2023 рік був прибутковим для зловмисників-здирників: лише за перші шість місяців організації-жертви заплатили $449,1 млн. Підтримання такого грошового потоку вимагає частої зміни технологій, і, можливо, саме тому все більше зловмисників використовують легальне програмне забезпечення для розповсюдження свого шкідливого ПЗ.
Зловживання наявними корпоративними інструментами організацій може допомогти зловмисникам злитися з середовищем під час розвідки, а також сприяє підвищенню рівня привілеїв і наполегливості зловмисників. Поєднання цього методу з програмами-вимагачами як послугами (RaaS) також знижує бар'єр для проникнення, усуваючи необхідність для зловмисників створювати шкідливе програмне забезпечення, що вимагає навичок, ресурсів і часу. Це означає, що більше зловмисників можуть вступити в гру і завдати більшої шкоди.
Корпоративне програмне забезпечення – не єдина ціль. Відомо, що зловмисники також використовують вразливості, знайдені в програмному забезпеченні з відкритим вихідним кодом (ПЗВК), впроваджують в ПЗВК власне корисне навантаження і використовують його замість створеного на замовлення шкідливого програмного забезпечення. Згідно з нещодавнім звітом Агентства кібербезпеки та безпеки інфраструктури США (CISA), сумнозвісна операція Lockbit використовувала легальне вільне програмне забезпечення для низки зловмисних цілей на кшталт мережевої розвідки, віддаленого доступу і тунелювання, скидання облікових даних і викрадення файлів.
Коли зловмисники використовують легальні інструменти, традиційні рішення для захисту кінцевих точок навряд чи зможуть їх впіймати, якщо тільки не використовувати можливості аналізу поведінки, щоб відмічати незвичні входи, підвищення привілеїв, виконання програм або інші ризиковані дії.

Відстеження зловживань легальним програмним забезпеченням по всьому ланцюжку атак

Зловмисники все частіше використовують легальне програмне забезпечення у своїх цілях на різних етапах життєвого циклу атаки. Вони застосовують багато різних тактик, методів і процедур (TTP) для досягнення своїх цілей, зокрема й наведені нижче приклади.
Початкове зараження. Коли справа доходить до отримання початкового доступу, ви самі обираєте, як вам краще вчинити. Деякі зловмисники використовують експлойти, такі як використання поширених вразливостей (CVE) проти вразливих цілей. Вони також крадуть, підробляють, змінюють файли cookie або маніпулюють ними з вебсесій користувачів, щоб отримати доступ. Або ж надсилають фішингові електронні листи та обманом змушують користувачів завантажувати легальні програми. Наприклад, у січні 2023 року CISA попередили про широкомасштабну кампанію за участю програмного забезпечення для віддаленого моніторингу та управління (RMM), яке після завантаження може бути використане у схемі шахрайства для крадіжки грошей з банківських рахунків жертв.
Наполегливість. Зловмисники також використовують легальне програмне забезпечення для створення бекдорів з метою забезпечення стійкості та/або командування і контролю (C2). Водночас вони можуть використовувати їх для обходу MFA та/або їх модифікацій, для відключення наявних засобів захисту (щоб уникнути виявлення від припинення процесів, захищених системою виявлення та реагування на загрози (EDR), а також для модифікації/видалення ключів реєстру чи конфігураційних файлів. В описаних вище атаках RMM-вимагачів зловмисники використовували портативні виконувані файли програмного забезпечення для отримання доступу без необхідності локальних адміністративних привілеїв або повної інсталяції програмного забезпечення. Це дозволило їм ефективно обійти звичайні засоби контролю програмного забезпечення щодо управління ризиками, як зазначають CISA.
Багато програм за замовчуванням запускаються на комп'ютері. Викрадаючи ці програми, зловмисники можуть гарантувати, що їхні шкідливі програми також працюватимуть. Вони також можуть зловживати такими функціями додатків, як планувальники завдань (які запускають програми або скрипти в заздалегідь визначений час або через певні проміжки часу), щоб підтримувати стійкість. Навіть легітимні інструменти, вбудовані в операційну систему, такі як living-off-the-land binaries (LOLbins), можуть бути зловмисно використані для замітання слідів зловмисників, отримання стійкості або ескалації привілеїв.
Підвищення привілеїв. Операційні системи Windows захищені контролем облікових записів користувачів (UAC), вбудованою функцією безпеки, призначеною для захисту від шкідливого програмного забезпечення та несанкціонованих змін. Якщо звичайні бізнес-користувачі намагаються запустити програму від імені адміністратора, UAC запропонує їм ввести облікові дані користувача-адміністратора, перш ніж можна буде внести зміни. Хоча більшість програм-вимагачів на сучасному ринку не вимагають прав адміністратора для шифрування даних, зловмисники часто намагаються обійти UAC, щоб підвищити рівень доступу та забезпечити стійкість.
Латеральний рух. Багато інструментів можуть ненавмисно сприяти ескалації привілеїв і бічному переміщенню зловмисників. AdFind, безкоштовний інструмент запитів командного рядка, який використовується для пошуку в Active Directory (AD), є популярним вибором. Іншим інструментом є AdvancedRun, який дозволяє запускати програмне забезпечення з різними налаштуваннями та уможливлює підвищення привілеїв шляхом зміни налаштувань перед запуском програмного забезпечення.
Ба більше, численні функції Windows, створені для керування машинами, також є серверами віддаленого виклику процедур (RPC). Це означає, що вони можуть отримувати віддалені команди з інших комп'ютерів у мережі для запуску програм. Багато RPC надають функції кінцевим користувачам, забезпечуючи зв'язок між клієнтськими та серверними програмами, що відкриває двері для зловмисників, які можуть зловживати ними, щоб рухатися далі.
Шифрування. Шифрування може бути як інструментом, так і зброєю. Інструменти шифрування мають вирішальне значення для приховування даних від несанкціонованих користувачів. Ці ж інструменти можуть бути використані як програми-вимагачі. Або ж зловмисники можуть скомпрометувати користувачів із законним доступом до зашифрованих даних, щоб повністю обійти контроль шифрування.
Влітку цього року Міністерство охорони здоров'я і соціальних служб США (HSS) попередило медичні організації про атаку вірусу-здирника на медичний заклад, що значно знизило можливості лікування пацієнтів, зробило недоступними цифрові послуги, а також загрожувало витоком особистої медичної інформації (PHI) та інформації, що дозволяє ідентифікувати особу (PII). TimisoaraHackerTeam – група зловмисників, що спеціалізується на вимаганні як послузі (RaaS), описується як унікальна серед зловмисників через характерну тактику зловживання законними інструментами шифрування, включно з Microsoft BitLocker і Jetico BestCrypt, щоб використовувати living-off-the-land binaries і, врешті-решт, зашифрувати дані.
Витік даних. Дещо дивно, але оператори програм-вимагачів, які використовують методи подвійного вимагання, рідко створюють власні інструменти для крадіжки даних. Замість цього вони часто використовують легальні інструменти резервного копіювання або подібні програми для викрадення даних своїх жертв. На початку цього року CyberArk Labs помітила, як зловмисники використовували Discord, популярний додаток для спільної роботи, для викрадення даних через веб-хуки. Rclone, програма командного рядка для синхронізації файлів з хмарним сховищем, є ще одним привабливим варіантом, оскільки дозволяє зловмисникам легко переміщати файли за допомогою протоколів передачі даних, таких як FTP і SFTP. Зловмисники також використовують такі інструменти, як 7-zip, архіватор файлів з відкритим вихідним кодом, для стиснення даних, що допомагає їм уникнути виявлення до моменту проникнення.
Хоча більшість наведених вище прикладів стосуються Windows, зловмисники також модифікують свої інструменти для атак на різні платформи та операційні системи. Наприклад, деякі з них використовують кросплатформну мову програмування Rust для атак на Linux. macOS також не має імунітету. Одним з популярних методів зараження пристроїв на macOS та iOS є використання Find My iPhone - функції Apple, яка допомагає користувачам заблокувати свої пристрої, якщо вони загубилися. Якщо зловмисник успішно викраде або придбає ідентифікатор Apple ID і пароль користувача та увійде на пристрій, він може увімкнути віддалене блокування пристрою за допомогою програми Find My iPhone, захопити дані в заручники та відобразити на екрані повідомлення з вимогою викупу.

