Многие люди удивлены, узнав, что программы-вымогатели настолько успешны в организациях, где включены все традиционные средства защиты. Большинство организаций, пострадавших от программ-вымогателей, имели современные антивирусы, брандмауэры, фильтрацию контента и все обычные средства защиты, которые, как нам всем говорят, необходимы для успешной защиты от хакеров и вредоносных программ. Есть несколько причин, по которым программы-вымогатели могут быть настолько успешными в средах, которые вы ожидаете от надежной защиты. Далее обсудим некоторые причины взлома даже хорошо защищенных организаций. Во-первых, антивирусное программное обеспечение и программное обеспечение для обнаружения и реагирования на конечные точки (EDR) никогда не было на 100% точным, независимо от того, что говорится в рекламе. В мире компьютерной защиты нет ничего одновременно простого и сто процентно точного.

В наши дни любому поставщику антивирусов невероятно сложно угнаться за многими миллионами новых вредоносных программ, создаваемых каждый год. Дело не в том, что каждый год создаются миллионы абсолютно новых, уникальных вредоносных программ; дело в том, что одни и те же вредоносные программы переделываются, запутываются и шифруются, чтобы при каждом использовании они выглядели по-разному. Таким образом, традиционные антивирусные сканеры на основе сигнатур с трудом поспевают за ними. Им приходится ждать, пока новая вредоносная программа будет обнаружена, сообщена, проверена, а затем создана надежная сигнатура. К тому времени, когда это произойдет, большинство программ-вымогателей повторно зашифруют себя, чтобы создать новую подпись. Между выпуском и надежным обнаружением всегда будет задержка, которую преступники используют по максимуму. Во-вторых, никакая защита не применяется идеально. Защитникам трудно получить 100-процентное применение любой защиты безопасности в их среде. Простая установка критического исправления на каждый компьютер, который в нем нуждается, редко приводит к 100-процентному успеху с первого раза. Это может быть связано с тем, что реестр Microsoft Windows поврежден, устройство находится в автономном режиме, место для хранения устройства заполнено, какая-то сторонняя программа блокирует приложение, пользователь намеренно препятствует применению элемента управления безопасностью и т. д. Независимо от того, что пытается сделать компьютерный защитник, добиться 100-процентного успешного применения этого средства безопасности очень сложно. И это почти невозможно сделать со всеми элементами управления компьютерной безопасностью. Так было с момента появления компьютеров. Хакеры и вредоносное ПО любят непоследовательность. Программа-вымогатель часто находит свой первоначальный плацдарм для доступа к компьютеру, на котором отсутствует одна из критически важных средств защиты. В-третьих, будучи активными, многие программы-вымогатели немедленно начинают искать и отключать средства защиты, чтобы не предупредить об атаке. Некоторые программы-вымогатели ищут определенные защитные программы, которые особенно хорошо останавливают их, а другие используют более общий подход и пытаются отключить любую из десятков программ. На самом деле необъяснимое отключение средств защиты является одним из лучших признаков заражения программами-вымогателями, если вы можете отфильтровать вредоносные отключения от всей законной активности. В-четвертых, большинство программ-вымогателей все больше полагаются на использование скриптов, встроенного программного обеспечения и команд, а также законных коммерческих инструментов для выполнения своей грязной работы после первоначальной эксплуатации. Например, одним из наиболее часто используемых инструментов вымогателей после эксплуатации является собственная программа Microsoft Sysinternals Psexec.

Psexec, который существует уже несколько десятилетий, позволяет удаленно копировать и запускать программы на компьютерах с Windows, что делает его фаворитом не только законных администраторов, пытающихся использовать автоматизированные сценарии, но и групп вымогателей. Защитной программе сложно отличить законный сценарий или программу от сценария или той же программы, используемой злонамеренно. В-пятых, большинство администраторов и пользователей на самом деле не понимают свое окружение так, как должны. Поэтому, когда появляется что-то вредоносное, они не знают об этом и не исследуют это.

