Die sukses van ransomware-aanvalle op organisasies regoor die wêreld spoor al hoe meer nuwe aanvallers aan om in die spel te kom. Een van hierdie nuwe spelers is 'n groep wat die ProLock ransomware gebruik. Dit het in Maart 2020 verskyn as die opvolger van die PwndLocker-program, wat aan die einde van 2019 begin werk het. ProLock ransomware-aanvalle teiken hoofsaaklik finansiële en gesondheidsorgorganisasies, regeringsagentskappe en die kleinhandelsektor. Onlangs het ProLock-operateurs een van die grootste OTM-vervaardigers, Diebold Nixdorf, suksesvol aangeval.
In hierdie pos Oleg Skulkin, toonaangewende spesialis van die Computer Forensics Laboratory van Group-IB, dek die basiese taktieke, tegnieke en prosedures (TTP's) wat deur ProLock-operateurs gebruik word. Die artikel sluit af met 'n vergelyking met die MITER ATT&CK Matrix, 'n publieke databasis wat geteikende aanvalstaktieke saamstel wat deur verskeie kuberkriminele groepe gebruik word.
Kry aanvanklike toegang
ProLock-operateurs gebruik twee hoofvektore van primêre kompromie: die QakBot (Qbot) Trojan en onbeskermde RDP-bedieners met swak wagwoorde.
Kompromie via 'n ekstern toeganklike RDP-bediener is uiters gewild onder ransomware-operateurs. Tipies koop aanvallers toegang tot 'n gekompromitteerde bediener van derde partye, maar dit kan ook deur groeplede op hul eie verkry word.
'n Meer interessante vektor van primêre kompromie is die QakBot-wanware. Voorheen was hierdie Trojan geassosieer met 'n ander familie van losprysware - MegaCortex. Dit word egter nou deur ProLock-operateurs gebruik.
Tipies word QakBot deur uitvissingsveldtogte versprei. 'n Uitvissing-e-pos kan 'n aangehegte Microsoft Office-dokument bevat of 'n skakel na 'n lêer wat in 'n wolkbergingsdiens, soos Microsoft OneDrive, geleë is.
Daar is ook bekende gevalle van QakBot wat gelaai is met 'n ander Trojaan, Emotet, wat wyd bekend is vir sy deelname aan veldtogte wat die Ryuk losprysware versprei het.
Optrede
Nadat 'n besmette dokument afgelaai en oopgemaak is, word die gebruiker gevra om makro's te laat loop. As dit suksesvol is, word PowerShell geloods, wat jou sal toelaat om die QakBot-loonvrag vanaf die opdrag- en beheerbediener af te laai en uit te voer.
Dit is belangrik om daarop te let dat dieselfde van toepassing is op ProLock: die loonvrag word uit die lêer onttrek BMP of JPG en in die geheue gelaai met behulp van PowerShell. In sommige gevalle word 'n geskeduleerde taak gebruik om PowerShell te begin.
Batch script wat ProLock deur die taakskeduleerder laat loop:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batRegstelling in die stelsel
As dit moontlik is om die HOP-bediener te kompromitteer en toegang te verkry, word geldige rekeninge gebruik om toegang tot die netwerk te verkry. QakBot word gekenmerk deur 'n verskeidenheid aanhegtingsmeganismes. Meestal gebruik hierdie Trojaan die Run-registersleutel en skep take in die skeduleerder:
Speld Qakbot aan die stelsel vas met die Run-registersleutel
In sommige gevalle word opstartgidse ook gebruik: 'n kortpad word daar geplaas wat na die selflaaiprogram wys.
Omseil beskerming
Deur met die opdrag- en beheerbediener te kommunikeer, probeer QakBot periodiek om homself op te dateer, so om opsporing te vermy, kan die wanware sy eie huidige weergawe met 'n nuwe een vervang. Uitvoerbare lêers word onderteken met 'n gekompromitteerde of vervalste handtekening. Die aanvanklike loonvrag wat deur PowerShell gelaai word, word op die C&C-bediener met die uitbreiding gestoor PNG. Daarbenewens word dit na uitvoering vervang met 'n wettige lêer calc.exe.
Om kwaadwillige aktiwiteite te verberg, gebruik QakBot ook die tegniek om kode in prosesse in te spuit, met explorer.exe.
Soos genoem, is die ProLock-loonvrag binne die lêer versteek BMP of JPG. Dit kan ook beskou word as 'n metode om beskerming te omseil.
Verkryging van geloofsbriewe
QakBot het keylogger-funksie. Daarbenewens kan dit addisionele skrifte aflaai en laat loop, byvoorbeeld Invoke-Mimikatz, 'n PowerShell-weergawe van die bekende Mimikatz-hulpmiddel. Sulke skrifte kan deur aanvallers gebruik word om geloofsbriewe te stort.
Netwerk intelligensie
Nadat hulle toegang tot bevoorregte rekeninge verkry het, voer ProLock-operateurs netwerkverkenning uit, wat poortskandering en ontleding van die Active Directory-omgewing kan insluit. Benewens verskeie skrifte, gebruik aanvallers AdFind, 'n ander hulpmiddel wat gewild is onder lospryswaregroepe, om inligting oor Active Directory in te samel.
