Кража данных - серьезная проблема для организаций, и атакующие часто пытаются извлечь конфиденциальную информацию непосредственно из взломанных систем. Злоумышленники собирают файлы и другие ценные данные, хранящиеся на зараженных конечных устройствах, в рамках как целенаправленных кампаний кибершпионажа, так и финансово мотивированных киберпреступлений, поскольку похищенная информация может быть использована для дальнейших атак, продана на подпольных рынках или использована для получения выкупа.
Использование злоумышленниками данных из локальной системы
Злоумышленники собирают данные из локальных систем в рамках более широкой стратегии достижения своих целей, которые могут включать шпионаж, финансовую выгоду или подрывную деятельность. Получая доступ к файлам непосредственно из локальной системы, атакующие могут эффективно собирать данные, не вызывая подозрений, особенно в средах, где механизмы мониторинга или обнаружения могут не охватывать такую деятельность в полном объеме.
Процесс обычно начинается с того, что злоумышленники определяют местонахождение файлов, к которым они собираются получить доступ. Для этого могут использоваться утилиты поиска файлов, скрипты или встроенные команды операционной системы для поиска данных с определенными расширениями или хранящихся в общих каталогах. Их целью могут быть файлы, содержащие учетные данные, интеллектуальную собственность, персональную информацию (PII) или другое конфиденциальное содержимое. Продвинутые атакующие могут также искать файлы конфигурации, журналы или кэшированные данные, которые могут дать дополнительные сведения или привести к дальнейшей эксплуатации.
Причины, по которым злоумышленники прибегают к этой технике, тесно связаны с доступностью и стратегической важностью локальных данных. Файлы на локальной системе часто содержат критическую информацию, и их поиск может дать атакующим немедленную выгоду или послужить ступенькой для бокового перемещения или повышения привилегий. Например, сбор локально хранящихся учетных данных может позволить атакующему выдать себя за легитимного пользователя или получить доступ к ограниченным системам. Аналогичным образом, утечка служебных документов может привести к значительному финансовому или репутационному ущербу для организации-жертвы.
Злоумышленники также предпочитают этот метод, поскольку он позволяет им действовать скрытно. Локальный доступ к данным позволяет избежать срабатывания сетевых средств защиты, таких как системы предотвращения потери данных (DLP), которые часто нацелены на мониторинг внешних коммуникаций. Извлекая данные на локальном уровне, а затем вытесняя их на тщательно продуманных этапах, атакующие могут еще больше снизить вероятность обнаружения.
При использовании техники T1005 Data from Local System злоумышленники часто прибегают к помощи встроенных системных инструментов и команд, поскольку эти утилиты предустановлены в большинстве операционных систем, что делает их очень доступными. Использование таких инструментов позволяет атакующим избежать внедрения собственных вредоносных программ или внешних двоичных файлов, которые с большей вероятностью вызовут предупреждения системы безопасности. Нативные инструменты пользуются доверием операционной системы и часто используются легитимными пользователями и администраторами, что позволяет атакующим встраивать свои вредоносные действия в обычные системные операции и избегать обнаружения традиционными решениями безопасности.
Встроенные инструменты и команды, используемые для сбора локальных файлов
Злоумышленники могут использовать различные встроенные инструменты и команды операционной системы для поиска и сбора данных со взломанных локальных систем. В этом разделе мы подробно рассмотрим встроенные инструменты и команды, используемые злоумышленниками и присутствующие в основных операционных системах.
dir (Windows)
Команда dir, встроенная в Windows, позволяет атакующим просматривать файловую систему, перечислять файлы в определенных каталогах и выявлять данные, которые могут быть ценными для сбора. Комбинируя dir с различными переключателями, можно отфильтровать результаты и сосредоточиться на интересующих файлах. Например, опция /s позволяет осуществлять рекурсивный поиск по подкаталогам, а /a - отображать скрытые или системные файлы, которые могут содержать конфиденциальную информацию. Кроме того, атакующие могут использовать подстановочные знаки (например, *.docx или *.txt) для поиска файлов с определенными расширениями, которые обычно ассоциируются с ценными данными.
В августе 2024 года сообщалось, что вредоносная программа с бэкдором Voldemort использует команду dir для вывода списка папок и файлов в зараженных системах.
findstr (Windows)
Команда findstr - это встроенная утилита, предназначенная для поиска шаблонов или ключевых слов в содержимом файлов. Ее универсальность и способность фильтровать большие объемы данных делают ее эффективным инструментом для атакующих, позволяющим обнаружить конфиденциальную информацию без необходимости изучать каждый файл вручную.
Как правило, злоумышленник может комбинировать findstr с командами перечисления каталогов, такими как dir, чтобы упростить процесс идентификации и доступа к целевым данным. Например, обнаружив интересующие файлы с помощью dir или аналогичных инструментов, злоумышленник может выполнить команду findstr «password» *.txt для поиска повторений слова «password» во всех файлах .txt в каталоге. Такой подход позволяет атакующим найти файлы, содержащие определенные термины или строки, которые, скорее всего, содержат ценную информацию, например учетные данные, ключи API или персональную информацию (PII).
