Олег Скулкин, Group-IB: Кибератаку от начала до конца можно провести легитимными средствами, которые не обнаружит никакой антивирус

В преддверии международной конференции по практической кибербезопасности OFFZONE журналист Cyber Media встретился с Олегом Скулкиным, руководителем лаборатории цифровой криминалистики Group-IB. Специалист рассказал, почему сейчас как никогда просто войти в мир киберпреступности, как он организован изнутри и что можно противопоставить растущей волне кибератак.

Cyber Media: О чем ваш доклад на OFFZONE?

Олег Скулкин: Я рассказываю о легитимных инструментах, которые используют злоумышленники. Здесь подразумеваются не средства операционной системы, например, PowerShell, а масса инструментов для системного администрирования и не только – они могут уже быть на скомпрометированном хосте, либо же преступники приносят их с собой. Я собрал материалы за последние пять лет, получилась довольно интересная история.

Cyber Media: Многие эксперты говорят, что легитимные инструменты – один из главных трендов последнего времени.

Олег Скулкин: Да, и не только последнего.

Cyber Media: Разумеется, про тот же Mimikatz все давно знают.

Олег Скулкин: Вот здесь важно провести границу. Да, Mimikatz когда-то создавался как средство для исследования безопасности Windows. Но все знают, что это все же «зло», которое только гипотетически можно использовать во благо – забыл ты какой-нибудь пароль, захотел достать его из памяти. Смешная ситуация, но тем не менее.

Или какой-нибудь Cobalt Strike и другие фреймворки, которые используются для пентеста. Мы все понимаем, что вообще-то эти средства создавались, чтобы что-то ломать. Легально, в ходе пентеста, но ломать.

А есть действительно легитимные инструменты. Например, в Windows-сетях злоумышленникам всегда нужно собирать какие-то данные из Active Directory. Они могут использовать для этого тот же PowerShell, но с командной строкой нужно уметь работать. А есть какие-нибудь ADFind или AD Explorer, которые вообще не предназначены для взлома, используются системными администраторами. Они вполне успешно выполняют функции в рамках жизненного цикла атаки.

Другой актуальный пример – вымогатели, которые за последние года три вышли в топ угроз. Сейчас в мире таких атак стало немного меньше, а в России, наоборот, больше. Так вот, многие злоумышленники используют BitLocker, который тоже встроен в Windows. А другие применяют DiskCryptor – тоже легитимное open source средство.

На черном рынке есть программы-вымогатели, есть партнерские программы, в рамках которых такое ПО можно взять в аренду. Но зачем покупать зловред или делиться с кем-то выкупом, если ты можешь взять абсолютно белые инструменты и так же заблокировать компьютер?

В общем, есть масса средств, которые используются на разных этапах атаки и никак не детектируются. В отличие от того же Mimikatz, на который триггернется самый плохой антивирус. Собственно говоря, весь kill-chain можно построить без каких-либо вредоносных или полувредоносных средств – от проникновения на хост до распространения по сети и достижения цели.

Даже банальные и очень популярные сейчас TeamViewer и AnyDesk могут стать бэкдором в инфраструктуру. Если сеть уже скомпрометирована, злоумышленник может оставить эти инструменты где-нибудь на машине, и на них никто не обратит внимание. Во многих организациях нет службы безопасности или специалист по безопасности занимается бумажной работой – типовая ситуация и для России, и для зарубежных стран, везде. Что они делают, если обнаружат взлом? Они что-то где-то посмотрят, просканируют антивирусом, что найдут – удалят. А что не найдут – не удалят.

Cyber Media: Насколько такое положение вещей снижает порог входа для злоумышленников?

Олег Скулкин: Однозначно снижает. Причем важную роль играют не одни только легитимные инструменты – их нужно знать, понимать, как они работают, и так далее.

А есть уже упомянутые андерграундные рынки, где можно задать вопросы, получить руководства и инструкции, арендовать вредоносное ПО. Поэтому порог входа сейчас минимальный.