Блокуйте програми-вимагачі на всіх етапах життєвого циклу атаки

Перехід зловмисників на легальне програмне забезпечення викликає занепокоєння, враховуючи вкрай прихований характер цих атак. Але, на щастя, організації, які застосовують підхід до захисту від програм-вимагачів, орієнтований на ідентифікаційні дані, можуть значною мірою залишатися на правильному шляху. Фундаментальні засоби контролю безпеки кінцевих точок залишаються незмінними, охоплюючи виявлення і реагування на кінцевих точках (EDR), антивірус (AV)/антивірус нового покоління (NGAV), знешкодження і відновлення контенту (CDR), захист електронної пошти і виправлення. Але найважливіше – це контроль додатків. Неважливо, чи це RaaS, поліморфне шкідливе програмне забезпечення або інший різновид шкідливих програм-вимагачів, якщо програма не може бути виконана, вона не може розгорнути програму-вимагач.
Ця тенденція підкреслює той факт, що кінцеві точки відіграють провідну, але не єдину роль в атаках вимагачів. Це стає все більш очевидним, оскільки все більше зловмисників використовують цей метод. Коли зловмисники викрадають легітимні інструменти, щоб закріпитися, можливості найменших привілеїв і поведінкової аналітики стають ще більш важливими для швидкого виявлення і блокування замаскованих загроз, які намагаються переміщуватися мережею, обходити або виводити з ладу системи безпеки і досягати цінних об'єктів.

CISA пропонує перелік детальних рекомендацій для організацій, які шукають шляхи вдосконалення своєї системи кібербезпеки, щоб краще захиститися від атак зловмисників, що використовують легальне програмне забезпечення. У цьому поглибленому погляді на захист від програм-вимагачів також описані кращі практики для усунення вразливостей з метою зниження ризиків. А CyberArk Labs пропонує детальну інформацію про сімейства програм-вимагачів, їхні спільні риси, шляхи шифрування та стратегії боротьби з ними.