Важно понимать традиционные и агрессивные меры обнаружения, которые могут помочь любой организации лучше и быстрее обнаруживать новое использование программ-вымогателей. Предполагается, что вы уже используете все традиционные средства защиты компьютера, включая использование антивируса/EDR, брандмауэров, безопасных конфигураций, фильтрации контента, фильтрации репутации, защиты от фишинга, мониторинга и т. д. Таким образом, основное внимание будет уделяться методам обнаружения, которые особенно хорошо работают с программами-вымогателями (и другими вредоносными программами и хакерскими сценариями). Некоторые из рекомендуемых методов обнаружения просто используют существующие средства защиты улучшенным образом, а другие не новы. Идея этого раздела состоит в том, чтобы познакомить вас с различными типами обнаружения и позволить вам выбрать один или несколько для реализации в вашей среде. Как и в любой компьютерной защите, существует определенный компромисс между удобством использования и безопасностью. Лучшие средства защиты от программ-вымогателей требуют больше ресурсов, концентрации и ручных исследований. Не существует простого автоматизированного способа на 100% обнаружить программы-вымогатели. Если бы это было так, у нас не было бы той серьезности проблемы с программами-вымогателями, которая есть сегодня.

На какие признаки и симптомы должны обращать внимание администраторы и пользователи? Администраторы и конечные пользователи должны быть в курсе самых популярных признаков программ-вымогателей. О них регулярно пишут в блогах поставщиков компьютерной безопасности, в том числе на KnowBe4 (https://blog.knowbe4.com).

Как обсуждалось ранее, всегда полезно запускать новейшие антивирусы/обнаружение конечных точек и обнаружение ответов (AV/EDR). Они ловят и предотвращают некоторый процент вредоносных программ и программ-вымогателей. Не менее важно понимать, что во многих случаях AV/EDR находит то, что в противном случае может показаться несвязанными вредоносными (или законными) программами, которые используются программами-вымогателями. Сегодня большинство программ-вымогателей используют другие вредоносные программы, скрипты и даже законные программы для выполнения своей грязной работы. Во многих случаях признаком того, что у вас есть ожидающая атака программы-вымогателя, является просто обнаружение одной вредоносной программы или необъяснимого сценария в вашей среде.

Обнаружение новых процессов — это наилучший из возможных средств контроля, но также и один из самых сложных для эффективной реализации. Все программы-вымогатели запускают новые несанкционированные вредоносные процессы. Для обнаружения программ-вымогателей (а на самом деле всех вредоносных программ и злонамеренных хакеров) все, что вам нужно сделать, — это обнаружить все новые неавторизованные процессы и определить, являются ли они законными или нет. Легче сказать, чем сделать. Если вы сможете сделать это хорошо, вы значительно снизите риск программ-вымогателей, всех вредоносных программ и большинства злонамеренных хакеров. Сложность заключается в том, что немногие организации действительно понимают, какие процессы выполняются на одном устройстве, а тем более на всех устройствах в их сети. И вы должны понимать, какие законные, авторизованные процессы выполняются на каждом устройстве (или, по крайней мере, на каждом устройстве с высоким риском злонамеренной компрометации) и предупреждать о новых процессах. Затем необходимо исследовать каждый новый процесс, чтобы определить его легитимность.

Первый шаг — провести инвентаризацию каждого устройства в среде или, по крайней мере, каждого устройства, которое может быть использовано злонамеренно. Это означает ПК, ноутбуки, серверы, сетевое оборудование, устройства IoT, устройства и т. д.

Второй шаг — инвентаризация законных разрешенных процессов на каждом устройстве. Это может быть сложно сделать, и часто для этого требуется различное программное обеспечение для инвентаризации.

Третий шаг — установить процесс мониторинга, который может обнаруживать появление нового несанкционированного процесса (или несанкционированного «внедрения» в существующий разрешенный процесс). К процессам относятся исполняемые файлы, сценарии, библиотеки и все остальное, что может быть классифицировано как «активный» код или содержимое и может быть использовано злонамеренно.

