![]() |
https://forum.antichat.xyz/attachmen...3160cc2d73.png
Когда в 3 часа ночи прилетает алерт о массовом шифровании файлов - расследовать уже поздно. Шифрование - финальный акт пьесы, которая разыгрывалась в вашей сети дни, а то и недели. За годы разбора инцидентов с LockBit, BlackCat и RansomHub я убедился в одном: единственный способ выиграть у ransomware - ловить атаку на стадии pre-ransomware активности, пока злоумышленник ещё ползает по сети, выгружает учётки и готовит плацдарм. Дальше - конкретные SIEM-правила, Sigma-детекции и запросы, которые я использую в реальной практике threat hunting. Почему классические IOC не спасают от шифровальщиков Индикаторы компрометации - хеши файлов, IP-адреса C2-серверов, домены - протухают за часы. Операторы RaaS-платформ (Ransomware-as-a-Service) перекомпилируют билды перед каждой атакой, меняют инфраструктуру и спокойно льют данные через легитимные сервисы. По данным SCILabs, в 2024 году в одном только латиноамериканском регионе действовали минимум 51 вариант ransomware, а топ-5 - RansomHub (17.69%), LockBit 3.0 (17.31%), Akira (8.08%), Arcus Media (7.31%), FunkSec (4.62%) - покрывали лишь 55% атак. Остальные 45% - десятки менее известных штаммов, чьи IOC вы просто не найдёте в фидах. Поэтому проактивный поиск угроз (threat hunting ransomware) строится не на IOC, а на TTP - тактиках, техниках и процедурах по MITRE ATT&CK. TTP меняются на порядок медленнее. Какой бы штамм ни использовался, оператор всё равно должен:
Pre-ransomware активность: хронология атаки и точки обнаружения Типичная ransomware-атака от первичного доступа до шифрования занимает от 2 до 14 дней. Это и есть окно для threat hunting. Разберём фазы и MITRE ATT&CK техники, на которых строятся детекции. Credential dumping и доступ к LSASS Memory MITRE ATT&CK: LSASS Memory (T1003.001, Credential Access) Одна из первых задач атакующего после закрепления - стянуть учётные данные доменных пользователей. Классический вектор - дамп процесса lsass.exe. В реальных инцидентах я видел три основных метода: прямой запуск Mimikatz, использование comsvcs.dll через rundll32 и создание минидампа через Task Manager или ProcDump. Sigma-правило для обнаружения дампа LSASS через comsvcs.dll - один из самых частых паттернов у операторов Cobalt Strike: YAML: Код:
titleКод: Код:
index=wineventlog sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1Lateral movement: RDP, PsExec и WMI MITRE ATT&CK: Remote Desktop Protocol (T1021.001, Lateral Movement) После получения учёток злоумышленник начинает ползать по сети. Три классических вектора, которые я наблюдаю практически в каждом ransomware-инциденте: RDP (T1021.001) - самый простой для обнаружения паттерн. В нормальной среде RDP-подключения идут с ограниченного набора административных станций. Массовые RDP-сессии с одного хоста на кучу серверов за короткое время - верный признак lateral movement. Код: Код:
index=wineventlog EventCode=4624 Logon_Type=10PsExec и SMB-based execution: группы вроде Conti и LockBit активно используют PsExec для деплоя шифровальщика. Детектим создание характерных сервисов: Код: Код:
index=wineventlog EventCode=7045Код: Код:
DeviceProcessEventsMITRE ATT&CK: Disable or Modify Tools (T1562.001, Defense Evasion), Inhibit System Recovery (T1490, Impact) Перед запуском шифровальщика атакующий решает две задачи: вырубить EDR/AV и уничтожить возможность восстановления через теневые копии (VSS). Это критическая точка - если вы поймаете эту активность, до шифрования остаются минуты или часы. Тут уже не до чая. Подробнее о том, как поведенческие индикаторы шифровальщиков помогают обнаружить атаку до её завершения, - в отдельном разборе. Sigma-правило для обнаружения удаления теневых копий: YAML: Код:
titleКод: Код:
DeviceProcessEventsКод: Код:
DeviceProcessEventsMITRE ATT&CK: Clear Windows Event Logs (T1070.001, Defense Evasion) Опытные операторы ransomware чистят за собой логи. И в этом их парадокс - сам факт массовой очистки логов это мощнейший индикатор компрометации. Ты пытаешься спрятаться, а вместо этого кричишь «я здесь». Код: Код:
index=wineventlog (EventCode=1102 OR EventCode=104)Дополнительно стоит мониторить использование wevtutil для очистки: Код: Код:
