2023 год был прибыльным для злоумышленников-вымогателей: только за первые шесть месяцев организации-жертвы заплатили $449,1 млн. Поддержание такого денежного потока требует частой смены технологий, и, возможно, именно поэтому все больше злоумышленников используют легальное программное обеспечение для распространения своего вредоносного ПО.
Злоупотребление существующими корпоративными инструментами организаций может помочь злоумышленникам слиться со средой во время разведки, а также способствует повышению уровня привилегий и настойчивости злоумышленников. Сочетание этого метода с программами-вымогателями как услугами (RaaS) также снижает барьер для проникновения, устраняя необходимость для злоумышленников создавать вредоносное программное обеспечение, что требует навыков, ресурсов и времени. Это означает, что больше злоумышленников могут вступить в игру и нанести больший ущерб.
Корпоративное программное обеспечение — не единственная цель. Известно, что злоумышленники также используют уязвимости, найденные в программном обеспечении с открытым исходным кодом (ПОИК), внедряют в ПОИК собственную полезную нагрузку и используют ее вместо созданного на заказ вредоносного программного обеспечения. Согласно недавнему отчету Агентства кибербезопасности и безопасности инфраструктуры США (CISA), печально известная операция Lockbit использовала легальное свободное программное обеспечение для ряда злонамеренных целей вроде сетевой разведки, удаленного доступа и туннелирования, сброса учетных данных и похищения файлов.
Когда злоумышленники используют легальные инструменты, традиционные решения для защиты конечных точек вряд ли смогут их поймать, если только не использовать возможности анализа поведения, чтобы отмечать необычные входы, повышение привилегий, выполнение программ или другие рискованные действия.

Отслеживание злоупотреблений легальным программным обеспечением по всей цепочке атак

Злоумышленники все чаще используют легальное программное обеспечение в своих целях на разных этапах жизненного цикла атаки. Они применяют много различных тактик, методов и процедур (TTP) для достижения своих целей, в том числе и приведенные ниже примеры.
Первоначальное заражение. Когда дело доходит до получения начального доступа, вы сами выбираете, как вам лучше поступить. Некоторые злоумышленники используют эксплойты, такие как использование распространенных уязвимостей (CVE) против уязвимых целей. Они также крадут, подделывают, изменяют файлы cookie или манипулируют ими из веб-сессий пользователей, чтобы получить доступ. Или же отправляют фишинговые электронные письма и обманом заставляют пользователей загружать легальные программы. Например, в январе 2023 года CISA предупредили о широкомасштабной кампании с участием программного обеспечения для удаленного мониторинга и управления (RMM), которое после загрузки может быть использовано в схеме мошенничества для кражи денег с банковских счетов жертв.
Настойчивость. Злоумышленники также используют легальное программное обеспечение для создания бэкдоров для обеспечения устойчивости и/или командования и контроля (C2). Попутно они могут использовать их для обхода MFA и/или их модификации, для отключения существующих способов защиты (чтобы избежать обнаружения от прекращения процессов, защищенных системой обнаружения и реагирования на угрозы (EDR), а также для модификации/удаления ключей реестра или конфигурационных файлов. В описанных выше атаках RMM-вымогателей злоумышленники использовали портативные исполняемые файлы программного обеспечения для получения доступа без необходимости локальных административных привилегий или полной инсталляции программного обеспечения. Это позволило им эффективно обойти обычные средства контроля программного обеспечения по управлению рисками, как отмечают CISA.
Многие программы по умолчанию запускаются на компьютере. Похищая эти программы, злоумышленники могут гарантировать, что их вредоносные программы также будут работать. Они также могут злоупотреблять такими функциями приложений, как планировщики задач (которые запускают программы или скрипты в заранее определенное время или через определенные промежутки времени), чтобы поддерживать устойчивость. Даже легитимные инструменты, встроенные в операционную систему, такие как living-off-the-land binaries (LOLbins), могут быть злонамеренно использованы для заметания следов злоумышленников, получения устойчивости или эскалации привилегий.
Повышение привилегий. Операционные системы Windows защищены контролем учетных записей пользователей (UAC), встроенной функцией безопасности, предназначенной для защиты от вредоносного программного обеспечения и несанкционированных изменений. Если обычные бизнес-пользователи пытаются запустить программу от имени администратора, UAC предложит им ввести учетные данные пользователя-администратора, прежде чем можно будет внести изменения. Хотя большинство программ-вымогателей на современном рынке не требуют прав администратора для шифрования данных, злоумышленники часто пытаются обойти UAC, чтобы повысить уровень доступа и обеспечить устойчивость.
Латеральное движение. Многие инструменты могут непреднамеренно способствовать эскалации привилегий и боковому перемещению злоумышленников. AdFind, бесплатный инструмент запросов командной строки, используемый для поиска в Active Directory (AD), является популярным выбором. Другим инструментом является AdvancedRun, который позволяет запускать программное обеспечение с различными настройками и позволяет повысить привилегии путем изменения настроек перед запуском программного обеспечения.
Кроме того, многие функции Windows, созданные для управления машинами, также являются серверами удаленного вызова процедур (RPC). Это означает, что они могут получать удаленные команды с других компьютеров в сети для запуска приложений. Многие RPC предоставляют функции конечным пользователям, обеспечивая связь между клиентскими и серверными приложениями, что открывает двери для злоумышленников, которые могут злоупотреблять ими, чтобы двигаться дальше.
Шифрование. Шифрование может быть как инструментом, так и оружием. Инструменты шифрования имеют решающее значение для скрытия данных от несанкционированных пользователей. Эти же инструменты могут быть использованы как программы-вымогатели. Или же злоумышленники могут скомпрометировать пользователей с законным доступом к зашифрованным данным, чтобы полностью обойти контроль шифрования.
Летом этого года Министерство здравоохранения и социальных служб США (HSS) предупредило медицинские организации об атаке вируса-вымогателя на медицинское учреждение, что значительно снизило возможности лечения пациентов, сделало недоступными цифровые услуги, а также угрожало утечкой личной медицинской информации (PHI) и информации, позволяющей идентифицировать личность (PII). TimisoaraHackerTeam - группа злоумышленников, специализирующаяся на вымогательстве как услуге (RaaS), описывается как уникальная среди злоумышленников из-за характерной тактики злоупотребления законными инструментами шифрования, включая Microsoft BitLocker и Jetico BestCrypt, чтобы использовать living-off-the-land binaries и, в конце концов, зашифровать данные.
Утечка данных. Несколько странно, но операторы программ-вымогателей, которые используют методы двойного вымогательства, редко создают собственные инструменты для кражи данных. Вместо этого они часто используют легальные инструменты резервного копирования или подобные программы для похищения данных своих жертв. В начале этого года CyberArk Labs заметили, как злоумышленники использовали Discord, популярное приложение для совместной работы, для похищения данных через веб-хуки. Rclone, программа командной строки для синхронизации файлов с облачным хранилищем, является еще одним привлекательным вариантом, поскольку позволяет злоумышленникам легко перемещать файлы с помощью протоколов передачи данных, таких как FTP и SFTP. Злоумышленники также используют такие инструменты, как 7-zip, архиватор файлов с открытым исходным кодом, для сжатия данных, что помогает им избежать обнаружения до момента проникновения.
Хотя большинство приведенных выше примеров касаются Windows, злоумышленники также модифицируют свои инструменты для атак на различные платформы и операционные системы. Например, некоторые из них используют кроссплатформенный язык программирования Rust для атак на Linux. macOS также не имеет иммунитета. Одним из популярных методов заражения устройств на macOS и iOS является использование Find My iPhone - функции Apple, которая помогает пользователям заблокировать свои устройства, если они потерялись. Если злоумышленник успешно похитит или приобретет идентификатор Apple ID и пароль пользователя и войдет на устройство, он может включить удаленную блокировку устройства с помощью приложения Find My iPhone, захватить данные в заложники и отобразить на экране сообщение с требованием выкупа.