Четвертый шаг заключается в создании процесса реагирования на инциденты, который быстро исследует каждый вновь обнаруженный неавторизованный процесс до такой степени, что он определяется как законный или вредоносный.

Все новое, что можно использовать для сокрытия, хранения или запуска вредоносного ПО, необходимо отслеживать и предупреждать. Например, в Microsoft Windows вредоносное ПО часто устанавливается в реестр Windows таким образом, что оно автоматически перезапускается при перезагрузке Windows. Или он устанавливает себя как новое запланированное задание. Существуют буквально десятки, если не сотни способов, с помощью которых вредоносная программа может установить себя в Windows, чтобы обеспечить свое существование.

Любое программное обеспечение или система, которые вы можете купить, которое автоматизируют этот процесс, должны быть изучены и рассмотрены. Существует множество программ компьютерной безопасности, которые сделают большую часть работы за вас. Я стесняюсь приводить примеры, потому что любой список, который я приведу, будет радикально неполным. Ниже приведен неполный список программ, специально отслеживающих отдельные процессы (по крайней мере, на некоторых платформах) и пытающихся идентифицировать и предупреждать об аномальных обнаружениях (в алфавитном порядке):

• Crowdstrike

• Cybereason

• Elastic

• FireEye

• Fortinet

• McAfee

• Microsoft

• Orange Cyberdefense

• Palo Alto Networks

• Sentinel One

• TrendMicro

• VMware Carbon Black

Все программы-вымогатели устанавливают несанкционированные сетевые подключения как внутри скомпрометированной сети, так и извне. В большинстве атак программ-вымогателей подключаются к скомпрометированной сети через незаконные соединения.

А как-же насчет бесфайловых вредоносных программ?

Известно, что многие вредоносные программы, в том числе программы-вымогатели, используют «бесфайловые» методы. Предполагается, что это означает, что вредоносная программа не использует традиционные файлы для хранения и выполнения. Вместо этого бесфайловое вредоносное ПО использует реестр или какой-либо другой метод запутывания для сохранения, сокрытия и выполнения самого себя. Многие люди задаются вопросом, могут ли традиционные методы обнаружения так же легко обнаруживать эти типы бесфайловых вредоносных программ. Ответ заключается в том, что бесфайловое вредоносное ПО существует уже несколько десятилетий (по крайней мере, с конца 1980-х годов на ПК... первый вирус для ПК, Pakistani Brain, был «бесфайловым») и легко обнаруживается большинством антивирусных сканеров. Кроме того, я никогда не видел бесфайловой вредоносной программы, которая не создавала бы одну или несколько вредоносных программ на основе файлов, которые можно было бы обнаружить. Короче говоря, бесфайловое вредоносное ПО не является такой огромной угрозой, как его представляют многие люди и поставщики.

Хорошее обнаружение программ-вымогателей требует тщательного планирования, исследований и мониторинга. Именно потому, что большинство организаций не делают этого, программы-вымогатели часто бывают успешными. Не будьте жертвой программ-вымогателей. Узнайте, что должно и не должно работать и соединяться с другими конечными точками в вашей среде, а также обнаруживать, предупреждать и исследовать все аномалии. Если у вас нет ресурсов, купите программное обеспечение или услуги, которые сделают это за вас. Если этого не сделать, ваша организация подвергнется повышенному риску успешной атаки программ-вымогателей. Следует отметить, что иметь четкое понимание и фактически осуществлять мониторинг процессов и сетевых подключений непросто и недешево. Это справедливо даже в том случае, если у организации, которая в этом нуждается, есть ресурсы или инструменты для этого. Именно потому, что это требует больших ресурсов и/или дорог, большинство организаций, даже крупных, не занимаются этим мониторингом. Чтобы было ясно, организации, которые не могут сделать это хорошо, подвергаются значительному повышенному риску успешной атаки хакера или вредоносного ПО. Организации, которые могут сделать это хорошо, подвергаются значительно меньшему риску успешной атаки. Многие организации, которым не хватает необходимых ресурсов для эффективного отслеживания процессов и сети, покупают то, что они считают лучшим сочетанием решений EDR и резервного копирования, и надеются на лучшее. Если возможно не полагайтесь на надежду защитить свою организацию. Имейте хорошее решение AV/EDR, хорошее решение для резервного копирования, а также выполняйте обнаружение аномалий процессов и сети.

