Русский
Русский
English
Статистика
Реклама

Компьютерная криминалистика

Тайны файла подкачки pagefile.sys полезные артефакты для компьютерного криминалиста

21.08.2020 16:19:43 | Автор: admin


В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и пылесосили всю критически важную информацию копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий. К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.

В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.



Часть 1. Что скрывают pagefile.sys



Итак, pagefile.sys это файл подкачки операционной системы Windows. При нехватке оперативной памяти Windows резервирует определенное место на жестком диске и использует его для увеличения своих возможностей. Иными словами, выгружает часть данных из оперативной памяти в файл pagefile.sys. Очень часто необходимые для исследователя сведения остаются только в файле подкачки.

Выгрузка в файл подкачки происходит постранично, блоками по 4 Кб, поэтому данные могут занимать как непрерывную область в файле подкачки, так и находиться в разных его частях. Это означает, что в большинстве случаев информация, обнаруженная в этом файле, будет извлекаться с потерей целостности.

Размер pagefile.sys в файловой системе по умолчанию задается операционной системой, но пользователь всегда может отключить файл подкачки или изменить его максимальный размер. Стандартное расположение файла в корне системного раздела, но он может находиться и на любом другом логическом диске в зависимости от того, куда пользователь его поместил. Нужно помнить этот факт.

Прежде чем мы займемся извлечением pagefile.sys, надо понять, что это за файл с точки зрения файловой системы. Для этого воспользуемся ПО AccessData FTK Imager:

Hidden True Owner SID S-1-5-32-544
System True Owner Name Администраторы
Read Only False Group SID S-1-5-18
Archive True Group Name SYSTEM

Видно, что это скрытый системный файл, который так просто не скопировать.

Как тогда получить этот файл? Сделать это можно несколькими способами:

  • если вы работаете с активной операционной системой, то для извлечения используем ПО FTK Imager или KAPE Эрика Циммермана

  • если есть цифровая копия накопителя или же сам файл просто копируем файл или работаем с ним напрямую.


Не забываем, что файлы pagefile.sys могут находиться в теневых копиях (Volume Shadow Copy) и на других логических дисках. Правда, бывают случаи, когда правила теневого копирования задает сам пользователь и исключает копирование файла подкачки (в системном реестре есть ветвь HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToSnapshot, где указываются файлы, которые будут исключены из теневого копирования).

На изображении ниже можно увидеть, как меняется объем обнаруженных данных в текущем файле подкачке (на изображении крайний левый) и файлах подкачки, которые были извлечены с этого же накопителя из теневых копий, созданных в разное время.



Важный момент, о котором стоит помнить: начиная со сборки 10525 Windows 10 используется компрессия файла подкачки. При нехватке памяти система сжимает неиспользуемые ресурсы памяти в каждом процессе, позволяя большему количеству приложений оставаться активными одновременно. Для декомпрессии такого файла необходимо использовать специализированное ПО.

Например, можно использовать для декомпрессии утилиту winmem_decompress Максима Суханова:



Это будет полезным, когда поиск в изначальном файле подкачки результатов не дал или же необходимые данные находились в сжатом виде.

Итак, когда файл pagefile.sys у нас в руках, можно приступать к его исследованию. И тут надо выделить две ситуации: первая когда мы знаем, что искать, и вторая когда не знаем. В первом случае это могут быть фрагменты файлов, следы работы того или иного ПО, какая-то пользовательская активность. Для такого поиска обычно используется шестнадцатеричный редактор X-Ways WinHEX (или любой другой). Во втором случае придется полагаться на специализированное ПО, например, MAGNET AXIOM, Belkasoft Evidence Center, утилиту strings (ее можно считать основной и наиболее часто используемой), ПО Photorec (ПО для восстановления, использующее сигнатурный метод), в некоторых случаях применять yara-правила (при условии настройки сканирования файлов большого размера) или же просто просматривать файл вручную.

А что можно найти в файле pagefile.sys, и почему мы делаем акцент на файле подкачки? Все просто: это данные, частично выгруженные из оперативной памяти, то есть процессы, файлы и прочие артефакты то, что было активно и функционировало в ОС. Это может быть часть интернет-истории и IP-адреса, информация о запуске каких-то файлов или же сами файлы, фрагменты изображений и текстов, сведения о сетевых запросах функционировавшего ранее ПО, следы работы вредоносного ПО в виде журналов нажатых клавиш, системные файлы и журналы ОС и много всего другого.



Идем в поля


Пора переходить непосредственно к реальным делам и исследованиям. Итак, что полезного можно найти в файле подкачки Windows с точки зрения цифровой криминалистики?

В одном из кейсов исследовался образ накопителя, зараженного разным вредоносным ПО, при помощи которого злоумышленники похитили деньги со счета организации.

Чтобы дать полный ответ, что произошло и как, криминалисту необходимо установить начальную точку заражения, используемый злоумышленниками инструментарий и последовательность действий. В ходе исследования удалось найти не все следы функционирования вредоносного ПО. И вот тут был проанализирован pagefile.sys. Как мы уже знаем, там можно найти страницы из памяти процессов, выгруженные из оперативной памяти в файл подкачки, которые иногда можно восстановить, например, при помощи ПО Photorec сигнатурным методом, как и было сделано в данном кейсе.

При этом нужно отметить следующее: так как в файле подкачки лежат уже выгруженные из оперативной памяти процессы (файлы), то их адресация будет отличаться от адресации оригинальных файлов. К тому же они могут быть сильно фрагментированы, поэтому запустить такой исполняемый файл зачастую нельзя, да и все другие файлы, как правило, будут иметь повреждения внутренней структуры из-за фрагментации, ведь сигнатурное восстановление не может само найти все фрагменты файла и расставить их в правильном порядке.


Выше представлен пример файлов (Photorec присвоил файлам имена, исходя из смещения относительно начала файла подкачки), выгруженных в ходе проведения этого исследования. Мы видим, что это исполняемые, графические, текстовые и иные файлы. Дальше все просто: анализируем их, исходя из необходимых критериев и задач.

В конкретном случае из файла подкачки были восстановлены dll-файлы, в которых есть вредоносный код. Ниже приведен пример их детектов на VirusTotal (поиск осуществлялся по контрольной сумме файлов):



В ходе анализа был установлен адрес удаленного сервера, с которым могли взаимодействовать эти файлы. При помощи шестнадцатеричного редактора X-Ways WinHEX в исследуемом pagefile.sys обнаружены строки, содержащие адреса удаленного сервера. Это говорит о том, что обнаруженные файлы функционировали в ОС и активно взаимодействовали со своим удаленным сервером. А вот и детекты сервиса VirusTotal за декабрь 2018 года:




Таким образом, в данном кейсе благодаря обнаруженным в pagefile.sys сведениям мы установили всю цепочку заражения.

А что еще?


Существуют порой уникальные случаи, когда в файле подкачки помимо иных следов можно найти закодированные в base64 снимки экрана. Например, такие при отправке создает банковский троян Buhtrap.

В конкретном случае начало файла было следующим: /9j/4AAQSkZJRgABAQEAYABgAAD/. Это заголовок jpeg-файла, закодированный в base64 (представлена часть изображения):



Вышеуказанный фрагмент скопировали, декодировали и добавили к нему расширение jpg. Нам повезло, и обнаруженный скриншот содержал полный снимок активного рабочего стола бухгалтерского компьютера с открытым ПО 1С: Бухгалтерия, на котором отображался финансовый баланс предприятия и прочие важные данные. Другие обнаруженные закодированные изображения из-за особенности хранения информации в файле подкачки были неполными (битыми).

Другой пример. В ходе одного из инцидентов обнаружены следы фреймворка Cobalt Strike (характерные строки в файле подкачки SMB mode, status_448, ReflectiveLoader):




И впоследствии можно попытаться выгрузить модули. На изображении выше это keylogger.dll и screenshot.dll, но могут быть и другие.

Идем дальше. Входящий в Cobalt Strike и часто используемый злоумышленниками модуль mimikatz это инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Именно в файле подкачки были обнаружены следы его функционирования, а именно следующие символьные строки:

  • sekurlsa::logonPasswords извлечение логинов и паролей учетной записи
  • token::elevate повышение прав доступа до SYSTEM или поиск токена администратора домена
  • lsadump::sam получение SysKey для расшифровки записей из файла реестра SAM
  • log Result.txt файл, куда записываются результаты работы ПО (не забываем поискать этот файл в файловой системе):



Следующий пример следы функционирования банковского трояна Ranbyus, который состоит из множества модулей. В ходе одного исследования в файле подкачки, который находился в теневой копии (VSS), обнаружили строки, сформированные дополнительным модулем, расширяющим функциональные возможности ПО Ranbyus. Строки содержали, помимо всего прочего, и введенные аутентификационные данные пользователя (логин и пароль) в системе клиент-банк. А в качестве примера часть сетевого запроса, включая сведения об управляющем сервере, который был обнаружен в файле pagefile.sys:



На самом деле довольно часто можно встретить примеры POST-запросов вредоносного ПО к своим управляющим серверам, а также ответы этих серверов на запросы. Ниже приведены такие случаи на примере взаимодействия ПО Buhtrap со своим управляющим сервером:



Теперь вспомним про кейс, с которого мы начинали этот пост. В крупной организации с множеством серверов и рабочих станций произошел инцидент, в ходе которого злоумышленники проникли в сеть, завладели учетными данными одного из администраторов контроллера домена и далее перемещались по сети, используя легитимное ПО. Они копировали критически важную информацию, а затем отправляли эти данные на удаленный ресурс. На момент реагирования прошло более полугода, часть рабочих станций и серверов уже были выведены из работы, а следы действий злоумышленников уничтожены благодаря использования ими специализированного ПО и из-за неправильного логирования.

В процессе реагирования мы вышли на сервер с ОС Windows Server 2012, участвовавший в инциденте. Файлы системных журналов уже не один раз перезаписаны, а свободное дисковое пространство затерто. Но там был файл подкачки! Благодаря долгой работе сервера без перезагрузки и большому объему файла подкачки в нем сохранились следы запуска ПО злоумышленников и скриптов, которые на момент исследования уже отсутствовали в файловой системе без возможности восстановления. Сохранились и сведения о каталогах и файлах (пути и имена), которые создавались, копировались и впоследствии удалялись злоумышленниками, IP-адреса рабочих станций организации, откуда копировались данные, и прочая важная информация.

Что интересно, автоматизированный анализ при помощи различного криминалистического ПО полных результатов не дал, каких-то определенных критериев поиска не было, поэтому специалисты прибегли к ручному анализу файла подкачки, используя шестнадцатеричный редактор X-Ways WinHEX.

Ниже несколько примеров того, что обнаружили специалисты:





Сведения об использовании утилит pcsp.exe и ADExplorer.exe (присутствуют и даты, и пути).

Дальше сведения об использовании vbs-скрипта (на изображении начало и конец).
Примечательно, что указаны учетные данные (логин и пароль) одного из администраторов контроллера домена, которые ранее были скомпрометированы:




В результате почти вся критически важная информация о произошедшем инциденте была обнаружена именно в файле подкачки одного из серверов. Установлен инструментарий злоумышленников и часть их действий в сети организации.

Ну и в завершение, конечно же, стоит упомянуть про остальные артефакты, такие как данные о посещении интернет-сайтов (иногда можно обнаружить сведения об использовании электронных почтовых ящиков), сведения о файлах и каталогах:




Можно обнаружить и такую информацию, как имя компьютера и серийный номер тома, где располагался файл подкачки:



А также информацию из файлов Prefetch и, конечно же, системные журналы Windows.

Итак, pagefile.sys действительно может содержать большое количество различных артефактов, которые могут помочь в анализе. Именно поэтому никогда не стоит игнорировать исследование файла подкачки. Даже если есть у вас есть все необходимые данные все равно исследуйте pagefile.sys. Практика показывает, что там может находиться что-то недостающее и важное.
Подробнее..

Зона доступа 30 способов, которые позволят разблокировать любой смартфон. Часть 1

21.09.2020 16:09:27 | Автор: admin


В своей работе компьютерные криминалисты регулярно сталкиваются с кейсами, когда надо оперативно разблокировать смартфон. Например, данные из телефона нужны следствию, чтобы понять причины суицида подростка. В другом случае помогут выйти на след преступной группы, нападающей на водителей-дальнобойщиков. Бывают, конечно, и милые истории родители забыли пароль от гаджета, а на нем осталось видео с первыми шагами их малыша, но таких, к сожалению, единицы. Но и они требуют профессионального подхода к вопросу. В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о способах, которые позволяют экспертам-криминалистам обойти блокировку смартфона.

Важно: эта статья написана для оценки безопасности паролей и графических паттернов, используемых владельцами мобильных устройств. Если вы решите разблокировать мобильное устройство с помощью описанных методов помните, что все действия по разблокировке устройств вы совершаете на свой страх и риск. При манипуляции с мобильными устройствами вы можете заблокировать устройство, стереть пользовательские данные или привести устройство в неисправное состояние. Также даны рекомендации пользователям, как повысить уровень защиты своих устройств.


Итак, самым распространенным методом ограничения доступа к пользовательской информации, содержащейся в устройстве, является блокировка экрана мобильного устройства. Когда подобное устройство попадает в криминалистическую лабораторию, работа с ним бывает затруднена, так как для такого устройства невозможно активировать режим отладки по USB (для Android-устройств), невозможно подтвердить разрешение на взаимодействие компьютера эксперта с этим устройством (для мобильных устройств фирмы Apple) и, как следствие, невозможно получить доступ к данным, находящимся в памяти устройства.

Насколько обычная блокировка экрана мобильного устройства препятствует извлечению специалистами данных из него, говорит тот факт, что ФБР США заплатило крупную сумму за разблокировку iPhone террориста Сайеда Фарука, одного из участников теракта в калифорнийском городе Сан-Бернардино [1].

Методы разблокировки экрана мобильного устройства


Как правило, для блокировки экрана мобильного устройства используется:

  1. Символьный пароль
  2. Графический пароль

Также для разблокировки экрана ряда мобильных устройств могут использоваться методы технологии SmartBlock:

  1. Разблокировка по распознаванию отпечатка пальца
  2. Разблокировка по распознаванию лица (технология FaceID)
  3. Разблокировка устройства по распознаванию радужной оболочки глаза

Социальные методы разблокировки мобильного устройства


Кроме чисто технических, существуют и иные способы узнать или преодолеть PIN-код, или графический код (паттерн) блокировки экрана. В отдельных случаях социальные методы могут быть более эффективными, чем технические решения, и помочь в разблокировке устройств, перед которыми пасуют существующие технические разработки.

