ProLockን መክፈት፡- የ MITER ATT&CK ማትሪክስ በመጠቀም የአዲሱን ራንሰምዌር ኦፕሬተሮች ድርጊት ትንተና።

በአለም ዙሪያ ባሉ ድርጅቶች ላይ የቤዛውዌር ጥቃቶች ስኬት ብዙ እና ተጨማሪ አዳዲስ አጥቂዎች ወደ ጨዋታው እንዲገቡ እያነሳሳ ነው። ከእነዚህ አዳዲስ ተጫዋቾች አንዱ የፕሮሎክ ራንሰምዌርን የሚጠቀም ቡድን ነው። እ.ኤ.አ. በ2020 መጨረሻ ላይ ሥራውን የጀመረው የPwndLocker ፕሮግራም ተተኪ ሆኖ በማርች 2019 ታየ። የፕሮሎክ ራንሰምዌር ጥቃት በዋናነት የፋይናንስ እና የጤና አጠባበቅ ድርጅቶችን፣ የመንግስት ኤጀንሲዎችን እና የችርቻሮ ዘርፉን ያነጣጠረ ነው። በቅርቡ የፕሮሎክ ኦፕሬተሮች ከትልቁ የኤቲኤም አምራቾች አንዱን ዲቦልድ ኒክስዶርፍን በተሳካ ሁኔታ አጠቁ።

በዚህ ልጥፍ ውስጥ Oleg Skulkin, የቡድን-IB የኮምፒውተር ፎረንሲክስ ላቦራቶሪ ዋና ስፔሻሊስትበፕሮሎክ ኦፕሬተሮች የሚጠቀሙባቸውን መሰረታዊ ስልቶች፣ ቴክኒኮች እና ሂደቶች (TTPs) ይሸፍናል። ጽሁፉ የሚጠናቀቀው በተለያዩ የሳይበር ወንጀለኞች ቡድኖች የሚጠቀሙባቸውን ኢላማ የጥቃት ስልቶችን የሚያጠናቅቅ የህዝብ ዳታቤዝ ከሆነው MITER ATT&CK Matrix ጋር በማነፃፀር ነው።

የመጀመሪያ መዳረሻን በማግኘት ላይ

የፕሮሎክ ኦፕሬተሮች ሁለት ዋና ዋና የስምምነት መንገዶችን ይጠቀማሉ፡- QakBot (Qbot) Trojan እና ያልተጠበቁ RDP አገልጋዮች ደካማ የይለፍ ቃሎች ያላቸው።

በውጪ ተደራሽ በሆነ የRDP አገልጋይ በኩል መደራደር በራንሰምዌር ኦፕሬተሮች መካከል በጣም ታዋቂ ነው። በተለምዶ አጥቂዎች የተጠለፈውን አገልጋይ ከሶስተኛ ወገኖች ይገዛሉ፣ ነገር ግን በቡድን አባላትም በራሳቸው ማግኘት ይችላሉ።

ይበልጥ የሚያስደስት የዋና ስምምነት ቬክተር QakBot ማልዌር ነው። ከዚህ ቀደም ይህ ትሮጃን ከሌላ የቤዛዌር ቤተሰብ ጋር ተቆራኝቷል - MegaCortex። ሆኖም ግን አሁን በ ProLock ኦፕሬተሮች ጥቅም ላይ ይውላል.

በተለምዶ QakBot የሚሰራጨው በአስጋሪ ዘመቻዎች ነው። የማስገር ኢሜይል የተያያዘውን የማይክሮሶፍት ኦፊስ ሰነድ ወይም እንደ Microsoft OneDrive ያለ የደመና ማከማቻ አገልግሎት ውስጥ ወዳለው ፋይል የሚወስድ አገናኝ ሊይዝ ይችላል።

የRyuk ራንሰምዌርን በሚያሰራጩ ዘመቻዎች ውስጥ በሰፊው በሚታወቀው ቃክቦት ሌላ ትሮጃን ኢሞትት የተጫነባቸው የታወቁ ጉዳዮች አሉ።

መገደል።

የተበከለ ሰነድ ካወረዱ እና ከከፈቱ በኋላ ተጠቃሚው ማክሮዎች እንዲሰሩ ይጠየቃል። ከተሳካ፣ PowerShell ተጀምሯል፣ ይህም የQakBot ክፍያን ከትእዛዝ እና ቁጥጥር አገልጋይ ለማውረድ እና ለማሄድ ያስችላል።