Microsoft AppLocker присутствует в Windows, начиная с Windows 7/Windows Server 2008. Он заменил политики ограниченного использования программ в Windows XP. Сегодня он считается «более простым» двоюродным братом Microsoft Defender Application Control, выпущенного в Windows 10. AppLocker можно настроить и контролировать с помощью PowerShell, локальной или групповой политики Active Directory или службы управления мобильными устройствами, такой как Windows Intune. В следующем примере показано, как настроить и развернуть с помощью локальной групповой политики.

Первый шаг — включить и настроить AppLocker. Для этого в начале-Запустите приглашение, введите gpedit.msc и нажмите Enter.

Это отобразит редактор локальной групповой политики. В консоли редактора перейдите к Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker, как показано на рисунке

Это должно привести к набору опций AppLocker, как показано на рисунке

Каждое из этих типов правил можно включить отдельно, как показано ниже, установив флажок. Для наших целей каждое правило должно быть включено в режиме «Только аудит», а не в режиме «Принудительное применение».

AppLocker позволит администратору создать набор «базовых» правил, которые позволят выполнять все существующие исполняемые файлы без создания события безопасности. Все, что в настоящее время установлено, будет разрешено запускать без создания события безопасности.

Далее показан частный пример того, как выглядят базовые правила.

В любой среде, в которой AppLocker развертывается в качестве основного средства обнаружения новых процессов, как показано в этом разделе, следует исследовать все предупреждения сообщений журнала 8003 до тех пор, пока не будет определено, что выполнение является законным или нет. В многокомпьютерных средах все сообщения журнала 8003 должны быть собраны в общую базу данных, а затем администраторы или исследователи должны быть предупреждены о начале исследования. Для каждого события 8003 может быть предусмотрена дополнительная автоматизация, включая отправку электронного письма «формы» вовлеченному пользователю с вопросом, намереваются ли они установить новый, ранее необъяснимый исполняемый файл. Или задействованный исполняемый файл может быть отправлен в Google VirusTotal или поставщику антивирусного ПО пользователя для дальнейшего анализа. Концепция одинакова, независимо от того, какие инструменты вы используете. Выясните, что должно работать в вашей среде, выявляйте отклонения и исследуйте. Даже в организации среднего размера количество новых процессов, обнаруживаемых каждый день, может быть ошеломляющим. Их можно свести к минимуму, запретив обычным конечным пользователям устанавливать новые программы (удалив их учетные записи администратора или root), но обычные конечные пользователи по-прежнему могут устанавливать множество новых программ. Могут потребоваться часы исследований, чтобы снять и определить, что является законным, а что нет. Многие организации используют контроль приложений в режиме блокировки, чтобы замедлить новые установки и несанкционированные запуски. Другие используют программное обеспечение EDR, большинство из которых должны иметь множество встроенных функций, включая возможность определять, что является вредоносным, а что нет. Но даже самые лучшие программы EDR не могут превзойти точность человека, исследующего каждое вновь обнаруженное отклонение.

Каждая организация, независимо от того, как это делается, должна стремиться к лучшему пониманию и контролю над программами и сетевыми подключениями в своей среде. Это уменьшит риск успешной хакерской атаки. Именно потому, что большинство организаций не выделяют достаточно ресурсов для обнаружения аномалий в процессах и сети, в результате чего программы-вымогатели пользуются таким успехом.