И большой ошибкой будет полагать, что в российском киберпространстве таких группировок нет. Особенность российских группировок в том, что они действуют очень тихо. Например, у них нет сайтов, куда они выкладывают похищенные данные. Но атаки происходят, и есть преступники, которые целенаправленно охотятся на российский крупный бизнес. Из самых известных — OldGremlin.

Какие-то из них русскоязычные, какие-то из них — нет. Трудно даже сказать, находятся ли они в странах СНГ. Но факт в том, что они атакуют российские компании и вымогают деньги.

Cyber Media: По нынешней волне атак видно, что портрет злоумышленника меняется?

Олег Скулкин: Я бы не сказал, что он меняется. Сейчас такой широкий круг киберпреступников, что среди них есть самые разные люди с самыми разными ролями.

Есть участники, которые вообще не занимаются взломом, а только отмывают деньги. Ведь те же вымогатели за последние годы получили огромные суммы в криптовалюте, их нужно как-то перевести в фиат. Вот и появляются люди, которые, например, могут пригнать злоумышленнику машину, которую тот купил на отмытые деньги.

Есть злоумышленники, которые только разрабатывают софт. Есть те, кто занимается только инфраструктурой – предоставляют сервера для зловредов, настраивают их. Есть те, кто предлагают зловреды в аренду или перепродают их. Кто-то только взламывает сети, обеспечивает первоначальный доступ. Провели фишинговую рассылку, пробрались на машину – дальше они сами ничего делать не будут, продадут зараженный хост третьим лицам.

Могут быть специалисты по переговорам, которые убеждают жертву заплатить выкуп. Нельзя же просто написать какой-нибудь крупной организации: «Мы вас взломали, давайте деньги». Это тоже нужно уметь – например, указать организаторам атаки, какие именно данные нужно выгрузить, как добраться до финансовой отчетности, какую сумму запросить.

То есть нет как такового портрета киберпреступника. Сейчас это самая что ни на есть настоящая криминальная отрасль, а не какие-то хулиганы в подвале, которые ломали сети 20 лет назад. Эти хулиганы выросли, получили богатый опыт. И руководят ими другие взрослые опытные люди.

Cyber Media: Как это сказывается на атрибуции и возможности разобраться, кто что сделал?

Олег Скулкин: Атрибуция отчасти может быть легче. Многие вымогатели сами представляются в своих записках с требованиями о выкупе, дают ссылки на сайт, где будут опубликованы похищенные данные. Не нужно анализировать тактики, техники, процедуры, разбирать вредоносный код – сразу понятно, что это за группа.

При этом интересное влияние оказывают партнерские программы. Например, с LockBit в определенный момент работало 60 разных подгрупп, и у каждой из них был свой стиль. Соответственно, исследователи стали выделять в составе одной крупной партнерской программы группы поменьше.

Cyber Media: Можно предположить, что если в одной кибератаке кто-то взламывает сеть, кто-то доставляет зловред и так далее, то можно выбить одно звено и разом нейтрализовать всех?

Олег Скулкин: К сожалению, не всегда, потому что это не линейная цепь. Если убрать одного человека, который продает доступы, его место займет кто-то другой.

Также и с преступниками, которые, например, арендуют твоего зловреда. Было у тебя 60 «партнеров», 10 выбыло – ты набрал новых. Так что в этом плане стало сложнее.

Задержания действительно происходят, их было довольно много, особенно в прошлом году. На Украине задержали вымогателей Clop, в России – REvil. Но в большинстве случаев это не организаторы атак, а те, кто для них отмывают деньги. На этих людей, которые в сумках носят миллион долларов, выйти проще всего.

С другой стороны, это оказывает влияние на ситуацию в целом. Потому что у крупной группировки и суммы выкупов крупные. А обналичить 10 миллионов долларов – не то же самое, что вывести 50 тысяч. Соответственно, если цепочка нарушается, восстановить ее гораздо сложнее.

