Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows-хостах.

Предыстория

С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic).

Злоумышленники получали доступ к сети жертвы через перебор паролей RDP, после чего эксплуатировали уязвимость CVE-2020-1472 (Zerologon) для повышения привилегий и полного контроля над сервером.

Особенностью вредоносного ПО Elpaco был удобный графический интерфейс, позволяющий злоумышленникам быстро и гибко настраивать атаку и контролировать её ход в реальном времени. Для поиска файлов они использовали легитимный инструмент Everything, что помогало оставаться незамеченными. Перед шифрованием отключались средства защиты, а после завершения атаки тщательно удалялись следы деятельности. Масштабное распространение шифровальщика осуществлялось через сетевые диски и общий доступ к ресурсам. Для закрепления в инфраструктуре злоумышленники использовали AnyDesk, обеспечивая себе постоянный удалённый доступ к системам.

В ходе недавнего мониторинга одна из компаний сообщила, что полгода назад стала целью атаки ELPACO-team ransomware. Несмотря на восстановление доступа к данным вскоре после инцидента, комплексной проверки на наличие оставшихся артефактов и бэкдоров не проводилось.

Хотя с момента атаки многое было утрачено и очищено (журналы, часть данных и следы активности), в инфраструктуре сохранились несколько неперезаписанных хостов, с которых удалось извлечь частичную информацию для последующего анализа.

Исходя из этого, было принято решение провести углублённый анализ уцелевших данных, чтобы исключить риски скрытого присутствия злоумышленников, проверить инфраструктуру на возможные оставшиеся бэкдоры и вредоносные компоненты, снизить вероятность повторного инцидента и восстановить хотя бы частичную картину их действий.

Расследование

В рамках анализа инцидента с массовым шифрованием Windows-систем был изучен один из виртуальных хостов — Windows Server 2008.

Несмотря на прошедшее время, с этой машины удалось собрать ряд артефактов, позволивших частично восстановить хронологию заражения и действий злоумышленника внутри сети.

В результате были выделены следующие ключевые категории артефактов (с учётом давности инцидента часть данных оказалась неполной или отсутствовала):

Основные системные артефакты:

— $MFT главная таблица файловой системы, отражающая хронологию операций с файлами.

— Cистемные и пользовательские реестры (SYSTEM, SOFTWARE, SAM, SECURITY, NTUSER.DAT, UsrClass.dat), содержащие информацию о конфигурации системы, локальных учётных записях и действиях пользователей.

Журналы событий Windows (EVTX):
— Security, аудит входов и действий пользователей;
— TerminalServices\Operational, события удалённых подключений и сессий;
— Microsoft-Windows-Windows Defender/Operational, события обнаружения и блокировки вредоносного ПО;
— Applicationжурналы приложений, включая отчёты об ошибках (WER).

Логи Kaspersky Endpoint Security (KSC):
— события обнаружения и блокировки угроз, а также действия защиты, фиксируемые антивирусным агентом.

Кэш удалённых RDP-сессий (.bmc):
— графические образы экранов удалённых подключений (визуальное подтверждение действий на других хостах);

Вспомогательные артефакты пользователя и системы:
— ярлыки (.lnk), списки переходов (jumplists), история взаимодействия с файлами и приложениями;

Отчёты о сбоях и дампы памяти:
— MiniDump и Windows Error Reporting (WER) содержат информацию о сбоях процесса, полезную для выявления аномалий и возможной вредоносной активности.

Отправной точкой расследования стал именно этот хост — Windows Server 2008, который функционировал в момент атаки и не был полностью перезаписан после инцидента.

Забегая вперёд, отметим, что анализ собранных артефактов показал, что именно с этого сервера злоумышленники, предположительно, начали активное горизонтальное перемещение по внутренней сети с использованием RDP.

В следующей части приведён детальный технический разбор собранных артефактов с хоста Windows Server 2008 .

Анализ реестра: восстановление активности злоумышленника

AppCompatCache: обнаружение следов запуска исполняемых файлов.

Одним из первых источников для анализа стал кэш совместимости приложений (AppCompatCache) — хранящий информацию о ранее запущенных исполняемых файлах.