Злоумышленники также могут использовать findstr с дополнительными опциями для уточнения поиска. Например, опция /s обеспечивает рекурсивный поиск по подкаталогам, а /i делает поиск нечувствительным к регистру, что повышает вероятность нахождения релевантных результатов. Также можно использовать подстановочные знаки, чтобы расширить область поиска, нацеливаясь на несколько типов файлов одновременно, например findstr «secret» *.txt *.log.
В ноябре 2024 года CISA сообщила, что группа BianLian ransomware использовала следующую команду для поиска паролей во всех файлах в текущей папке и ее подпапках.
| 1 | findstr /spin "password" *.* >C:\Users\training\Music\<file>.txt |
Get-ChildItem (Windows)
Get-ChildItem - это универсальная команда, предоставляющая широкие возможности для поиска и извлечения объектов файловой системы в системах Windows. Расширенные возможности фильтрации и легкая интеграция с другими функциями PowerShell делают ее особенно привлекательной для злоумышленников.
Атакующие используют Get-ChildItem для эффективного исследования файловой системы и выявления интересующих их файлов, таких как документы, учетные данные или файлы конфигурации. По умолчанию команда выводит список файлов и каталогов в указанном месте. С помощью различных параметров злоумышленники могут выполнять рекурсивный поиск, устанавливать фильтры, например по размеру или дате модификации, и передавать их в другие команды для дальнейшей обработки. Следующая команда определяет все файлы, измененные за последнюю неделю, что может указывать на активные документы или журналы.
| 1 | Get-ChildItem -Recurse | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-7)} |
Китайская APT-группа Mustang Panda использует приведенную ниже команду в своем скрипте getdata.ps1 для разведки и сбора данных.
| 1 | Get-ChildItem ([environment]::getfolderpath("desktop")) |
Select-String (Windows)
Команда Select-String позволяет пользователям искать в содержимом файлов определенные строки или шаблоны, представляющие интерес. Эту команду часто называют эквивалентом команды grep в Linux в PowerShell, и она очень эффективна для поиска конфиденциальной информации, такой как учетные данные, данные конфигурации или персональная информация (PII), в файлах, хранящихся на взломанной системе.
Используя Select-String, атакующие могут автоматизировать процесс поиска по одному или нескольким файлам, отфильтровывая нерелевантные данные и фокусируясь на содержимом, соответствующем заданным ключевым словам или регулярным выражениям. Гибкость Select-String делает его особенно привлекательным для злоумышленников. Они могут использовать его с подстановочными знаками для поиска широкого спектра файлов или ограничивать поиск определенными каталогами и типами файлов. Например, следующая команда позволяет искать в файлах журналов сообщения об ошибках или ссылки на токены, которые могут раскрыть данные аутентификации или отладочную информацию. Кроме того, злоумышленники могут использовать регулярные выражения для более сложного поиска, например шаблонов, напоминающих адреса электронной почты, URL-адреса или ключи API.
| 1 | Select-String -Path C:\Logs\*.log -Pattern "Error|Token" |
В мае 2024 года хактивистская группа под названием Twelve использовала команду Select-String в сочетании с элементом Get-Child для сбора конфиденциальной информации из взломанных систем.
| 1 | Get-ChildItem -Path C:\ -Recurse -Include *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.pdf, *.eml, *.msg, *.pst, *.mbox, *.csv, *.qbw, *.qba, *.qfx, *.txt, *.rtf, *.xml, *.json, *.conf, *.cfg, *.ini, *.db, *.sql, *.mdb, *.log | Select-String -Pattern "[PATTERN]" -CaseSensitive:$false | Select Path, LineNumber, Line | Out-File -FilePath C:\sensitive_data_results.txt |
ls (Linux и macOS)
Команда ls позволяет получить снимок файлов и папок в определенной директории, что позволяет атакующим быстро составить карту файловой системы и найти ценные данные для дальнейшего анализа или утечки. Когда злоумышленник получает доступ к взломанной системе, он часто начинает с использования ls для оценки структуры каталогов. Выполнив простую команду ls, они могут перечислить файлы и подкаталоги в текущем каталоге, получив общее представление о том, что там хранится. Эта базовая разведка помогает атакующим определить, содержит ли каталог файлы, которые стоит исследовать, или им следует перейти в другое место в файловой системе.
ls - гибкая команда, включающая различные опции, которые позволяют получить подробную информацию о файлах. Например, атакующие могут использовать ls -l для отображения такой информации, как разрешения, право собственности, размер и время модификации файла. Эти данные могут помочь ему определить приоритеты файлов на основе таких характеристик, как недавние изменения или доступность. Например, недавно измененный файл, принадлежащий привилегированному пользователю, может указывать на наличие текущих и конфиденциальных данных.
Еще одна полезная для атакующих функция - возможность вывести список скрытых файлов с помощью опции ls -a. Скрытые файлы, часто используемые для настройки или аутентификации, могут содержать важную информацию, например учетные данные, ключи API или криптографические материалы. Запустив ls -a, злоумышленник может обнаружить такие файлы, как .ssh/authorized_keys или .env, которые в противном случае могли бы остаться незамеченными при стандартном сканировании файловой системы.