Блокируйте программы-вымогатели на всех этапах жизненного цикла атаки

Переход злоумышленников на легальное программное обеспечение вызывает беспокойство, учитывая крайне скрытый характер этих атак. Но, к счастью, организации, которые применяют подход к защите от программ-вымогателей, ориентированный на идентификационные данные, могут в значительной степени оставаться на правильном пути. Фундаментальные средства контроля безопасности конечных точек остаются неизменными, включая обнаружение и реагирование на конечных точках (EDR), антивирус (AV)/антивирус нового поколения (NGAV), обезвреживание и восстановление контента (CDR), защиту электронной почты и исправления. Но самое важное — это контроль приложений. Неважно, будь то RaaS, полиморфное вредоносное программное обеспечение или другая разновидность вредоносных программ-вымогателей, если приложение не может быть выполнено, оно не может развернуть программу-вымогатель.
Эта тенденция подчеркивает тот факт, что конечные точки играют ведущую, но не единственную роль в атаках вымогателей. Это становится все более очевидным, поскольку все больше злоумышленников используют этот метод. Когда злоумышленники похищают легитимные инструменты, чтобы закрепиться, возможности малейших привилегий и поведенческой аналитики становятся еще более важными для быстрого обнаружения и блокировки замаскированных угроз, которые пытаются перемещаться по сети, обходить или выводить из строя системы безопасности и достигать ценных объектов.

CISA предлагает перечень детальных рекомендаций для организаций, которые ищут пути совершенствования своей системы кибербезопасности, чтобы лучше защититься от атак злоумышленников, использующих легальное программное обеспечение. В этом углубленном взгляде на защиту от программ-вымогателей также описаны лучшие практики для устранения уязвимостей с целью снижения рисков. А CyberArk Labs предлагает подробную информацию о семействах программ-вымогателей, их общие черты, пути шифрования и стратегии борьбы с ними.