В данном разделе будут описаны методы разблокировки экрана мобильного устройства, которые не требуют (или требуют лишь ограниченного, частичного) применения технических средств.
Для совершения социальных атак нужно как можно глубже изучить психологию владельца заблокированного устройства, понять, по каким принципам он генерирует и сохраняет пароли или графические паттерны. Также исследователю понадобится капля везения.

При использовании методов, связанных с подбором пароля, следует учитывать, что:

  • при введении десяти неправильных паролей на мобильных устройствах компании Apple данные пользователя могут быть стерты. Это зависит от настроек безопасности, которые установил пользователь;
  • на мобильных устройствах под управлением операционной системы Android может быть использована технология Root of Trust, которая приведет к тому, что после введения 30 неправильных паролей данные пользователя буду либо недоступны, либо стерты.

Способ 1: cпроси пароль


Это покажется странным, но пароль разблокировки можно узнать, просто спросив у владельца устройства. Как показывает статистика, примерно 70% владельцев мобильных устройств охотно сообщают пароль. Особенно, если это сократит время исследования и, соответственно, владелец быстрее получит свое устройство назад. Если нет возможности спросить пароль у владельца (например, владелец устройства умер) или он отказывается его раскрыть пароль можно узнать у его близких родственников. Как правило, родственники знают пароль или могут подсказать возможные варианты.

Рекомендация по защите: Пароль от вашего телефона это универсальный ключ от всех данных, в том числе и платежных. Говорить, передавать, писать его в мессенджерах плохая идея.

Способ 2: подгляди пароль


Пароль можно подсмотреть в момент, когда владелец пользуется устройством. Даже если вы запомните пароль (символьный или графический) лишь частично это значительно сократит количество возможных вариантов, что позволит быстрее подобрать его.

Вариантом данного метода является использование записей камер видеонаблюдения, на которых запечатлен владелец, разблокирующий устройство с помощью графического пароля [2]. Описанный в работе Cracking Android Pattern Lock in Five Attempts [2] алгоритм, путем анализа видеозаписей, позволяет предположить варианты графического пароля и разблокировать устройство за несколько попыток (как правило, для этого нужно сделать не более пяти попыток). Как утверждают авторы, чем сложнее графический пароль, тем проще его подобрать.

Рекомендация по защите: Использование графического ключа не лучшая идея. Цифро-буквенный пароль подглядеть очень сложно.

Способ 3: найди пароль


Пароль можно найти в записях владельца устройства (файлы на компьютере, в ежедневнике, на фрагментах бумаги, лежащих в документах). Если человек использует несколько различных мобильных устройств и на них разные пароли, то иногда в батарейном отсеке этих устройств или в пространстве между корпусом смартфона и чехлом можно найти клочки бумаги с записанными паролями:


Рекомендация по защите: не надо вести блокнотик с паролями. Это плохая идея, кроме случая, когда все эти пароли заведомо ложные, чтобы уменьшить количество попыток разблокировки.

Способ 4: отпечатки пальцев (Smudge attack)


Этот метод позволяет выявить потожировые следы рук на дисплее устройства. Увидеть их можно, обработав экран устройства светлым дактилоскопическим порошком (вместо специального криминалистического порошка можно использовать детскую присыпку или иной химически неактивный мелкодисперсный порошок белого или светло-серого цвета) или посмотрев на экран устройства в косопадающих лучах света. Анализируя взаиморасположение следов рук и имея дополнительную информацию о владельце устройства (например, зная его год рождения), можно попробовать подобрать текстовый или графический пароль. Так выглядит потожировое наслоение на дисплее смартфона в виде стилизованной буквы Z:


Рекомендация по защите: Как мы и говорили, графический пароль это не лучшая идея, как и стекла с плохим олеофобным покрытием.

Способ 5: искусственный палец


Если устройство может быть разблокировано по отпечатку пальца, а исследователь имеет образцы отпечатков рук владельца устройства, то на 3D-принтере можно изготовить трехмерную копию отпечатка пальца владельца и использовать ее для разблокировки устройства [3]:


Для более полной имитации пальца живого человека например, когда датчик отпечатка пальца смартфона еще детектирует тепло 3D-модель надевается (прислоняется) к пальцу живого человека.

Владелец устройства, даже забыв пароль блокировки экрана, может сам разблокировать устройство, используя отпечаток своего пальца. Это может быть использовано в определенных случаях, когда владелец не может сообщить пароль, но, тем не менее, готов помочь исследователю разблокировать свое устройство.

Исследователю следует помнить о поколениях сенсоров, примененных в различных моделях мобильных устройств. Старые модели сенсоров могут срабатывать практически на прикосновение любого пальца, не обязательно принадлежащего владельцу устройства. Современные ультразвуковые сенсоры, наоборот, сканируют весьма глубоко и четко. Кроме того, ряд современных подэкранных сенсоров это просто CMOS-фотокамеры, которые не могут сканировать глубину изображения, из-за чего обмануть их намного проще.

Рекомендация по защите: Если палец, то только ультразвуковой сенсор. Но не забывайте, что приложить палец против вашей воли куда проще, чем лицо.

Способ 6: рывок (Mug attack)


Данный метод описан британскими полицейскими [4]. Он заключается в скрытой слежке за подозреваемым. В момент, когда подозреваемый разблокирует свой телефон, агент в штатском вырывает его из рук владельца и не дает устройству заблокироваться вновь до момента передачи его экспертам.

Рекомендация по защите: Думаю, если против вас собираются применять такие меры, то дело плохо. Но тут нужно понимать, что случайная блокировка обесценивает этот способ. А, например, многократное нажатие кнопки блокировки на iPhone запускает режим SOS, который в дополнение ко всему выключает FaceID и включает требование кода пароля.

Способ 7: ошибки в алгоритмах управления устройством


В новостных лентах профильных ресурсов часто можно встретить сообщения о том, что при определенных действиях с устройством происходит разблокировка его экрана. Например, экран блокировки ряда устройств может разблокироваться при входящем звонке. Недостаток данного метода в том, что выявленные уязвимости, как правило, оперативно устраняются производителями.

Примером подхода к разблокировке мобильных устройств, выпущенных ранее 2016 года, является разряд батареи. При низком заряде устройство разблокируется и предложит изменить настройки питания. При этом надо быстро перейти на страницу с настройками безопасности и отключить блокировку экрана [5].

Рекомендация по защите: не забывайте своевременно обновлять ОС своего устройства, а если оно уже не поддерживается менять смартфон.

Способ 8: уязвимости в сторонних программах


Уязвимости, выявленные в установленных на устройстве сторонних программах, могут также полностью или частично предоставлять доступ к данным заблокированного устройства.

Примером подобной уязвимости может быть похищение данных из iPhone Джеффа Безоса, основного владельца Amazon. Уязвимость в мессенджере WhatsApp, проэксплуатированная неизвестными, привела к краже конфиденциальных данных, находившихся в памяти устройства [6].

Подобные уязвимости могут быть использованы исследователями для достижения своих целей извлечения данных из заблокированных устройств или для их разблокировки.

Рекомендация по защите: Нужно обновлять не только ОС, но и прикладные программы, которыми вы пользуетесь.

Способ 9: корпоративный телефон


Корпоративные мобильные устройства могут быть разблокированы системными администраторами компаний. Так, например, корпоративные устройства Windows Phone привязываются к аккаунту Microsoft Exchange компании и могут быть разблокированы ее администраторами. Для корпоративных устройств Apple существует сервис Mobile Device Management, аналогичный Microsoft Exchange. Его администраторы также могут разблокировать корпоративное iOS-устройство. Кроме того, корпоративные мобильные устройства можно скоммутировать только с определенными компьютерами, указанными администратором в настройках мобильного устройства. Поэтому без взаимодействия с системными администраторами компании такое устройство невозможно подключить к компьютеру исследователя (или программно-аппаратному комплексу для криминалистического извлечения данных).

Рекомендация по защите: MDM это и зло, и добро с точки зрения защиты. MDM-администратор всегда может удаленно сбросить устройство. В любом случае, не стоит хранить чувствительные личные данные на корпоративном устройстве.

Способ 10: информация из сенсоров


Анализируя информацию, получаемую от сенсоров устройства, можно подобрать пароль к устройству с помощью специального алгоритма. Адам Дж. Авив продемонстрировал возможность подобных атак, используя данные, полученные акселерометром смартфона. В ходе исследований ученому удалось правильно определить символьный пароль в 43% случаях, а графический пароль в 73% [7].

Рекомендация по защите: Внимательно следите за тем, каким приложениям вы выдаете разрешение на отслеживание различных сенсоров.

Способ 11: разблокировка по лицу


Как и в случае с отпечатком пальца, успех разблокировки устройства с использованием технологии FaceID зависит от того, какие сенсоры и какой математический аппарат используются в конкретном мобильном устройстве. Так, в работе Gezichtsherkenning op smartphone niet altijd veilig [8] исследователи показали, что часть исследуемых смартфонов удалось разблокировать, просто продемонстрировав камере смартфона фотографию владельца. Это возможно, когда для разблокировки используется лишь одна фронтальная камера, которая не имеет возможности сканировать данные о глубине изображения. Компания Samsung после ряда громких публикаций и роликов в YouTube была вынуждена добавить предупреждение в прошивку своих смартфонов. Face Unlock Samsung:


Более продвинутые модели смартфонов можно разблокировать, используя маску или самообучение устройства. Например, в iPhone X используется специальная технология TrueDepth [9]: проектор устройства, с помощью двух камер и инфракрасного излучателя, проецирует на лицо владельца сетку, состоящую из более чем 30 000 точек. Такое устройство можно разблокировать с помощью маски, контуры которой имитируют контуры лица владельца. Маска для разблокировки iPhone [10]:


Так как подобная система очень сложна и не работает в идеальных условиях (происходит естественное старение владельца, изменение конфигурации лица из-за выражения эмоций, усталости, состояния здоровья и т.п.), она вынуждена постоянно самообучаться. Поэтому если разблокированное устройство подержит перед собой другой человек его лицо будет запомнено как лицо владельца устройства и в дальнейшем он сможет разблокировать смартфон, используя технологию FaceID.

Рекомендация по защите: не используйте разблокировку по фото только системы с полноценными сканерами лица (FaceID у Apple и аналоги на Android-аппаратах).

Основная рекомендация не смотреть в камеру, достаточно отвести взгляд. Если даже зажмурить один глаз шанс разблокировать сильно падает, как и при наличии рук на лице. Кроме того, для разблокировки по лицу (FaceID) дается всего 5 попыток, после чего потребуется ввод кода-пароля.

Способ 12: использование утечек


Базы утекших паролей прекрасный способ понять психологию владельца устройства (при условии, что исследователь располагает информацией об адресах электронной почты владельца устройства). В приведенном примере поиск по адресу электронной почты принес два похожих пароля, которые использовал владелец. Можно предположить, что пароль 21454162 или его производные (например, 2145 или 4162) могли использоваться в качестве кода блокировки мобильного устройства. (Поиск по адресу электронной почты владельца в базах утечек показывает, какие пароли владелец мог использовать, в том числе для блокировки своего мобильного устройства).


Рекомендация по защите: действуйте превентивно, отслеживайте данные об утечках и своевременно меняйте пароли замеченные в утечках!

Способ 13: типовые пароли блокировки устройств


Как правило, у владельца изымается не одно мобильное устройство, а несколько. Часто таких устройств набирается с десяток. При этом можно подобрать пароль для уязвимого устройства и попробовать его применить к другим смартфонам и планшетам, изъятым у этого же владельца.

При анализе данных, извлеченных из мобильных устройств, такие данные отображаются в криминалистических программах (часто даже при извлечении данных из заблокированных устройств с применением различных типов уязвимостей).


Как видно на скриншоте части рабочего окна программы UFED Physical Analyzer, устройство заблокировано достаточно необычным PIN-кодом fgkl.

Не стоит пренебрегать иными устройствами пользователя. Например, анализируя пароли, сохраненные в кэше веб-браузера компьютера владельца мобильного устройства, можно понять принципы генерации паролей, которых придерживался владелец. Просмотреть сохраненные пароли на компьютере можно с помощью утилиты компании NirSoft [11].

Также на компьютере (ноутбуке) владельца мобильного устройства могут быть Lockdown-файлы, которые могут помочь получить доступ к заблокированному мобильному устройству фирмы Apple. Об этом методе будет рассказано далее.

Рекомендация по защите: используйте везде разные, уникальные пароли.

Способ 14: типовые PIN-коды


Как было отмечено ранее, пользователи часто используют типовые пароли: номера телефонов, банковских карт, PIN-коды. Подобную информацию можно использовать, чтобы разблокировать предоставленное устройство.

Если ничего не помогает можно воспользоваться следующей информацией: исследователи провели анализ и нашли наиболее популярные PIN-коды (приведенные PIN-коды покрывают 26,83% всех паролей) [12]:

PIN Частота, %
1234 10,713
1111 6,016
0000 1,881
1212 1,197
7777 0,745
1004 0,616
2000 0,613
4444 0,526
2222 0,516
6969 0,512
9999 0,451
3333 0,419
5555 0,395
6666 0,391
1122 0,366
1313 0,304
8888 0,303
4321 0,293
2001 0,290
1010 0,285
Применение данного перечня PIN-кодов к заблокированному устройству позволит разблокировать его с вероятностью ~26%.

Рекомендация по защите: проверьте свой PIN-код по таблице выше и, даже если он не совпал, все равно смените его, потому что 4 цифры это слишком мало по меркам 2020 года.

Способ 15: типовые графические пароли


Как было описано выше, имея данные камер видеонаблюдения, на которых владелец устройства пробует его разблокировать, можно подобрать паттерн разблокировки с пяти попыток. Кроме того, точно так же, как существуют типовые PIN-коды, существуют и типовые паттерны, которые можно использовать для разблокировки заблокированных мобильных устройств [13, 14].

Простые паттерны [14]:


Паттерны средней сложности [14]:


Сложные паттерны [14]:



Список самых популярных графических паттернов по версии исследователя Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5

На некоторых мобильных устройствах, помимо графического кода, может быть установлен дополнительный PIN-код. В этом случае, если не удается подобрать графический код, исследователь может кликнуть на кнопку Доп.PIN-код (дополнительный PIN-код) после ввода неправильного графического кода и попытаться подобрать дополнительный PIN-код.

Рекомендация по защите: лучше вообще не использовать графические ключи.

Способ 16: буквенно-цифровые пароли


Если на устройстве можно использовать буквенно-цифровой пароль, то в качестве кода блокировки владелец мог использовать следующие популярные пароли [16]:

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou
  • princess
  • admin
  • welcome
  • 666666
  • abc123
  • football
  • 123123
  • monkey
  • 654321
  • !@#$%^&*
  • charlie
  • aa123456
  • donald
  • password1
  • qwerty123

Рекомендация по защите: используйте только сложные, уникальные пароли со служебными символами и разными регистрами. Проверьте, не используете ли вы один из паролей приведенных выше. Если используете смените его на более надежный.