Данные извлекались из ветки реестра:

    SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility

Этот артефакт особенно полезен, когда Prefetch и Amcache очищены или

недоступны, как было в нашем случае, так как позволяет подтвердить факт выполнения конкретных приложений с привязкой ко времени. По этой причине AppCompatCache стал одним из ключевых источников для восстановления активности злоумышленника.

Список запусков, обнаруженных в ветке AppCompatCache:

| Путь к программе | Время запуска (UTC) | | ---------------------------------- | ----------------- | | C:\psexec.exe | 2024-09-26 19:17:36 | | C:\exp.exe | 2024-09-26 19:41:33 | | C:\programdata\anydesk\AnyDesk.exe | 2024-09-26 19:43:24 | | C:\AnyDesk.exe | 2024-09-26 19:43:24 |

Запуск psexec.exe — классический индикатор использования утилиты для удалённого выполнения команд, что свидетельствует о намерениях злоумышленников расширить контроль над инфраструктурой. Файл exp.exe по названию напоминает эксплойт, хотя прямых доказательств его назначения пока нет, что вызывает подозрения и требует дополнительного внимания.

Запуск нескольких экземпляров AnyDesk из разных директорий подтверждает использование данного ПО злоумышленниками как средства удалённого доступа, возможного механизма закрепления и инструмента для дальнейшего перемещения по сети.

Ниже представлен фрагмент содержимого AppCompatCache, визуализированный в Registry Explorer:

Пользовательский реестр и вспомогательные ветки:

Дальнейший анализ сосредоточился на содержимом пользовательского реестра, что позволило дополнительно восстановить действия злоумышленника.

NTUSER.DAT: оснастки MMC В ветке:

    Software\Microsoft\Microsoft Management Console\Recent File List

обнаружен список недавно открытых административных оснасток:

dnsmgmt.msc - управление DNS.
gpme.msc и gpmc.msc - редактирование и применение групповых политик. dsa.msc - оснастка для работы с Active Directory.

Все эти оснастки открывались в течение короткого периода, около 2024-09-26 19:45:37Z. Такие последовательные действия явно не случайны, а свидетельствуют о целенаправленном исследовании инфраструктуры.

Злоумышленник методично приступил к работе с ключевыми элементами системы: проверка конфигурации DNS, анализ и возможное изменение политик безопасности, а также изучение структуры Active Directory. Это указывает на продуманную подготовку для дальнейших действий.

USRCLASS.DAT: навигация по рабочим каталогам сетевого сканера

Анализ данных из ShellBags позволил выявить взаимодействие пользователя с рабочими каталогами:

Desktop\6\netSCAN Desktop\6\0\netSCAN\64-bit

Время последнего доступа к этим папкам — 2024-09-26 19:46:25Z.

Хотя ShellBags не фиксируют прямой запуск инструментов, факт навигации по каталогам с именем NetScan указывает на вероятное проведение сетевой разведки.

Это косвенно свидетельствует о том, что злоумышленник собирал информацию об активных узлах и потенциальных точках входа, подготавливаясь к расширению доступа и дальнейшему перемещению по инфраструктуре.

История RDP-подключений в NTUSER.DAT

В ветке:

           Software\Microsoft\Terminal Server Client\Servers

была обнаружена история RDP-сессий, инициированных с исследуемого хоста.

Все подключения выполнялись в подсети 192.168.100.x под одной и той же учётной записью в течение нескольких часов, начиная с 2024-09-26 19:50:56Z.

Это чётко указывает на стадию Lateral Movement — когда злоумышленник расширяет своё присутствие внутри инфраструктуры, подключаясь к другим узлам, исследуя потенциальные уязвимости и подготавливаясь к дальнейшим действиям.

Таким образом, данные из различных веток реестра — начиная с первых запусков, зафиксированных в AppCompatCache, — позволили восстановить ключевые этапы активности злоумышленника: от манипуляций с групповыми политиками и сетевой разведки до последовательных подключений к другим хостам.

Реестр сформировал общую картину произошедшего, и теперь настало время перейти к анализу Master File Table (MFT) для получения дополнительных подтверждений и уточнения хронологии действий на уровне файловой системы.

Анализ Master File Table (MFT) — дополнительные подтверждения активности злоумышленников.

