В ежедневную работу специалистов по информационной безопасности входит восстановление хронологии инцидентов по разрозненным данным - журналам событий, антивирусным срабатываниям и другим следам, оставленным злоумышленниками. Однако эта задача усложняется, когда возможности мониторинга ограничены. Именно такая ситуация произошла при расследовании атаки программы-вымогателя Qilin, когда агент системы безопасности Huntress был установлен уже после компрометации и лишь на одной конечной точке.
Описание
Инцидент произошел 11 октября, когда организация установила агент Huntress после заражения. Это создало условия, при которых видимость напоминала не взгляд через замочную скважину, а наблюдение через булавочное отверстие. Несмотря на это, аналитикам удалось восстановить ключевые этапы атаки, используя несколько источников данных.
Первоначально в распоряжении специалистов были только оповещения от управляемого антивируса (MAV), поскольку данные от систем EDR (обнаружения и реагирования на конечных точках) и SIEM (управления событиями информационной безопасности) отсутствовали, а специальные ransomware-канарейки Huntress не сработали. Аналитики начали с изучения журналов событий Windows, где обнаружили важную деталь: 8 октября злоумышленник получил доступ к системе и установил службу развертывания программного обеспечения Total Software Deployment Service, а также поддельный экземпляр системы удаленного управления ScreenConnect RMM, указывающий на IP-адрес 94.156.232[.]40.
Интересно, что легитимная версия LogMeIn (владельца ScreenConnect) была установлена на устройстве еще 20 августа, а 8 октября злоумышленник добавил вредоносный экземпляр из файла LogmeinClient.msi. При этом 2 октября файл LogMeIn Client.exe был отправлен в Windows Defender для анализа, но дальнейших действий не последовало.
Используя данные о активности ScreenConnect, аналитики выявили, что 11 октября через этот канал на конечную точку были переданы три файла: r.ps1, s.exe и ss.exe. Файл r.ps1 содержал скрипт PowerShell, предназначенный для сбора информации об IP-адресах, доменах и именах пользователей, связанных с RDP-подключениями к системе. Однако выполнение скрипта было заблокировано политиками безопасности, о чем свидетельствовала запись в журнале PowerShell с сообщением об ошибке.
Два других файла, s.exe и ss.exe, отсутствовали на конечной точке, но их следы были найдены в AmCache.hve и журналах Program Compatibility Assistant (PCA). Аналитики определили, что злоумышленник попытался запустить эти файлы после отключения Windows Defender. Сначала были зафиксированы события с ID 5001 и 5007, указывающие на отключение защиты в реальном времени и изменение параметров отправки образцов, а затем - сообщения о переходе защитника в состояние SECURITY_PRODUCT_STATE_SNOOZED.
Файл s.exe, судя по данным VirusTotal, являлся инфостилером - программой для кражи конфиденциальной информации. Однако его запуск завершился ошибкой с сообщением “Installer failed” в журналах PCA. Через семь секунд злоумышленник попытался запустить ss.exe, что привело к запуску легитимного приложения werfault.exe и серии сообщений о сбое в PCA.
После неудачных попыток запуска вредоносных файлов злоумышленник активировал ransomware. В 03:34:56 UTC было зафиксировано удаленное подключение к системе, а через 17 секунд Windows Defender обнаружил попытки создания ransom notes (записок с требованиями выкупа) с идентификатором Behavior:Win32/GenRansomNote. При этом защитник сообщил о неудачных попытках remediation (исправления) ситуации. Эти данные указывают на то, что ransomware был запущен с другой конечной точки и атаковал сетевые ресурсы.
Qilin представляет собой ransomware-as-a-service (RaaS), то есть услугу программ-вымогателей, где разработчики предоставляют инструменты аффилированным лицам, которые проводят атаки по своим сценариям. Huntress отмечает, что во многих случаях атаки Qilin начинаются с несанкционированного доступа через RDP, сопровождаются похожими записками с требованиями выкупа и одинаковыми расширениями зашифрованных файлов, но методы exfiltration (утечки) данных могут различаться.
Это расследование демонстрирует ценность использования множества источников данных даже в условиях ограниченной видимости. Аналитики не только восстановили действия злоумышленника на конечной точке, но и провели взаимную проверку данных из разных источников. Например, понимание того, что для доступа использовался поддельный ScreenConnect, а для кражи данных - инфостилер, помогло точнее определить масштаб инцидента и выбрать корректные меры реагирования.
В условиях нехватки времени легко поддаться соблазну построить версию на основе первого обнаруженного артефакта, не проверив его значимость в контексте всей инфраструктуры. Однако перекрестная проверка данных позволяет избежать ошибок и создать точную картину произошедшего, что становится основой для эффективного устранения последствий кибератаки.
Индикаторы компрометации
ScreenConnect instance ID
- 63bbb3bfea4e2eea
SHA1
- ba79cdbcbd832a0b1c16928c9e8211781bf536cc
SHA256
- af9925161d84ef49e8fbbb08c3d276b49d391fd997d272fe1bf81f8c0b200ba1
