будто недописанным. Поэтому появились версии, что разработчик случайно выпустил его раньше времени [2]. В пользу этого говорит и то, что коды для расшифровки не работали. Предполагают, что изначально WannaCry должен был поразить все устройства на Windows.

Остановить вирус удалось исследователю Маркусу Хатчинсу под ником Malwaretechblog. Он обратил внимание, что перед тем, как зашифровать файлы, программа отправляет запрос на несуществующий домен. Хатчинс зарегистрировал этот домен, после чего WannaCry перестал причинять вред. В создании вируса подозревают Lazarus Group и другие группировки, связанные с Агентством национальной безопасности США: данные об уязвимости были известны только АНБ.

Ущерб: вирус успел заразить 500 тыс. компьютеров в 150 странах мира и нанести ущерб в $1 млрд [3].

2. Petya/NotPetya/ExPetr — самый большой ущерб от кибератаки

Когда: июнь 2017 года.

Кого или что атаковали: крупные корпоративные сети компаний и госслужб по всему миру

Что произошло:

Так же, как и WannaCry, Petya и его поздние версии поражали компьютеры на ОС Microsoft Windows. Они зашифровывали файлы — точнее, базу данных с информацией обо всех файлах на диске — и данные для загрузки ОС. Затем вирус требовал выкуп в биткоинах.

Экран пораженного вирусом NotPetya компьютера

Но коды для расшифровки не помогали, а, наоборот, уничтожали все данные на жестком диске. При этом вирус получал полный контроль над всей инфраструктурой компании, и защита от WannaCry против него уже не действовала.

Для создания NotPetya использовали коды хакерской группировки Equation, выложенные в открытый доступ. В октябре 2020 власти США обвинили хакерскую группировку Sandworm [5], состоящую из сотрудников российского ГУ ГШ, в причастности к вирусу NotPetya и другим кибератакам.

Больше всего от вируса пострадала Украина. Позднее пришли к выводу [6], что именно отсюда началось заражение. Причина — в автоматическом обновлении бухгалтерской программы M.T.doc, которой пользуется большинство компаний и госорганов в стране.

3. Выборы в США — главный политический скандал

Когда: июль 2016 года.

Кого или что атаковали: серверы Национального комитета Демократической партии США (DNC) и комитета Демократической партии по выборам в Конгресс (DCCC).

Что произошло:

Хакеры использовали вредоносное ПО для удаленного управления серверами и передачи файлов, а также слежки за всеми действиями пользователей в рамках сети. После кибератаки хакеры вычистили все следы своей активности.

Хакерам удалось получить доступ к электронной почте кандидата в президенты от демократов Хилари Клинтон и ее команды. В итоге 30 тыс. электронных писем были опубликованы на WikiLeaks [8], включая 7,5 тыс. документов, отправленных самой Клинтон. Многие документы были секретными и касались террористических атак на консульство США в Бенгази в 2012 году. Остальные содержали персональные данные членов и спонсоров демократической партии, включая номера их кредитных карт.

Американские эксперты по интернет-безопасности обвинили в этих атаках действующие из России хакерские группировки под названием Cozy Bear и Fancy Bear [9].

Ущерб: История с перепиской вызвала раскол внутри демократов и сильно пошатнула их позиции накануне выборов. Скандал негативно повлиял на рейтинги Клинтон и помешал ей победить Дональда Трампа на президентских выборах. Она же положила начало Пиццагейту — одной из самых масштабных теорий заговора в США [10].

Накануне новых американских выборов в 2020 году вышел доклад Microsoft [11]. В нем сообщается о 200 хакерских атаках, связанных с выборами. И вновь в числе главных виновных называют Россию [12].

4. Взлом Facebook — самая громкая утечка данных из соцсети

Когда: 2020 год.

Кого или что атаковали: персональные данные пользователей Facebook.

Что произошло:

В марте 2020 года британская компания Comparitech сообщила об утечке данных более 267 млн пользователей Facebook [13]. Большая часть из них принадлежит американцам [14]. Их могли использовать для рассылки фишинговых ссылок.

