Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас?
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:скорее всего, не совсем, но шансы есть )
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
3. Как можно скорее отключить/отмонтировать сетевые диски:
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,позвать респондеров и попробовать понять, как именно распространяется шифровальщик в сети? Или может как передвигался атакующий? Все внимание на lateral movement.
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд)
Что ж, главное, не паниковать. Сейчас основная цель - сдержать угрозу и сохранить в целости как можно большее количество файлов и информации
0. Сфотографировать записку с требованием о выкупе, то бишь ransom note. Да, прям сфотографировать. Скорее всего, сейчас не время показывать свои таланты владения горячими клавишами (надеюсь, в другое время вы делаете скриншот именно с их помощью) и ножницами для снимков экрана. К тому же, как его передать? Сфотографировали и пока что забыли. Ну, или скинули тем людям, кто знает, что с этим делать :)
1. Отключить сервера резервного копирования, находящиеся в вашей инфраструктуре. Все там в сохранности или нет, потом будете выяснять (спойлер:
2. Отключить административные ресурсы C$, IPC$, ADMIN$. Да, возможно это частично затронет привычные ИТ-процессы в компании, но на кону - гораздо больше
net share ADMIN$ /delete
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer /t REG_DWORD /d 0 3. Как можно скорее отключить/отмонтировать сетевые диски:
net use * /delete
4. По возможности, изолировать отдельные сегменты сети или наиболее критичные хосты. Все способы хороши: файерволлы внутри сети или стоящие на периметре, встроенные межсетевые экраны, некоторые EDR/XDR-решения тоже позволяют такое сделать для конечных узлов. В крайнем случае отключить питание - вариант. Но! С этим стоит дважды подумать и точно не стоит отключать все повсеместно. Во-первых, вы потеряете волатильные данные, которые могут быть полезны для расследования инцидента, а во-вторых, если на системе шифрование уже началось, то может быть только хуже: после неожиданного прерывания процесса шанс восстановить какие-либо данные точно уменьшится, даже с купленным ключом дешифрования
5. Теперь можно немного выдохнуть,
И вариантов здесь, на самом деле, не так много. В первую очередь, обращаем внимание на SMB и все инструменты работающие на его основе (можно почитать про принципы работы, например, здесь, здесь или погуглить еще), RDP, WMI, WinRM (
eventvwr.msc)Ну, а дальше, думать, что со всем этим делать. И не забывать, что реагирование на инцидент - это не только про сдерживание, но еще и ликвидацию в полном объеме, и, мое самое любимое - lessons must be learned!
#tips
bczyz’s research blog
Detecting Impacket’s and Metasploit’s PsExec
Table of contents
Из разряда «накипело», нашла у себя в заметках и решила опубликовать здесь
https://telegra.ph/What-is-DFIR-09-12
#own
https://telegra.ph/What-is-DFIR-09-12
#own
Telegraph
What is DFIR?
Так вышло, что за последний год я не раз поднимала тему различия между DF (digital forensics) и DFIR (digital forensics & incident response). Оказалось, некоторое заблуждение в этих понятиях достаточно распространено: я поняла это, когда наткнулась на видео…
README.hta
Что делать, если в сети обнаружен файл программы-вымогателя и... файлы шифруются прямо сейчас? Вдохновленная SANS FOR528 накидала тут небольшой план, который, конечно же, не смогла не разбавить своими комментариями 😂 ну, и парой полезных команд) Что ж, главное…
А если уже все зашифровано?