Способ 17: облачные или локальные хранилища


Если нет технической возможности изъять данные из заблокированного устройства криминалисты могут поискать его резервные копии на компьютерах владельца устройства или в соответствующих облачных хранилищах.

Часто владельцы смартфонов Apple, подключая их к своим компьютерам, не осознают, что в это время может осуществляться создание локальной или облачной резервной копии устройства.

В облачных хранилищах Google и Apple могут сохраняться не только данные из устройств, но и сохраненные устройством пароли. Извлечение этих паролей может помочь в подборе кода блокировки мобильного устройства.

Из Keychain, сохраненного в iCloud, можно извлечь пароль на резервную копию устройства, установленный владельцем, который, с высокой степенью вероятности, будет совпадать с PIN-кодом блокировки экрана.

Если правоохранительные органы обращаются в Google и Apple компании могут передать имеющиеся данные, что, вероятно, сильно снизит необходимость разблокировки устройства, так как данные уже будут у правоохранителей.

Например, после террористического акта в Пенсоконе копии данных, хранящихся в iCloud, были переданы ФБР. Из заявления Apple:

В течение нескольких часов, после первого запроса ФБР, 6 декабря 2019 года, мы представили широкий спектр информации, связанной с расследованием. С 7 по 14 декабря мы получили шесть дополнительных юридических запросов и в ответ предоставили информацию, включая резервные копии iCloud, информацию об аккаунте и транзакциях для нескольких учетных записей.

Мы отвечали на каждый запрос незамедлительно, зачастую в течение нескольких часов, обмениваясь информацией с офисами ФБР в Джексонвилле, Пенсаколе и Нью-Йорке. По запросам следствия было получено много гигабайт информации, которую мы передали следователям. [17, 18, 19]

Рекомендация по защите: все, что вы отдаете в облако в незашифрованном виде, может и будет использовано против вас.

Способ 18: Google-аккаунт


Данный способ подходит для снятия графического пароля, блокирующего экран мобильного устройства под управлением операционной системы Android. Для использования этого метода нужно знать имя пользователя и пароль от Google-аккаунта владельца устройства. Второе условие: устройство должно быть подключено к интернету.

При последовательном вводе неправильного графического пароля несколько раз подряд, устройство предложит восстановить пароль. После этого надо совершить вход в аккаунт пользователя, что приведет к разблокировке экрана устройства [5].

В связи с разнообразием аппаратных решений, операционных систем Android и дополнительных настроек безопасности данный метод применим только для ряда устройств.

Если у исследователя нет пароля к Google-аккаунту владельца устройства его можно попробовать восстановить, используя стандартные методы восстановления паролей от подобных аккаунтов.

Если устройство в момент исследования не подключено к интернету (например, SIM-карта заблокирована или на ней недостаточно денег), то подобное устройство можно подключить к Wi-Fi по следующей инструкции:

  • нажать иконку Экстренный вызов
  • набрать *#*#7378423#*#*
  • выбрать Service Test Wlan
  • осуществить соединение с доступной Wi-Fi-сетью [5]

Рекомендация по защите: не забывайте использовать двухфакторную авторизацию везде где только можно, и в этом случае лучше с привязкой к приложению, а не коду по SMS.

Способ 19: гостевой аккаунт


На мобильных устройствах под управлением операционной системы Android 5 и выше может быть несколько аккаунтов. Для доступа к данным дополнительного аккаунта может отсутствовать блокировка PIN-кодом или графическим кодом. Для переключения нужно кликнуть на иконку аккаунта в правом верхнем углу и выбрать другой аккаунт:


Для дополнительного аккаунта доступ к некоторым данным или приложениям может быть ограничен.

Рекомендация по защите: тут важно обновлять ОС. В современных версиях Android (9 и выше с патчами безопасностями от июля 2020 года) учетная запись гостя, как правило, не дает никаких возможностей.

Способ 20: специализированные сервисы


Компании, занимающиеся разработкой специализированных криминалистических программ, в том числе предлагают услуги по разблокировке мобильных устройств и извлечению данных из них [20, 21]. Возможности подобных сервисов просто фантастические. С помощью них можно разблокировать топовые модели Android- и iOS-устройств, а также устройства, находящиеся в режиме восстановления (в которое устройство переходит после превышения количества попыток неправильного ввода пароля). Недостатком данного метода является высокая стоимость.

Фрагмент веб-страницы сайта компании Cellebrite, где описывается, из каких устройств они могут извлечь данные. Устройство может быть разблокировано в лаборатории разработчика (Cellebrite Advanced Service (CAS)) [20]:


Для подобной услуги устройство должно быть предоставлено в региональный (или головной) офис компании. Возможен выезд специалиста к заказчику. Как правило, взлом кода блокировки экрана занимает одни сутки.

Рекомендация по защите: практически невозможно защититься, кроме использования стойкого цифро-буквенного пароля и ежегодной смены устройств.

P.S. Об этих кейсах, инструментах и многих других полезных фишках в работе компьютерного криминалиста эксперты Лаборатории Group-IB рассказывают в рамках обучающего курса Digital Forensics Analyst. После прохождения 5-дневного или расширенного 7-дневного курсов выпускники смогут эффективнее проводить криминалистические исследования и предовтращать киберинциденты в своих организациях.

P.P.S. Остросюжетный Telegram-канал Group-IB об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!

Источники
  1. ФБР нашло хакера, готового взломать iPhone без помощи Apple
  2. Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang. Cracking Android Pattern Lock in Five Attempts
  3. Дактилоскопический датчик Samsung Galaxy S10 удалось обмануть с помощью отпечатка пальца, напечатанного на 3D-принтере
  4. Dominic Casciani, Gaetan Portal. Phone encryption: Police 'mug' suspect to get data
  5. Как разблокировать телефон: 5 способов, которые работают
  6. Дуров назвал причиной взлома смартфона Джеффа Безоса уязвимость в WhatsApp
  7. Датчики и сенсоры современных мобильных устройств
  8. Gezichtsherkenning op smartphone niet altijd veilig
  9. TrueDepth в iPhone X что это, принцип работы
  10. Face ID в iPhone X обманули с помощью 3D-печатной маски
  11. NirLauncher Package
  12. Анатолий Ализар. Популярные и редкие PIN-коды: статистический анализ
  13. Мария Нефедова. Графические ключи так же предсказуемы, как пароли 1234567 и password
  14. Антон Макаров. Обход графического пароля на Android-устройствах www.anti-malware.ru/analytics/Threats_Analysis/bypass-picture-password-Android-devices
  15. Jeremy Kirby. Unlock mobile devices using these popular codes
  16. Андрей Смирнов. 25 самых популярных паролей в 2019 году
  17. Мария Нефедова. Конфликт между властями США и компанией Apple из-за взлома iPhone преступника усугубляется
  18. Apple responds to AG Barr over unlocking Pensacola shooter's phone: No.
  19. Law Enforcement Support Program
  20. Cellebrite Supported Devices (CAS)

Подробнее..

След протектора как киберпреступники прятали стилеры в презентации от подрядчика МГУ

14.12.2020 14:08:42 | Автор: admin


"Привет из МГУ. М.В.Ломоносов,
Внимание: по рекомендации вашей компании мы выступаем в качестве подрядчика МГУ. М.В.Ломоносова под руководством доктора философских наук. Виктор Антонович Садовничий. Нам нужно ваше предложение по нашему бюджету на 2020 год (прилагается). Подайте заявку не позднее 09 ноября 2020 года. Спасибо и всего наилучшего
".

Получатель этого странного послания, даже очень далекий от научных кругов, сразу обратит внимание на две вещи: как безграмотно оно написано, а, во-вторых, ректор МГУ может быть философом лишь по состоянию души Виктор Антонович на самом деле доктор физико-математических наук, но никак не философских.

СERT Group-IB подтвердил догадку сентябрьские почтовые рассылки от имени руководства МГУ им. М.В. Ломоносова фейковые, более того они несли на борту популярные вредоносные программы для кражи данных (Data Stealer) Loki или AgentTesla Однако сегодняшний пост не про них, а об одном незаметном помощнике протекторе, которые защищает программы-шпионы от обнаружения. О том, какие техники использует этот протектор и как аналитикам удалось сквозь них добраться до исполняемого файла AgentTesla, рассказывает Илья Померанцев, руководитель группы исследований и разработки CERT-GIB .

Механизм распространения


В самом фишинговым письме его можно хорошенько рассмотреть на скриншоте ниже отправитель представляется подрядчиком вуза и предлагает утвердить бюджет. Среди получателей сообщения финансовые, промышленные и государственные организации России.
Хотя текст написан на русском языке, грубые орфографические, грамматические и стилистические ошибки наводят на мысль о том, что атакующие не носители языка. И, скорее всего, они использовали для составления писем машинный перевод.


В письме два идентичных вложения с разными расширениями:


Заражение


Исходный файл презентация PowerPoint в формате ppt. Дата последнего редактирования 5 ноября, а автором указан некто Masterofyourfather.


В документе три небольших VBA-макроса, которые приведут к выполнению команды:

mshta http://%748237%728748@j[.]mp/aksnkwsfvyudnddwid


Сокращатель ссылок j.mp перенаправит на ресурс ninjaminjatumhmmkk.blogspot[.]com/p/8a9.html.

При открытии страницы, на первый взгляд, может показаться, что автор еще не разместил полезную нагрузку и дальнейший анализ невозможен.


Однако наша система Group- IB
Threat Hunting Framework
и ее модуль Polygon, позволяющий осуществлять поведенческий анализ файлов, извлекаемых из электронных писем, опровергла это предположение, продемонстрировав, как развивается атака дальше.


Если заглянуть в исходный код страницы становится ясна причина такой скрытности. Ресурс Blogspot позволяет вставлять script-теги в теле блога. А поскольку все современные браузеры по умолчанию игнорируют скрипты на VBscript, при обычном открытии страницы ничего не происходит.


Базовый скрипт


Базовый скрипт совмещает три задачи:

  1. Закрепление в системе
  2. Обход систем защиты
  3. Загрузка основного модуля

Рассмотрим каждый пункт в отдельности.

Закрепление в системе


Для персистентности ВПО использует механизм безфайлового закрепления. Для этого в реестре в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ создаются ключи со значениями mshta vbscript:Execute({Тело скрипта VBS}). Это позволяет хранить полезную нагрузку целиком в реестре, при этом реализуя автозапуск.


Также реализована альтернативная возможность автозапуска через отложенную задачу (строчка 21 на скриншоте сверху). По указанным ссылкам расположены страницы Blogspot с полезной нагрузкой, размещаемой аналогично исходной. На момент анализа ни по одной ссылке вредоносного кода не оказалось.


Ссылки:

  • zoomba619.blogspot[.]com/p/5e.html
  • dodumdum6.blogspot[.]com/p/8a9.html
  • milltu99.blogspot[.]com/p/4w5.html
  • potatokapoli.blogspot[.]com/p/5e.html

Загрузчик основного модуля закрепляется в ветке HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ в ключе sexformoneyforsex, который приводит к исполнению powershell-скрипта, запускающего сценарий, размещенный по ключу HKCU\Software\juggga.


Модуль обхода встроенных систем защиты Windows закрепляется аналогично по ключу Defeduckgotfucked, который приводит к исполнению powershell-скрипта, запускающего сценарий, размещенный по ключу HKCU\Software\phuttalylo.


Обход систем защиты


Модуль обхода встроенных систем защиты Windows хранится в реестре в обфусцированном виде. Полезная загрузка записана строкой в виде ASCII-кодов, разделенных символом -. После декодирования нас ждет еще один простой скрипт, который содержит отраженную Base64-строку, в которой символ 0 заменен на ..


В итоге мы получим небольшое .NET-приложение.


Основной класс CMSTPBypass выдает механизм работы файла.

CMSTP это приложение, связанное с установщиком профиля Microsoft Connection Manager. Оно принимает файлы INF, которые могут быть снабжены вредоносными командами для выполнения произвольного кода в форме скриптлетов (SCT) и DLL. Это доверенное приложение Microsoft.

ВПО сохраняет в папку %Temp% файл inf с произвольным именем и следующим содержимым:


Строка REPLACE_COMMAND_LINE будет заменена на команду запуска vbs-скрипта из папки %Temp%, который ВПО извлечет из своей секции ресурсов.

В коде можно заметить упоминание NyanCat, автора известных крипторов и data stealer'ов. В его официальном репозитории на GitHub мы нашли исходный код модуля. Видимо, его позаимствовали атакующие.


Запуск осуществляется через c:\windows\system32\cmstp.exe, после чего ВПО начинает отслеживать появление окна cmstp, чтобы послать ему нажатие клавиши ENTER.
Запущенный VBS-скрипт фактически снижает встроенную защиту Windows до нуля:

  1. Если скрипт запущен не с правами администратора он будет перезапущен с повышением привилегий.
  2. Для Windows Defender применяются следующие настройки:

  3. В исключения Windows Defender целиком добавляются диски C:\ и D:\, а также процессы Msbuild.exe, Calc.exe, powershell.exe, wscript.exe, mshta.exe, cmd.exe.
  4. Отключается UAC.
  5. Для пакетов MS Office версий от 11.0 до 16.0 отключаются все настройки безопасности.

Загрузка основного модуля


Загрузчик размещается в реестре по ключу HKCU\Software\juggga. Хотя ВПО предусматривает его автозапуск после перезагрузки, он будет также исполнен во время работы основного скрипта. Для этого запустится оболочка PowerShell в скрытом окне:


Механизм обфускации загрузчика аналогичен рассмотренному в предыдущем разделе:



Загрузка осуществляется по ссылке paste[.]ee/r/ZonQw:


После декодирования получаем исполняемый файл, который представляет собой обновленную версию уже знакомого нам AgentTesla.

Agent Tesla это модульное программное обеспечение для шпионажа, распространяемое по модели malware-as-a-service под видом легального кейлоггер-продукта. Agent Tesla способен извлекать и передавать на сервер злоумышленникам учетные данные пользователя из браузеров, почтовых клиентов и клиентов FTP, регистрировать данные буфера обмена, захватывать экран устройства.


Заключение


Мы рассмотрели любопытный протектор, вобравший в себя большое количество различных технологий по противодействию существующим системам защиты для конечных устройств. Если в организации нет современных систем, способных полностью автоматизировано останавливать целевые атаки на организацию, и детонировать принудительно вскрывать подозрительные почтовые рассылки в изолированной среде, то рассмотренное ВПО позволит протащить на машину и закрепить в системе любую полезную нагрузку, даже такой хорошо известный и выявляемый большинством антивирусов data stealer, как AgentTesla.
Подробнее..