Ущерб: После первых утечек Федеральная торговая комиссия США обязала Facebook выплатить рекордные $5 млрд штрафа [17]. Это в 20 раз выше самых крупных санкций, которые применялись за утечки данных. Репутация самой компании на фоне регулярных утечек сильно пошатнулась — как и позиции на фондовой бирже [18].

Психическая кибератака: взлом клиники в Финляндии

В сентябре 2020 года киберпреступники взломали базу Vastaamo — одного из крупнейших психотерапевтических центров в Финляндии [19]. Они похитили личные данные десятков тысяч пациентов, включая записи сессий с терапевтами. В обмен на данные хакеры потребовали выкуп в €200-540 с каждого пациента и €450 тыс. (около 40 млн руб.) — с самого центра [20]. Правительство Финляндии собрало экстренное заседание с участием министра обороны. Однако злоумышленников так и не поймали, а данные пациентов оказались в даркнете [21].

5. Нашумевший взлом аккаунтов знаменитостей в Twitter

Когда: июль 2020 года.

Кого или что атаковали: Twitter-аккаунты Билла Гейтса, Илона Маска, Барака Обамы, Джеффа Безоса, Канье Уэста и других известных личностей в США.

Что произошло:

Во взломанных профилях злоумышленники, от имени американских звезд, политиков и бизнесменов, призывали отправлять биткоины на указанный криптокошелек [22]. Каждый перевод они обещали вернуть в двойном размере. Пострадали также корпоративные аккаунты Apple и Uber.

Как понять, что инцидент случился?

Из очевидного: мониторить события безопасности антивирусов и межсетевых экранов. Помимо этого, стоит обратить внимание на эти пункты.

Запуск ПО, неразрешенного к установке или запуску пользователям. Пример: если вы видите, что от имени учетной записи бухгалтера открыта сессия в powershell.exe\cmd.exe, это повод для беспокойства.

Неизвестный сетевой трафик. Пример: обращения узлов к несуществующим dns-серверам.

Активная деятельность пользователя в нерабочее время.

Подозрительная загруженность систем. Пример: аномальная загруженность процессора.

Подозрительные изменения в реестре. Пример: добавление программ в автозагрузку.

Аномальная работа с файлами и программами. Пример: появление зашифрованных файлов или установка стороннего ПО, копирование файлов на внешние носители.

Подозрительное изменение настроек операционной системы, антивирусного и прикладного ПО. Пример: отключение антивируса на рабочем месте.

Неизвестная активность на электронной почте. Пример: здесь все просто – спам.

Аномалии в журналах авторизации. Пример: многократные попытки ввода неверных паролей.

Обнаружили кибератаку. Что дальше?

Сначала расставим приоритеты. Для этого нужно оценить уровень критичности скомпрометированных информационных ресурсов и технических средств: критичный, высокий, средний или низкий. От того, насколько серьезен ущерб, зависит количество времени, которое потребуется на расследование, и оперативность принятия решений.

Важный момент: если вы обнаружили кибератаку, ни в коем случае не отключайте технику от питания, это может привести к потере ценных индикаторов, необходимых для расследования, и сбою системы при запуске.

Теперь перейдем непосредственно к реагированию на кибератаку.

Этап 1. Изолируем скомпрометированный участок сети

В первую очередь, важно минимизировать количество скомпрометированных объектов инфраструктуры, ограничить дальнейшее продвижение злоумышленников по сети.

Перенастроить правила на маршрутизирующем оборудовании (в случае вирусной атаки лучше сделать это так, чтобы остался доступ в интернет, а возможность добраться до других машин в локальной сети – нет. Это нужно, чтобы предотвратить самоуничтожение вредоносного ПО и всех следов, которые оно может оставить);

Настроить правила на уровне межсетевого экрана операционной системы;

Отключить сетевой кабель;

Физически разорвать кабель (например, перерезать ножом, такой радикальный способ уместен, если нет быстрого доступа к портам технических средств; возможно, сервер находится в запертом на ключ шкафу).