በ ProLock ላይም ተመሳሳይ መሆኑን ልብ ማለት ያስፈልጋል፡ ክፍያው ከፋይሉ የወጣ ነው። Bmp ወይም JPG እና PowerShellን በመጠቀም ወደ ማህደረ ትውስታ ተጭኗል። በአንዳንድ አጋጣሚዎች PowerShellን ለመጀመር የታቀደ ተግባር ስራ ላይ ይውላል።

ባች ስክሪፕት ProLockን በተግባር መርሐግብር ያካሂዳል፡

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

በስርዓቱ ውስጥ ማስተካከል

የ RDP አገልጋዩን ለማላላት እና መዳረሻ ለማግኘት ከተቻለ ወደ አውታረ መረቡ ለመድረስ ትክክለኛ መለያዎች ጥቅም ላይ ይውላሉ። QakBot በተለያዩ የማያያዝ ዘዴዎች ተለይቶ ይታወቃል። ብዙውን ጊዜ ይህ ትሮጃን የሩጫ መዝገብ ቁልፍን ይጠቀማል እና በፕሮግራም አውጪው ውስጥ ተግባሮችን ይፈጥራል፡-

የRun registry ቁልፍን በመጠቀም Qakbotን ከስርዓቱ ጋር በማያያዝ ላይ

በአንዳንድ አጋጣሚዎች የማስጀመሪያ አቃፊዎችም ጥቅም ላይ ይውላሉ፡ ወደ ቡት ጫኚው የሚያመለክት አቋራጭ እዚያ ተቀምጧል።

ማለፊያ ጥበቃ

ከትዕዛዝ እና ቁጥጥር አገልጋይ ጋር በመገናኘት QakBot በየጊዜው እራሱን ለማዘመን ይሞክራል ስለዚህ እንዳይታወቅ ማልዌር የራሱን የአሁኑን ስሪት በአዲስ መተካት ይችላል። ሊተገበሩ የሚችሉ ፋይሎች በተበላሸ ወይም በተጭበረበረ ፊርማ ተፈርመዋል። በPowerShell የተጫነው የመጀመሪያ ክፍያ ከቅጥያው ጋር በC&C አገልጋይ ላይ ተከማችቷል። የ PNG. በተጨማሪም, ከተፈፀመ በኋላ በህጋዊ ፋይል ይተካል calc.exe.

እንዲሁም ተንኮል አዘል እንቅስቃሴዎችን ለመደበቅ QakBot በመጠቀም ኮድን ወደ ሂደቶች የማስገባት ዘዴን ይጠቀማል explorer.exe.

እንደተጠቀሰው የፕሮሎክ ክፍያ በፋይሉ ውስጥ ተደብቋል Bmp ወይም JPG. ይህ ደግሞ ጥበቃን እንደ ማለፊያ ዘዴ ተደርጎ ሊወሰድ ይችላል.

ምስክርነቶችን በማግኘት ላይ

QakBot ኪይሎገር ተግባር አለው። በተጨማሪም፣ ተጨማሪ ስክሪፕቶችን ማውረድ እና ማሄድ ይችላል፣ ለምሳሌ፣ Invoke-Mimikatz፣ የታዋቂው ሚሚካትዝ መገልገያ የPowerShell ስሪት። ምስክርነቶችን ለመጣል እንደዚህ አይነት ስክሪፕቶች በአጥቂዎች ሊጠቀሙበት ይችላሉ።

የአውታረ መረብ እውቀት

ልዩ ልዩ መለያዎችን ካገኙ በኋላ፣ የፕሮሎክ ኦፕሬተሮች የኔትወርክ አሰሳ ያካሂዳሉ፣ ይህም ወደብ መቃኘት እና የActive Directory አካባቢን መመርመርን ሊያካትት ይችላል። ከተለያዩ ስክሪፕቶች በተጨማሪ አጥቂዎች ስለ አክቲቭ ዳይሬክተሩ መረጃ ለመሰብሰብ በ Ransomware ቡድኖች ዘንድ ታዋቂ የሆነውን AdFindን ይጠቀማሉ።

የአውታረ መረብ ማስተዋወቅ

በተለምዶ፣ በጣም ታዋቂ ከሆኑ የአውታረ መረብ ማስተዋወቂያ ዘዴዎች አንዱ የርቀት ዴስክቶፕ ፕሮቶኮል ነው። ProLock የተለየ አልነበረም። አጥቂዎች አስተናጋጆችን ለማነጣጠር በRDP በኩል የርቀት መዳረሻን ለማግኘት በጦር ጦራቸው ውስጥ እንኳን ስክሪፕቶች አሏቸው።