Старый конь борозды не испортит как стилер Pony крадет данные и где их потом искать

28.01.2021 12:17:06 | Автор: admin

Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного понимания ситуации, давайте разберем еще одно шпионское ПО и сравним исследованных ботов. Сегодня мы обратим внимание на Pony более старый, но не менее популярный образец data stealerа. Никита Карпов, аналитик CERT-GIB, расскажет, как бот проникает на компьютер жертвы и как вычислить похищенные данные, когда заражение уже произошло.

Разбор функциональности бота

Впервые Pony был замечен в 2011 году и все еще продолжает использоваться. Как и в ситуации с Loki, популярность этого ВПО обусловлена тем, что несколько версий бота вместе с панелью администратора можно без проблем найти в сети. Например, здесь.

Экземпляр Pony, который мы будем изучать, защищен тем же самым упаковщиком, что и Loki, рассмотренный в предыдущей статье. По этой причине не будем еще раз останавливаться на процессе получения чистого ВПО и перейдем сразу к более интересным моментам. Единственное, что следует упомянуть перед разбором ВПО, ссылка на сервер, по которой мы определяем нужный PE-файл, оканчивается на gate.php, и это один из индикаторов Pony.

При исследовании дизассемблированного кода Pony обратим внимание на участок, содержащий главные функции. Интерес представляют две из них Initialize_Application и CnC_Func (названия функций переименованы в соответствии с их содержанием).

Ниже представлена функция Initialize_Application. Она отвечает за инициализацию необходимых элементов (библиотеки, привилегии и т.д.) и за похищение данных. В процессе работы ВПО несколько раз использует значение 7227 пароль к данному экземпляру бота. В Initialize_Application это значение используется для шифрования буфера, содержащего данные приложений, алгоритмом RC4.

Далее перейдем к декомпилированному коду функции CnC_Func и разберем ее алгоритм:

  1. Буфер, полученный в результате работы функции Initialize_Application, передается в функцию BuildPacket, где собирается пакет данных для передачи на сервер.

  2. По каждому URI из списка бот отправляет данные и ожидает подтверждения со стороны сервера. Если сервер не ответил 3 раза бот идет дальше.

  3. После завершения первого списка CnC бот пытается загрузить и запустить дополнительное ВПО.

В общем доступе находится готовый билдер, который подтверждает функционал, полученный в процессе статического анализа декомпилированного кода. Пользователю предлагается ввести список URI, куда будут выгружаться похищенные данные, и список, откуда будет выгружаться дополнительное ВПО. Также пользователь может изменить пароль бота и имя дополнительного ВПО.

Pony атакует более сотни приложений, и, хотя у него есть функционал загрузчика, в основном Pony используется именно для похищения пользовательских данных. В таблице ниже перечислены все приложения, из которых бот может похитить данные.

ID

Приложение

ID

Приложение

ID

Приложение

0

System Info

45

FTPGetter

90

Becky!

1

FAR Manager

46

ALFTP

91

Pocomail

2

Total Commander

47

Internet Explorer

92

IncrediMail

3

WS_FTP

48

Dreamweaver

93

The Bat!

4

CuteFTP

49

DeluxeFTP

94

Outlook

5

FlashFXP

50

Google Chrome

95

Thunderbird

6

FileZilla

51

Chromium / SRWare Iron

96

FastTrackFTP

7

FTP Commander

52

ChromePlus

97

Bitcoin

8

BulletProof FTP

53

Bromium (Yandex Chrome)

98

Electrum

9

SmartFTP

54

Nichrome

99

MultiBit

10

TurboFTP

55

Comodo Dragon

100

FTP Disk

11

FFFTP

56

RockMelt

101

Litecoin

12

CoffeeCup FTP / Sitemapper

57

K-Meleon

102

Namecoin

13

CoreFTP

58

Epic

103

Terracoin

14

FTP Explorer

59

Staff-FTP

104

Bitcoin Armory

15

Frigate3 FTP

60

AceFTP

105

PPCoin (Peercoin)

16

SecureFX

61

Global Downloader

106

Primecoin

17

UltraFXP

62

FreshFTP

107

Feathercoin

18

FTPRush

63

BlazeFTP

108

NovaCoin

19

WebSitePublisher

64

NETFile

109

Freicoin

20

BitKinex

65

GoFTP

110

Devcoin

21

ExpanDrive

66

3D-FTP

111

Frankocoin

22

ClassicFTP

67

Easy FTP

112

ProtoShares

23

Fling

68

Xftp

113

MegaCoin

24

SoftX

69

RDP

114

Quarkcoin

25

Directory Opus

70

FTP Now

115

Worldcoin

26

FreeFTP / DirectFTP

71

Robo-FTP

116

Infinitecoin

27

LeapFTP

72

Certificate

117

Ixcoin

28

WinSCP

73

LinasFTP

118

Anoncoin

29

32bit FTP

74

Cyberduck

119

BBQcoin

30

NetDrive

75

Putty

120

Digitalcoin

31

WebDrive

76

Notepad++

121

Mincoin

32

FTP Control

77

CoffeeCup Visual Site Designer

122

Goldcoin

33

Opera

78

FTPShell

123

Yacoin

34

WiseFTP

79

FTPInfo

124

Zetacoin

35

FTP Voyager

80

NexusFile

125

Fastcoin

36

Firefox

81

FastStone Browser

126

I0coin

37

FireFTP

82

CoolNovo

127

Tagcoin

38

SeaMonkey

83

WinZip

128

Bytecoin

39

Flock

84

Yandex.Internet / Ya.Browser

129

Florincoin

40

Mozilla

85

MyFTP

130

Phoenixcoin

41

LeechFTP

86

sherrod FTP

131

Luckycoin

42

Odin Secure FTP Expert

87

NovaFTP

132

Craftcoin

43

WinFTP

88

Windows Mail

133

Junkcoin

44

FTP Surfer

89

Windows Live Mail

Взаимодействие с сервером

Рассмотрим подробнее сетевое взаимодействие Pony. Как мы уже говорили, Pony сначала выгружает похищенные данные приложений на удаленный сервер, и индикатором такой коммуникации служит gate.php. После этого Pony просматривает второй список ссылок, откуда он пытается загрузить дополнительное ВПО на зараженный компьютер.

Для подтверждения того, что сервер получил и прочитал данные, бот должен получить в ответ строку STATUS-IMPORT-OK, иначе бот считает, что сервер не получил данные.

Данные, передаваемые на сервер, надежно защищаются шифрованием и компрессией. Защиту данных определяет заголовок, который идет перед ними. Стандартная защита пакета выглядит так:

  1. Данные в чистом виде с заголовком PWDFILE0.

  2. Сжатые данные с заголовком PKDFILE0. Для сжатия используется библиотека aPLib, работа которой основана на алгоритме компрессии LZW.

  3. Зашифрованные данные с заголовком CRYPTED0 и ключом в виде пароля, например, 7227 или PA$$. Для шифрования используется алгоритм RC4.

  4. Зашифрованные алгоритмом RC4 данные, ключ указан в первых 4 байтах.

Размер

Значение

Описание

0x4

rc_4key

Ключ для верхнего уровня шифрования

0x12

REPORT_HEADER

(PWDFILE0/ PKDFILE0/ CRYPTED0)

Заголовок отчета о похищенных данных

(normal/packed/crypted)

8 байт заголовок, и 4 байта контрольная сумма CRC32

0x4

Версия отчета

Версия отчета о похищенных данных

(константное значение 01.0)

0x4

Размер модуля

Заголовок модуля, присутствует у каждого модуля

0x8

ID заголовка модуля

(chr(2).chr(0)."MODU".chr(1).chr(1))

2 байта, ключевое слово MODU, 1 байт, 1 байт

0x2

ID модуля

0x2

Версия модуля

-

Название системы пользователя

Модуль module_systeminfo (module id = 0x00000000)

Содержит информацию о системе пользователя

0x2

Система x32 или x64

-

Страна пользователя

-

Язык системы пользователя

0x2

Является ли пользователь администратором

-

Значение MachineGuid из приложения WinRAR

-

Список модулей всех приложений

По аналогии с модулем module_systeminfo записаны данные всех приложений

Парсер сетевых коммуникаций

Как и для Loki, напишем парсер на Python, используя следующие библиотеки:

  1. Dpkt для поиска пакетов, принадлежащих Pony, и работы с ними.

  2. aPLib для декомпрессии данных.

  3. Hexdump для представления данных пакета в хексе.

  4. JSON для записи найденной информации в удобном виде.

Рассмотрим основные части алгоритма работы скрипта:

for ts, buf in pcap:    eth = dpkt.ethernet.Ethernet(buf)    if not isinstance(eth.data, dpkt.ip.IP):        ip = dpkt.ip.IP(buf)    else:        ip = eth.data    if isinstance(ip.data, dpkt.tcp.TCP):        tcp = ip.data        try:            if tcp.dport == 80 and len(tcp.data) > 0:  # HTTP REQUEST                if str(tcp.data).find('POST') != -1:                    http += 1                    httpheader = tcp.data                    continue                else:                    if httpheader != "":                        pkt = httpheader + tcp.data                        req += 1                        request = dpkt.http.Request(pkt)                        parsed_payload['Network'].update({'Request method': request.method})                        uri = request.headers['host'] + request.uri                        parsed_payload['Network'].update({'CnC': uri})                        parsed_payload['Network'].update({'User-agent': request.headers['user-agent']})                        if uri.find("gate.php") != -1:                            parsed_payload['Network'].update({'Traffic Purpose': "Exfiltrate Stolen Data"})                            parse(tcp.data, debug)                        elif uri.find(".exe") != -1:                            parsed_payload['Network'].update({'Traffic Purpose': "Download additional malware"})                        print(json.dumps(parsed_payload, ensure_ascii=False, sort_keys=False, indent=4))                        parsed_payload['Network'].clear()                        parsed_payload['Malware Artifacts/IOCs'].clear()                        parsed_payload['Compromised Host/User Data'].clear()                        parsed_payload['Applications'].clear()                        print("----------------------")            if tcp.sport == 80 and len(tcp.data) > 0:  # HTTP RESPONCE                resp += 1                response = dpkt.http.Response(tcp.data)                if response.body.find(b'STATUS-IMPORT-OK') != -1:                    AdMalw = True                    print('Data imported successfully')                else:                    print('C2 did not receive data')                print("----------------------")        except(dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError):            continueprint("Requests: " + str(req))print("Responces: " + str(resp))

Поиск пакетов, связанных с Pony, аналогичен поиску пакетов Loki. Ищем все HTTP-пакеты. Парсим запросы, в которых находится информация бота. Остальные запросы фиксируются, но данные в них не обрабатываются. Если в ответ на запрос получена строка STATUS-IMPORY-OK отмечаем успешную выгрузку данных. Во всех других случаях считаем, что сервер не получил данные. Если после выгрузки данных найдены HTTP-запросы с URI, оканчивающимся на .exe отмечаем загрузку дополнительного ВПО.

Рассмотрим функцию, отвечающую за снятие всей защиты с данных и импорт модулей:

def process_report_data(data, debug):    index = 0    if len(str(data)) == 0:        return False    elif len(str(data)) < 12:        return False    elif len(str(data)) > REPORT_LEN_LIMIT:        return False    elif len(str(data)) == 12:        return True    if verify_new_file_header(data):        rand_decrypt(data)    report_id = read_strlen(data, index, 8)    index += 8    if report_id == REPORT_CRYPTED_HEADER:        parsed_payload['Malware Artifacts/IOCs'].update({'Crypted': report_id.decode('utf-8')})        decrypted_data = rc4DecryptText(report_password, data[index:len(str(data))])        data = decrypted_data        index = 0        report_id = read_strlen(data, index, 8)        index += 8    if report_id == REPORT_PACKED_HEADER:        parsed_payload['Malware Artifacts/IOCs'].update({'Packed': report_id.decode('utf-8')})        unpacked_len = read_dword(data, index)        index += 4        leng = read_dword(data, index)        index += 4        if leng < 0:            return False        if not leng:            return ""        if index + leng > len(str(data)):            return False        packed_data = data[index:index + leng]        index += leng        if unpacked_len > REPORT_LEN_LIMIT or len(str(packed_data)) > REPORT_LEN_LIMIT:            return False        if not len(str(packed_data)):            return False        if len(str(packed_data)):            data = unpack_stream(packed_data, unpacked_len)        if not len(str(data)):            return False        if len(str(data)) > REPORT_LEN_LIMIT:            return False        index = 0        report_id = read_strlen(data, index, 8)        index += 8    if report_id != REPORT_HEADER:        print("No header")        return False    version_id = read_strlen(data, index, 3)    index += 8    if version_id != REPORT_VERSION:        return False    parsed_payload['Malware Artifacts/IOCs'].update({'Data version': version_id.decode('utf-8')})    hexdump.hexdump(data)    report_version_id = version_id    parsed_payload['Applications'].update({'Quantity': 0})    while index < len(data):        index = import_module(data, index, debug)    return data

После снятия обязательного шифрования, определяем метод снятия следующего уровня защиты в зависимости от заголовка. Если присутствует дополнительное шифрование с заголовком CRYPTED0 скрипт пытается подставить стандартный ключ, и при несоответствия ключа запрашивает файл ВПО, в котором находит используемый в этом боте пароль. Если заголовок данных PWDFILE0 начинаем импорт модулей приложений.

Для расшифровки мы использовали алгоритм RC4:

def rc4DecryptHex(key, pt):    if key == '':        return pt    s = list(range(256))    j = 0    for i in range(256):        j = (j + s[i] + key[i % len(key)]) % 256        s[i], s[j] = s[j], s[i]    i = j = 0    ct = []    for char in pt:        i = (i + 1) % 256        j = (j + s[i]) % 256        s[i], s[j] = s[j], s[i]        ct.append(chr(char ^ s[(s[i] + s[j]) % 256]))    decrypted_text = ''.join(ct)    data = decrypted_text.encode('raw_unicode_escape')    return data

Результат работы парсера представлен ниже. Парсер успешно снял шифрование, произвел декомпрессию и нашел похищенные данные. Следует отметить, что у каждого модуля есть несколько типов представления данных, в зависимости от найденной ботом информации. В нашем примере бот похитил данные Outlook и записал их с типом 7. На первый запрос сервер ответил боту, а остальные коммуникации не несли полезной информации.

В заключение давайте сравним исследованные data stealer'ы Pony и Loki и подведем итог. Список атакуемых приложений и у Pony, и у Loki примерно одинаков, но функционал Loki, особенно в новых версиях, шире, чем у Pony. Pony защищает все передаваемые данные в несколько уровней, что не дает определить без специального инструмента, какие именно данные похитил бот. Loki, в свою очередь, передает все данные в открытом виде, но без знания структуры запросов разобрать эти данные тоже довольно сложно.