Этап 2. Собираем свидетельства инцидента

На этом этапе важно сохранить как можно больше информации о состоянии инфраструктуры, составить отчет об инциденте и зафиксировать все данные. Это позволит использовать их в качестве юридически значимых свидетельств для привлечения злоумышленников к ответственности.

Что нужно собрать?

Журналы событий безопасности установленных средств защиты информации. Это возможно, только если в них было настроено логирование событий.

Журналы событий операционной системы (лог-файлы, даты создания\модификации файлов). Это нужно, чтобы понять, какие действия в системе были совершены и в какое время: попытки авторизации, запуск приложений и изменение файлов.

Дампы оперативной памяти, swap-раздела или pagefile.sys. Позволяет зафиксировать состояние системы в момент инцидента, чтобы можно было проанализировать его, пока система восстанавливается. Если вредоносная программа исполняется, не копируя себя на скомпрометированную систему, эти данные станут единственным доступным источником для расследования инцидента. Если же в систему проник вирус-шифровальщик, из оперативной памяти можно вытащить ключи шифрования для восстановления данных. Кроме того, дамп оперативной памяти покажет, какие действия совершал сотрудник в момент инцидента, это поможет доказать факт утечки данных.

Трафик маршрутизаторов и коммутационного оборудования. Эта информация пригодится для определения источника инцидента, уязвимостей, через которые удалось атаковать инфраструктуру, и вектора распространения. В случае утечки, по логам трафика можно понять, какие файлы похитили.

Посекторная копия физического диска. Полная копия диска компьютера со всеми журналами, пользовательскими и системными файлами – это возможность восстановить удаленные данные и изучить все связанные с потенциальным вредоносом файлы.

Этап 3. Восстанавливаем работу системы

Есть несколько способов это сделать. Все зависит от характера атаки и степени повреждения данных. При выборе метода не стоит забывать о трудозатратах и временных затратах, зачастую утраченная информация стоит меньше, чем потраченные на ее восстановление ресурсы.

Восстановление данных. Как это сделать?

Применить ПО для восстановления удаленной информации. Покупать его может быть невыгодно для компании, стоит оно дорого. Поэтому, если бесплатные решения не смогли восстановить поврежденную информацию, целесообразнее будет обратиться к специалистам.

Обратиться к специалистам по восстановлению данных.

Воспользоваться резервными копиями. Самый надежный и простой вариант. Но для этого в компании изначально должно быть настроено резервное копирование.

Переустановка конфигурации рабочей станции

На автоматизированном рабочем месте сотрудника рекомендуется полностью переустановить систему и все ПО. Это сэкономит время и деньги на восстановление поврежденных данных.

Автоматизированные средства удаления вредоносного ПО

Если причиной инцидента стало вредоносное ПО, можно задействовать сканирование антивирусным программным обеспечением. Если такой возможности нет, используйте отдельные портативные решения, которые решат проблему точечно.

Этап 4. Расследуем инцидент ИБ

Лучше по этому вопросу обратиться сразу к специалистам. Чтобы качественно изучить кибератаку, нужно обладать пулом специальных навыков и знаний об устройстве операционных систем, типичных видах атак и их особенностях.

Когда станет понятно, что стало причиной инцидента и где нашлись уязвимости, важно заняться их устранением. Иначе все ресурсы будут потрачены впустую, и за этим инцидентом последуют еще десятки. Это может стать пятым этапом реагирования.


Теперь на практике

Ждать, пока у вас случится инцидент, чтобы проверить все эти этапы на практике, мы, конечно, не будем. Просто пройдемся по готовому кейсу для понимания

Инцидент: в систему попал вредоносный файл.