Master File Table (MFT) — ключевой артефакт файловой системы NTFS, содержащий метаданные всех файлов и папок: время создания, изменения, последний доступ, полный путь и другие атрибуты. Эти данные позволяют восстановить хронологию событий и действий на уровне файловой системы, даже если другие источники недоступны или были очищены.

В процессе анализа были выявлены несколько значимых записей:

• AnyDesk: В профилях как пользователя, так и системной учётной записи обнаружены бинарные файлы AnyDesk и связанные конфигурационные файлы (user.conf, service.conf, system.conf). Это свидетельствует о запуске и настройке программы для постоянного фонового функционирования, с высокой вероятностью закрепления злоумышленников и организации удалённого управления.

• DNS-управление: Как было отмечено при анализе NTUSER.DAT, запуск оснастки dnsmgmt.msc указывает на попытки работы с DNS. $MFT подтверждает эту активность в исследуемый период.

• Сетевая разведка: Каталог netSCAN, ранее выявленный в ShellBags (USRCLASS.DAT), также присутствует в $MFT, что подтверждает факт проведения злоумышленником сканирования сети для поиска активных узлов.

• RDP-активность: Запись об использовании Terminal Server Client подтверждает запуск RDP-клиента, а данные из реестра NTUSER.DAT содержат историю подключений к удалённым хостам. Для детализации можно обратиться к кэшу .bmc, где сохраняются визуальные следы сессий.

• Запуск шифровальщика: Завершающим этапом стала массовая генерация новых и изменённых файлов с меткой Elpaco Team — явный индикатор запуска шифровальщика.

Начало шифрования зафиксировано в 2024-09-26 22:42:35 UTC.

Дополнительно в ходе анализа $MFT был обнаружен дамп памяти процессаexp.exe, ранее замеченного в AppCompatCache. Дамп располагался в системной директории Windows Error Reporting (WER) и представлял собой снимок состояния процесса в момент его аварийного завершения.

Этот дамп важен, поскольку доказывает, что исполняемый файл exp.exe запускался в системе, но в конечном итоге завершился с ошибкой.

Дополнительно можно обратить внимание на системные журналы событий Windows (Event Viewer). В разделе Windows Logs > Application с Event ID 1001 — события Windows Error Reporting, подтверждающие записи сбоя процесса.

Анализ файла WER3C5.tmp.WERInternalMetadata.xml из отчёта об ошибке позволил извлечь строку запуска:

Подобный механизм часто используется злоумышленниками для скрытого запуска кода и хранения временных результатов вне поля зрения пользователя и средств защиты.

Также файл __1727379615.37, связанный с этим запуском, на момент анализа был пуст. Возможно, содержимое было удалено в рамках пост-эксплуатационной зачистки.

Анализ дампа WER3C6.tmp.hdmp позволил извлечь сетевой адрес, связанный с инфраструктурой злоумышленников:

Этот адрес принадлежит командно-контрольному серверу (C2), используемому для управления атакой. Его присутствие в дампе подтверждает сетевое взаимодействие заражённой системы с внешним управляющим узлом и указывает на связь с инфраструктурой Elpaco.

Косвенные и визуальные доказательства: кэш RDP и локальный доступ

На исследуемом хосте значительная часть системных событий отсутствовала либо была преднамеренно удалена. Тем не менее, удалось выявить косвенные и визуальные доказательства активности злоумышленника, включая локальный кэш удалённых RDP-сеансов — файлы (.bmc).

Переподключение к RDP-сессии.

В журнале TerminalServices-LocalSessionManager зарегистрировано событиеEvent ID 25, отражающее успешное переподключение к существующей RDP-сессии с SessionID: 2. В качестве источника указано подключение через локальный интерфейс хоста.

Это событие указывает, что злоумышленник получил физический или виртуальный локальный доступ к машине (например, через консоль гипервизора) и переподключился к ранее активной удалённой сессии.

.bmc-файлы — кэш удалённого экрана.

Файлы .bmc — это bitmap-кэш RDP, сохраняющий графические фрагменты экрана во время сеанса. Анализ содержимого выявил изображения, отражающие:

• этап входа в систему — подтверждение доступа к удалённой машине.

• Интерфейс шифровальщика, запускаемого вручную.