Netwerk bevordering
Tradisioneel is een van die gewildste metodes van netwerkbevordering die Remote Desktop Protocol. ProLock was geen uitsondering nie. Aanvallers het selfs skrifte in hul arsenaal om afstandtoegang via RDP te verkry om gashere te teiken.
BAT-skrip vir toegang via RDP-protokol:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Om skrifte op afstand uit te voer, gebruik ProLock-operateurs nog 'n gewilde hulpmiddel, die PsExec-nutsding van die Sysinternals Suite.
ProLock loop op gashere met behulp van WMIC, wat 'n opdragreël-koppelvlak is om met die Windows Management Instrumentation-substelsel te werk. Hierdie instrument word ook al hoe meer gewild onder ransomware-operateurs.
Data-insameling
Soos baie ander ransomware-operateurs, versamel die groep wat ProLock gebruik data van 'n gekompromitteerde netwerk om hul kanse te verhoog om 'n losprys te ontvang. Voor eksfiltrasie word die versamelde data geargiveer met die 7Zip-nutsding.
Ekfiltrasie
Om data op te laai, gebruik ProLock-operateurs Rclone, 'n opdragreëlinstrument wat ontwerp is om lêers met verskeie wolkbergingsdienste soos OneDrive, Google Drive, Mega, ens. te sinchroniseer. Aanvallers hernoem altyd die uitvoerbare lêer om dit soos wettige stelsellêers te laat lyk.
Anders as hul eweknieë, het ProLock-operateurs steeds nie hul eie webwerf om gesteelde data te publiseer wat aan maatskappye behoort wat geweier het om die losprys te betaal nie.
Die bereiking van die finale doelwit
Sodra die data uitgefiltreer is, ontplooi die span ProLock regdeur die ondernemingsnetwerk. Die binêre lêer word onttrek uit 'n lêer met die uitbreiding PNG of JPG met behulp van PowerShell en in die geheue ingespuit:
Eerstens beëindig ProLock die prosesse wat in die ingeboude lys gespesifiseer word (interessant genoeg, dit gebruik net die ses letters van die prosesnaam, soos "winwor"), en beëindig dienste, insluitend dié wat met sekuriteit verband hou, soos CSFalconService ( CrowdStrike Falcon). gebruik die opdrag netto stop.
Dan, soos met baie ander losprysware-families, gebruik aanvallers vssadmin om Windows-skadu-kopieë uit te vee en hul grootte te beperk sodat nuwe kopieë nie geskep word nie:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock voeg uitbreiding by .proLock, .pr0Lock of .proL0ck na elke geïnkripteer lêer en plaas die lêer [HOE OM LÊERS TE HERSTEL].TXT na elke gids. Hierdie lêer bevat instruksies oor hoe om die lêers te dekripteer, insluitend 'n skakel na 'n webwerf waar die slagoffer 'n unieke ID moet invoer en betalingsinligting moet ontvang:
Elke geval van ProLock bevat inligting oor die losprysbedrag - in hierdie geval, 35 bitcoins, wat ongeveer $312 000 is.
Gevolgtrekking
Baie ransomware-operateurs gebruik soortgelyke metodes om hul doelwitte te bereik. Terselfdertyd is sommige tegnieke uniek aan elke groep. Tans is daar 'n groeiende aantal kuberkriminele groepe wat losprysware in hul veldtogte gebruik. In sommige gevalle kan dieselfde operateurs betrokke wees by aanvalle deur verskillende families van losprysware te gebruik, so ons sal toenemend oorvleueling sien in die taktiek, tegnieke en prosedures wat gebruik word.
Kartering met MITER ATT&CK Kartering
taktiek
Tegniek
Aanvanklike toegang (TA0001)
Eksterne afstanddienste (T1133), Spearphishing-aanhegsel (T1193), Spearphishing-skakel (T1192)
Uitvoering (TA0002)
Powershell (T1086), Scripting (T1064), Gebruikersuitvoering (T1204), Windows Management Instrumentation (T1047)
Volharding (TA0003)
Registry Run Keys / Startup Folder (T1060), Geskeduleerde Taak (T1053), Geldige rekeninge (T1078)
Verdedigingontduiking (TA0005)
Kodeondertekening (T1116), Deobfuscate/Dekodeer lêers of inligting (T1140), deaktiveer sekuriteitnutsmiddels (T1089), lêeruitvee (T1107), maskering (T1036), prosesinspuiting (T1055)
Geloofstoegang (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Rekeningontdekking (T1087), Domain Trust Discovery (T1482), Lêer- en gidsontdekking (T1083), Netwerkdiensskandering (T1046), Netwerkdeelontdekking (T1135), Afstandstelselontdekking (T1018)
Laterale beweging (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Versameling (TA0009)
Data vanaf Plaaslike Stelsel (T1005), Data vanaf Netwerk Gedeelde Drive (T1039), Data Stadium (T1074)
Bevel en beheer (TA0011)
Algemeen gebruikte poort (T1043), Webdiens (T1102)
Ekfiltrasie (TA0010)
Data saamgepers (T1002), dra data oor na wolkrekening (T1537)
Impak (TA0040)
Data geïnkripteer vir impak (T1486), inhibeer stelselherstel (T1490)
Bron: will.com