Анатомия атаки: почему цифровая криминалистика (DFIR) — это детективная работа
Это третья статья из серии «Анатомия атаки» от команды SHERIFF Кібербезпека.
В предыдущих материалах мы разобрали причины успешной атаки с использованием вымогательского ПО на украинскую компанию финансового сектора и пошагово воссоздали хронологию действий злоумышленника внутри сети. Мы увидели, как из-за открытого RDP-доступа, устаревшей инфраструктуры и чрезмерных привилегий сервисных учетных записей хакеры получили контроль над сетью, а затем в течение нескольких суток готовились к запуску шифровальщика.
Сегодня поговорим о следующем этапе — расследовании кибератаки после инцидента с вымогательским ПО. Именно здесь начинается работа специалистов по цифровой криминалистике и реагированию на киберинциденты (DFIR — Digital Forensics and Incident Response).
Многие руководители считают, что после инцидента достаточно открыть журналы событий, просмотреть логи и быстро установить, что произошло. На самом деле цифровая криминалистика гораздо больше похожа на работу детектива. В большинстве случаев часть доказательств уже уничтожена злоумышленником, а другая часть утрачена во время аварийного восстановления инфраструктуры. Задача DFIR-команды заключается не просто в поиске фактов, а в воссоздании всей картины атаки по десяткам косвенных признаков.
Расследование кибератаки после ransomware
Команду SHERIFF Кибербезопасность привлекли к расследованию через два дня после того, как компания обнаружила инцидент. За это время внутренний IT-отдел занимался тем, что для бизнеса является абсолютным приоритетом в кризисной ситуации — возобновлением работы.
Серверы переустанавливались, рабочие места возвращались в строй, сотрудники получали доступ к системам, без которых компания не могла работать. С точки зрения операционной деятельности это было правильное решение. Но для цифровой криминалистики оно имело серьезные последствия.
Из десяти зараженных систем к моменту начала расследования восемь были переустановлены.
Фактически это означало потерю большей части цифровых доказательств: журналов событий Windows, истории запуска программ, системного реестра, артефактов файловой системы и многих других источников информации, которые обычно помогают установить действия злоумышленника.
Если провести аналогию с обычным уголовным расследованием, ситуация выглядела бы так: полиция приезжает на место преступления, а там уже вымыт пол, заменены замки, выброшены все предметы и уничтожены отпечатки пальцев.
Именно поэтому специалисты по расследованию киберинцидентов часто работают не с полной картиной событий, а с отдельными фрагментами, которые случайно остались после атаки и восстановления инфраструктуры.
В нашем распоряжении остались лишь два жестких диска с зашифрованных компьютеров бухгалтерии, ноутбук сотрудницы, контроллер домена Active Directory, почтовый сервер и конфигурация маршрутизатора MikroTik. Именно из этих источников необходимо было восстановить полную хронологию атаки.
Как ransomware-группировки скрывают следы и затрудняют цифровую криминалистику
Было бы ошибкой считать, что доказательства исчезают только из-за действий компании после инцидента.
Современные ransomware-группировки уже давно функционируют как хорошо организованные бизнес-структуры. Они прекрасно знают, как проводятся расследования кибератак, какие журналы событий анализируют эксперты и какие цифровые следы могут привести к исполнителям атаки. Именно поэтому одним из заключительных этапов большинства современных атак становится систематическое уничтожение улик.
В нашем кейсе на контроллере домена был очищен журнал безопасности Windows Security Event Log — ключевой источник информации о входах в систему, аутентификации пользователей и административных действиях. Для неспециалиста это можно сравнить с камерой видеонаблюдения, которая записывала все передвижения преступников внутри здания, но за несколько минут до прибытия полиции весь архив был удален.
На зашифрованных компьютерах бухгалтерии мы обнаружили аналогичную картину. После запуска шифровальщика выполнялись специальные системные команды для очистки журналов событий Windows и сокрытия истории работы файловой системы. Особенно показательным оказалось то, что на разных машинах последовательность действий была абсолютно одинаковой.
Для криминалистов это очень важный признак. Он свидетельствует об использовании стандартизированного сценария атаки или так называемого playbook — заранее подготовленного набора команд, который злоумышленники используют во время различных инцидентов.
То есть перед нами была не случайная активность отдельного хакера, а хорошо организованная операция.
Главное доказательство по делу: сервер, который мог показать вектор проникновения
В ходе расследования быстро выяснилось, что центральной точкой всей атаки был файловый сервер компании. Именно через него злоумышленник взаимодействовал с сетью. Именно оттуда осуществлялись подключения к компьютерам бухгалтерии через RDP. Именно там, скорее всего, хранились инструменты атаки, скрипты автоматизации и следы возможного похищения данных.
