48 годин всередині мережі: що зловмисник робить до того, як натисне «Enter»
Це друга стаття серії «Анатомія атаки» від команди SHERIFF Кібербезпека. У першій частині ми пояснили, чому ransomware-атака на українську фінансову компанію взагалі стала можливою: відкритий назовні RDP, морально застарілий контролер домену й сервісні акаунти з надмірними правами. Сьогодні — щохвилинна реконструкція того, що зловмисник із угруповання BlackField робив усередині мережі майже три доби: від першого сліду до моменту, коли у понеділок вранці бухгалтерія не змогла відкрити жодного файлу.
Для керівника компанії тут важлива не технічна екзотика, а одне просте спостереження: між проникненням і шифруванням минули дні. Дні, протягом яких атаку ще можна було зупинити.
П’ятниця, 21 лютого. Зловмисник вже всередині
За два дні до того, як компанія дізналася про атаку, на одному з комп’ютерів бухгалтерії вже з’явилися перші зашифровані файли.
Під час криміналістичного дослідження одного з комп’ютерів бухгалтерії ми виявили зашифровані файли з розширенням .BlackFL, датовані п’ятницею 21 лютого — це за два дні до масового шифрування. Файли з’явились у профілі легітимного користувача: в каталогах бухгалтерського ПЗ M.E.Doc, у тимчасових папках, у конфігураціях програм.
Мовою бізнесу це означає, що до п’ятниці зловмисник вже мав повний контроль над мережею. Імовірно, він шифрував файли віддалено через мережеві диски, або тестував шифрувальник, або починав із менш критичних даних. Для компанії це були звичайні робочі вихідні. Жоден сигнал не пролунав. Ніхто нічого не помітив.
Субота, 22 лютого. Методична підготовка
18:08. На двох робочих станціях бухгалтерії одночасно з’являється файл cryptor.exe у папці робочого столу сервісного облікового запису. Мітка часу модифікації ідентична з точністю до секунди на обох машинах, а криміналістичний хеш файлу однаковий. Висновок однозначний: один і той самий бінарний файл скопійовано з центрального сервера на обидві цілі за одну операцію. Зброя розставлена. Спусковий гачок поки не натиснуто. Зловмисник чекає.
19:37. На контролері домену — серверi, який тримає всю інфраструктуру входів у компанії, фіксується активна RDP-сесія. Через 23 секунди, о 19:38, зловмисник очищує журнал безпеки — весь Security Event Log знищено. Одна команда і вся історія входів, попередньої розвідки та переміщень мережею зникає. Поле «хто очистив» теж порожнє: метадані знищення знищено разом із самими логами.
20:10. Перше зафіксоване підключення зловмисника через скомпрометований сервісний акаунт із файлового сервера, який стане його операційною базою на найближчі години. Ефемерний порт — 51324. Цей номер буде послідовно зростати до 51658 протягом всієї операції, що підтверджує: це одна безперервна сесія з одного хоста.
20:47 — перша ціль. Зловмисник підключається по RDP до першої робочої станції бухгалтерії. Порядок дій чіткий і стандартизований: спочатку видалити антивірус ESET (через спеціалізовану утиліту деінсталяції), потім — запуск шифрувальника, потім — знищення слідів.
20:53. CRYPTOR.EXE запущено. Два логічних томи зашифровано.
Підписуйтеся на наші соцмережі
Вивід PECmd по Prefetch-файлу шифрувальника. Run count: 1 — криптор запустився рівно один раз, 22 лютого о 20:53. Серед файлів, до яких звернувся процес є бази даних FREEZVIT (.MDB), архіви клієнта інтернет-банкінгу IFOBS та десятки файлів із розширенням .BLACKFL — маркером успішного шифрування BlackField ransomware.
Запуск відбувся з робочого столу службового облікового запису.
21:49. Зачищення. Системна утиліта wevtutil.exe запущена з RunCount 10 — це означає очищення десяти різних журналів подій Windows. Далі fsutil.exe — маніпуляції з USN-журналом файлової системи, що ускладнює відновлення хронології. Останній крок — повне очищення Security Log. Єдиний запис, що залишився — це сама подія очищення:
22:47. RDP-сесію завершено. На першій машині зловмисник провів близько двох годин. Це була, по суті, генеральна репетиція. На наступну машину його технологічна карта вже буде відточена.
