Dünyadakı təşkilatlara ransomware hücumlarının uğuru getdikcə daha çox yeni təcavüzkarları oyuna daxil olmağa sövq edir. Bu yeni oyunçulardan biri ProLock ransomware proqramından istifadə edən qrupdur. 2020-cu ilin sonunda fəaliyyətə başlayan PwndLocker proqramının varisi kimi 2019-ci ilin mart ayında ortaya çıxdı. ProLock ransomware hücumları ilk növbədə maliyyə və səhiyyə təşkilatlarını, dövlət qurumlarını və pərakəndə sektoru hədəf alır. Bu yaxınlarda ProLock operatorları ən böyük bankomat istehsalçılarından biri olan Diebold Nixdorf-a uğurla hücum etdilər.
Bu yazıda Oleq Skulkin, Group-IB-nin Kompüter Məhkəmə Ekspertizası Laboratoriyasının aparıcı mütəxəssisi, ProLock operatorları tərəfindən istifadə olunan əsas taktika, texnika və prosedurları (TTP) əhatə edir. Məqalə müxtəlif kibercinayətkar qruplar tərəfindən istifadə edilən hədəflənmiş hücum taktikalarını tərtib edən ictimai verilənlər bazası olan MITER ATT&CK Matrix ilə müqayisə ilə yekunlaşır.
İlkin giriş əldə edilir
ProLock operatorları əsas güzəştin iki əsas vektorundan istifadə edirlər: QakBot (Qbot) troyanı və zəif parolları olan qorunmayan RDP serverləri.
Xaricdən əldə edilə bilən RDP server vasitəsilə kompromis ransomware operatorları arasında olduqca populyardır. Tipik olaraq, təcavüzkarlar üçüncü tərəflərdən oğurlanmış serverə giriş əldə edirlər, lakin onu qrup üzvləri özləri də əldə edə bilərlər.
Əsas kompromislərin daha maraqlı vektoru QakBot zərərli proqramdır. Əvvəllər bu troyan başqa bir ransomware ailəsi - MegaCortex ilə əlaqələndirilirdi. Bununla belə, indi ProLock operatorları tərəfindən istifadə olunur.
Tipik olaraq, QakBot fişinq kampaniyaları vasitəsilə paylanır. Fişinq e-poçtunda əlavə edilmiş Microsoft Office sənədi və ya Microsoft OneDrive kimi bulud saxlama xidmətində yerləşən fayla keçid ola bilər.
QakBot-un Ryuk ransomware proqramını yayan kampaniyalarda iştirakı ilə məşhur olan Emotet adlı başqa troyanla yüklənməsi ilə bağlı məlum hallar da var.
İcra
Yoluxmuş sənədi yüklədikdən və açdıqdan sonra istifadəçidən makroların işləməsinə icazə verməsi təklif olunur. Uğurlu olarsa, komanda və idarəetmə serverindən QakBot faydalı yükünü endirməyə və işə salmağa imkan verən PowerShell işə salınır.
Qeyd etmək vacibdir ki, eyni şey ProLock-a aiddir: faydalı yük fayldan çıxarılır BMP və ya Jpg və PowerShell istifadə edərək yaddaşa yüklənir. Bəzi hallarda, PowerShell-i işə salmaq üçün planlaşdırılmış tapşırıq istifadə olunur.
Tapşırıq planlayıcısı vasitəsilə ProLock ilə işləyən toplu skript:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batSistemdə fiksasiya
Əgər RDP serverinə güzəştə getmək və giriş əldə etmək mümkündürsə, o zaman şəbəkəyə giriş əldə etmək üçün etibarlı hesablardan istifadə edilir. QakBot müxtəlif qoşma mexanizmləri ilə xarakterizə olunur. Çox vaxt bu Trojan Run qeyd açarından istifadə edir və planlaşdırıcıda tapşırıqlar yaradır:
Run registr açarından istifadə edərək Qakbot-un sistemə bağlanması
Bəzi hallarda başlanğıc qovluqları da istifadə olunur: orada yükləyiciyə işarə edən qısa yol yerləşdirilir.
Bypass qorunması
Komanda və idarəetmə serveri ilə əlaqə saxlayaraq, QakBot vaxtaşırı özünü yeniləməyə çalışır, ona görə də aşkarlanmamaq üçün zərərli proqram özünün cari versiyasını yenisi ilə əvəz edə bilər. İcra edilə bilən fayllar pozulmuş və ya saxta imza ilə imzalanır. PowerShell tərəfindən yüklənmiş ilkin faydalı yük genişləndirmə ilə C&C serverində saxlanılır PNG. Bundan əlavə, icradan sonra qanuni fayl ilə əvəz olunur calc.exe.
Həmçinin, zərərli fəaliyyəti gizlətmək üçün QakBot, istifadə edərək, proseslərə kod yeritmə texnikasından istifadə edir explorer.exe.
Qeyd edildiyi kimi, ProLock yükü faylın içərisində gizlidir BMP və ya Jpg. Bu həm də müdafiədən yan keçmə üsulu kimi qəbul edilə bilər.
Etibarnamələrin əldə edilməsi
QakBot keylogger funksiyasına malikdir. Bundan əlavə, o, əlavə skriptləri yükləyə və işlədə bilər, məsələn, məşhur Mimikatz yardım proqramının PowerShell versiyası olan Invoke-Mimikatz. Bu cür skriptlər təcavüzkarlar tərəfindən etimadnamələri atmaq üçün istifadə edilə bilər.
Şəbəkə kəşfiyyatı
İmtiyazlı hesablara giriş əldə etdikdən sonra ProLock operatorları port skanını və Active Directory mühitinin təhlilini daxil edə bilən şəbəkə kəşfiyyatını həyata keçirirlər. Müxtəlif skriptlərə əlavə olaraq, təcavüzkarlar Active Directory haqqında məlumat toplamaq üçün ransomware qrupları arasında məşhur olan başqa bir vasitə olan AdFind-dən istifadə edirlər.
Şəbəkə təşviqi
Ənənəvi olaraq, şəbəkə təşviqinin ən populyar üsullarından biri Uzaq Masaüstü Protokoludur. ProLock da istisna deyildi. Hücumçuların hətta hostları hədəf almaq üçün RDP vasitəsilə uzaqdan giriş əldə etmək üçün arsenallarında skriptləri var.
RDP protokolu vasitəsilə giriş əldə etmək üçün BAT skripti:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Skriptləri uzaqdan icra etmək üçün ProLock operatorları başqa bir məşhur alətdən, Sysinternals Suite-dən PsExec yardım proqramından istifadə edirlər.
ProLock, Windows İdarəetmə Alətləri alt sistemi ilə işləmək üçün komanda xətti interfeysi olan WMIC-dən istifadə edən hostlarda işləyir. Bu alət də ransomware operatorları arasında getdikcə populyarlaşır.
Məlumatların toplanması
Bir çox digər ransomware operatorları kimi, ProLock-dan istifadə edən qrup fidyə almaq şanslarını artırmaq üçün təhlükəyə məruz qalmış şəbəkədən məlumat toplayır. Eksfiltrasiyadan əvvəl toplanmış məlumatlar 7Zip yardım proqramından istifadə edərək arxivləşdirilir.
Eksfiltrasiya
Məlumatı yükləmək üçün ProLock operatorları faylları OneDrive, Google Drive, Mega və s. kimi müxtəlif bulud saxlama xidmətləri ilə sinxronlaşdırmaq üçün nəzərdə tutulmuş komanda xətti aləti olan Rclone-dan istifadə edirlər. Hücumçular həmişə icra olunan faylın qanuni sistem faylları kimi görünməsi üçün onun adını dəyişdirirlər.
Həmyaşıdlarından fərqli olaraq, ProLock operatorlarının fidyəni ödəməkdən imtina edən şirkətlərə aid oğurlanmış məlumatları dərc etmək üçün hələ də öz veb saytları yoxdur.
Son məqsədə nail olmaq
Məlumatlar xaric edildikdən sonra komanda ProLock-u bütün müəssisə şəbəkəsində yerləşdirir. İkili fayl uzantılı fayldan çıxarılır PNG və ya Jpg PowerShell istifadə edərək yaddaşa yeridilir:
İlk növbədə, ProLock daxili siyahıda göstərilən prosesləri dayandırır (maraqlıdır ki, o, yalnız "winwor" kimi proses adının altı hərfindən istifadə edir) və CSFalconService ( kimi təhlükəsizliklə bağlı olanlar da daxil olmaqla) xidmətləri dayandırır. CrowdStrike Falcon) əmrindən istifadə etməklə xalis stop.