Фактически этот сервер выполнял роль оперативного штаба злоумышленника внутри инфраструктуры компании. Для любого DFIR-расследования такой сервер является бесценным источником информации. Именно он часто позволяет ответить на самый важный вопрос после любой кибератаки: как именно произошло первоначальное проникновение? Именно ответ на этот вопрос помогает понять, остался ли риск повторной компрометации после восстановления систем.
К сожалению, файловый сервер был полностью переустановлен ещё до начала расследования. Фактически мы лишились главного свидетеля по всему делу.
Как работает цифровая криминалистика (DFIR)
Отсутствие прямых доказательств не означает отсутствие выводов.
Именно здесь цифровая криминалистика начинает напоминать работу опытного следователя, вынужденного восстанавливать ход событий по косвенным признакам. Контроллер домена сохранил часть журналов Kerberos — системы аутентификации Active Directory. Именно эти записи позволили установить, откуда использовалась скомпрометированная учетная запись и какие системы участвовали в атаке.
На некоторых компьютерах остались служебные файлы Windows Prefetch. Для пользователя они незаметны, но для криминалиста могут стать настоящей золотой жилой. Именно благодаря им удалось определить точное время запуска шифровальщика, его расположение и перечень файлов, к которым он обращался.
Дополнительную информацию предоставила компания MFT (Master File Table) — внутренняя структура файловой системы, которая хранит сведения о файлах даже после их удаления. Благодаря её анализу удалось подтвердить существование файлов, которые злоумышленник пытался скрыть.
Отдельным этапом стало исследование почтового архива компании, содержавшего около 50 тысяч сообщений. Целью было проверить одну из самых распространенных версий первоначального проникновения — фишинговую атаку.
В данном случае подтверждений фишинга обнаружено не было.
В свою очередь, анализ конфигурации маршрутизатора MikroTik выявил наличие открытых правил доступа через RDP без ограничений из Интернета. Именно эта находка стала одним из ключевых элементов реконструкции событий.
Таким образом, картина атаки восстанавливалась не за счет одного решающего доказательства, а благодаря сотням мелких цифровых артефактов, которые постепенно складывались в логическую хронологию.
Как оценивается достоверность доказательств в ходе расследования киберинцидента
Одним из принципов профессионального DFIR-расследования является интеллектуальная честность. Не все выводы можно подтвердить одинаково убедительно. Именно поэтому при подготовке отчетов мы используем систему оценки достоверности выводов.
Выводы с высокой степенью достоверности (High Confidence) подтверждаются несколькими независимыми источниками и практически не оставляют места для альтернативных объяснений.
Выводы средней достоверности (Medium Confidence) основываются на косвенных доказательствах или ограниченном количестве источников.
Выводы с низкой степенью достоверности (Low Confidence) основываются преимущественно на корреляции событий, контексте атаки и поведении конкретной группировки.
Лучшим примером в данном случае стала тема возможной утечки данных. Прямых доказательств эксфильтрации информации обнаружено не было. Но отсутствие доказательств не является доказательством отсутствия события.
Сетевые журналы были недоступны, сервер с наибольшим количеством артефактов был переустановлен, а группировка BlackField регулярно использует модель двойного вымогательства, которая предусматривает предварительное похищение информации перед шифрованием систем.
Именно поэтому компании было рекомендовано рассматривать сценарий утечки данных как вероятный и планировать дальнейшие действия исходя из этого предположения.
Что такое DFIR и когда бизнесу требуется расследование киберинцидента
DFIR (Digital Forensics and Incident Response) — это комплекс мер по расследованию кибератак, сбору цифровых доказательств, определению масштаба компрометации и оказанию помощи бизнесу в процессе восстановления после инцидента.
Чаще всего услуги цифровой криминалистики требуются после ransomware-атак, при подозрениях в утечке данных, компрометации корпоративных учетных записей, несанкционированном доступе к инфраструктуре или внутреннем мошенничестве.
Главная задача DFIR-команды заключается не только в установлении того, что произошло, но и в ответе на вопрос, остался ли злоумышленник в сети и может ли атака повториться.
Что должен сделать бизнес после кибератаки, чтобы не потерять доказательства
Главный урок этого кейса заключается в том, что скорость восстановления бизнеса не должна лишать возможности провести качественное расследование.
Перед переустановкой серверов или рабочих станций следует сохранить журналы событий и создать копии дисков. Если есть подозрение, что определенный сервер использовался злоумышленником в качестве операционной базы, его нужно изолировать от сети, а не форматировать. И самое важное — привлекать специалистов по DFIR параллельно с процессом восстановления, а не через несколько дней после него.
В этом случае всего два дня задержки стоили компании большей части цифровых доказательств и оставили без окончательного ответа вопрос о возможной утечке корпоративных данных. Именно поэтому цифровая криминалистика — это не просто анализ логов и поиск технических артефактов. Это поиск правды в условиях, когда кто-то целенаправленно пытался сделать всё возможное, чтобы эта правда никогда не была найдена.
Автор: команда DFIR, SHERIFF Кібербезпека