በRDP ፕሮቶኮል በኩል ለመድረስ BAT ስክሪፕት፡-

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

ስክሪፕቶችን በርቀት ለማስፈጸም፣ የፕሮሎክ ኦፕሬተሮች ሌላ ታዋቂ መሳሪያ፣ የ PsExec utility ከSysinternals Suite ይጠቀማሉ።

ProLock WMICን በመጠቀም በአስተናጋጆች ላይ ይሰራል፣ይህም ከዊንዶውስ አስተዳደር ኢንስትራክሽን ንዑስ ሲስተም ጋር ለመስራት የትእዛዝ መስመር በይነገጽ ነው። ይህ መሳሪያ በራንሰምዌር ኦፕሬተሮች ዘንድ ተወዳጅ እየሆነ መጥቷል።

የውሂብ መሰብሰብ

ልክ እንደሌሎች የራንሰምዌር ኦፕሬተሮች፣ ProLockን የሚጠቀመው ቡድን ቤዛ የማግኘት እድላቸውን ለመጨመር ከተበላሸ አውታረ መረብ መረጃ ይሰበስባል። ከማጣራቱ በፊት, የተሰበሰበው መረጃ በ 7 ዚፕ መገልገያ በመጠቀም በማህደር ተቀምጧል.

ፍልሰት

መረጃን ለመስቀል የፕሮ ሎክ ኦፕሬተሮች Rcloneን ይጠቀማሉ፣ ፋይሎችን ከተለያዩ የደመና ማከማቻ አገልግሎቶች እንደ OneDrive፣ Google Drive፣ ሜጋ፣ ወዘተ ጋር ለማመሳሰል የተነደፈውን የትእዛዝ መስመር መሳሪያ አጥቂዎች ሁል ጊዜ የሚፈፀመውን ፋይል ህጋዊ የስርዓት ፋይሎች ለማስመሰል ይቀይራሉ።

ከእኩዮቻቸው በተለየ የፕሮሎክ ኦፕሬተሮች ቤዛውን ለመክፈል ፍቃደኛ ያልሆኑትን ኩባንያዎች የተሰረቀ መረጃን ለማተም አሁንም የራሳቸው ድረ-ገጽ የላቸውም።

የመጨረሻውን ግብ ማሳካት

አንዴ መረጃው ከተጣራ በኋላ ቡድኑ ProLockን በመላው የድርጅት አውታረመረብ ያሰማራቸዋል። የሁለትዮሽ ፋይሉ ከቅጥያው ጋር ካለው ፋይል ይወጣል የ PNG ወይም JPG PowerShell ን በመጠቀም እና ወደ ማህደረ ትውስታ ያስገባል-

በመጀመሪያ ደረጃ, ProLock አብሮ በተሰራው ዝርዝር ውስጥ የተገለጹትን ሂደቶች ያቋርጣል (የሚገርመው, የሂደቱን ስም ስድስት ፊደሎችን ብቻ ይጠቀማል, ለምሳሌ "winwor"), እና ከደህንነት ጋር የተያያዙትን ጨምሮ አገልግሎቶችን ያጠፋል, ለምሳሌ CSFalconService ( CrowdStrike Falcon) ትዕዛዙን በመጠቀም የተጣራ ማቆሚያ.

ከዚያ፣ ልክ እንደሌሎች የቤዛ ዌር ቤተሰቦች፣ አጥቂዎች ይጠቀማሉ vssadmin የዊንዶውስ ጥላ ቅጂዎችን ለመሰረዝ እና አዲስ ቅጂዎች እንዳይፈጠሩ መጠናቸውን ለመገደብ:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock ቅጥያ ይጨምራል .ፕሮሎክ, pr0መቆለፊያ ወይም .proL0ck ለእያንዳንዱ የተመሰጠረ ፋይል እና ፋይሉን ያስቀምጣል [ፋይሎችን እንዴት ማግኘት እንደሚቻል]።TXT ወደ እያንዳንዱ አቃፊ. ይህ ፋይል ፋይሎቹን እንዴት ዲክሪፕት ማድረግ እንደሚቻል መመሪያዎችን ይዟል፡ ተጎጂው ልዩ መታወቂያ ማስገባት እና የክፍያ መረጃ መቀበል ያለበትን ጣቢያ የሚወስድ አገናኝን ጨምሮ፡