Надеемся, эти две статьи помогли разобраться, какую опасность несут данные data stealerы и как можно упростить реагирование на инциденты с помощью реализованных нами инструментов.

Подробнее..

Kremlin RATs история одной мистификации

15.02.2021 12:06:03 | Автор: admin

Этим постом мы начинаем двухсерийный технодетектив, в котором встретились "священная триада" доменов: putin, kremlin, crimea и "крысы" программы удаленного доступа (RAT), а также шпион AgentTesla. Началась история с того, что в конце мая 2020 года сетевой граф Group-IB, наша автоматизированная система анализа инфраструктуры, начал детектировать домены с интересным паттерном *kremlin*.duckdns.org, к которым подключались различные вредоносные файлы. Аналитики Group-IB Threat Intelligence & Attribution исследовали эти домены и установили три кампании по распространению различных RAT. Они шли с 2019 года и были нацелены на пользователей из Польши, Турции, Италии, Украины, России, Казахстана, Болгарии, Беларуси, Греции и Чехии. В ходе расследования была установлена связь между обнаруженными доменами и остальной используемой инфраструктурой, а заодно и с конкретным человеком, который стоит за распространением AgentTesla и других вредоносных программ. Итак, обо всем по-порядку.

Кампания лета 2020 года

В начале список доменов, который привлёк наше внимание, выглядел так:

  • crimea-kremlin.duckdns.org

  • kremlin-afghan.duckdns.org

  • kremlin-crimea.duckdns.org

  • kremlin-turbo.duckdns.org

Данные домены были зарегистрированы на один IP-адрес 79.134.225.43 15 июня 2020 года. По данным сетевого графа Group-IB, только с этими четырьмя доменами связанно порядка 30 различных вредоносных файлов. Судя по документам-приманкам, данная кампания была нацелена на пользователей из Польши, Турции, Италии, Германии и Болгарии.

Связанная инфраструктураСвязанная инфраструктура

Дальнейший анализ показал, что в основном файлы были залиты в публичные источники, начиная с 25 июня 2020 года. Самые распространенные имена Potwierdzenie transakcji.xls, lem makbuzu, WACKER - 000160847.xls, Potwierdzenie operacji.xls. Один из таких файлов, SHA1: 95A6A416F682A9D254E76EC38ADE01CE241B3366, является документом-приманкой на польском языке и якобы отправлен от Bank Polski.

Изображения документа-приманки SHA1: 95A6A416F682A9D254E76EC38ADE01CE241B3366Изображения документа-приманки SHA1: 95A6A416F682A9D254E76EC38ADE01CE241B3366

Заражение

После активации макросов в этом документе выполняется PS-скрипт для извлечения команды второго этапа из файла lab.jpg, размещенном на удаленном сервере:

Исполняемый PS-скрипт из макросаИсполняемый PS-скрипт из макроса

В файле lab.jpg содержится обфусцированная в BASE64 команда, которая после декодирования выглядит следующим образом:

Деобфусцированное содержимое lab.jpgДеобфусцированное содержимое lab.jpg

Данный код считывает содержимое файла http://officeservicecorp[.]biz/rnp.txt, в котором и находится полезная нагрузка.

В результате выполнения данной последовательности PS-скриптов загружается и выполняется популярный NetWire RAT, который и производит подключение к своему C&C-серверу kremlin-crimea[.]duckdns.org на порт 3396.

Конфигурация NetWire RATКонфигурация NetWire RAT

Действительно, если мы вставим изначальные домены в граф с шагом 2, то увидим не только эти домены, но и остальную связанную инфраструктуру, которая участвовала во всех стадиях заражения.

Граф с шагом 2. Связанная инфраструктураГраф с шагом 2. Связанная инфраструктура

Интересно, что те файлы, которые подключались к office-service-tech[.]info, также производили сетевое подключение к ahjuric[.]si. Пример таких файлов SHA1 a3816c37d0fbe26a87d1cc7beff91ce5816039e7. Это документ-приманка на турецком языке с логотипом государственного банка Турции.

Документ-приманка на пользователей Турции. SHA1: a3816c37d0fbe26a87d1cc7beff91ce5816039e7Документ-приманка на пользователей Турции. SHA1: a3816c37d0fbe26a87d1cc7beff91ce5816039e7

Данный документ также содержит вредоносный макрос, исполняющий PS-скрипт, который считывает Code.txt с удаленного сервера и запускает цепочку обфусцированных PS-скриптов.

Исполняемый PS-скрипт из макросаИсполняемый PS-скрипт из макросаСодержимое ahjuric[.]si/code.txtСодержимое ahjuric[.]si/code.txt

Результатом выполнения обфусцированного PS-скрипта будет выполнение еще одного обфусцированного в Base64 скрипта, который в конечном счете и выполнит полезную нагрузку в виде Netwire Rat из office-service-tech[.]info/pld.txt.

Содержимое office-service-tech[.]info/pld.txtСодержимое office-service-tech[.]info/pld.txt

C&C-сервером данного образца является crimea-kremlin.duckdns[.]org.

Также мы обнаружили файлы, которые производят сетевое подключение одновременно к kremlin-turbo.duckdns[.]org и wshsoft[.]company. Название домена относит нас к WSH RAT, который основан на коде Houdini. Один из таких файлов SHA1: b42a3b8c6d53a28a2dc84042d95ce9ca6e09cbcf. Данный образец RAT отправляет на C&C-сервер kremlin-turbo.duckdns[.]org:3397 запросы вида /is-ready, а в качестве UA у него указан WSHRAT.

Сетевые запросы файла SHA1: b42a3b8c6d53a28a2dc84042d95ce9ca6e09cbcfСетевые запросы файла SHA1: b42a3b8c6d53a28a2dc84042d95ce9ca6e09cbcf

На этом этапе важно отметить, что часть используемых доменов в этой кампании была зарегистрирована на почту tetragulf@yahoo.com.

Кампания весны 2020 года

Изучая всю остальную связанную инфраструктуру, мы обратили внимание на домены, зарегистрированные на asetonly@yahoo.com. С начала 2020 года на эту почту были зарегистрированы следующие домены:

  1. nitro-malwrhunterteams.com

  2. office-data-labs.com

  3. putin-malwrhunterteams.com

  4. kremlin-malwrhunterteam.info

  5. skidware-malwrhunterteams.com

  6. screw-malwrhunterteams.com

  7. screw-malwrhunterteam.com

  8. office-services-labs.com

  9. office-cloud-reserve.com

  10. office-clean-index.com

  11. office-cleaner-indexes.com

Мы собрали более 130 различных образцов вредоносных программ из различных источников, связанных только с этими доменами. Судя по названиям и содержимому данных образцов, кампания весны 2020 года была нацелена на пользователей из Европы и стран СНГ мы обнаружили документы-приманки на украинском, белорусском, казахском, русском и греческом языках.

Первые файлы данной кампании были загружены на публичные песочницы 23 марта 2020 года. Один из таких файлов Аналз проекту.docx SHA1-d8826efc7c0865c873330a25d805c95c9e64ad05 распространялся в качестве вложения к письму Електронна розсилка_ Змнене замовлення.eml SHA1-7f1fdf605e00323c055341919173a7448e3641fb, которое было загружено на VirusTotal через веб-интерфейс из Украины.

Содержимое письма Електронна розсилка_ Змнене замовлення.emlСодержимое письма Електронна розсилка_ Змнене замовлення.eml

Заражение

Содержимое самого документа не вызывает интереса и выглядит как отсканированный лист со счетом. Однако сам документ во время запуска эксплуатирует уязвимость CVE-2017-0199. В результате выполняется команда, которая загружает полезную нагрузку в виде http://office-cloud-reserve[.]com/hydro.exe.

Исполняемый PS-скриптИсполняемый PS-скрипт

Загружаемой полезной нагрузкой является программа-шпион AgentTesla (почитать о ней вы можете тут, тут и тут). В качестве сервера для эксфильтрации данных используется ftp.centredebeautenellycettier[.]fr легитимный домен, который, по всей видимости, был скомпрометирован.

Установка FTP-соединения.Установка FTP-соединения.

Другой исследуемый файл SHA1- 19324fc16f99a92e737660c4737a41df044ecc54, который называется Байланыс орталытары.img, распространялся в качестве вложения через электронное письмо SHA1- 403c0f9a210f917e88d20d97392d9b1b14cbe310 на казахском языке c темой, относящейся к COVID-19.

Содержимое письма 403c0f9a210f917e88d20d97392d9b1b14cbe310Содержимое письма 403c0f9a210f917e88d20d97392d9b1b14cbe310

Данное вложение является .iso-образом и в некоторых случаях называется Байланыс орталытары.img. Файл монтируется в систему как образ, в котором находится лишь один обфусцированный VBS-файл SHA1: fd274f57e59c8ae3e69e0a4eb59a06ee8fd74f91 под названием Денсаулы сатау бойынша анытамалы жне деректер базасы.vbs. Данный файл по сути является загрузчиком, который выполняет обфусцированный PS-код. При его открытии происходит считывание файла http://office-cleaner-indexes[.]com/loud.jpg.

Содержимое сбрасываемого файла SHA1:fd274f57e59c8ae3e69e0a4eb59a06ee8fd74f91Содержимое сбрасываемого файла SHA1:fd274f57e59c8ae3e69e0a4eb59a06ee8fd74f91

В результате происходит загрузка и выполнение AgentTesla, который также производит эксфильтрацию данных через ftp.centredebeautenellycettier[.]fr.

Другой документ SHA1: c992e0a46185bf0b089b3c4261e4faff15a5bc15 под названием 060520.xls распространялся через письмо на греческом языке, а его содержимое выглядит так же, как и все другие в этой кампании, только на греческом языке. Его полезная нагрузка в виде NanoCore Rat подключается к screw-malwrhunterteams[.]com.

Содержимое документа-приманки 060520.xlsСодержимое документа-приманки 060520.xls

Кампания 2019 года

Продолжая исследовать инфраструктуру, связанную с tetragulf@yahoo.com, мы обнаружили, что в 2019 году на эту почту было зарегистрировано всего четыре домена, два из которых были зарегистрированы в конце февраля и участвовали в одной кампании по распространению вредоносных документов.

Список зарегистрированных доменов (подчеркнутые точно вредоносные):

  • east-ge.com

  • mariotkitchens.com

  • sommernph.com

  • kingtexs-tvv.com

Первые файлы, связанные с этими доменами, начали загружаться в публичные песочницы 18 июня 2019 года.

Список вредоносных файлов, связанных с кампанией 2019 годаСписок вредоносных файлов, связанных с кампанией 2019 года

Основная часть из этих файлов представляет собой RTF-документы, эксплуатирующие уязвимость CVE-2017-11882, а другие исполняемую полезную нагрузку. В ходе исследования этой кампании мы обнаружили письма и документы-приманки на украинском, русском, греческом, испанском и чешском языках.

Заражение

Один из первых документов этой кампании распространялся через электронную почту под разными названиями: CNC 0247.doc, ЧПУ 0247.doc SHA1:443c079b24d65d7fd74392b90c0eac4aab67060c.

Содержимое письма SHA1: b6ff3e87ab7d6bd8c7abd3ee30af24b4e3709601Содержимое письма SHA1: b6ff3e87ab7d6bd8c7abd3ee30af24b4e3709601

Согласно данным из нашего графа, этот документ устанавливает подключение к http://68.235.38[.]157/ava.hta и kingtexs-tvv[.]com.

Сетевое взаимодействие файла SHA1: 443c079b24d65d7fd74392b90c0eac4aab67060cСетевое взаимодействие файла SHA1: 443c079b24d65d7fd74392b90c0eac4aab67060c

Мы заинтересовались этим хостом и обнаружили дополнительные файлы, которые устанавливали сетевое подключение к http://68.235.38[.]157. Одни из таких файлов, Estos son los documentos adjuntos de junio.doc SHA1: 02799b41c97b6205f1999a72cef8b8991d4b8092 и New Order.doc SHA1: 25abf0f75c56516134436c1f836d9db1e770ff30, эксплуатируют уязвимость CVE-2017-11882. Во время запуска они устанавливают подключение к http://68.235.38[.]157/oyii.hta.

Содержимое http://68.235.38[.]157/oyii.htaСодержимое http://68.235.38[.]157/oyii.hta

Этот файл содержит код на Visual Basic, который выполняет обфусцированную в Base64 PS-команду на загрузку полезной нагрузки из общедоступного файлового хранилища https://m.put[.]re/Qm8He5E4.exe - SHA1: 523c5e0a1c9bc6d28f08500e96319571b57e4ba7 и сохраняет в директорию temp под именем avantfirewall.exe.

Исполняемый PS-скриптИсполняемый PS-скрипт

Загружаемая полезная нагрузка считывает содержимое из https://paste[.]ee/r/rSrae, вследствие чего выполняется Async RAT, который устанавливает подключение к своему C&C-серверу kizzoyi.duckdns[.]org на порт 8808.

Другой документ из данной кампании SHA1-1230acfd1f6f5b13a218ff8658a835997d1f0774 под названием таблиц.doc распространялся через письмо на украинском языке.

Из-за критически опасной уязвимости CVE-2017-11882, позволяющей выполнить вредоносный код без взаимодействия с пользователем, во время запуска этого документа происходит выполнение кода, содержащегося в OLE-объекте wd32PrvSE.wmf.

Ole объекты содержащиеся в SHA1:1230acfd1f6f5b13a218ff8658a835997d1f0774Ole объекты содержащиеся в SHA1:1230acfd1f6f5b13a218ff8658a835997d1f0774

В результате выполнения кода из OLE-объектов загружается и выполняется Async RAT.

Заключение

На этой ноте мы заканчиваем первую часть исследования. Мы понимаем, что этот детектив должен закончиться чем-то логичным, и в следующей части вы с новыми силами окунетесь в развязку данной истории. Пока же можете изучить наше ежегодное исследование Hi-Tech Crime Trends или взглянуть на наши вакансии.

Рекомендации

Ниже техники атакующего и защитные техники в соответствии с MITRE ATT&CK и MITRE Shield, которые мы рекомендуем использовать для защиты и предотвращения инцидентов.

Все защитные техники реализованы в продуктах Group-IB для защиты на разных этапах атаки. Если у вас будут вопросы или подозрения на инцидент обращайтесь на response@cert-gib.com.