Злоумышленники также могут использовать команду ls рекурсивно для перечисления содержимого вложенных каталогов. Комбинируя ls с опцией -R, они могут получить полный список файлов на нескольких уровнях структуры каталогов. Такой подход особенно полезен для выявления конфиденциальных данных, хранящихся в глубоко вложенных каталогах, без необходимости вручную перемещаться по каждому уровню.
Результаты команд ls также могут быть перенаправлены в файлы или объединены с другими инструментами для повышения эффективности разведки. Например, атакующий может выполнить следующую команду для создания подробного списка всех файлов и каталогов в каталоге /home, который затем может быть проанализирован в автономном режиме или использован в сочетании с другими инструментами для поиска определенных шаблонов или ключевых слов.
| 1 | ls -lR /home > directory_listing.txt |
В кампании CRON#TRAP злоумышленники использовали приведенную ниже команду для перечисления каталогов и подтверждения местоположения файлов.
| 1 2 3 4 5 6 7 8 | ls -hal -h: Человекочитаемые размеры Форматирует размеры файлов в удобном для человека виде, отображая их в таких единицах, как КБ, МБ или ГБ, вместо необработанных байтов. -a: Все файлы Показывает все файлы в каталоге, включая скрытые файлы (начинающиеся с точки, .), которые обычно не отображаются. -l: Длинный формат Отображает подробную информацию о каждом файле или каталоге в виде длинного списка. |
find (Linux и macOS)
find - это универсальная команда, позволяющая атакующим осуществлять поиск в файловой системе по широкому спектру атрибутов, таких как имена файлов, расширения, размеры, время модификации и даже типы файлов. Когда злоумышленники получают доступ к системе, они часто начинают с изучения файловой системы, чтобы определить цели. Команда find особенно полезна для поиска файлов, соответствующих определенным шаблонам или критериям. Например, атакующий может искать файлы конфигурации (*.conf) по всей системе, чтобы обнаружить конфиденциальные настройки, учетные данные или ключи API, хранящиеся в виде открытого текста. Аналогичным образом можно искать файлы документов, например .docx, .pdf или .xlsx, которые с большой вероятностью содержат личную, финансовую или служебную информацию.
Команда find также эффективна для обнаружения файлов на основе их размера, возраста или типа. Злоумышленники могут использовать такие параметры, как -size для поиска больших файлов, которые могут содержать журналы или базы данных, или -mtime для выявления файлов, измененных в определенный период времени. Например, команда find /var/log -size +1M позволяет обнаружить большие файлы журналов в каталоге /var/log, которые могут содержать данные о системной активности или аутентификации. Аналогично, find / -mtime -7 выявляет файлы, измененные за последние семь дней, что может указывать на недавнюю активность или обновления, содержащие полезную информацию.
В мае 2024 года сообщалось, что APT36, также известная как Transparent Tribe, использовала команду find в обфусцированной версии вредоносного ПО GLOBSHELL.
grep (Linux и macOS)
Утилита grep позволяет атакующим просеивать большие объемы данных, сужая круг поиска до информации, соответствующей заданному шаблону, например учетных данных, ключей API или конфиденциальной личной информации. Атакующие часто используют grep для поиска терминов, связанных с ценными данными, таких как «пароль», «ключ» или «токен». Подбирая поисковый запрос в соответствии с контекстом взломанной среды, злоумышленники могут эффективно находить конфиденциальную информацию, которая может способствовать дальнейшей эксплуатации.
Например, команда grep -r «secret» /home просканирует все пользовательские файлы в каталоге /home на предмет ключевого слова «secret», что может привести к обнаружению конфиденциальной информации, хранящейся в текстовых документах или конфигурационных файлах. Утилита также поддерживает регулярные выражения, что позволяет атакующим создавать шаблоны для сложного поиска. Например, поиск с помощью grep -E «password[:= ]» config.txt будет соответствовать таким вариантам, как password=, password: или password, которые часто используются в конфигурационных файлах. Такая точность позволяет злоумышленникам извлекать конкретные строки, содержащие нужные данные, без необходимости просматривать все файлы вручную.
Во многих случаях атакующие комбинируют grep с другими командами, чтобы упростить свой рабочий процесс. Сочетание grep с find помогает найти интересующие файлы и сразу же выполнить поиск по их содержимому. Команда, приведенная ниже, определяет файлы в каталоге /etc и ищет в них случаи использования термина «api_key». Такие комбинации позволяют эффективно и целенаправленно вести разведку в сложных файловых системах.
| 1 | find /etc -type f | xargs grep "api_key" |
В октябре 2024 года сообщалось, что угрожающая группа Shedding Zmiy использовала следующую команду для дампа двоичных журналов и извлечения из них определенных ключевых слов с помощью команды grep.
| 1 | utmpdump /var/log/wtmp | grep -v "redacted" >.t |