Обнаружение программ-вымогателей в сетевом трафике

Программы-вымогатели (ransomware) существуют уже много лет, но до сих пор остаются одной из самых разрушительных киберугроз для организаций. Причина проста: злоумышленники накопили огромный опыт в блокировке ИТ-инфраструктуры именно тогда, когда ИТ стало критически важним елементом роботи підприємства.

В 2017 году атака WannaCry без преувеличения охватила весь мир. А в 2021-м инцидент с Colonial Pipeline показал, как одна кампания способна парализовать критическую инфраструктуру и вызвать масштабные сбои на уровне страны.

Ransomware значительно эволюционировал за последние несколько лет.

Эту эволюцию подпитывает появление модели Ransomware-as-a-Service (RaaS). Наборы для атак теперь можно приобрести на подпольных рынках, что упрощает организацию атак на компании. Конкуренты, политические акторы или любые лица, желающие быстрой выгоды, могут запускать атаки «профессионального уровня» без глубоких технических знаний.

Для специалистов по кибербезопасности вывод очевиден: ransomware больше не является временным трендом — он превратился в устойчивую бизнес-модель. Раннее обнаружение возможно только там, где злоумышленники не могут спрятаться — в сетевом трафике, который всегда содержит индикаторы их присутствия.

Ограничения классических систем защиты

Большинство организаций полагаются на межсетевые экраны (firewalls) и платформы защиты конечных точек (EPP/EDR) как на основные средства безопасности. Эти инструменты блокируют известные угрозы, выявляют вредоносную активность на ноутбуках и серверах и помогают аналитикам быстро реагировать. Для многих типов атак они действительно эффективны.

Проблема возникает с тем, что агенты конечных точек не могут охватить. Принтеры, сканеры, IP-телефоны, камеры или промышленные OT/IoT-устройства работают на специализированном ПО, которое сложнее мониторить, обновлять или обслуживать. Поскольку они не поддерживают установку агентов, такие устройства становятся слабыми местами в инфраструктуре. Злоумышленники это знают и активно используют «безагентные» узлы для дальнейшего проникновения внутрь сети.

Здесь и проходит граница традиционных средств защиты: они защищают только те системы, где установлен агент, оставляя «слепые зоны» в других частях инфраструктуры. Например, мобильные устройства, офисная периферия, IoT-оборудование, системы видеонаблюдения или телефонной связи, Wi-Fi и DMZ-зоны. Эти слепые зоны становятся местом, где киберпреступники находят возможности для запуска атак программ-вымогателей.

Почему важна видимость сети

Шифровальщик может проникнуть в организацию разными путями, но действовать, не оставляя следов в сетевом трафике, он не может. Необычные передачи данных, соединения с нетипичными внешними серверами или внезапное использование новых протоколов — всё это признаки потенциального взлома.

В отличие от EDR-инструментов, мониторинг сети охватывает всё — рабочие станции и серверы, принтеры, камеры, IoT-устройства, системы с устаревшим ПО, не поддерживающим EDR, мобильные устройства и специализированное оборудование, независимо от ОС или конфигурации. Это даёт единую точку обзора, которую злоумышленники не могут обойти.

Ransomware: атака шаг за шагом по модели MITRE ATT&CK

Атаки ransomware развиваются постепенно, проходя определённые этапы. Почти каждый шаг включает передачу данных и оставляет следы в сетевом трафике, которые можно использовать для раннего обнаружения угрозы.

Этап: Первичный доступ (Initial Access)

Злоумышленник получает начальный доступ к устройству. Это может быть результат эксплуатации уязвимости, ошибки конфигурации, brute-force атаки или использования украденных учётных данных. В любом случае появляется новый или нетипичный канал связи, который можно наблюдать в сети.

Этап: Исполнение (Execution)

Атакующий запускает скрипты для выполнения следующих шагов атаки. Часто это загрузка так называемых лоадеров (loaders) или эксплойт-китов. Это сопровождается аномальным сетевым трафиком, выделяющимся на фоне остальной активности.

Этап: Закрепление (Persistence)

Чтобы сохранить доступ, злоумышленник может изменить код, создать новые учётные записи, включить RDP или изменить SSH-ключи. Каждое из этих действий создаёт новые сервисы или нетипичные соединения, оставляя чёткие следы в сети.

Этап: Повышение привилегий и доступ к учётным данным (Privilege Escalation & Credential Access)

Злоумышленники пытаются получить более высокие права доступа и собирают учётные данные, обычно на уже скомпрометированном хосте. Когда для аутентификации используются токены, NTLM-хэши или учётные записи администраторов домена — такие действия можно отследить в сетевом трафике.

Техники вроде Man-in-the-Middle, LLMNR poisoning или словарных атак (dictionary attacks) также оставляют характерные маркеры в сети.

Этап: Разведка и горизонтальное перемещение (Discovery & Lateral Movement)

Атакующий исследует среду и определяет новые цели. Это может включать сканирование сети, проверку открытых портов, идентификацию сервисов, а затем перемещение внутри сети через SMB, удалённое выполнение кода или RDP. Каждое из этих действий оставляет заметные сигналы в трафике.

Этап: Командование и контроль (Command & Control, C&C)

Установление связи с сервером управления — критический этап. Это может включать соединения с подозрительными IP-адресами или легитимными сервисами, обходящими чёрные списки. Обычно используются периодические маячковые сигналы (beaconing) или маскировка под обычные коммуникации. Но даже эти методы создают распознаваемые закономерности в поведении трафика.

Этап: Экфильтрация данных (Exfiltration)

Последняя стадия — кража данных. Она проявляется в виде аномальных объёмов передаваемой информации, нетипичных направлений трафика или использовании легитимных облачных сервисов — таких как Dropbox или OneDrive. Такая активность указывает на вывод конфиденциальных или корпоративных данных.

Обнаружение ransomware с помощью Mendel

Практически каждый этап атаки ransomware оставляет следы в сетевом трафике — и именно для их выявления создан GREYCORTEX Mendel. Mendel отслеживает поведение всех подключённых к сети элементов, а не только конечных устройств. Он сочетает машинное обучение и поведенческий анализ, моделируя поведение каждого устройства, каждой службы на нём, а также строит модель поведения подсети в целом. На основе этого анализа Mendel способен различать вредоносную активность, потенциальные угрозы, аномалии и легитимный трафик.

Такой подход особенно эффективен там, где невозможно развернуть EDR-агенты. Именно поэтому Mendel стал важной частью современной экосистемы кибербезопасности. Он также легко интегрируется с XDR-платформами, расширяя их возможности по обнаружению и реагированию за счёт глубокой аналитики сетевой активности.

Безопасность после атаки

Остановить ransomware — это лишь часть задачи. Не менее важно убедиться, что злоумышленники не оставили пути для повторного проникновения. Скрытые бэкдоры, сигнальный трафик (beaconing) или keep-alive соединения могут сохраняться в сети ещё долго после блокировки основной фазы атаки.

Mendel помогает провести такую проверку, отслеживая трафик после инцидента и выявляя остаточные признаки атаки — будь то скрытые связи с C&C-сервером или подозрительные внутренние соединения между хостами.

Такой постоянный мониторинг усиливает процесс информационной безопасности и повышает устойчивость инфраструктуры. Как часть широкой экосистемы киберзащиты, Mendel не только помогает выявлять и останавливать атаки, но и гарантирует, что после инцидента система остаётся защищённой.

Убедитесь, что ничего не осталось незамеченным. Проведите аудит безопасности с GREYCORTEX Mendel и убедитесь в надёжности своей сети.

Обращайтесь за персональной консультацией по решениям GREYCORTEX и запросами на проведение пилотных проектов — к специалистам Softprom.

Softprom — Value Added Distributor компании GREYCORTEX.