Этап 1. Изоляция скомпрометированного участка сети

Ограничиваем скомпрометированное техническое устройство от локальной сети с сохранением доступа к интернету: настраиваем либо межсетевой экран, либо коммутирующее оборудование. На ОС семейства Windows это можно сделать с помощью команды в netsh:

Для ОС семейства Linux можно воспользоваться межсетевым экраном iptables:

— сеть, в которой расположен сервер (например, 10.0.2.0/24),

– сеть, в которую запрещен любой доступ с сервера (например,10.0.0.0/24).

Этап 2. Сбор и сохранение информации для расследования инцидента

Первое. Делаем дампы оперативной памяти (можно с помощью Belkasoft RAM Capturer). Созданные дампы лучше скопировать на диск и сохранить. Его можно будет использовать для приобщения к материалам проверки и для проведения компьютерно-технической экспертизы. Упаковка диска должна быть такой, чтобы к нему невозможно было получить доступ без видимого нарушению.

Второе. Копируем лог-файлы. Для ОС семейства Windows мы делаем это так:

Четвертое. Сохраняем настроенные расширения браузеров. Их местоположения:

Этап 3. Восстановление работы системы

В случае удаления данных:

Самостоятельно восстанавливаем удаленные данные с помощью специальных программ.

Делаем посекторный образ диска и отдаем на восстановление в специализированную лабораторию. Это пункт для тех, кто потерял информацию высокого уровня критичности.

Восстанавливаем резервные копии, если они есть.

В случае шифрования данных:

Обращаемся в компанию по разработке антивирусного ПО, которая может предоставить инструменты для противодействия конкретному виду шифровальщика. Если данные возможно восстановить, то скорее всего такая компания может предоставить дешифратор для файлов.

При расследовании инцидента есть вероятность, что эксперты смогут помочь с дешифрованием файлов, если процесс реагирования на инцидент был последовательным и никакие данные не уничтожены.

Этап 4. Проводим расследование инцидента

Собираем все сохраненные данные и идем к сторонней компании, специализирующейся на расследовании инцидентов.


Какими бывают вирусы?

Worms или черви

Особую и наиболее распространённую сегодня группу представляют сетевые черви. Используя уязвимости сетевого ПО, такие программы автоматически перебираются из одного компьютера в другой, заражая всё большее количество ПК. Некоторые черви умеют перебирать пароли по составленным словарям и, взламывая почтовые ящики и аккаунты, распространяются дальше, самостоятельно выискивая новые жертвы. Цели создателей червей могут быть разными, но чаще всего их запускают ради рассылки спама или затруднения работы компьютерных сетей конкурентов вплоть до полной блокировки.

Trojans или троянцы

Как и древние троянцы, спрятавшиеся в деревянном коне, чтобы проникнуть в лагерь данайцев, эти вирусы проникают в компьютер в составе других совершенно безобидных программ, и, пока пользователь не запустит программу, в которой притаился троянец, ведут себя тише воды ниже травы. Однако, с запуском исполняющего файла программы вы активируете этого опасного гостя, который, в зависимости от типа, будет вам пакостить: красть информацию, распространять другие, не менее опасные вирусы, повреждать определённые файлы. За редким исключением троянцы не умеют размножаться, но по степени вреда они куда опаснее червей и могут нанести огромный ущерб владельцу компьютера.

Rootkits или маскировщики

Главной целью этих внешне безобидных программок является скрытие активности других вредоносных программ и действий злоумышленников. Для этого руткиты пускаются на самые разные ухищрения: изменяют режимы работы операционной системы, незаметно отключают или подключают различные функции, а особо продвинутые умеют даже почти незаметно блокировать работу антивирусных программ, чтобы те не нашли маскируемых руткитами электронных вредителей или ещё более опасных злодеев в человеческом облике, шарящих по вашему ПК.

Zombies или зомби

Spyware или шпионы

Основная задача шпиона — выкрасть ценную информацию в той стране, куда его заслал хозяин. Аналогичным образом шпионские программы пытаются украсть логины и пароли к аккаунтам пользователя, а значительная их часть ориентирована на пересылку создателям вируса информации о банковских картах и счетах ничего не подозревающих пользователей.