እያንዳንዱ የፕሮሎክ ምሳሌ ስለ ቤዛው መጠን መረጃ ይይዛል - በዚህ ጉዳይ ላይ 35 ቢትኮይኖች፣ ይህም በግምት $312 ነው።

መደምደሚያ

ብዙ የራንሰምዌር ኦፕሬተሮች ግባቸውን ለማሳካት ተመሳሳይ ዘዴዎችን ይጠቀማሉ። በተመሳሳይ ጊዜ, አንዳንድ ዘዴዎች ለእያንዳንዱ ቡድን ልዩ ናቸው. በአሁኑ ጊዜ በዘመቻዎቻቸው ውስጥ ራንሰምዌርን የሚጠቀሙ የሳይበር ወንጀለኞች ቁጥር እየጨመረ ነው። በአንዳንድ አጋጣሚዎች፣ ተመሳሳይ ኦፕሬተሮች የተለያዩ የቤዛ ዌር ቤተሰቦችን በመጠቀም ጥቃቶች ላይ ሊሳተፉ ይችላሉ፣ስለዚህ ጥቅም ላይ በሚውሉ ስልቶች፣ ቴክኒኮች እና ሂደቶች ላይ መደራረብን እናያለን።

በ MITER ATT&CK ካርታ ስራ

ዘዴኛ
ቴክኒክ

የመጀመሪያ መዳረሻ (TA0001)
የውጪ የርቀት አገልግሎቶች (T1133)፣ ስፒኪንግ አባሪ (T1193)፣ ስፒሽንግ ማገናኛ (T1192)

ማስፈጸሚያ (TA0002)
Powershell (T1086)፣ ስክሪፕት (T1064)፣ የተጠቃሚ ማስፈጸሚያ (T1204)፣ የዊንዶውስ አስተዳደር መሣሪያ (T1047)

ጽናት (TA0003)
የመመዝገቢያ ቁልፎች / ማስጀመሪያ አቃፊ (T1060) ፣ የታቀደ ተግባር (T1053) ፣ ትክክለኛ መለያዎች (T1078)

መከላከያ መሸሽ (TA0005)
የኮድ ፊርማ (T1116)፣ Deobfuscate/Deobfuscate/ዲኮድ ፋይሎችን ወይም መረጃን (T1140)፣ የደህንነት መሳሪያዎችን ማሰናከል (T1089)፣ ፋይል መሰረዝ (T1107)፣ ማስኬራዲንግ (T1036)፣ የሂደት መርፌ (T1055)

የምስክርነት መዳረሻ (TA0006)
ምስክርነት መጣያ (T1003)፣ ብሩት ሃይል (T1110)፣ የግቤት ቀረጻ (T1056)

ግኝት (TA0007)
የመለያ ግኝት (T1087)፣ የጎራ ትረስት ግኝት (T1482)፣ የፋይል እና ማውጫ ግኝት (T1083)፣ የአውታረ መረብ አገልግሎት ቅኝት (T1046)፣ የአውታረ መረብ አጋራ ግኝት (T1135)፣ የርቀት ስርዓት ግኝት (T1018)

ላተራል እንቅስቃሴ (TA0008)
የርቀት ዴስክቶፕ ፕሮቶኮል (T1076)፣ የርቀት ፋይል ቅጂ (T1105)፣ የዊንዶውስ አስተዳዳሪ ማጋራቶች (T1077)

ስብስብ (TA0009)
ውሂብ ከአካባቢያዊ ስርዓት (T1005)፣ ከአውታረ መረብ የተጋራ Drive (T1039)፣ የውሂብ ደረጃ (T1074) ውሂብ

ትዕዛዝ እና ቁጥጥር (TA0011)
በብዛት ጥቅም ላይ የዋለው ወደብ (T1043)፣ የድር አገልግሎት (T1102)

ኤክስፍልቴሽን (TA0010)
ውሂብ የታመቀ (T1002)፣ ውሂብን ወደ ደመና መለያ ያስተላልፉ (T1537)

ተፅዕኖ (TA0040)
ለተጽዕኖ የተመሰጠረ ውሂብ (T1486)፣ የስርዓት መልሶ ማግኛን ይከለክላል (T1490)

ምንጭ: hab.com