Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас?
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:скорее всего, не совсем, но шансы есть )
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
3. Как можно скорее отключить/отмонтировать сетевые диски:
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,позвать респондеров и попробовать понять, как именно распространяется шифровальщик в сети? Или может как передвигался атакующий? Все внимание на lateral movement.
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
net share ADMIN$ /delete
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer /t REG_DWORD /d 0 3. Как можно скорее отключить/отмонтировать сетевые диски:
net use * /delete
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
eventvwr.msc)Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
bczyz’s research blog
Detecting Impacket’s and Metasploit’s PsExec
Table of contents
README.hta
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас? Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд) Что ж, главное…
А если уже все зашифровано?
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а такжепроверить репозиторий моего талантливого коллеги по цеху (кстати, если что, там еще и yara-правила есть!) . И да, иногда бывает такое, что ресерчеры находят ошибки в схемах шифрования, и тогда все же удается сделать условно универсальный инструмент
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а также
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
Давным-давно делала для себя Windows Event ID Mindmap,
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
SANS_DFPS_FOR500_v4.17_02-23.pdf
1.1 MB
Windows Forensic Analysis Poster (latest version from 02/2023)
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;тут правда еще большой вопросик, насколько последнее актуально для России (:
— подправили описание Shimcache и Amcache (evidence of presence on the system!)
#windows #forensics #tips
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;
#windows #forensics #tips
Кстати, не могу не поделиться
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Вчера увидела отличный материал по sigma-based утилитам, очень полезный инструмент для респондера и более быстрого первичного анализа данных. Выбирайте своего любимчика, мой вот тоже есть в этом списке ;)
https://xakep.ru/2023/11/24/threat-hunting-tools/
И еще одна статья от Антона @RussianF0rensics с минимально необходимым набором знаний по восстановлению файлов в NTFS. Однозначно читать!
https://xakep.ru/2023/06/06/ntfs-restore-2/
#basics #tips
Indicator of Compromise != Indicator of Attack
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
Еще раз!
Индикатор атаки: выполнение команды
Индикаторами компрометации впоследствии могут быть имя запланированной задачи
Дополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
Разберем на простом примере:
на одном из хостов вы фиксируете события по вводу команд
whoami, ping ya.ru и через пару секунд проверку настроенных трастов через nltest /trusted_domains. Начинаете раскручивать цепочку и реально понимаете, что перед вами джамп сервер, удаленно подключившись к которому, злоумышленники начали проводить разведку. То есть, благодаря этим событиям вы можете обнаружить, что ваш хост/сеть скомпрометированы, НО является ли ввод команды whoami индикатором компрометации? Нет, потому что в данном случае это индикатор определенного этапа проводимой атаки
Для большей наглядности, еще один пример. После разбора каждого инцидента отдельно указываются индикаторы компрометации, просканировав на которые, можно однозначно установить, скомпрометирован ли хост, то есть есть ли следы активности атакующих на нем. Согласитесь, проверив события на
whoami даже в ретроспективе, такой однозначности у вас не будетЕще раз!
Индикатор атаки: выполнение команды
schtasks /create /tn K0adic /tr "C:\Windows\system32\mshta.exe C:\ProgramData\SZWXNUHHDP.hta" /sc onlogon /ru System /fИндикаторами компрометации впоследствии могут быть имя запланированной задачи
K0adic, вредоносный файл C:\ProgramData\SZWXNUHHDP.htaДополнительно прикладываю к посту white paper от краудстрайков на эту тему
#tips
Гугл-фу или почему важно уметь гуглить
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
Кстати, с августа этого года гугл индексирует csv-файлы. Так, на подумать 😊
#own #tips
Умение гуглить - это один из ключевых навыков в ИБ, да и в целом ИТ. Сначала приходит понимание того, что задавать вопросы - не стремно, а потом, что нужно уметь их задавать, и в первую очередь - поисковику. Большинство вопросов уже решено задолго до вас, и даже более того, на эту тему может быть написана не одна статья
Я очень люблю отвечать на вопросы и делиться тем, что знаю. Но иногда бывают ситуации, когда задают вопрос, а ответ на него - это первая ссылка в гугле. Перешлю раз, перешлю два, но потом уже становится просто невозможно. А ведь иногда нужный ответ может быть и на второй странице! А еще можно запрос по-другому написать! Или сменить поисковик... Как люди выживают-то в таких экстра сложных условиях?)