Ніч на 23 лютого. Тиша під контролем
Вночі зловмисник не «спав». Точніше, не спала його автоматизація. Кожні приблизно дві години з його операційної бази надходили keepalive-підключення до контролера домену: о 01:01, о 02:50, о 04:40. Зловмисник тримав плацдарм і регулярно перевіряв, що його не виявили.
Неділя, 23 лютого. Ранок. Фінальний удар
06:12. П’ять одночасних Kerberos-автентифікацій за секунду з операційної бази на контролер домену. Це характерний «відбиток» інструментів перерахування Active Directory — фінальне уточнення картини мережі перед основним ударом.
06:18. RDP-вхід на другу робочу станцію — комп’ютер головного бухгалтера. Через 0,6 секунди після входу автоматично запускається скрипт із каталогу system32. Його назва — довгий GUID, що імітує системний компонент Windows. Це механізм закріплення в системі, підготовлений заздалегідь.
06:20–06:26. Видалення антивірусу ESET. Цього разу через штатний MSI-механізм, інакше, ніж на першій машині. Імовірно, через відмінності у конфігурації.
06:27. CRYPTOR.EXE запущено. Три логічних томи зашифровано. Ransom notes розміщено в понад десяти каталогах, включаючи бухгалтерське ПЗ, банківські клієнти iFOBS та конфігурації системи.
06:53. RDP-сесію завершено. Від входу до виходу — 35 хвилин. Вчора на ту саму процедуру пішло дві години. Зловмисник оптимізував свій процес на першій жертві і виконав його в чотири рази швидше на другій.
07:13. Зачищення через 20 хвилин після відключення. Той самий набір: wevtutil.exe (RunCount: 10), fsutil.exe (RunCount: 1). Ідентичні значення на обох машинах — стандартизований, відпрацьований playbook.
Як це виявили. Пізно, але не безнадійно
06:46. Поки зловмисник ще працював на другій машині, на роботу прийшла співробітниця і побачила, що перша станція зашифрована. Четвертий перезапуск нічого не змінив. О 08:47 інцидент зафіксовано офіційно.
09:55. IT-адміністратор скидає пароль скомпрометованого сервісного акаунту. Ефект миттєвий і абсолютний: жодного нового підключення з IP-адреси зловмисника більше не зафіксовано. Із 2 738 подій цього акаунту в логах лише 44 (1,6%) належали зловмиснику, а решта була легітимним трафіком серверів 1С. Саме тому атаку було так важко помітити.
Навіщо ми все це розповідаємо для керівників бізнесу
Якщо ви власник чи СЕО, технічні деталі вище — не для того, щоб вразити або заплутати. Вони існують, щоб зруйнувати кілька дорогих ілюзій.
Перше: ransomware — це не «вибух», а спецоперація. Між першим слідом і моментом, коли бухгалтерія не змогла відкрити файли, минуло щонайменше дві доби. Зловмисник розставив шифрувальник за півтори години до знищення логів. Він тестував підхід на першій машині і оптимізував його на другій. Він працював вночі, коли мережу ніхто не моніторив. У вашій компанії, найімовірніше, теж ніхто не моніторить її вночі і це вікно, у яке заходять.
Друге: зловмисники знищують докази системно. Десять журналів подій на кожній машині, плюс USN-журнал файлової системи, плюс Security Log на контролері домену. Якщо ваші логи зберігаються тільки локально — після атаки у вас не залишиться нічого для розслідування. Ні для страхової, ні для регулятора, ні для самих себе. Винесення логів за межі інфраструктури, що атакується — це не «коштовна іграшка для безпеки», це базова гігієна аудиту.
Третє: одна проста дія зупинила атаку але із запізненням. Скидання пароля скомпрометованого сервісного акаунту обірвало доступ зловмисника миттєво. Проблема в тому, що його зробили через три години після виявлення і вже після того, як було зашифровано другу машину. Автоматизований моніторинг міг би виявити аномальну активність сервісного акаунту ще ввечері 22-го і запобігти шифруванню другої машини.
Тобто інструмент, який врятував залишки, був безкоштовним і доступним з першої хвилини. Не вистачило не грошей. Не вистачило здатності побачити, що щось іде не так.
Це і є головний бізнес-висновок другої частини: у ransomware-атаці у вас майже завжди є години, іноді доби, на реакцію. Питання тільки в тому, чи дивиться хтось у потрібний момент у потрібне місце.
Наступна стаття серії: «Чому розслідування інциденту — це детективна робота» — як відновити картину атаки, коли зловмисник знищив більшість доказів.
Автор: команда DFIR, SHERIFF Кібербезпека