Cyber Media: Вернемся к теме легитимного ПО. Что делать компании, чтобы справиться с такими атаками?

Олег Скулкин: Тут все очень просто. Если есть мониторинг, то все получится. Если телеметрии нет и стоит один антивирус, остается копить деньги, переводить в криптовалюту и ждать, кто первый их у тебя попросит. Вот в таком мире мы сейчас живем.

Если нет мониторинга, EDR, SIEM, то ИБ-специалистам не хватает событий, которые и показывают, что происходит в сети. А если ты не видишь, что происходит в сети, очень сложно говорить об адекватной защите, особенно когда дело касается каких-то сложных угроз и целевых атак.

Нужен SIEM или EDR/XDR. Правда, SIEM обычно используется далеко не только для обеспечения безопасности, да и логи туда могут отправляться совсем не те. Поэтому, чтобы обнаружить и заблокировать нежелательную активность, на мой взгляд, лучше использовать EDR/XDR. 

Cyber Media: Многие компании полагают, что эти решения им не по карману – пока у тебя нет тысячи-другой сотрудников, инвестировать в них нет смысла.

Олег Скулкин: Я с этим не соглашусь, ведь есть модель оплаты по количеству пользователей. Соответственно, если у тебя 100 сотрудников, то ты и платишь как за 100. По крайней мере, у нас это так. Мы как вендор мониторим свои решения, мы построили SOC и предоставляем к нему доступ множеству компаний. Это позволяет нам снижать стоимость, а заказчикам – получать нужные сервисы за меньшие деньги. Одно дело, когда у тебя свой SOC на 100 компьютеров, и тебе нужно платить зарплаты сотрудникам, проводить тренинги, покупать софт. Это будет несопоставимо дорого по сравнению с количеством хостов, которые ты защищаешь.

И другое дело, когда есть третья сторона, вендор. Который плюс ко всему видит гораздо больше, чем будет видеть одна компания со 100 компьютерами. Эта экспертиза, весь объем телеметрии, который единовременно поступает со всех заказчиков – все это получается намного дешевле.

По моим оценками, для компании содержать собственный SOC оказывается примерно в 10 раз дороже, чем отдавать на аутсорс.

Cyber Media: Последний вопрос вам как к эксперту по киберкриминалистике. Как ИБ-специалисту, который сегодня занимается мониторингом и созданием правил корреляции, завтра начать двигаться к этой специализации?

Олег Скулкин: Здесь на самом деле много общего, потому что человек, который занимается мониторингом, должен хорошо понимать, как работают современные угрозы, как строится жизненный цикл атаки.

Понятно, что есть средства, которые могут автоматически что-то детектировать. Но всегда есть события, которые не детектируются – смотри пример с легитимными средствами, с которого мы начали. Если аналитик знает, что такие средства существуют, он может проактивно проверить, развернуты ли они на хосте, используются ли, кто их использует и зачем.

Cyber Media: Какие книги можно посоветовать человеку, который хочет разобраться в этой области?

Олег Скулкин: Здесь нужно понимать, что без английского языка развиваться в цифровой криминалистике, расследовании инцидентов будет очень сложно.

Из последнего могу порекомендовать «Incident Response Techniques for Ransomware Attacks». Там описан современный ландшафт угроз, связанных с программами-вымогателями, и показано, как можно реконструировать такие атаки после того, как инцидент произошел.

Есть прекрасная книга Стива Энсона (Steve Anson) «Applied Incident Response». Это достаточно массивный труд, который описывает, как проходит реагирование на инциденты, на что обращать внимание, какие есть источники цифровых артефактов.

И еще одну могу посоветовать — это «Intelligence-Driven Incident Response». Там описывается взаимосвязь кибер разведки и реагирования на инциденты. Именно об этом я говорил выше – если ты понимаешь, как работает атака, тебе намного проще реагировать на инциденты. Потому что очень сложно найти то, о чем ты не знаешь.