Adware или рекламные вирусы

Такие вирусы больше вредят не компьютеру, а пользователю, поскольку неожиданно на экране начинает показываться реклама, причём периодичность показа может быть очень разной. Мы сталкивались с программами, включавшими рекламу ежедневно в одно и то же время, а заражённый Adware браузер постоянно менял стартовую страницу или периодически переходил на сайт злоумышленников.

Winlocks или блокировщики

Один из самых неприятных типов вирусов, парализующий работу ПК появлением окна, которое невозможно закрыть без перезагрузки. Блокировщики выводят на экран информацию, что необходимо сделать пользователю, чтобы создатель вируса разблокировал его компьютер. В 100% случаев это платёжные данные злоумышленника, но не торопитесь отправлять деньги — блокировку вам никто не снимет.

Bootkits или загрузочные вирусы

В отличие от блокировщиков, явно сообщающих пользователю о своих целях, буткиты действуют незаметно, что куда более опасно для владельцев ПК. Прописываясь в загрузочные сектора дисков, буткиты тихо берут на себя управление ОС и получают доступ к личной информации хозяев компьютеров. Так злоумышленники завладевают аккаунтами пользователей, видят всю переписку, в том числе зашифрованную (ключи шифрования буткиты тоже воровать умеют) и даже могут похищать файлы.

Последние угрозы

Современные вирусы пишутся уже не только для ПК, но и для устройств под управлением Android, iOS и других мобильных ОС. Однако принцип их действия всё тот же, и в целом они укладываются в приведённую выше классификацию.

Кибепреступники по-прежнему используют любую возможность причинить вред другим в корыстных целях. Вот и недавно объявленная пандемия COVID-19 стала почвой для злоумышленников, стремящихся завладеть пользовательскими ценными данными. Так, в марте было запущено новое приложение, ворующее данные пользователей под видом приложения от ВОЗ по короновирусу. Запуская его, активируется троянец, который начинает собирать и пересылать своему создателю информацию об аккаунтах пользователей.

Также было организовано несколько кибератак на медицинские учреждения — одни злоумышленники пытались парализовать работу больниц, а другие (разработчики программы-вымогателя Maze) попытались заработать на шантаже, пообещав в случае невыполнения материальных требований слить данные о пациентах одного исследовательского центра в сеть. Денег вымогатели не получили, поэтому данные всех бывших пациентов были обнародованы.

Из других интересных новостей отметим 26 марта 2020 похищение одним из хакеров исходных кодов новых графических процессоров AMD. В сети появилось объявление от хакера о том, что он выложит эту информацию в открытый доступ, если не найдёт покупателя. Кроме этого, была обнаружена группа злоумышленников, разработавшая буткит Milum, который предоставляет своим владельцам полный доступ к заражённым хостам сайтов.

Легенды со знаком минус

Несмотря на то, что компьютерным вирусам нет ещё и полувека, за такой короткий период они уже успели хорошенько пошуметь и неоднократно вызывали страх у пользователей по всему миру.

Одним из самых долгоиграющих вирусов, который распространяется до сих пор, является буткит Backdoor.Win32.Sinowal. Этот загрузочный вирус прописывается в систему и берёт управление ей на себя, причём на уровне секторов диска. Этот вирус похищает даже ключи шифрования и отправляет разработчику личные данные, а также данные от аккаунтов пользователей. Подсчитать точный ущерб от него пока не представляется возможным, однако учитывая, что несколько лет антивирусные программы были не в состоянии даже обнаружить этого вредителя (Backdoor.Win32.Sinowal был разработан в 2009 году), то потери пользователей могут исчисляться многими миллионами и даже миллиардами долларов.

Король электронного спама Festi, запущенный в 2009 году, ежедневно рассылал около 2,5 миллиардов имейлов с 250 тысяч айпи, то есть генерировал 25% всего мирового спама. Чтобы затруднить распознавание, разработчики снабдили свою вредоносную программку шифрованием, так что сигнатурный поиск антивирусными программами становится бесполезным и выручить может только глубокое сканирование. Распространяется этот вирус через установку платного кода (PPI), когда вебмастер получает деньги за то, что кто-то скачал файл с его сайта.

