Поспех нападаў вірусаў-шыфравальшчыкаў на арганізацыі па ўсім свеце падахвочвае ўсё больш новых зламыснікаў "уступіць у гульню". Адзін з такіх новых гульцоў - група, якая выкарыстоўвае шыфравальшчык ProLock. Ён з'явіўся ў сакавіку 2020 гады як пераемнік праграмы PwndLocker, якая пачала працаваць з канца 2019 гады. Напады шыфравальшчыка ProLock, перш за ўсё, нацэлены на фінансавыя і медыцынскія арганізацыі, дзяржаўныя ўстановы і сектар рознічнага гандлю. Нядаўна аператары ProLock паспяхова атакавалі аднаго з найбуйнейшых вытворцаў банкаматаў - кампанію Diebold Nixdorf.
У гэтым пасце Алег Сккулкін, вядучы спецыяліст Лабараторыі камп'ютарнай крыміналістыкі Group-IB, распавядае аб асноўных тактыках, тэхніках і працэдурах (TTPs), якія выкарыстоўваюцца аператарамі ProLock. У канцы артыкула – супастаўленне з матрыцай MITRE ATT \uXNUMX CK, публічнай базай дадзеных, у якой сабраны тактыкі мэтавых нападаў, якія прымяняюцца рознымі кіберзлачыннымі групамі.
Атрыманне першапачатковага доступу
Аператары ProLock выкарыстоўваюць два асноўных вектара першаснай кампраметацыі: траян QakBot (Qbot) і неабароненыя RDP-серверы са слабымі паролямі.
Кампраметацыя праз даступны звонку RDP-сервер надзвычай папулярная ў аператараў вымагальнікаў. Звычайна доступ да скампраметаванага сервера зламыснікі купляюць у трэціх асоб, аднак ён таксама можа быць атрыманы чальцамі групы самастойна.
Цікавейшы вектар першаснай кампраметацыі - шкоднаснае ПА QakBot. Раней дадзены траян звязвалі з іншым сямействам шыфравальшчыкаў - MegaCortex. Аднак зараз ім карыстаюцца аператары ProLock.
Як правіла, QakBot распаўсюджваецца праз фішынгавыя кампаніі. Фішынгавае ліст можа ўтрымоўваць прымацаваны дакумент Microsoft Office або спасылку на такі файл, змешчаны ў хмарным сховішчы - напрыклад, Microsoft OneDrive.
Таксама вядомыя выпадкі загрузкі QakBot іншым траянам – Emotet, які шырока вядомы сваім удзелам у кампаніях, якія распаўсюджвалі праграму-вымагальнік Ryuk.
выкананне
Пасля загрузкі і адкрыцці заражанага дакумента карыстачу прапануецца дазволіць выкананне макрасаў. У выпадку поспеху здзяйсняецца запуск PowerShell, які дазволіць загрузіць і запусціць карысную нагрузку QakBot з каманднага сервера.
Важна адзначыць, што тое ж самае ставіцца і да ProLock: карысная нагрузка здабываецца з файла BMP або JPG і загружаецца ў памяць з дапамогай PowerShell. У некаторых выпадках для запуску PowerShell выкарыстоўваецца запланаваная задача.
Batch-скрыпт, які запускае ProLock праз планавальнік задач:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batЗамацаванне ў сістэме
Калі атрымалася скампраметаваць RDP-сервер і атрымаць доступ, то для замацавання ў сетцы выкарыстоўваюцца дзеючыя ўліковыя запісы. Для QakBot характэрны разнастайныя механізмы замацавання. Часцей за ўсё дадзены траян выкарыстоўвае падзел рэестра Run і стварае задачы ў планавальніку:
Замацаванне Qakbot у сістэме з дапамогай падзелу рэестра Run
У некаторых выпадках таксама выкарыстоўваюцца тэчкі аўтазагрузкі: туды змяшчаецца цэтлік, які паказвае на загрузнік.
Абыход абароны
Шляхам камунікацыі з камандным серверам QakBot перыядычна спрабуе абнавіць сябе, таму, каб пазбегнуць выяўленні, шкоднас можа замяніць уласную бягучую версію новай. Выконваныя файлы падпісваюцца скампраметаваным або падробленым подпісам. Пачатковая карысная нагрузка, якая загружаецца PowerShell, захоўваецца на камандным серверы з пашырэннем PNG. Акрамя таго, пасля выканання яна замяняецца на легітымны файл calc.exe.
Таксама, каб схаваць шкоднасную актыўнасць, QakBot выкарыстоўвае тэхніку ўкаранення кода ў працэсы, выкарыстоўваючы для гэтага explorer.exe.
Як ужо згадвалася, карысная нагрузка ProLock утоена ўсярэдзіне файла BMP або JPG. Гэта таксама можна разглядаць як метад абыходу абароны.
Атрыманне уліковых дадзеных
QakBot валодае функцыяналам кейлоггера. Акрамя гэтага, ён можа загружаць і запускаць дадатковыя скрыпты, напрыклад, Invoke-Mimikatz – PowerShell-версію знакамітай утыліты Mimikatz. Такія скрыпты могуць выкарыстоўвацца зламыснікамі для дампінгу уліковых дадзеных.
Сеткавая разведка
Пасля атрымання доступу да прывілеяваных уліковых запісаў аператары ProLock ажыццяўляюць сеткавую разведку, якая ў прыватнасці можа ўключаць сканіраванне партоў і аналіз асяроддзя Active Directory. Акрамя розных скрыптоў, для збору інфармацыі аб Active Directory зламыснікі выкарыстоўваюць AdFind – яшчэ адзін інструмент, папулярны сярод груп, якія выкарыстоўваюць праграмы-вымагальнікі.
Прасоўванне па сетцы
Традыцыйна адным з самых папулярных спосабаў пасоўвання па сетцы з'яўляецца пратакол выдаленага працоўнага стала (Remote Desktop Protocol). ProLock не стаў выключэннем. Зламыснікі нават маюць у сваім арсенале скрыпты для атрымання магчымасці выдаленага доступу па пратаколе RDP да мэтавых хастоў.
BAT-скрыпт для атрымання доступу па пратаколе RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Для выдаленага выканання скрыптоў аператары ProLock выкарыстаюць яшчэ адна папулярная прылада — утыліту PsExec з пакета Sysinternals Suite.
ProLock на хастах запускаецца з дапамогай WMIC, уяўлялага сабой інтэрфейс каманднага радка для працы з падсістэмай Windows Management Instrumentation. Дадзеная прылада таксама набывае ўсё большую папулярнасць сярод аператараў праграм-вымагальнікаў.
збор дадзеных
Як і многія іншыя аператары шыфравальшчыкаў, група, якая выкарыстоўвае ProLock, збірае дадзеныя са скампраметаванай сеткі, каб павысіць свае шанцы на атрыманне выкупу. Перад эксфільтрацыяй сабраныя дадзеныя архівуюцца з дапамогай утыліты 7Zip.
Эксфільтрацыя
Для выгрузкі дадзеных аператары ProLock выкарыстоўваюць Rclone — інструмент каманднага радка, прызначаны для сінхранізацыі файлаў з рознымі хмарнымі сховішчамі, такімі як OneDrive, Google Drive, Mega і інш. Зламыснікі заўсёды пераназываюць выкананы файл, каб ён быў падобны на легітымныя сістэмныя файлы.
У адрозненне ад сваіх "калег па цэху", аператары ProLock да гэтага часу не маюць уласнага вэб-сайта для публікацыі скрадзеных дадзеных, якія належаць кампаніям, якія адмовіліся плаціць выкуп.
Дасягненне канчатковай мэты
Пасля эксфільтрацыі дадзеных група разгортвае ProLock па ўсёй сетцы прадпрыемства. Бінарны файл здабываецца з файла з пашырэннем PNG або JPG з дапамогай PowerShell і ўкараняецца ў памяць:
Перш за ўсё ProLock завяршае працэсы, паказаныя ва ўбудаваным спісе (цікава, што ён выкарыстоўвае толькі шэсць літар з імя працэсу, напрыклад, "winwor"), і завяршае службы, уключаючы тыя, якія злучаны з бяспекай, напрыклад, CSFalconService (CrowdStrike Falcon), з дапамогай каманды чысты стоп.
Затым, як і ў выпадку шматлікіх іншых сямействаў вымагальнікаў, атакавалыя выкарыстоўваюць. VSSadmin для выдалення ценявых копій Windows і абмежаванні іх памеру, дзякуючы чаму новыя копіі не будуць стварацца:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock дадае пашырэнне .proLock, .pr0Lock або .proL0ck да кожнага зашыфраванага файла і змяшчае файл [HOW TO RECOVER FILES].TXT у кожную тэчку. Гэты файл змяшчае інструкцыі аб тым, як расшыфраваць файлы, уключаючы спасылку на сайт, дзе ахвяра павінна ўвесці ўнікальны ідэнтыфікатар і атрымаць аплатную інфармацыю:
Кожны асобнік ProLock змяшчае інфармацыю аб суме выкупу – у дадзеным выпадку гэта 35 біткоінаў, што складае прыкладна 312 000 даляраў.
Заключэнне
Многія аператары праграм-вымагальнікаў выкарыстоўваюць падобныя метады для дасягнення сваіх мэт. У той жа час некаторыя тэхнікі з'яўляюцца ўнікальнымі для кожнай групы. У цяперашні час расце колькасць кіберзлачынных груп, якія выкарыстоўваюць шыфравальшчыкі ў сваіх кампаніях. У некаторых выпадках адны і тыя ж аператары могуць удзельнічаць у нападах з выкарыстаннем розных сямействаў вымагальнікаў, таму мы будзем усё гушчару назіраць скрыжаванні ў выкарыстоўваных тактыках, тэхніках і працэдурах.
Параўнанне з MITRE ATT&CK Mapping
Тактыка
Тэхніка
Initial Access (TA0001)
External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)
Registry Run Keys/Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)
Код signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)
Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)
Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)
Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)
Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)
Крыніца: habr.com