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а такжепроверить репозиторий моего талантливого коллеги по цеху (кстати, если что, там еще и yara-правила есть!) . И да, иногда бывает такое, что ресерчеры находят ошибки в схемах шифрования, и тогда все же удается сделать условно универсальный инструмент
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
После того, как вы изолируете сервера с бэкапами,
а также отключите сеть от Интернета,
рано или поздно придет время решать, будете ли вы связываться со злоумышленниками и в принципе платить выкуп. Это отдельный вопрос со своими нюансами и в любом случае решать только вам. Если кратко, моя позиция такова, что игра не стоит свеч: нет никаких гарантий, что вам предоставят ключ для расшифровки / он будет корректно работать / все действительно получится восстановить / ваши данные все равно не будут слиты (double extortion), да и просто по моральным и политическим причинам
Тем не менее, первый вопрос, который всегда задают, а есть ли другие варианты как-то расшировать файлы?
На самом деле, с большей долей вероятности - нет. Тем не менее, можно попытать удачу и посмотреть доступные декрипторы на сайте NoMoreRansom, а также
Важно!
1. Использование «сторонних» декрипторов, особенно с неверным ключом, может повредить структуру зашифрованных файлов, и тогда даже оригинальный дешифратор будет бессилен. Делайте бэкапы или копии файлов перед тем, как будете что-то запускать
2. Внимательно перепроверяйте эти самые декрипторы, при чем, желательно, с привлечением специалиста, например, аналитика ВПО. Ладно еще, если это будет просто что-то нерабочее, а так можете и схватить еще парочку троянов
3. Если вы самостоятельно не можете понять, к какому семейству программ-вымогателей относится ваш экземпляр, можно попробовать этот сервис с ранее упомянутого сайта
Но и тут есть одно важное но! Данные, загруженные вами, могут использоваться сторонними организациями (читай - другие организации могут узнать, что конкретно у вас произошло), так как часто такие файлы шифровальщиков собираются под конкретную жертву и в самом семпле может быть информация, указывающая на вас,
например, имя мьютекса).
Кстати, ровно та же история с VirusTotal. Поэтому всегда стоит подумать, прежде чем загружать образцы вредоносов куда-либо. Это правило знают в том числе как пентестеры, так и разработчики малвари: только придерживаются они его несколько по другим причинам (:
#tips
Давным-давно делала для себя Windows Event ID Mindmap,
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
юзаю до сих пор:
как ни крути, если отдельные события уже как родные (7045 is always in my heart), то некоторые так сразу и не вспомнишь
Особенно если только знакомитесь с журналами, может быть очень кстати. Отметила цветом те, что чаще всего дают тот самый pivot point при расследованиях
#tips #basics
Еще во времена моей работы в SOC, когда мы нещадно страдали (на самом деле, не совсем уж) от фолсовых сработок, нам иногда задавали вопрос:
а что лучше,
false positive или false negative?
#meme
а что лучше,
false positive или false negative?
#meme
Все знают про проекты LOLBAS и GTFOBins, содержащие списки легитимных бинарей, которые могут использоваться атакующими в злонамеренных целях
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics
А вот эти видели?
— Living Off The Land Drivers
То, что нужно, с учетом роста популярности атак Bring Your Own Vulnerable Driver (BYOVD). В Windows 11 с определенного апдейта функция блокировки таких драйверов работает «из коробки». Для других версий есть возможность блокировки через политику Windows Defender Application Control (WDAC)
— Living Off Trusted Sites
Наглядно видно, что в качестве C2 могут выступать не только очевидно (или не совсем) вредоносные или странные имена арендованных серверов, но и привычный яндекс.диск с ютубчиком. Кстати, хоть и диска здесь нет, но вы можете его смело представить рядом с тем же dropbox. То же самое относится к клипбордам: где pastebin, там и cl1p. Как говорится, основано на реальных событиях
— Ну и напоследок, покопаться в системе в поисках вредоносных/отозванных загрузчиков