Настоящим кошмаром для банкиров стал вирус Carbanak, который в 2014 году нанёс ущерб российским, американским, швейцарским, голландским, японским и украинским банкам на общую сумму 1 миллиард долларов. Carbanak действовал медленно, но уверенно, сначала собирая данные рядовых сотрудников банков, к которым попадал через вложения в электронных письмах, а затем внедряясь в верха и выводя крупные суммы. От проникновения в систему банка до успешного вывода могло пройти от 2 до 4 месяцев.

Как не заразить свой компьютер вирусами?

Переходим к рубрике Капитана очевидность :)

Прежде всего нужно позаботиться о наличии надёжного файервола, антивирусной и антишпионской программ (последние более эффективны при обнаружении и удалении вирусов категорий Spyware и Adware). Также существуют встроенные антивирусные решения для браузеров, ну а о том, что антивирусник должен работать с защитой в режиме реального времени, говорить, думаем, излишне.

Также могут помочь и блокировщики рекламы, которые, помимо прочего, активно борются со всплывающими окнами, которые могут содержать вредоносный код. Не забывайте периодически чистить кэш браузера — в этих файлах могут таиться шпионские и рекламные программы.

Если вы бороздите океаны интернета под пиратским флагом, будьте осторожны при скачивании и установке хакнутых платных программ: далеко не все хакеры альтруисты и выкладывают взломанные программы по доброте душевной. Поэтому, если антивирусник громко ругается на кряк, задумайтесь, так ли уж важна для вас эта программа, ведь сказать с уверенностью, что это срабатывание ложное, не может никто. Не скачивайте программы с сомнительных сайтов по распространению софта — они, как правило, подсовывают в установщики (исполняемые файлы exe) шпионское и другое ПО. Так что лучшим решением будет качать приложения непосредственно на сайтах разработчиков.

Файлы из сторонних источников следует проверять на соответствие расширению — например, двойное расширение почти наверняка говорит о том, что перед нами программа-вирус, поэтому не забудьте включить в Windows отображение расширений. Также заведите привычку обязательно проверять все скачанные файлы антивирусной программой и не открывайть те файлы, в безопасности которых вы не уверены. Сканировать, кстати, нужно и подключаемые накопители USB.


Безвредные вирусы — такое тоже бывает

Были в истории компьютерных вирусов и примеры забавных безвредных программ, которые технически являлись вирусами, но никакого ущерба пользователям при этом не наносили. Так, ещё в 1997 году был разработан вирус HPS, который был ориентирован на временное изменение графические bmp-файлов, которые могли отображаться в перевёрнутом или отражённом виде, что, правда, могло доставлять неудобства пользователям старых версий Windows, ведь они были построены с использованием как раз bmp-графики. Впрочем, никакого реального ущерба HPS не наносил, поэтому его с полным основанием можно назвать безвредным шуточным вирусом.

Червяк Welchia претендует на звание самого полезного в истории: эта появившаяся в 2003 году программка после автоматической загрузки через сеть проверяла наличие заражения ПК опасным сетевым червём (программа была написана для устранения червя Blaster w32.blaster.worm, другое название — LoveSan), удаляла его и также в авторежиме пыталась установить обновления для Windows, закрывающие сетевые уязвимости. После успешного выполнения всех этих действий Welchia… самоудалялся. Правда, с Welchia тоже не всё было гладко — дело в том, что после установки обновлений Windows червь отдавал команду на принудительную перезагрузку ПК. А если в это время пользователь работал над важным проектом и не успел сохранить файл? Кроме того, устраняя одни уязвимости, Welchia добавлял другие — например, оставлял открытыми некоторые порты, которые вполне могли использоваться затем для сетевых атак.

Читайте также: