Анализ ransomware-инцидента в корпоративной сети
Крупная организация обратилась в Singleton Security после массового шифрования Windows-инфраструктуры. Нужно было установить точку входа, восстановить действия злоумышленников и определить, почему атака смогла дойти до запуска шифровальщика.
Команда исследовала зараженную рабочую станцию и восстановила таймлайн по TerminalServices-LocalSessionManager, RdpCoreTS, Microsoft Defender, Prefetch, AppCompatCache, Amcache. hve и системным журналам Windows.
Интерес инцидента в том, что пользователь станции в момент атаки на ней не работал: злоумышленники использовали валидную доменную учетную запись администратора и несколько раз заходили по RDP с внутренних узлов. Затем были запущены C:\PerfLogs\Run\zhost.exe, шифровальщик C:\ProgramData\HAWK.tmp, после отключения Defender — C:\Users\admin\Documents\zhost.exe. Через несколько минут были очищены журналы System, Security, Application и история PowerShell.
Дополнительно был исследован HAWK. tmp: PE32 ransomware семейства Cortex, использующий задержку исполнения и самоудаление для усложнения анализа.
Заказчик получил точную цепочку атаки: RDP-доступ под валидной доменной учетной записью → запуск вредоносных файлов → отключение Defender → запуск Cortex Ransomware → очистка логов.
По итогам были выданы срочные меры: закрыть лишний RDP-доступ, сменить и перепроверить административные учетные записи, включить MFA, развернуть EDR, централизованно хранить логи в SIEM и проверить резервное копирование.