#basics
README.hta
Безопасность и расследование инцидентов в линуксах для самых маленьких. То есть, это не о том как порты закрыть и права развесить, а где и что искать когда первый пункт не помог. https://www.youtube.com/watch?v=q70SgSXsUEs
К моему удивлению, было очень много положительного фидбека по выступлению на positive hack days в этом году
По его следам слепили с позитивами чуть более расширенную версию:
https://ptresearch.media/articles/top-10-artefaktov-linux-dlya-rassledovaniya-inczidentov
#basics #forensics #linux
По его следам слепили с позитивами чуть более расширенную версию:
https://ptresearch.media/articles/top-10-artefaktov-linux-dlya-rassledovaniya-inczidentov
#basics #forensics #linux
Если вы не знаете, о чем говорит созданная служба
Часть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
BTOBTO или не можете с ходу определить тулзу по процессу с командной строкой типа cmd.exe /Q /c cd \ 1> \\127.0.0.1\ADMIN$\__ssssssssss.sssssss 2>&1), тогда я иду к вамЧасть лучших читшитов по детекту и обнаружению следов работы инструментов для удаленного выполнения команд:
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-1
// cobalt strike built-in modules: jump psexec, psexec64, psexec_psh, winrm, winrm64
https://www.unh4ck.com/detection-engineering-and-threat-hunting/lateral-movement/detecting-conti-cobaltstrike-lateral-movement-techniques-part-2
// cobalt strike remote-exec: psexec, winrm, wmi
https://www.13cubed.com/downloads/impacket_exec_commands_cheat_sheet_poster.pdf
// impacket: atexec .py, dcomexec .py, psexec .py, smbexec .py, wmiexec .py. не могу не добавить, что канал 13Cubed Ричарда Дэвиса - это просто находка для будущих и настоящих форензиков
https://bczyz1.github.io/2021/01/30/psexec.html#metasploit
// metasploit: psexec
https://jpcertcc.github.io/ToolAnalysisResultSheet/ , раздел Execution
// psexec (sysinternals), wmic, schtasks, wmiexec.vbs, beginx, winrm, winrs, bits
#windows #forensics
SANS_DFPS_FOR500_v4.17_02-23.pdf
1.1 MB
Windows Forensic Analysis Poster (latest version from 02/2023)
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;тут правда еще большой вопросик, насколько последнее актуально для России (:
— подправили описание Shimcache и Amcache (evidence of presence on the system!)
#windows #forensics #tips
На что стоит обратить внимание в первую очередь:
— новые источники артефактов, например, CapabilityAccessManager (execution), MS Word Reading Locations (file open), раздел Cloud Storage
— $ SI timestamps Win10 + Win11;
#windows #forensics #tips
Здесь мог бы быть пост о необходимости понимания ландшафта угроз и вот этого всего, но выскажусь кратко о наболевшем
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
мы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
Иногда между тем, что хотят детектить в SOC, и что по факту происходит in the wild, просто катастрофическая пропасть. Помню, когда я перешла из in-house SOC в DFIR, где ты в основном подключаешься когда «уже все», я знатно удивилась (можно читать матом), что такое вообще ВОЗМОЖНО
Как-то мой хороший друг из моей же отрасли очень точно передал требования клиентов к этим самым SOC одной фразой: «я не хочу детектить угрозы, я хочу детектить пентест!»
Местами утрируя, но в итоге так оно и выходит,
мы ищем сто способов как детектировать голден тикет или не дай боже скелетон кей, а ломают через пароль администратора
qwerty123 или Moscow2023! ко всем доступным ресурсаммы сражаемся с DNS-туннелями, а атакующие просто копируют данные, захватив с собой EmEditor
мы смотрим 10 докладов о том, как же обнаружить руткита в системе, тем временем как в нашей сети уже давно орудуют администраторы вне штата
И фишка то как раз не в том, что детектить сложные техники не нужно (не говоря уже о том, чтобы просто мониторить и реально обрабатывать алерты СЗИ), а в том, что хотя бы иногда нужно просто оглянуться по сторонам
#own
README.hta
Mission completed! Certified forensic!!!!
Если кому интересно, написала тут в общих чертах по теме
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own
https://habr.com/ru/companies/angarasecurity/articles/771610/
#own