Tactics

Techniques of adversaries

Mitigations & Active Defense Techniques

Group-IB mitigation & protection products

Resource Development

T1583. Acquire Infrastructure

ID: T1588.005. Obtain Capabilities: Exploits

ID: T1588.001. Obtain Capabilities: Malware

M1056. Pre-compromise

M1016. Vulnerability Scanning

Security Assessment

Threat Intelligence & Attribution

Initial Access

ID: T1566.001. Phishing: Spearphishing Attachment

M1049. Antivirus/Antimalware

M1031. Network Intrusion Prevention

M1017. User Training

M1050. Exploit Protection

M1051. Update Software

DTE0035. User Training

DTE0019. Email Manipulation

DTE0027. Network Monitoring

Threat Hunting Framework

Threat Intelligence & Attribution

Cyber Education

Red Teaming

Execution

T1059. Command and Scripting Interpreter

T1204. User Execution

T1203. Exploitation for Client Execution

M1049. Antivirus/Antimalware

M1038. Execution Prevention

M1021. Restrict Web-Based Content

M1026. Privileged Account Management

DTE0035. User Training

DTE0021. Hunting

DTE0018. Detonate Malware

DTE0007. Behavioral Analytics

DTE0003. API Monitoring

DTE0034. System Activity Monitoring

Threat Hunting Framework

Red Teaming

Incident Response

Fraud Hunting Platform

Persistence

T1053. Scheduled Task/Job

Defense Evasion

T1036. Masquerading

T1027. Obfuscated Files or Information

Credential Access

T1555. Credentials from Password Stores

T1552. Unsecured Credentials


M1049. Antivirus/Antimalware

DTE0007. Behavioral Analytics

DTE0003. API Monitoring

DTE0034. System Activity Monitoring

Threat Hunting Framework

Collection

T1005. Data from Local System

Command and Control

T1071. Application Layer Protocol

T1573. Encrypted Channel

M1038. Execution Prevention

M1031. Network Intrusion Prevention

DTE0021. Hunting

DTE0022. Isolation

DTE0027. Network Monitoring

DTE0003. API Monitoring

DTE0034. System Activity Monitoring

DTE0031. Protocol Decoder

Threat Hunting Framework

Подробнее..

Бег по граблям 10 уязвимостей компьютерного криминалиста

13.04.2021 12:15:42 | Автор: admin

Не кажется ли вам странным, что на фоне глобальной цифровизации, развития аппаратных и программных решений, пик популярности форензики как науки уже прошел, а интерес к ней угасает с каждым днем? Старейшие производители и поставщики решений для криминалистических исследований такие, как Guidance Software (Encase Forensics) и AccessData (Forensic Toolkit), "золотой эталон" для экспертов, детективов, следователей, судей и адвокатов, поглощены третьими компаниями. Ряд ведущих специалистов и авторов бестселлеров в области форензики по тем или иным причинам покинули эту область.... а оставшиеся специалисты частенько наступают на одни и те же грабли. Вот об этих "граблях", проблемах и "болевых точках" криминалистов решил порассуждать Игорь Михайлов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.

1. Ставить на быструю форензику

В мире компьютерных криминалистов довольно долго считались нерушимыми требования о неизменности цифровых доказательств эти принципы были описаны еще в 2000 году в документе "ACPO Good Practice Guide for Digital Evidence".

Однако современные реалии сделали эти требования в ряде случаев невыполнимыми. Например, эксперт ужене может извлечь данные из топового смартфона, не включив его. Это необходимо не только для того, чтобы создать дамп памяти устройства (что теоретически можно было бы сделать, выпаяв микросхему памяти), но и для того, чтобы извлечь ключи шифрования, без которых нельзя получить доступ к извлеченной информации. Нельзя получить прямой доступ к данным на некоторых типах накопителей, так как на них используется шифрование данных, о котором пользователь часто даже не подозревает.

Кроме того, следовать этим принципам невозможно при доступе к работающим компьютерам, серверам и информации, находящейся в оперативной памяти и телекоммуникационных сетях. Все это в совокупности с применением форензики в расследовании инцидентов (иногда ее почему-то называют быстрой форензикой) привело к тому, что требования о неизменности цифровых доказательств стали носить не обязательный, а рекомендательный характер.

Другой важный момент в том, что некоторые криминалисты отказались использовать при исследовании специальные приемы для защиты носителей информации: аппаратные средства, нужные для неизменности исследуемых доказательств, слишком дорогие.

Несмотря на риск того, что владелец мобильного устройства отдаст удаленную команду сбросить устройство до заводских настроек и информация на нем будет потеряна, криминалисты как правило не применяют дополнительные средства защиты мобильных устройств: мешки, боксы или сетки Фарадея (изделия, блокирующие электромагнитное излучение в радиодиапазоне).

Наиболее распространенный прием защиты информации, используемый при изъятии мобильного устройства перевести его в режим полета или выключить. Однако в некоторых случаях это не защищает информацию на устройстве от изменения, а иногда и от уничтожения. Кроме того, ряд производителей, например, Apple, экспериментируют с взаимодействием выключенного устройства с другими устройствами подсистемы Apple по протоколу Bluetooth. В перспективе это может позволить владельцу устройства взаимодействовать даже с выключенным аппаратом.

Наши рекомендации:

Соблюдать процедуры криминалистически правильного изъятия носителей информации, использовать клетки Фарадея.

2. Слепо доверять результатам работы программ-комбайнов

Эволюция программ для форензики привела к появлению комбайнов, которые могут обрабатывать огромное количество различных источников данных и выдавать результаты их анализа по сотням криминалистических артефактов или критериев.

В совокупности с большим потоком цифровых носителей, поступающих к криминалистам, это привело к такому явлению, как Кнопочная форензика (Push Button Forensics). Исследователь обрабатывает поступающие к нему носители информации этой программой и передает сгенерированные ею отчеты заказчику, не анализируя результаты и не проверяя их на достоверность и полноту. Увы, подобная работа быстро приводит к деградации специалистов в профессиональном плане. У них пропадает понимание того, почему получен именно такой результат, а не иной.

Наши рекомендации:

Критически подходить к результатам, получаемым с помощью программ-комбайнов. Дважды и трижды, в том числе в ручном режиме, проверять полученные от них данные они могут быть критически важны для расследования.

3.Неэффективно использовать программные и аппаратные средства

Несмотря на прогресс в создании криминалистических программ, универсальной утилиты, с помощью которой можно было бы решать все задачи форензики, так и не появилось. Это приводит к тому, что в арсенале криминалиста всегда есть несколько программ для форензики как платных, так и бесплатных. Обзор я делал тут - посмотрите, может быть пригодится. Как правило, наиболее эффективны дорогие решения. Получается следующая ситуация: пока криминалист решает одну задачу с помощью одного продукта, другиележат на полке и не используются. Учитывая, что стоимость использования подобных решений достигает нескольких тысяч долларов в год, их нерациональное использование накладно для коммерческих организаций.

К сожалению, политика добралась и до форензики. Часть криминалистических технологий и оборудования и раньше не поставлялась западными разработчиками в Россию. В этом году наибольший резонанс вызвало то, что израильская компания Cellebrite отказалась поставлять оборудование для криминалистического исследования мобильных устройств. Компания объяснила свое решение тем, что это оборудование якобы использовалось для попыток (попыток!) взлома устройств, изъятых у оппозиционера Любови Соболь. Между тем доподлинно известно, что взломать эти устройства с помощью оборудования Cellebrite невозможно у него просто нет такого функционала.

Наши рекомендации:

Постарайтесь научиться работать с минимальным набором инструментов, но использовать его максимально эффективно.

4. Не перепроверять получаемые результаты и не относиться к ним критически

Распространение кнопочной форензики привело к тому, что у части криминалистов перестало работать критическое мышление. Например, источник информации (образ жесткого диска или данные, извлеченные из смартфона) обработали с помощью нескольких программ. При этом исследователь получил три разных результата. Насколько они достоверны? Обусловлено ли различие тем, что одна программа удаляет дубли в найденной информации, а другая нет, или тем, что одна программа извлекает дополнительные сведения из других источников (например, журнала транзакций при исследовании базы данных).

Однако часто встречается следующая ситуация: криминалист восстановил удаленный файл, но он не открывается в приложении, предназначенном для подобных типов файлов. Вместо анализа того, почему это произошло (возможно, часть файла уже невосстановимо перезатерта данными другого файла), криминалист пробует восстановить этот файл другими программами.

Наши рекомендации:

Все время повышайте свой уровень, чтобы понимать, как работают программы, как и откуда они берут данные, на основе которых формируют результаты.

5. Плохо подготовиться к изъятию накопителей информации

Кроме систем экстренного уничтожения данных, современные электронные устройства зачастую имеют встроенные системы защиты, которые ограничивают доступ к пользовательским данным. Поэтому при попытках получить доступ к таким данным часто выясняется, что они находятся в зашифрованном виде, в защищенном контейнере, на спрятанном носителе (например, флешке или карте памяти) или в недоступном облачном хранилище.

Поэтому перед изъятием носителей информации надо определить, на каких носителях может находиться нужная информация, как они защищены, где находятся физически, какие пароли и иные средства защиты использует человек, у которого они находятся, и т.п.

Наши рекомендации:

Необходимо тщательно готовиться к мероприятиям по изъятию носителей информации и продумывать действия, которые смогут нейтрализовать контрмеры владельца информации.

6. Использовать распознавание текста в графических файлах и видеофайлах

В настоящее время нет ни одного форензик-продукта, который бы хорошо распознавал тексты в графических файлах и видеофайлах. Поэтому криминалист всегда стоит перед выбором: использовать интегрированный функционал по распознаванию текстов в форензик-продуктах и допускать, что часть текстов останется нераспознанной или распознанной некорректно, или применять сторонние средства (например, ABBYY). Как правило, это приводит к тому, что часть текстовых данных, находящихся на исследуемых носителях в виде графических файлов и видеофайлов, упускается из анализа при поиске по ключевым словам.

7. Следовать популярным тенденциям вопреки здравому смыслу

При проведении расследований хорошо зарекомендовали себя аналитические системы по поиску взаимосвязей. Их применение требует больших объёмов исходных данных и относительно небольших дата-центров для их хранения. Однако практически все производители форензик-продуктов зачем-то реализовали подобный функционал у себя. Причем изначально форензик-продукты не предназначены для обработки огромных массивов исходных данных, а на небольших объёмах исходных данных получить приемлемый результат крайне сложно. Кроме того, форензик-продукты часто сохраняют результаты исследований в проприетарных, несовместимых форматах, что усложняет обмен полученными данными и их использование в сторонних аналитических программах.

8. Пытаться делать все одним специалистом

Напомню, что есть следующие виды компьютерно-технической экспертизы:

  • аппаратно-компьютерная;

  • программно-компьютерная;

  • информационно-компьютерная;

  • компьютерно-сетевая.

При этом сотрудники, отвечающие за экспертизы и исследования, должны разбираться в аппаратном обеспечении компьютерных средств и систем, криптографии, сетевых технологиях, уметь исследовать базы данных, мобильные устройства и оперативную память различных устройств. Еще им нужны навыки восстановления данных, криминалистического анализа различных операционных систем и приложений, навыки в программировании и обратной разработке программных средств и так далее.

Один человек хоть разбейся в лепешку не может обладать всеми этими компетенциями. Поэтому специалист, занимающийся форензикой, может эффективно решать задачи только в определенной ее области. Для полного охвата всех задач форензики нужна команда, в которой каждый участник имеет узкую специализацию в определенной области форензики и отвечает за соответствующее направление.

Наши рекомендации:

Как сказано выше, необходимо специализироваться в какой-то определенной области компьютерной криминалистики. Оцените, что вам больше всего подходит и развивайтесь в этом направлении.

9. Работать без профильного образования и с низким уровнем подготовки

В России специальность компьютерного криминалиста можно получить только в двух вузах. Первый Московский государственный технический университет имени Н.Э. Баумана. Там на кафедре юриспруденции готовят специалистов по судебной компьютерно-технической экспертизе. Второй вуз это ведомственное учреждение, Воронежский институт МВД. Он проводит обучение по специальности Компьютерная безопасность со специализацией Информационно-аналитическая и техническая экспертиза компьютерных систем. Кроме того, на базе этого вуза проходят повышение квалификации сотрудники экспертно-криминалистических подразделений МВД, занимающиеся компьютерными экспертизами.

Так как цифровые технологии развиваются очень быстро, это играет злую шутку с выпускниками данных учебных заведений, тратящих годы на обучение. Зачастую по окончании вуза им требуется не просто небольшая актуализация полученных знаний, а кардинальное переобучение.

Еще одна проблема отсутствие в вузах преподавателей, которые бы, c одной стороны, занимались практической деятельностью, связанной с форензикой, а с другой стороны обучением. Это необходимо, чтобы преподаватель понимал, чему и как учить студентов, актуализировал учебные материалы под существующие тренды в форензике.

Еще плохо, что книг на русском по форензике довольно мало. Информация в существующих изданиях относится к началу или середине нулевых годов и в современных реалиях безнадежно устарела. К тому же в некоторых переводах есть ошибки и неточности.

Как правило, актуальные книги и статьи по форензике можно найти только на английском языке. К сожалению, многие не владеют английским на уровне, нужном для чтения и понимания технической литературы.

Наши рекомендации:

Пройдите учебные курсы на базе образовательных учреждений. Повысить квалификацию можно на курсах, проводимых HackerU, Академией информационных систем, учебными центрами Информзащита и Специалист, Group-IB и Kaspersky.

Учите язык. Благо технический английский довольно прост. С его помощью можно быть в курсе последних тенденций и новостей в компьютерной криминалистике. Вот, например, полезная подборка книг, которую должен прочитать любой компьютерный криминалист.

10. Остановиться в своем развитии, пеняя на необъективный рынок труда

Есть довольно затертая, но меткая цитата Льюиса Кэрролла, которая годится и для нашей темы: в форензике, чтобы оставаться компетентным, надо бежать изо всех сил. А чтобы развиваться в ней, надо бежать еще быстрее. Таковы наши реалии.

Однако многие действующие криминалисты не готовы тратить деньги и прикладывать огромные усилия, чтобы следить за всеми изменениями, поддерживать свои знания в актуальном состоянии и развивать их.

На рынке труда складывается уникальная ситуация. Работодатели предъявляют высокие требования к компетенциям криминалистов, но обычно не готовы адекватно оценивать их работу. Например, от специалиста в области форензики, требуется знание основ обратной разработки (реверса). При этом специалисту в области реверса готовы платить на 20-35% больше, чем специалисту в области форензики (причем требования к реверс-инженеру в целом значительно ниже). Еще печальнее ситуация выглядит, если сравнить уровень зарплат криминалиста и программиста и требования к ним. Криминалисту приходится тратить гораздо больше усилий, чтобы получать столько же или меньше, чем специалисты из смежных областей. Подобные условия приводят к оттоку специалистов из форензики в другие области, связанные с информационными технологиями, программированием и информационной безопасностью.