К тому же, лучше сразу в начале понять, что гуглят все. Нет такого уровня профессионализма, когда в один день ты постигаешь дзен и этой ерундой больше не занимаешься. Я вот могу с уверенностью сказать, что чем больше я знаю, тем больше понимаю, что не знаю ни-че-го
Итак, гугл-фу. Как можно упростить себе жизнь?
— Забудьте про русский язык. Да, узнать погоду или заказать еду это однозначно поможет, но если это касается работы, тут два варианта: скорее всего, вы потратите куда больше времени, чем могли бы, либо так и уйдете ни с чем
— Не бойтесь менять структуру запроса и использовать другие ключевые слова. Не нашли на первой странице то, что нужно, используйте синонимы или схожие слова по теме
— Google Dorks! Это как с регулярками: звучит страшнее, чем есть на самом деле. Не нужно знать наизусть абсолютно все операторы поиска и сразу накручивать сложные запросы, начните с малого. Для удобства приложила картинкой список наиболее часто используемых мной операторов с простенькими примерами из жизни. Ну а если готовы идти дальше, можно погрузиться здесь, найти больше суровых примеров здесь
Делитесь, какими гуглхаками пользуетесь вы :)
#own #tips
Что делать, если ANONYMOUS LOGON в событиях?
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
Последнее время этот вопрос стал подниматься все чаще, так вот
Не нужно впадать в панику, это не попытка злоумышленников скрыться
Изначально подобные события подразумевали под собой какое-либо взаимодействие систем Windows без указания явных учетных данных. В совсем старых версиях такие анонимные входы (по-другому их называют нулевые сеансы) действительно могли использоваться для перечисления информации об учетной записи, политик безопасности, данных реестра и общих сетевых ресурсов. Начиная с XP и Server 2003 такие фичи стали выпиливаться из систем по умолчанию, но, тем не менее, эта учетная запись (а она считается полноценной built-in сущностью) до сих пор используется сетями Windows для обеспечения того же общего доступа к файлам и печати, а также определения сетевых устройств. Поэтому, если такие службы присутствуют в вашей среде, то такие события вполне ожидаемы
Важно понимать, что исключительно на их основе нельзя делать вывод, что система подверглась какой-либо атаке, в том числе путем энумерации объектов, а для понимания природы такой активности всегда нужен дополнительный контекст!
#tips #windows
#basics
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
#git #soft
#windows
#linux
#macos
#cloud
#network
#red #blue #purple
#forensics
#dfir
#threathunting
#malware // скорее всего, будет много реверса
#report // технические отчеты
#research // ресерчи
#books // полезная литература
#video // видеоматериалы
#present // презентации с докладов
#tips // white papers, читшиты и любые другие заметки, где можно откопать что-то важное, но не подходит под категории выше
#own // личные мысли, истории, наблюдения, выводы
#weekly // подборка прочитанных достойных материалов
#meme // тег для души или когда мне лень писать много буков
История одного факапа, в продолжение одного поста
Давненько, еще работая в in-house SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки
Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness
Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из нихменя разнесли мне намекнули, что так это не работает, и только потом, уже после хоть какого-то опыта работы на новом месте в команде реагирования, до меня дошло...
Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)
*заметки из книги, уже почти ставшей классикой,
Intelligence-Driven Incident Response
#own #tips
Давненько, еще работая в in-house SOC, в один прекрасный день мы тоже пришли к идее структурировать все имеющиеся правила по матрице MITRE ATT&CK, а после этого, конечно же, начать заполнять пустые клеточки
Собственно, мы начали. Проблема была только в том, что заполняли мы их чаще по принципам лишь бы поставить галочку рядом или ого, как интересно, ну такое надо точно детектить. И да, некоторые правила были действительно сложными с навороченной логикой, но только такой подход хоть и не совсем бесполезен, тем не менее утопичен, потому что
а) см. тот самый пост
б) это похоже на действия слепых котят, zero threat awareness
Понятное дело, что все в конечном итоге сводится к написанию правил ради их написания. А ведь за этим стоит большая работа: надо же разобраться в технике, эмулировать, подебажить, не дай бог еще и источники где-то подкрутить. Ну и конечно, когда я ходила на собесы, то с гордостью рассказывала об этом, правила ведь были ух какие! Правда, на одном из них
Короче говоря. Позднее мы поднабрались опыта и поняли свою ошибку, но сейчас все же забавно это вспоминать. Поэтому смело могу сказать: плавали, знаем, делать так не надо)
#own #tips