DeviceProcessEventsОтдельные детекции - хорошо, но настоящая сила SIEM в корреляции. Один алерт на Код:
vssadmin delete shadowsКорреляционное правило для Splunk SPL-запрос, который ищет хосты с множественными признаками pre-ransomware активности за последние 24 часа: Код: Код:
index=wineventlog earliest=-24hSigma-правило для обнаружения массовой остановки процессов Остановка критических сервисов - финальная подготовка перед шифрованием. Ransomware останавливает SQL Server, Exchange, антивирусы и backup-агенты, чтобы разблокировать файлы для шифрования. Логика тут чисто прикладная: пока SQL Server держит .mdf - зашифровать его не получится. YAML: Код:
titleMITRE ATT&CK: Valid Accounts (T1078, Initial Access / Persistence / Privilege Escalation / Defense Evasion) Группы типа Medusa активно покупают доступ у Initial Access Brokers (IAB). По данным CISA, IAB-аффилиаты Medusa получают от 100 до 1 миллиона долларов за эксклюзивную работу на группу. Фишинг и незакрытые уязвимости - их хлеб. Результат - легитимные учётные записи в руках атакующего. Понимание того, как использовать данные об угрозах для проактивной защиты, помогает выстроить контекст вокруг подобных атак. Вот что стоит искать в SIEM для обнаружения злоупотребления действующими учётными записями: Код: Код:
index=wineventlog EventCode=4624 Logon_Type IN (2,10)Типичные false positives и как с ними жить Любое SIEM-правило для ransomware будет генерировать ложные срабатывания. Вот самые частые из моей практики: ДетекцияТипичный false positiveКак отличитьLSASS dumpАнтивирусный агент сканирует lsassParentProcess = известный AV-процесс с валидной подписьюМассовые RDP-сессииАдминистратор патчит серверыВремя совпадает с maintenance window, учётка из утверждённого спискаУдаление VSSСкрипт ротации бэкаповЗапуск по расписанию через Task Scheduler с известного хостаОтключение сервисовОбновление ПО (инсталлятор останавливает сервис)ParentProcess = msiexec.exe или setup.exe с валидной подписьюОчистка логовРотация логов администраторомДокументир ованная процедура, выполняется с jump-сервера Главный принцип: не отключайте правило из-за false positives - настройте исключения через whitelist. Каждое исключение документируйте: кто добавил, почему, срок действия. На одном проекте мы нашли в whitelist исключение двухлетней давности, добавленное уволившимся сотрудником, - под него как раз пролез атакующий. Что делать прямо сейчас Если у вас сейчас нет программы threat hunting - начните с малого:
|
Раньше просто ловили шифровальщик по хешам и адресам, а теперь эти IOC быстро устаревают и никак. Зато фокус на поведенческих паттернах и этапах атаки – куда практичнее, хоть вначале тяжело понять всю цепочку. Главное – заметить малейшие подозрительные движения в логах до шифровальщика, тогда шанс отбить атаку реально появляется.
|
Полностью согласен, что просто гоняться за IOC сейчас смысла мало — они быстро меняются. Вот эти поведенческие паттерны и этапы атаки реально помогают отследить активность на ранних стадиях. Главное — автоматизировать и не пропускать мелкие подозрительные движения в логах, иначе шифровальщик уже на подходе.
|
Раньше всё было проще — ловили шифровальщик по хешам и IP, и да, это быстро протухало. Сейчас же надо смотреть глубже, на поведение, цепочки событий, иначе пропустишь. Автоматизация и поиск паттернов в логах — вот где движуха, иначе к моменту шифрования уже поздно что-то делать.
Заметил, что только с SIEM и корреляцией можно реально отследить ход атаки заранее. |
Читаю и улыбаюсь — раньше думал, что хеши и айпи - панацея, а тут бац — и всю игру поменяли. Короче, эти поведенческие штуки реально круче, чем гоняться за списками с подозрительной шелухой. SIEM и корреляция — это как охота в темноте с фонариком: светишь туда, где тени движутся, а не пули ловишь. Главное не забивать на мелочи, а то потом уже поздняк пить боржоми.
|
Читаю и прямо кайфую, что кто-то тут реально вникает в детали с SIEM и поведением шифровальщиков, а не гоняется за старыми IOC. Понял, что главное — не ждать шифрования, а видеть движение злоумышленника раньше. Даже базовые правила с LSASS дампом и массовыми RDP-сессиями могут сильно помочь. Сейчас пытаюсь настроить что-то похожее, хоть и сложно разобраться с запросами. В любом случае, тема очень полезная для старта.
|
| Время: 02:15 |