Sonra, bir çox digər ransomware ailələrində olduğu kimi, təcavüzkarlar da istifadə edirlər vssadmin Windows kölgə nüsxələrini silmək və yeni nüsxələrin yaranmaması üçün onların ölçüsünü məhdudlaşdırmaq üçün:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock genişləndirmə əlavə edir .proLock, .pr0Lock və ya .proL0ck hər bir şifrələnmiş fayla və faylı yerləşdirir [FAYLLARI NECƏ BƏRPA EDİR].TXT hər qovluğa. Bu faylda faylların şifrəsinin açılmasına dair təlimatlar, o cümlədən qurbanın unikal ID daxil etməli və ödəniş məlumatı almalı olduğu sayta keçid var:
ProLock-un hər bir nümunəsində fidyə məbləği haqqında məlumat var - bu halda, təxminən 35 312 dollar olan 000 bitkoin.
Nəticə
Bir çox ransomware operatorları məqsədlərinə çatmaq üçün oxşar üsullardan istifadə edirlər. Eyni zamanda, bəzi texnikalar hər qrup üçün unikaldır. Hazırda kampaniyalarında ransomware-dən istifadə edən kibercinayətkar qrupların sayı artmaqdadır. Bəzi hallarda, eyni operatorlar müxtəlif ransomware ailələrindən istifadə edərək hücumlarda iştirak edə bilər, buna görə də istifadə olunan taktika, texnika və prosedurlarda üst-üstə düşdüyünü daha çox görəcəyik.
MİTER ATT&CK Xəritəçəkmə ilə Xəritəçəkmə
Taktiki
Texnika
İlkin Giriş (TA0001)
Xarici Uzaqdan Xidmətlər (T1133), Spearphishing Qoşması (T1193), Spearphishing Link (T1192)
İcra (TA0002)
Powershell (T1086), Skriptləmə (T1064), İstifadəçi İcrası (T1204), Windows İdarəetmə Alətləri (T1047)
Davamlılıq (TA0003)
Registry Run Açarları / Başlanğıc Qovluğu (T1060), Planlaşdırılmış Tapşırıq (T1053), Etibarlı Hesablar (T1078)
Müdafiədən yayınma (TA0005)
Kod İmzalanması (T1116), Faylların və ya Məlumatların Deobfuscate/Deşifrə edilməsi (T1140), Təhlükəsizlik Alətlərinin Deaktiv Edilməsi (T1089), Fayl Silinməsi (T1107), Masquerading (T1036), Proses Injection (T1055)
Etibarnamə Girişi (TA0006)
Etibarnamə Dempinqi (T1003), Qəddar Qüvvə (T1110), Daxil Etmə (T1056)
Kəşf (TA0007)
Hesab kəşfi (T1087), Domen Etibarının Kəşf edilməsi (T1482), Fayl və Kataloqun Kəşf edilməsi (T1083), Şəbəkə Xidmətinin Skanlanması (T1046), Şəbəkə Paylaşımının Kəşf edilməsi (T1135), Uzaqdan Sistemin Kəşf edilməsi (T1018)
Yanal Hərəkət (TA0008)
Uzaq Masaüstü Protokolu (T1076), Uzaqdan Fayl Kopyalaması (T1105), Windows Admin Paylaşımları (T1077)
Kolleksiya (TA0009)
Yerli Sistemdən Data (T1005), Paylaşılan Şəbəkə Diskindən Məlumat (T1039), Mərhələli Məlumat (T1074)
Komanda və Nəzarət (TA0011)
Tez-tez İstifadə olunan Port (T1043), Veb Xidməti (T1102)
Eksfiltrasiya (TA0010)
Data Sıxılmış (T1002), Datanın Bulud Hesabına Transferi (T1537)
Zərbə (TA0040)
Təsir üçün Şifrələnmiş Məlumat (T1486), Sistemin Bərpasını Engelleyin (T1490)
Mənbə: www.habr.com