Наши рекомендации:

Покажите работодателю, насколько важна ваша работа и насколько вы ценный специалист.


Вывод? Мне кажется, он достаточно простой: форензика переживает непростые времена. Для того, чтобы она могла и дальше защищать интересы пользователей и бизнеса, нужно переосмыслить место этой научной дисциплины в сегодняшнем мире или трансформировать ее в соответствии с современными тенденциями и потребностями общества.

Подробнее..

Артем Артемов Компьютерная криминалистика это чистый дофамин

03.06.2021 10:20:31 | Автор: admin

Профайл:

Имя: Артем Артемов.

Должность: Руководитель Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB (Амстердам).

Профессия: Digital Forensics Analyst

Образование: Инженер-математик. Окончил МИРЭА по специальности Прикладная математика.

Возраст: 37 лет.

Чем известен:14 лет опыта в цифровой криминалистике, в расследовании компьютерных инцидентов и реагировании на сложные инциденты по всему миру. Принимал участие в расследовании деятельности таких преступных групп, как Carberp, Anunak, Buhtrap, Corcow, Cobalt, MoneyTaker, Cron. Артем выступал ведущим криминалистом во многих резонансных делах.Из тех, что известны всем, например, расследовании накруток голосов в шоу Голос.Дети.До отъезда в Амстердам велавторские курсы по цифровой криминалистике в МГТУ им. Баумана, ВШЭ, МИРЭА, РАНХиГС и Академии МВД. Теперь читаете лекции в европейских учебных заведениях, например,в University of Twente иCaland Lyceum.

Про компьютерную криминалистику, математиков и цифровые следы

С ноября прошлого года я руковожу Лабораторией компьютерной криминалистики в нашем европейском офисе в Амстердаме. В Европе работать и легче, и сложнее одновременно. С одной стороны, здесь меньше бюрократии если происходит инцидент, например, атака программы-шифровальщика, клиенту достаточно прислать нам письменное подтверждение: Согласны на ваши условия начинайте работать! и все сразу закрутится-завертится без долгих этапов согласований.С другой стороны, вЕвропе сильнее конкуренция и более строгие требования к Incident Response (Incident Response это мероприятия по реагированию на инцидент информационной безопасности). Ещё один плюс в том, что полиция европейских стран работает быстрее и, как мне кажется, больше заинтересована в раскрытии каждого дела, поэтому довольно легко идет на взаимодействие с нами. Это ситуация win-win: если мы на месте получаем новые данные о локальных киберугрозах, группах и инструментах, то улучшаем наши продукты для сбора данных об атакующих, проактивной охоты за хакерами и защиты сетевой инфраструктуры, а, значит, можем предотвращать ещё больше новых преступлений.

Любое новое дело для меня это задачка, а математики любят сложные задачи. Если какого-то элемента в моем пазле не хватает, это сводит меня с ума: Вдруг я что-то упустил? Вдруг где-то не доработал?.Важно собрать пазл целиком до последнего кусочка. Каждая найденная цифровая улика приносит новую дозу адреналина, и дофамина, и эндорфина. Разгадывать загадки всегда интересно, но еще большее удовольствие доставляет, когда доводишь дело до конца.

Моя основная задача как компьютерного криминалиста исследование цифровых носителей. Ноутбуки, смартфоны, диски, флешки все, что угодно. Даже умный холодильник, подключенный к интернету, тоже оставляет цифровые следы. Вот вы можете не знать, как за вами следят потихоньку, что вы едите. Проще говоря, наша задача найти улики, следы преступников в цифровом мире. Если раньше криминалистика занималась расследованием преступлений в материальном мире офлайне: эксперты снимали отпечатки пальцев, анализировали следы пепла или пороха, образцы тканей и так далее, то в век развития информационных технологий появилось новое направление. Теперь мы ищем цифровые отпечатки в киберпространстве.Мы - киберкриминалисты.

Представьте, что произошла атака на большое промышленное предприятие. Мотив шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от нее попадаем на какой-то левый сервер, начинаем копать и буквально минут за сорок находим следы заражения и куски знакомого кода. Несколько дней ты находишься буквально в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И все совпадает: к офису подруливает машина, человек внутри открывает ноутбук и в это время идет подключение к сети организации через их wi-fi точку. Да, да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определенное время вся коммуникация заканчивается, машина уезжает. Щелк. Пазл сложился. Мы сделали это!

Group-IB и "Люди в черном"

Первое мое впечатление от Group-IB люди в черном. Вообще я работаю экспертом- криминалистом довольно давно с 2007 года. Однажды в2011 году один из моих коллег отправился на выезд в спорткомплекс Олимпийский там прямо во время футбольного матча нужно было решить одну техническую задачу. Параллельно с ним на место приехали какие-то ребята в черных костюмах с чемоданами криминалистического оборудования. У него небольшой шок был: что это еще за люди в черном? Через несколько месяцев мой коллега уходит к ним в Group-IB на работу, а потом зовет меня: Тёма, здесь прям круто, давай к нам.

Честно признаюсь, было страшновато уходить в частную компанию, которая тогда еще была фактически стартапом, но в Group-IB я увидел совершенно другой уровень криминалистики. Пришлось учиться на ходу у коллег и все делать самому: разбираться, как произошло заражение, какие следы оставил вирус, что делали атакующие в сети и как выводили деньги восстанавливаешь всю картину преступления по шагам. Кроме форенсик-методик, которые использовали в Group-IB, в компании зарождались технологии слежения за киберкриминальным миром. Это позволяло ускорять расследования, быстро сопоставлять полученные результаты с эпизодами в прошлом Для меня это было кино, Голливуд. При этом появилась свобода в ресурсах: технических, образовательных. И свобода во времени. Ты мог заниматься делом столько, сколько тебе потребуется для его решения.

Я еще застал эту традицию человеку, который приходил на работу в Group-IB, выписывали определенную сумму на покупку делового костюма. И мы в этих строгих черных костюмах должны были ездить к клиенту. Плюс у нас был большой черный чемодан, в котором лежали устройства для снятия криминалистических образов, жесткие диски, шнуры и переходники. Со временем выездов стало все больше и больше: утром летишь в Самару, вечером возвращаешься обратно в Москву, через день летишь в Бангкок. Мы стали ездить просто с сумками и рюкзаками, потому что это удобнее, чем таскать огромный чемодан, потом от костюмов тоже начали постепенно отходить потому что нельзя все время держать костюм под рукой.Но такая традиция была и она запомнилась...

Про первые расследования, цифровизацию преступности и главную мотивацию хакеров

Отлично помню одно из моих первых дел как эксперт-криминалист я участвовал в задержании одного из организаторов группы Carberp. От их действий пострадали клиенты 100 банков по всему миру, только за три первых месяца 2012-го киберпреступники похитили минимум 130 млн рублей. Злоумышленник жилна 15-м этаже 16-этажного дома, на юге Москвы. Раннее утро, примерно половина седьмого. У нас была цель попасть в квартиру таким образом, чтобы у него еще работал компьютер. Для этого часть группы захвата заходила в квартиру через окна. Мы услышали грохот. Сильный грохот. Дверь квартиры открылась, и мы забежали внутрь. В темноте рыскали красные точки лазерных прицелов, слышался звон падающих на пол осколков разбитых окон, и раздавались крики: На пол!, Включите свет!. Подозреваемый ползал по полу коридора в трусах и визжал. Я осмотрелся: на рабочем столе в комнате стояли ноутбук и моноблок, раскиданы флешки и телефоны, так я писал в отчете по итогу операции, который потом цитировал Forbes. Задержанный был дроповодом, то есть руководил людьми, которые занимаются выводом и обналичкой украденных денег. В квартире мы нашли много мобильных телефонов, флешек, всего, что нужно для дроповодства. Потом я же исследовал его компьютер, это уже было дело чести для меня мы его вскрыли, нашли виртуальные машины, всю переписку с его подельниками все, что было нужно следствию. Напомню, что это был 2011 год, хакеры тогда были слабее и медленнее, чем сейчас, да методы борьбы с ними примитивнее. И с тех пор мы не просто параллельно с ними развиваемся, но и обгоняем их с помощью наших технологий. Это высший пилотаж предотвращать киберпреступления еще на этапе их подготовки.

Сразу скажу, Group-IB не полиция, поэтому не имеем права задерживать людей, проводить обыски и тд. Но по российскому законодательству при изъятии техники должен присутствовать технический специалист. Поэтому нас привлекают в качестве экспертов при задержании и обыске у подозреваемых. По УПК в вещдоки нельзя вносить никаких изменений: если было три грамма какого-то вещества, должно остаться три грамма. То же самое с информацией: было какое-то количество байт, то новых появиться не должно. Если просто подключить жесткий диск к чужому компьютеру, останутся следы о подключении и на компьютере, и на жестких дисках. С помощью наших криминалистических инструментов не остается никаких следов. Мы сняли копию, с которой можно работать, восстанавливать информацию, а оригинал опечатывается и убирается в сейф как главный вещдок до суда, куда нас также приглашают в качестве экспертов. За все годы, что существует наша Лаборатория компьютерной криминалистики, у суда не было ни одного отвода эксперта из Group-IB.

Есть много историй о том, как классическая преступность перешла в цифру. Одна банда в Москве скручивала номера у автомобилей и потом требовала от владельцев выкуп за то, чтобы их вернуть. В какой-то момент, когда все столичные дворы и улицы нашпиговали камерами видеонаблюдения, преступники поняли, что риски выросли. И их скоро поймают. Они переключились на рассылку программ-вымогателей, которые шифруют компьютеры, и требуют от жертвы выкуп в криптовалютах. Другой пример: мошенник-рецидивист занимался рейдерскими захватами, в СИЗО он познакомился с парнем, который разбирается в компьютерах и понял, где можно заработать. Они набрали персонал и сняли офис в Москве под вывеской Восстановление данных, но на самом делеих работа заключалась в том, чтобы удаленно заходить на компьютеры, зараженные вирусом Carberp, и переводили деньги с чужих счетов на свои счета. Масштабы росли, что они даже задумывались о том, чтобы нанимать разработчиков из Китая или Индии перевозить их в Москву.

Очень часто особенно от иностранных журналистов - приходится слышать, что русские хакеры самые крутые. Зачастую это миф, хотя бывают и исключения. Несколько лет назад до 40% заражений по всему миру происходило с помощью экслойт-кита (набор эксплойтов, платформа для незаметного распространения вредоносных программ) под названием Balck Hole.Собрал его житель Тольятти, которого называли Punch. У него был очень клиентоориентированный бизнес: в Balck Hole постоянно добавлялись новые эксплойты и удалялись старые, которые легко детектировались антивирусами. Была у Punch мечта купить белый Porshe и он ее осуществил. Но потом жаловался на форуме автомобилистов, что из-за большого живота поцарапал пряжкой ремня новенький руль эта деталь помогла вычислить владельца. Пришлось Punch сесть на диету. В апреле 2016 года он получил 7 лет лишения свободы в колонии общего режима.

Организаторы преступных групп, которых мы задерживаем, очень часто не являются технарями они сами не пишут код и не взламывают банки. При этом они организаторы, управленцы, которые стараются в виртуальном мире построить криминальную пирамиду иерархию из мальчиков-гиков, технических специалистов, заманивая их большими деньгами. Яркий пример группа Cobalt, котораяза 2 года украла около 1 млрд евро у 100 банков по всему миру. Cobalt специализировалась на целевых атаках на банки, а деньги выводили через систему управления банкоматами, систему межбанковских переводов (SWIFT), платежные шлюзы и карточный процессинг. В апреле 2018в испанском городе Аликанте был задержан один из руководителей этой группировки. Сначала в СМИ прошла информация, что это лидер и что группа ликвидирована. Но буквально на следующий день продолжились фишинговые рассылки от Cobalt. На самом деле был задержан один из лидеров, связанный с обналом (обнальщиков и мулов ловят чаще всего), а технари остались на свободе. То есть группа довольно живучая, с достаточно независимой системой управления. Если кого-то хлопают подключается другой.Ну а сейчас все такие группы переключились на "партнерки" с операторами шифровальщиков. Но это другая история.

Случается, что технари-разработчики не знают, что они работают на cybercrime. В мессенджере или на форуме им ставят задачу: нужно написать вот это и вот это. Ребята догадываются, что делают что-то не совсем законное, но не знают, кто и где будет использовать их разработку. Однажды мы участвовали в задержании одного очень непутевого парня из Самарской области. Когда его задержали и начали допрашивать он сразу во всем сознался: да, я писал инжекты под банковские ресурсы, чтобы эти окна всплывали поверх на страницах сайтов банков. И когда он понял, что ему платили по сто долларов, а на этом зарабатывали миллионы, он был неприятно удивлен и расстроен. Ему, кстати, дали условно.

Раньше киберпреступникам часто давали условные сроки. Тогда, в 2010- 2012 годах еще и судьи не понимали, как с этим работать. Если человек украл 50 000 рублей из ларька это сразу точно срок. А если несколько миллионов с помощью какой-то "цифровой магии" то это условно. Сейчас уже появились следователи, судьи, которые хорошо разбираются в делах о киберпреступлениях. В закон внесены соответствующие поправки, работает 272 и 273 статья УК РФ, есть дополнение к 159 статье. А раньше часто приходилось всё подробно объяснять, что такое компьютер, диски.

Жажда денег это главный мотив киберпреступника. Если он однажды заработал за неделю 20 млн рублей, потом еще 30 млн рублей и ему это сошло с рук, включается жадность. Он уже психологически не может перестроиться на обычную работу за 60 000 рублей. Вот история двух братьев из Санкт-Петербурга. Первый раз их задержали в 2011 году с помощью фишинга они увели у клиентов российских банков 15 млн рублей. Дали 6 лет, но условно. Они вышли и практически сразу начали заниматься тем же самым. С марта 2013 по май 2015 года их группа получила доступ к сотням счетов клиентов ведущих российских банков и похитила более 12,5 млн рублей. При этом братья уже подготовились к новому аресту: переехали в новую квартиру, с большой железной дверью, купили электромагнитную пушку (она накапливает заряд и при нажатии кнопки разряжается в то, к чему подключена, допустим к жесткому диску он тут же размагничивается). И вот, на них снова вышли. Так получилось, что первого брата мы поймали на лестничной клетке между этажами. Он успел отправить второму смс с кодовым текстом: Я люблю тебя, Лола. Тот заперся в квартире, на призывы открыть отвечал: Не-не-не, размагнитил пушкой жёсткий диск с уликами. После этого побежал сливать в унитаз и флешки, и даже деньги полмиллиона рублей пятитысячными купюрами намертво забили санузел.

