Отваряне на ProLock: анализ на действията на операторите на новия ransomware с помощта на матрицата MITER ATT&CK

Успехът на атаките с ransomware срещу организации по света кара все повече и повече нови нападатели да навлизат в играта. Един от тези нови играчи е група, използваща рансъмуера ProLock. Появи се през март 2020 г. като наследник на програмата PwndLocker, която започна да работи в края на 2019 г. Ransomware атаките на ProLock са насочени предимно към финансови и здравни организации, държавни агенции и сектора на търговията на дребно. Наскоро операторите на ProLock успешно атакуваха един от най-големите производители на банкомати Diebold Nixdorf.

В тази публикация Олег Скулкин, водещ специалист от лабораторията по компютърна криминалистика на Group-IB, обхваща основните тактики, техники и процедури (TTP), използвани от операторите на ProLock. Статията завършва със сравнение с MITER ATT&CK Matrix, публична база данни, която компилира целенасочени тактики за атака, използвани от различни киберпрестъпни групи.

Получаване на първоначален достъп

Операторите на ProLock използват два основни вектора на първичен компромет: троянския кон QakBot (Qbot) и незащитени RDP сървъри със слаби пароли.

Компрометирането чрез външно достъпен RDP сървър е изключително популярно сред операторите на ransomware. Обикновено нападателите купуват достъп до компрометиран сървър от трети страни, но той може да бъде получен и от членовете на групата сами.

По-интересен вектор на първичен компромет е зловредният софтуер QakBot. Преди това този троянски кон беше свързан с друго семейство рансъмуер - MegaCortex. Сега обаче се използва от операторите на ProLock.

Обикновено QakBot се разпространява чрез фишинг кампании. Фишинг имейл може да съдържа прикачен документ на Microsoft Office или връзка към файл, намиращ се в услуга за съхранение в облак, като Microsoft OneDrive.

Известни са и случаи на зареждане на QakBot с друг троянски кон, Emotet, който е широко известен с участието си в кампании, разпространяващи рансъмуера Ryuk.

изпълнение

След като изтегли и отвори заразен документ, потребителят получава подкана да разреши изпълнението на макроси. При успех се стартира PowerShell, което ще ви позволи да изтеглите и стартирате полезния товар QakBot от командния и контролен сървър.

Важно е да се отбележи, че същото важи и за ProLock: полезният товар се извлича от файла BMP или JPG и се зарежда в паметта с помощта на PowerShell. В някои случаи се използва планирана задача за стартиране на PowerShell.

Партиден скрипт, изпълняващ ProLock през планировчика на задачи:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Фиксиране в системата

Ако е възможно да компрометирате RDP сървъра и да получите достъп, тогава се използват валидни акаунти за получаване на достъп до мрежата. QakBot се характеризира с разнообразие от механизми за закрепване. Най-често този троянски кон използва ключа на системния регистър Run и създава задачи в планировчика:

Закрепване на Qakbot към системата с помощта на ключа на системния регистър Run

В някои случаи се използват и папки за стартиране: там се поставя пряк път, който сочи към буутлоудъра.

Байпас защита

Като комуникира със сървъра за управление и управление, QakBot периодично се опитва да се актуализира, така че за да избегне откриването, зловредният софтуер може да замени текущата си версия с нова. Изпълнимите файлове са подписани с компрометиран или подправен подпис. Първоначалният полезен товар, зареден от PowerShell, се съхранява на C&C сървъра с разширението PNG. Освен това след изпълнение той се заменя с легитимен файл Calc.exe.

Също така, за да скрие злонамерена дейност, QakBot използва техниката за инжектиране на код в процеси, използвайки explorer.exe.

Както споменахме, полезният товар на ProLock е скрит във файла BMP или JPG. Това също може да се разглежда като метод за заобикаляне на защитата.

Получаване на удостоверения

QakBot има функционалност за кийлогър. В допълнение, той може да изтегля и изпълнява допълнителни скриптове, например Invoke-Mimikatz, PowerShell версия на известната помощна програма Mimikatz. Такива скриптове могат да бъдат използвани от нападателите за изхвърляне на идентификационни данни.

Мрежова интелигентност

След като получат достъп до привилегировани акаунти, операторите на ProLock извършват мрежово разузнаване, което може да включва сканиране на портове и анализ на средата на Active Directory. В допълнение към различни скриптове, нападателите използват AdFind, друг инструмент, популярен сред групите за рансъмуер, за събиране на информация за Active Directory.

Промоция в мрежата

Традиционно един от най-популярните методи за промоция на мрежата е протоколът за отдалечен работен плот. ProLock не беше изключение. Нападателите дори имат скриптове в своя арсенал за получаване на отдалечен достъп чрез RDP до целеви хостове.

BAT скрипт за получаване на достъп чрез RDP протокол:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

За отдалечено изпълнение на скриптове операторите на ProLock използват друг популярен инструмент, помощната програма PsExec от пакета Sysinternals Suite.

ProLock работи на хостове, използвайки WMIC, който е интерфейс на командния ред за работа с подсистемата Windows Management Instrumentation. Този инструмент също става все по-популярен сред операторите на ransomware.

Събиране на данни

Подобно на много други оператори на ransomware, групата, използваща ProLock, събира данни от компрометирана мрежа, за да увеличи шансовете си за получаване на откуп. Преди ексфилтрация, събраните данни се архивират с помощта на помощната програма 7Zip.

Ексфилтрация

За да качват данни, операторите на ProLock използват Rclone, инструмент за команден ред, предназначен да синхронизира файлове с различни облачни услуги за съхранение като OneDrive, Google Drive, Mega и др. Нападателите винаги преименуват изпълнимия файл, за да изглежда като легитимни системни файлове.

За разлика от колегите си, операторите на ProLock все още нямат собствен уебсайт, за да публикуват откраднати данни, принадлежащи на компании, отказали да платят откупа.

Постигане на крайната цел

След като данните бъдат ексфилтрирани, екипът внедрява ProLock в цялата корпоративна мрежа. Двоичният файл се извлича от файл с разширение PNG или JPG с помощта на PowerShell и инжектиран в паметта:

На първо място, ProLock прекратява процесите, посочени във вградения списък (интересно е, че използва само шестте букви от името на процеса, като "winwor"), и прекратява услуги, включително тези, свързани със сигурността, като CSFalconService ( CrowdStrike Falcon).с помощта на командата нетната спирка.

След това, както при много други семейства рансъмуер, нападателите използват vssadmin за да изтриете скритите копия на Windows и да ограничите размера им, така че да не се създават нови копия:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock добавя разширение .proLock, .pr0Lock или .proL0ck към всеки шифрован файл и поставя файла [КАК ДА ВЪЗСТАНОВЯВАМ ФАЙЛОВЕ].TXT към всяка папка. Този файл съдържа инструкции как да дешифрирате файловете, включително връзка към сайт, където жертвата трябва да въведе уникален идентификатор и да получи информация за плащане:

Всеки екземпляр на ProLock съдържа информация за сумата на откупа – в този случай 35 биткойна, което е приблизително 312 000 долара.

Заключение

Много оператори на ransomware използват подобни методи за постигане на целите си. В същото време някои техники са уникални за всяка група. В момента има нарастващ брой киберпрестъпни групи, които използват ransomware в своите кампании. В някои случаи едни и същи оператори може да участват в атаки, използващи различни семейства рансъмуер, така че все повече ще виждаме припокриване в използваните тактики, техники и процедури.

Картографиране с MITER ATT&CK Mapping

Тактика
Техника

Първоначален достъп (TA0001)
Външни отдалечени услуги (T1133), Прикачен файл за Spearphishing (T1193), Spearphishing Link (T1192)

Изпълнение (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

Устойчивост (TA0003)
Ключове за изпълнение на системния регистър / папка за стартиране (T1060), планирана задача (T1053), валидни акаунти (T1078)

Укриване на защита (TA0005)
Подписване на код (T1116), Демаскиране/декодиране на файлове или информация (T1140), Деактивиране на инструменти за сигурност (T1089), Изтриване на файл (T1107), Маскиране (T1036), Инжектиране на процес (T1055)

Достъп до идентификационни данни (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)

Дискавъри (TA0007)
Откриване на акаунт (T1087), Откриване на доверие на домейн (T1482), Откриване на файлове и директории (T1083), Сканиране на мрежова услуга (T1046), Откриване на споделяне на мрежа (T1135), Откриване на отдалечена система (T1018)

Странично движение (TA0008)
Протокол за отдалечен работен плот (T1076), копиране на отдалечен файл (T1105), споделяне на Windows Admin (T1077)

Колекция (TA0009)
Данни от локална система (T1005), данни от мрежово споделено устройство (T1039), поетапни данни (T1074)

Командване и управление (TA0011)
Често използван порт (T1043), уеб услуга (T1102)

Ексфилтрация (TA0010)
Компресирани данни (T1002), Прехвърляне на данни към облачен акаунт (T1537)

Въздействие (TA0040)
Данни, шифровани за въздействие (T1486), инхибиране на възстановяването на системата (T1490)

Източник: www.habr.com