• Взаимодействие злоумышленника с целевыми системами через GUI.

Собранный фрагмент экрана: консоль шифровальщика, запущенного вручную.

Наличие .bmc- файлов на данном хосте доказывает, что RDP-подключения выполнялись именно с этой машины и использовались на этапе постэксплуатации — для ручного управления атаками и запуска вредоносного ПО в графическом режиме.

Связь файловой активности и GUI-доступа.

Анализ показал, что ключевые операции — создание, изменение и запуск файлов — произошли до зафиксированного в TerminalServices-LocalSessionManagerсобытия Event ID 25 (локальное переподключение к RDP-сессии). Это свидетельствует, что первоначичный доступ был получен удалённо другим способом, а RDP-переподключения и GUI-доступ использовались уже на постэксплуатационном этапе — для ручного управления, запуска шифровальщика и, возможно, зачистки следов.

Анализ бокового перемещения: пример целевого хоста

В ходе исследования бокового перемещения злоумышленников с исходного Windows Server 2008 был выявлен ряд подключений к другим системам. В качестве примера рассмотрим один из таких хостов, на который было выполнено удалённое подключение по RDP (событие 1149 в журнале TerminalServices-RemoteConnectionManager):

Удалённое подключение выполнено пользователем с IP исходного сервера Windows Server 2008:

Несмотря на ограниченный набор артефактов на данном хосте, удалось восстановить последовательность ключевых событий:

В журнале Kaspersky Endpoint Security зафиксировано аварийное завершение процесса avp.exe — основного компонента защиты. При этом активным остаётся пользователь, подключившийся с хоста Windows Server 2008.

В журнале Microsoft Windows Defender/Operational зафиксировано событие 5001 — отключение защиты в реальном времени, что является классическим приёмом перед запуском вредоносного ПО.

В журнале NTFS Operational зарегистрировано создание USN-журнала процессом Everything.exe — утилитой используемой для поиска файлов, и последующего шифрования.

USN-журнал — системный журнал изменений в Master File Table (MFT), фиксирующий создание, изменение и удаление файлов и папок на уровне метаданных NTFS. Активность Everything.exe указывает на интенсивную работу с файлами и подготовку к массовому шифрованию данных.

Злоумышленники использовали бинарный файл DC.exe, входящий в состав их вооружения, для подавления Microsoft Windows Defender и обхода защитных механизмов. Запись об этом появилась вскоре после повторного включения защитника, когда шифрование уже было запущено.

Основной модуль шифровальщика — бинарный файл systemsg.exe — был обнаружен и закреплён в системе через классический ключ автозагрузки RunKey, обеспечивая автоматический запуск при загрузке ОС.

Исследование первичного доступа.

Несмотря на тщательный анализ всех доступных журналов и артефактов, включая системные логи и специализированные записи гипервизора (vxpd.log), точный первичный вектор компрометации установить не удалось. Отсутствие или преднамеренное удаление критичных логов не позволяет однозначно определить исходную точку входа злоумышленника.

Косвенные данные указывают на возможный доступ через гипервизор — это может объяснять зафиксированные события локального переподключения и последующую активность на исследуемом хосте. Однако подтвердить эту версию не удалось из-за нехватки исходных данных.

Итоги расследования.

Несмотря на масштабное удаление и утрату данных, расследование показало, что даже по прошествии длительного времени можно извлечь ценные сведения, выявить следы активности и восстановить цепочку действий злоумышленников.

^{Ниже приведён список основных артефактов Windows, с указанием, какие данные в них искать для расследования инцидентов. Это не полный перечень, но он охватывает наиболее информативные и часто используемые источники.}

Основные артефакты Windows-хоста для расследования и что в них искать.

При расследовании инцидентов на Windows-хостах важно системно исследовать ключевые источники данных, которые помогут восстановить хронологию, понять действия злоумышленника и обнаружить следы компрометации. Ниже — основные категории артефактов и на что обращать внимание.

Системные настройки и окружение:

Цель: зафиксировать базовые параметры системы для контекста и корректной интерпретации временных меток.

• Имя хоста и системная информация: HKLM\SYSTEM\CurrentControlSet\Control\Computername\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\

• Часовой пояс (для правильной интерпретации временных меток): HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\

• Сетевые настройки (полезно при анализе перемещений злоумышленника): HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{GUID}

• Настройки и состояние Windows Defender: HKLM\Software\Microsoft\Windows Defender\

Таким образом, эти данные — основа для выстраивания общей картины инцидента и сопоставления информации из разных источников.

Учетные записи и пользовательская активность.

Цель: выявить активные и новые учётные записи, принадлежность к администраторам, и наличие пользовательских профилей.

• Список локальных пользователей: HKEY_LOCAL_MACHINE\ROOT\SAM\Domains\Account\Users

• Группы и члены локальных групп: HKEY_LOCAL_MACHINE\ROOT\SAM\Domains\Builtin\Aliases

• Список профилей пользователей (SID и путь к профилю): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Поведение пользователей и приложения

Цель: восстановить действия пользователя или злоумышленника, выявить используемые инструменты.

• UserAssist — приложения, которые запускал пользователь: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

• RecentDocs\RecentFiles — список недавно открытых документов и файлов: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit\RecentFiles

• Shellbags — папки и каталоги, посещённые пользователем: HKCU\Software\Microsoft\Windows\Shell\BagMRU

• Open/Save MRU (Most Recently Used) — списки недавно открытых/сохранённых файлов в приложениях HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

• AppCompatCache - кэш запусков приложений: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

• BAM (Background Activity Moderator) - фоновая активность приложений: HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\

• Список RDP-серверов, к которым подключался пользователь Software\Microsoft\Terminal Server Client\Servers

• Командная история, Windows 10+ также есть файл истории PowerShell: %UserProfile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt.

Анализ файловой системы и метаданные.

Цель: установить точную хронологию создания, изменения и удаления файлов, а также запуски подозрительных программ.

• Master File Table ($MFT) — детальная хронология файлов (MACB-временные метки: создание, изменение, атрибуты, последний доступ).

• USN Journal — журнал изменений файловой системы; (фиксирует создание, удаление, переименование и изменение файлов вокруг $MFT).

• Prefetch — файлы, подтверждающие запуск приложений: C:\Windows\Prefetch\

• AmCache — кэш программ и их хэшей: C:\Windows\AppCompat\Programs\Amcache.hve

• Shortcut-файлы (ярлыки Recent LNK), отражающие открытые пользователем файлов и приложений: C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\ C:\Users\<username>\AppData\Roaming\Microsoft\Office\Recent\

Устойчивость и автозапуск.

Цель: обнаружить механизмы, с помощью которых вредонос закрепляется в системе и его его автозапуск.

• Ключи автозапуска HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

• Папки автозагрузки C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\

• Реестр HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run

• Запланированные задачи Файлы задач: C:\Windows\System32\Tasks\ Реестр: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

• Службы Windows HKLM\SYSTEM\CurrentControlSet\Services\

Анализ памяти и дампов сбоев WER (.dmp .mdmp .hdmp)

Цель: получить “живые” доказательства запущенных процессов и состояние системы на момент сбоя.

• Образы оперативной памяти и связанные файлы. В корне системного диска: hiberfil.sys, pagefile.sys, swapfile.sys.

• Дамп памяти и системные дампы: C:\Windows\System32\config\ (часть дампов реестра и данных)

• Отчёты об ошибках Windows Error Reporting (WER): C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ C:\ProgramData\Microsoft\Windows\WER\ReportFiles\ C:\ProgramData\Microsoft\Windows\WER\ReportArchive\

Журналы событий Windows.

Цель: восстановить последовательность ключевых событий, таких как входы в систему, запуск процессов, сбои и отключения защит.

• Security, System, Application, PowerShell, TerminalServices, Defender и при наличии — Sysmon.

• Анализ ключевых событий входа, сбоев, отключения защит, удалённых подключений, выполнение командлетов и скриптов.

RDP Cache (BMC-файлы).

Цель: косвенный анализ активности пользователя через визуальные данные удалённых сессий.

• Анализ BMC позволяет восстановить визуальный след активности в RDP-сессиях — как просмотр скриншотов. PATH: %LocalAppData%\Microsoft\Terminal Server Client\Cache\

^{Для работы с BMC требуется специализированное ПО для конструирования изображений из кеша.}