Сложно составить портрет среднестатического киберпреступника, они разные, но их объединяет одно деньги. Вот один тип:человек лет тридцати, накачанный, играл в хоккей, завсегдатай ночных клубов, где мог потратить за ночь 100 000 рублей. Это был довольно эпатажный человек, он не знал уже, куда тратить деньги. Когда у него отняли права, он просто через окно высовывал ДПС в окно пятитысячные купюры. Другого пухленького паренька 25 лет, который на несколько минут смог положить DDoS сайт серьезной финансовой организации, задерживали в далеком городе Саянске, от Иркутска км 300. Обычный дом. Позвонили, открывает мама. Заходим к нему в комнату, там компьютер, два монитора: на одном развернута панель управления DDoS-бота, в котором уже вбит адрес потенциальной жертвы. На втором переписка с заказчиком DDoS. Мы спрашиваем: Зачем ты это делаешь?. У нас можно либо на шахте, либо на птицефабрике работать. Кур не люблю у меня аллергия. На шахту тоже как-то не хочется. За DDоS он получил около трех тысяч долларов. Для этого города сумма, как вы понимаете, фантастическая.

За последние годы вообще киберпреступность вообще сильно изменилась. Теперь группы хакеров более быстрые и технологичные, они не ограничены в перемещениях, могут находиться в любом местепланеты и атаковать жертву на другом конце земного шара. Стало гораздо меньше одиночек, все больше группами работают, объединяются. Кроме того, хакеры все больше начинают пользоваться легальными инструментами, которые используют аудиторы, пентестеры, системные администраторы они пытаются маскироваться, чтобы как можно дольше оставаться незамеченными. Сейчас при наличии денег киберпреступники могут купить себе любой хакерский инструментарий вплоть до разработок спецслужб. Взломать можно что угодно, а возможности хакеров зависят от того, сколько денег они готовы вложить. Большинство организаций, госучреждений, частных компаний сильно отстают в уровне защиты.

До того, как три волны вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit а это была настоящая эпидемия погрузили мир в состояние хаоса, к киберпреступлениям относились так, как будто они не совсем настоящие. Понимание опасности приходит с опозданием, к сожалению. Если до 2018 года шифровальщики использовались, как средство вымогательства денег то здесь атаке подверглись стратегические объекты: метро, аэропорты, госучреждения, ГИБДД, которое перестало выдавать права. После этой атаки компьютер проще выкинуть, чем восстанавливать. Фактически это было тестирование нового кибероружия часть инструментов использовалось с утечек АНБ, за которыми стоят прогосударственные хакерские группировки.Сейчас же о шитфровальщиках знают практически все. Злоумышленники не только шифруют компании с требованием выкупа, но ещё и похищают критически важные конфиденциальные данные организаций, требуя выкуп ещё и за то чтоб не опубликовать их в открытом доступе. Например на днях, за день до презентации новой продукции Aplle группа REvil выложила в открытый доступ чертежи, похищенные у партнера-разработчика - Quanta Computer.

Про будни компьютерного криминалиста и переезд в другую страну

Когда я начал работать в Group-IB, первые год-два, то мы всегда ориентировались на зарубежные наработки, тактики, ведь там, например, в Англии, США уже были признанные лидеры на мировом рынке информационной безопасности. А потом мы начали сталкиваться с ними в некоторых проектах. Оказалось, что мы не хуже, а в каких-то аспектах даже лучше. Был случай, когда мы приехали в один банк, где произошел инцидент. До нас там уже поработала команда реагирования из зарубежной компании. Они что-то нашли, но очень мало, какие-то крохи. Мы взялись за дело, думая, что ну нам здесь, вероятно, тоже ловить нечего. Но за первую неделю мы полностью нашли и восстановили всю цепочку следов как началось заражение, с какими инструментами работали преступники Заказчик был в шоке. Так мы поняли, что мы не просто можем, мы лучше. И такие ситуации происходят все чаще. Мне кажется, что зарубежные компании, их специалисты привыкли работать по стандартам и шаблонам. То есть у них есть уже какое-то программное обеспечение, с которым они работают, проверенные алгоритмы. И они придерживаются одной стратегии. А у нас такой, более свежий взгляд, мы с самого начала стремились нетривиально решать все проблемы, с которыми сталкивались.Иногда мы слышим отзывы о себе от тех же иностранных компаний: а, здесь работали Group-IB, ну тогда, скорее всего, они все уже нашли. Здесь возникает чувство, что никаких авторитетов больше нет, что мы можем сами и гораздо лучше.

В группе по реагированию обычно работают 2-3 человека один криминалист, один вирусный аналитик и как правило, еще один криминалист. Наша работа происходит так: кто-то выдает теорию, пытаемся ее подтвердить или опровергнуть. Это не просто какая-то версия, а именно теория потому что теорию можно доказать. Если ты даешь теорию значит, у тебя точно есть варианты, как доказать, что это так. Либо доказать, что это не так. Теория проверилась идем дальше: либо да, либо нет. Одновременно с этим другой криминалист читает огромные простыни журнальных файлов, пытается зацепиться за какой-то момент, который может быть интересен. Любое действие журналируется включение компьютера, сбой приложения, удаленное подключение к вам все это где-то прописывается. И даже факт того, что журналы были удалены или очищены в определенное время для нас это уже очень о многом говорит. Находим момент, за который как за якорь можно здесь закрепиться. Мы знаем, что здесь удалены журналы значит, нужно проверить, что было в это время и посмотреть, на каких машинах еще удалены журналы. Это уже будет база.

У каждой преступной группы есть свой почерк, набор инструментов, способы атаки. И, если мы почерк узнаем, то уже можем определить алгоритм действий. Хакеры знают, что мы их ищем, поэтому пытаются лучше скрывать свои следы, подчищать за собой все, что можно подчистить. Кому-то может показаться, что работа у нас очень скучная: мы идем по следам. Но точно также, как работал Шерлок Холмс: ищет факты, на их основе выстраивает теории и подтверждает их или опровергает.Но мы все равно найдем то, что было удалено, либо построим атрибуцию, основываясь на исторических данных.

Мы ищем странное. В этом случае это было событие, зафиксированное в журнале системных событий. Выделяющаяся из остальных. Давай-ка посмотрим, что на этом сервере происходило в этот промежуток времени. Это мы уже умеем делать, как криминалисты что там, какие программы запускались. И мы видим, что там был определенный доступ. Вирусный аналитик в это время разбирает странный код, который мне не понравился.

Всегда очень интересно находить новые вредоносы, которые никто не знает и нигде не видел. Я вижу программу, которая в определенный момент загрузилась, и начало происходить что-то странное. Но она никем нигде еще не детектируется. Отдаем нашим вирусным аналитикам, они разбирают, говорят: Да, это 100% новые вредонос. А как мы его назовем? И в этот момент, когда они спрашивают, как мы его назовем на их лицах читается абсолютное счастье.

Идея переезда в другую страну зародилась у меня очень давно. Вернее поселил её в моей голове один наш бывший сотрудник. В 2012 году, когда наша Лаборатория еще теснилась в небольшом кабинете, он вошел что-то спросить и на прощание задержался в дверях, обернулся, обвел нас взглядом и сказал с видом оракула: Смотрю я на вас и вижу в каждом руководителя какого-то зарубежного офиса. С тех пор эта мысль была со мной где-то на фоне, она превратилась в мечту. А в Group-IB принято визуализировать и исполнять мечты. Нидерланды прекрасная страна с высоким уровнем жизни. Живописные каналы, много зелени, пенье птиц. Никаких пробок [в городе], все пересели с авто на велосипеды. Здесь легче поддерживать то, что называется модным словом work-life balance. Плюс командировки в Италию, Швейцарию, Германию.

C 2012 примерно года я еще и преподаватель. Мы обучаем по большей части не студентов, а безопасников тех, кто уже работает в банках или больших организациях, они знают, как у них все выстроено и как все здорово. И вдруг они узнают, как это в мире все сейчас на самом деле происходит. У многих открываются глаза. Вообще, преподавать это приятно. Студентам приятно вдвойне. После нашего расследования по Голосу как-то меня пригласили выступить на конференции МВД обсуждали компьютерную криминалистику, новые техники взломов, трояны и т.д. А потом ко мне подходил полковник и шепотом спрашивает: Ну, что там было с Голосом? Вбросили?

Для того, чтобы погрузиться в профессию или прокачаться как Digital Forensics Analyst, советую посмотреть этот небольшой, но весьма полезный список литературы, которую собрал мой коллега Игорь Михайлов, в том числе там несколько книг, которые опубликовал Олег Скулкин (на фото справа). Кроме того, рекомендую внушительную подборку материалов от криминалиста Kevina Pagano, Digital Forensics Analyst at Siemens Healthineers. Тут вы найдете ссылки на полезные криминалистические утилиты, плакаты и постеры, RSS-рассылки и блоги, тестовые образы для тренировки, подкасты и влоги. Очень полезно берите на заметку!

Как стать Digital Forensics Analyst? Серия практических онлайн-курсов разных уровней погружения по проведению криминалистического анализа зараженных хостов. Чтобы помочь вам и вашим ИБ-специалистам бороться с участившимися атаками, эффективно проводить криминалистические исследования и противодействовать киберинцидентам в будущем, Group-IB запустила серию технических обучающих курсов по компьютерной криминалистике для специалистов разного уровня подготовки от новичков до экспертов.

И по традиции, начатой в предыдущей публикации нашего проекта о профессиях и специалистах Group-IB, еще одно важное объявление. Group-IB усиливает команду технических специалистов: стань частью команды и меняй мир вместе с нами! Сейчас открыто 120+ вакансий, в том числе 60 для технических специалистов. Подробности тут. Group-IB это новое поколение инженеров. Мы воплощаем смелые идеи, создавая инновационные технологии для расследования киберпреступлений, предотвращения кибератак, слежения за атакующими, их тактикой, инструментами и инфраструктурой.

Присоединяйся!

Подробнее..

Cassandra криптор, который любит держаться в тени

16.06.2021 18:22:08 | Автор: admin

Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и в этом раз. Внутри архива находился исполняемый файл Cassandra Crypter популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.

Работу Cassandra можно условно разделить на два этапа. На первой стадии загружается вспомогательная библиотека, которая извлекает основную часть криптора из исходного файла. На второй криптор раскрывает весь свой потенциал.

Первая стадия

Cassandra маскируется под легитимное приложение. В точке входа располагается стандартная для приложений Windows Forms функция запуска.

Конструктор формы также выглядит стандартным, ничем не отличающимся от легитимного приложения.

При детальном анализе был обнаружен вызов функции aaa(), которая содержит вредоносный функционал. Ее вызов приводит к расшифровке и подгрузке вспомогательной dll.

Для расшифровки используется алгоритм AES.

После подгрузки вспомогательной dll вызовется одна из её функций, в результате чего будет получена и запущена вторая стадия криптора.

Вторая стадия содержится в изображении, в зашифрованном виде, в исходной сборке.

Для расшифровки используется операция XOR, ключом для расшифровки являются первые 16 байтов исходного изображения.

В первой стадии злоумышленники практически не используют средства противодействия анализу, отладки и так далее, за исключением обфускации дополнительной библиотеки.

Вторая стадия

Вторая стадия представляет собой исполняемый файл .Net Framework.

Конфигурационный файл

Ключ, который используется на первой стадии расшифровки пейлоада

"baAsaBBxDT"

Поле, содержащее пейлоад в расшифрованном виде

Поле содержащее сырой (не разобранный) конфиг

"0||0||0||0||0||||||0||0||0||0||||||||||||||0||0||0||0||0||0||0||0||v2||0||3046||0||0||||||0||0||0||||"

Поле, содержащее подготовленный конфиг

Поле, содержащее флаг типа инжекта

0

Поле, содержащее флаг закрепления в системе

0

Поле, содержащее имя файла после закрепления в системе

"YhwcrydjrNS"

Поле, содержащее название мьютекса

"ljrSLVyCApWxcUE"

Неиспользуемое поле

0

Поле, содержащее информацию об использовании загрузчика

0

Поле, содержащее информацию о пути до загруженного файла

0

Поле, содержащее ссылку на пейлоад

0

Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск

0

Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск строк в пути файла

0

Неиспользуемое поле

0

Неиспользуемое поле

0

Поле, содержащее информацию об использовании Fake MessageBox

0

Текст заголовка Fake MessageBox

0

Текст Fake MessageBox

0

Информация о кнопках Fake MessageBox

0

Информация об иконке Fake MessageBox

0

Количество секунд, в течение которых приложение будет бездействовать

0

Функция, осуществляющая разбор конфигурационного файлаФункция, осуществляющая разбор конфигурационного файла

Полезная нагрузка

Полезная нагрузка содержится в крипторе в зашифрованном виде. Расшифровка проходит в два этапа:

1. В цикле осуществляется побайтовый XOR шифрограммы, ключа и значения операции XOR от последнего элемента байта шифрограммы и 112. Полученные значения сохраняются в созданный массив. Ключ для первой стадии содержится в конфигурационном файле.

2. Осуществляется дешифрование, аналогичное тому, что было на первой стадии: используется операция XOR, в качестве ключа используются первые 16 байтов массива, полученного на первом этапе.

Закрепление в системе

Закрепление в системе осуществляется через создание отложенной задачи. Файл копируется в директорию AppData//{имя файла, заданное в конфиге}+.exe. После этого исходный файл удаляется и создается задача на выполнение.

Anti-VM

В функции осуществляется поиск виртуальных видеоадаптеров и специфических ключей реестра, свойственных для виртуальных машин.

Anti-Sandbox

Реализованы три функции противодействия песочнице:

  • Детект изолированной среды. Функция проверяет путь до исполняемого файла и ищет в нём специфические строки, таких как \\VIRUS, SAMPLE, SANDBOX и т.д. Также осуществляется поиск окна, свойственного WindowsJail, и библиотеки SbieDll.dll, загруженной в процесс.

  • Попытка обхода песочницы по таймауту. Реализована при помощи стандартной процедуры Sleep.

  • Попытка обхода песочницы по user activity. Реализована при помощи показа Fake MessageBox.

Защита от повторного запуска

Реализована путем создания мьютекса с заданным именем в системе.

Функционал

Downloader

Реализована функция загрузки пейлоада из сети.

Запуск полезной нагрузки

Содержит два варианта запуска пейлоада:

1. Загрузка в память при помощи функций .Net Framework.

2. Инжект полезной нагрузки в запущенный процесс. Есть возможность выбора из нескольких процессов.

На данный момент Cassandra достаточно распространенный тип крипторов. Как правило, злоумышленники используют его в массовых рассылках, чтобы незаметно запускать на машине пользователя вредоносное ПО. Cassandra позволяет запускать даже хорошо изученные семейства ВПО.

Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru