إن نجاح هجمات برامج الفدية على المؤسسات حول العالم يدفع المزيد والمزيد من المهاجمين الجدد إلى دخول اللعبة. أحد هؤلاء اللاعبين الجدد هو مجموعة تستخدم برنامج الفدية ProLock. وظهر في مارس 2020 خلفًا لبرنامج PwndLocker الذي بدأ العمل نهاية عام 2019. تستهدف هجمات برنامج الفدية ProLock في المقام الأول المؤسسات المالية ومؤسسات الرعاية الصحية والوكالات الحكومية وقطاع التجزئة. في الآونة الأخيرة، نجح مشغلو ProLock في مهاجمة واحدة من أكبر الشركات المصنعة لأجهزة الصراف الآلي، وهي شركة Diebold Nixdorf.
في هذا المنصب أوليغ سكولكين، متخصص رائد في مختبر الطب الشرعي الحاسوبي التابع لمجموعة-IBيغطي التكتيكات والتقنيات والإجراءات الأساسية (TTPs) التي يستخدمها مشغلو ProLock. ويختتم المقال بمقارنة مع MITRE ATT&CK Matrix، وهي قاعدة بيانات عامة تجمع تكتيكات الهجوم المستهدف التي تستخدمها مجموعات مختلفة من مجرمي الإنترنت.
الحصول على الوصول الأولي
يستخدم مشغلو ProLock ناقلين رئيسيين للتسوية الأساسية: حصان طروادة QakBot (Qbot) وخوادم RDP غير المحمية بكلمات مرور ضعيفة.
تحظى التسوية عبر خادم RDP الذي يمكن الوصول إليه خارجيًا بشعبية كبيرة بين مشغلي برامج الفدية. عادةً، يقوم المهاجمون بشراء الوصول إلى خادم مخترق من أطراف ثالثة، ولكن يمكن أيضًا الحصول عليه من قبل أعضاء المجموعة بمفردهم.
هناك ناقل أكثر إثارة للاهتمام للتسوية الأساسية وهو برنامج QakBot الضار. في السابق، كان حصان طروادة هذا مرتبطًا بعائلة أخرى من برامج الفدية - MegaCortex. ومع ذلك، يتم استخدامه الآن من قبل مشغلي ProLock.
عادةً، يتم توزيع QakBot من خلال حملات التصيد الاحتيالي. قد تحتوي رسالة البريد الإلكتروني التصيدية على مستند Microsoft Office مرفق أو رابط لملف موجود في خدمة تخزين سحابية، مثل Microsoft OneDrive.
هناك أيضًا حالات معروفة لتحميل QakBot ببرنامج حصان طروادة آخر، وهو Emotet، المعروف على نطاق واسع بمشاركته في الحملات التي وزعت برنامج طلب الفدية Ryuk.
إعدام
بعد تنزيل مستند مصاب وفتحه، يُطلب من المستخدم السماح بتشغيل وحدات الماكرو. في حالة النجاح، يتم تشغيل PowerShell، والذي سيسمح لك بتنزيل وتشغيل حمولة QakBot من خادم الأوامر والتحكم.
من المهم ملاحظة أن الأمر نفسه ينطبق على ProLock: يتم استخراج الحمولة من الملف BMP أو JPG وتحميلها في الذاكرة باستخدام PowerShell. في بعض الحالات، يتم استخدام مهمة مجدولة لبدء تشغيل PowerShell.
برنامج نصي دفعي يقوم بتشغيل ProLock من خلال برنامج جدولة المهام:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batالتثبيت في النظام
إذا كان من الممكن اختراق خادم RDP والوصول إليه، فسيتم استخدام الحسابات الصالحة للوصول إلى الشبكة. يتميز QakBot بمجموعة متنوعة من آليات الارتباط. في أغلب الأحيان، يستخدم حصان طروادة هذا مفتاح التسجيل "تشغيل" ويقوم بإنشاء المهام في برنامج الجدولة:
تثبيت Qakbot على النظام باستخدام مفتاح التسجيل Run
في بعض الحالات، يتم استخدام مجلدات بدء التشغيل أيضًا: يتم وضع اختصار هناك يشير إلى أداة تحميل التشغيل.
تجاوز الحماية
ومن خلال التواصل مع خادم الأوامر والتحكم، يحاول QakBot تحديث نفسه بشكل دوري، ومن أجل تجنب اكتشافه، يمكن للبرامج الضارة استبدال نسختها الحالية بنسخة جديدة. يتم توقيع الملفات القابلة للتنفيذ بتوقيع مخترق أو مزور. يتم تخزين الحمولة الأولية التي تم تحميلها بواسطة PowerShell على خادم القيادة والتحكم بالملحق بابوا نيو غينيا. بالإضافة إلى ذلك، بعد التنفيذ يتم استبداله بملف شرعي calc.exe.
أيضًا، لإخفاء الأنشطة الضارة، يستخدم QakBot تقنية حقن التعليمات البرمجية في العمليات، وذلك باستخدام EXPLORER.EXE.
كما ذكرنا سابقًا، يتم إخفاء حمولة ProLock داخل الملف BMP أو JPG. يمكن اعتبار هذا أيضًا وسيلة لتجاوز الحماية.
الحصول على أوراق الاعتماد
يحتوي QakBot على وظيفة keylogger. بالإضافة إلى ذلك، يمكنه تنزيل وتشغيل نصوص برمجية إضافية، على سبيل المثال، Invoc-Mimikatz، إصدار PowerShell من الأداة المساعدة Mimikatz الشهيرة. يمكن للمهاجمين استخدام مثل هذه البرامج النصية لتفريغ بيانات الاعتماد.
ذكاء الشبكة
بعد الوصول إلى الحسابات المميزة، يقوم مشغلو ProLock بإجراء استطلاع للشبكة، والذي قد يتضمن فحص المنافذ وتحليل بيئة Active Directory. بالإضافة إلى البرامج النصية المتنوعة، يستخدم المهاجمون AdFind، وهي أداة أخرى شائعة بين مجموعات برامج الفدية، لجمع معلومات حول Active Directory.
الترويج للشبكة
تقليديًا، يعد بروتوكول سطح المكتب البعيد أحد أكثر الطرق شيوعًا لتعزيز الشبكة. لم يكن ProLock استثناءً. يمتلك المهاجمون أيضًا نصوصًا برمجية في ترسانتهم للوصول عن بعد عبر RDP لاستهداف المضيفين.
البرنامج النصي BAT للوصول عبر بروتوكول RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
لتنفيذ البرامج النصية عن بعد، يستخدم مشغلو ProLock أداة شائعة أخرى، وهي الأداة المساعدة PsExec من Sysinternals Suite.
يعمل ProLock على الأجهزة المضيفة باستخدام WMIC، وهي واجهة سطر أوامر للعمل مع النظام الفرعي Windows Management Instrumentation. أصبحت هذه الأداة أيضًا ذات شعبية متزايدة بين مشغلي برامج الفدية.
جمع البيانات
مثل العديد من مشغلي برامج الفدية الآخرين، تقوم المجموعة التي تستخدم ProLock بجمع البيانات من شبكة مخترقة لزيادة فرص حصولهم على فدية. قبل التصفية، تتم أرشفة البيانات المجمعة باستخدام الأداة المساعدة 7Zip.
الترشيح
لتحميل البيانات، يستخدم مشغلو ProLock Rclone، وهي أداة سطر أوامر مصممة لمزامنة الملفات مع خدمات التخزين السحابية المختلفة مثل OneDrive وGoogle Drive وMega وما إلى ذلك. يقوم المهاجمون دائمًا بإعادة تسمية الملف القابل للتنفيذ لجعله يبدو وكأنه ملفات نظام شرعية.
وعلى عكس أقرانهم، لا يزال مشغلو ProLock ليس لديهم موقع ويب خاص بهم لنشر البيانات المسروقة الخاصة بالشركات التي رفضت دفع الفدية.
تحقيق الهدف النهائي
بمجرد تصفية البيانات، يقوم الفريق بنشر ProLock عبر شبكة المؤسسة. يتم استخراج الملف الثنائي من ملف بالملحق بابوا نيو غينيا أو JPG باستخدام PowerShell وحقنه في الذاكرة:
أولاً، يقوم ProLock بإنهاء العمليات المحددة في القائمة المضمنة (ومن المثير للاهتمام أنه يستخدم فقط الأحرف الستة من اسم العملية، مثل "winwor")، وينهي الخدمات، بما في ذلك تلك المتعلقة بالأمان، مثل CSFalconService ( CrowdStrike Falcon). باستخدام الأمر توقف صافي.
ثم، كما هو الحال مع العديد من عائلات برامج الفدية الأخرى، يستخدمها المهاجمون VSSADMIN لحذف نسخ Windows الاحتياطية وتحديد حجمها حتى لا يتم إنشاء نسخ جديدة:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedيضيف ProLock الامتداد .proLock, .pr0Lock أو .proL0ck إلى كل ملف مشفر ويضع الملف [كيفية استرداد الملفات].TXT إلى كل مجلد. يحتوي هذا الملف على تعليمات حول كيفية فك تشفير الملفات، بما في ذلك رابط لموقع حيث يجب على الضحية إدخال معرف فريد وتلقي معلومات الدفع:
يحتوي كل مثيل من ProLock على معلومات حول مبلغ الفدية - في هذه الحالة، 35 بيتكوين، أي ما يقرب من 312 دولار.
اختتام
يستخدم العديد من مشغلي برامج الفدية أساليب مماثلة لتحقيق أهدافهم. وفي الوقت نفسه، هناك بعض التقنيات الفريدة لكل مجموعة. يوجد حاليًا عدد متزايد من مجموعات المجرمين الإلكترونيين الذين يستخدمون برامج الفدية في حملاتهم. في بعض الحالات، قد يشارك نفس المشغلين في الهجمات باستخدام عائلات مختلفة من برامج الفدية، لذلك سنرى بشكل متزايد تداخلًا في التكتيكات والتقنيات والإجراءات المستخدمة.
رسم الخرائط باستخدام رسم الخرائط MITRE ATT&CK
تكتيك
تقنية
الوصول الأولي (TA0001)
الخدمات الخارجية عن بعد (T1133)، مرفق التصيد الاحتيالي (T1193)، رابط التصيد الاحتيالي (T1192)
التنفيذ (TA0002)
Powershell (T1086)، البرمجة النصية (T1064)، تنفيذ المستخدم (T1204)، أدوات إدارة Windows (T1047)
الثبات (TA0003)
مفاتيح تشغيل السجل / مجلد بدء التشغيل (T1060)، المهمة المجدولة (T1053)، الحسابات الصالحة (T1078)
التهرب من الدفاع (TA0005)
توقيع التعليمات البرمجية (T1116)، إزالة التشويش/فك تشفير الملفات أو المعلومات (T1140)، تعطيل أدوات الأمان (T1089)، حذف الملفات (T1107)، التنكر (T1036)، حقن العمليات (T1055)
الوصول إلى بيانات الاعتماد (TA0006)
تفريغ بيانات الاعتماد (T1003)، القوة الغاشمة (T1110)، التقاط الإدخال (T1056)
الاكتشاف (TA0007)
اكتشاف الحساب (T1087)، اكتشاف ثقة المجال (T1482)، اكتشاف الملفات والدليل (T1083)، فحص خدمة الشبكة (T1046)، اكتشاف مشاركة الشبكة (T1135)، اكتشاف النظام عن بعد (T1018)
الحركة الجانبية (TA0008)
بروتوكول سطح المكتب البعيد (T1076)، نسخ الملفات عن بعد (T1105)، مشاركات مسؤول Windows (T1077)
المجموعة (TA0009)
البيانات من النظام المحلي (T1005)، البيانات من محرك أقراص الشبكة المشترك (T1039)، البيانات المرحلية (T1074)
القيادة والتحكم (TA0011)
المنفذ الشائع الاستخدام (T1043)، خدمة الويب (T1102)
الترشيح (TA0010)
البيانات المضغوطة (T1002)، نقل البيانات إلى الحساب السحابي (T1537)
التأثير (TA0040)
البيانات المشفرة للتأثير (T1486)، منع استرداد النظام (T1490)
المصدر: www.habr.com