Uspjeh ransomware napada na organizacije širom svijeta potiče sve više novih napadača da uđu u igru. Jedan od ovih novih igrača je grupa koja koristi ransomware ProLock. Pojavio se u martu 2020. kao nasljednik programa PwndLocker, koji je počeo s radom krajem 2019. godine. ProLock ransomware napadi prvenstveno ciljaju finansijske i zdravstvene organizacije, vladine agencije i maloprodajni sektor. Nedavno su ProLock operateri uspješno napali jednog od najvećih proizvođača bankomata, Diebold Nixdorf.
U ovom postu Oleg Skulkin, vodeći stručnjak Laboratorije za kompjutersku forenziku Grupe-IB, pokriva osnovne taktike, tehnike i procedure (TTP) koje koriste ProLock operateri. Članak se završava poređenjem sa MITER ATT&CK Matrix, javnom bazom podataka koja sastavlja taktike ciljanog napada koje koriste različite grupe cyber kriminalaca.
Dobivanje početnog pristupa
ProLock operateri koriste dva glavna vektora primarnog kompromisa: trojanca QakBot (Qbot) i nezaštićene RDP servere sa slabim lozinkama.
Kompromis preko eksterno dostupnog RDP servera je izuzetno popularan među operaterima ransomware-a. Obično napadači kupuju pristup kompromitovanom serveru od trećih strana, ali ga mogu dobiti i članovi grupe sami.
Zanimljiviji vektor primarnog kompromisa je zlonamjerni softver QakBot. Ranije je ovaj trojanac bio povezan sa drugom porodicom ransomware-a - MegaCortex. Međutim, sada ga koriste ProLock operateri.
QakBot se obično distribuira putem phishing kampanja. E-poruka za krađu identiteta može sadržavati priloženi Microsoft Office dokument ili vezu do datoteke koja se nalazi u servisu za skladištenje u oblaku, kao što je Microsoft OneDrive.
Poznati su i slučajevi da je QakBot napunjen drugim trojancem, Emotetom, koji je nadaleko poznat po svom učešću u kampanjama koje su distribuirale Ryuk ransomware.
Performanse
Nakon preuzimanja i otvaranja zaraženog dokumenta, od korisnika se traži da dozvoli pokretanje makronaredbi. Ako je uspješan, pokreće se PowerShell, koji će vam omogućiti da preuzmete i pokrenete QakBot korisni teret sa komandnog i kontrolnog servera.
Važno je napomenuti da se isto odnosi i na ProLock: korisni teret se izdvaja iz datoteke BMP ili JPG i učitava se u memoriju pomoću PowerShell-a. U nekim slučajevima, planirani zadatak se koristi za pokretanje PowerShell-a.
Paketna skripta koja pokreće ProLock kroz planer zadataka:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batUčvršćivanje u sistemu
Ako je moguće kompromitovati RDP server i dobiti pristup, tada se za pristup mreži koriste važeći nalozi. QakBot karakteriziraju različiti mehanizmi pričvršćivanja. Najčešće ovaj trojanac koristi ključ registratora Run i kreira zadatke u planeru:
Kačenje Qakbota na sistem pomoću ključa registratora Run
U nekim slučajevima se koriste i folderi za pokretanje: tamo se postavlja prečica koja ukazuje na pokretač.
Zaštita zaobilaznice
Komunikacijom sa komandnim i kontrolnim serverom, QakBot se povremeno pokušava ažurirati, tako da kako bi izbjegao otkrivanje, zlonamjerni softver može zamijeniti svoju trenutnu verziju novom. Izvršne datoteke su potpisane kompromitovanim ili krivotvorenim potpisom. Početno opterećenje koje učitava PowerShell pohranjuje se na C&C server s ekstenzijom PNG. Osim toga, nakon izvršenja se zamjenjuje legitimnom datotekom calc.exe.
Također, da bi sakrio zlonamjernu aktivnost, QakBot koristi tehniku ubrizgavanja koda u procese, koristeći explorer.exe.
Kao što je spomenuto, ProLock korisni teret je skriven unutar datoteke BMP ili JPG. Ovo se takođe može smatrati metodom zaobilaženja zaštite.
Pribavljanje akreditiva
QakBot ima funkciju keyloggera. Osim toga, može preuzeti i pokrenuti dodatne skripte, na primjer, Invoke-Mimikatz, PowerShell verziju poznatog Mimikatz uslužnog programa. Takve skripte napadači mogu koristiti za izbacivanje vjerodajnica.
Mrežna inteligencija
Nakon što dobiju pristup privilegovanim nalozima, ProLock operateri vrše ispitivanje mreže, što može uključivati skeniranje portova i analizu okruženja Active Directory. Pored raznih skripti, napadači koriste AdFind, još jedan alat popularan među grupama ransomware-a, za prikupljanje informacija o Active Directoryju.
Mrežna promocija
Tradicionalno, jedan od najpopularnijih metoda mrežne promocije je Remote Desktop Protocol. ProLock nije bio izuzetak. Napadači čak imaju skripte u svom arsenalu za dobijanje udaljenog pristupa putem RDP-a ciljanim hostovima.
BAT skripta za pristup preko RDP protokola:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Za daljinsko izvršavanje skripti, ProLock operateri koriste još jedan popularan alat, uslužni program PsExec iz Sysinternals Suitea.
ProLock radi na hostovima koristeći WMIC, koji je interfejs komandne linije za rad sa podsistemom Windows Management Instrumentation. Ovaj alat također postaje sve popularniji među operaterima ransomware-a.
Prikupljanje podataka
Kao i mnogi drugi operateri ransomware-a, grupa koja koristi ProLock prikuplja podatke sa ugrožene mreže kako bi povećala svoje šanse za primanje otkupnine. Prije eksfiltracije, prikupljeni podaci se arhiviraju pomoću uslužnog programa 7Zip.
Eksfiltracija
Za upload podataka, ProLock operateri koriste Rclone, alat komandne linije dizajniran za sinhronizaciju datoteka sa različitim servisima za skladištenje u oblaku kao što su OneDrive, Google Drive, Mega, itd. Napadači uvijek preimenuju izvršnu datoteku kako bi izgledala kao legitimne sistemske datoteke.
Za razliku od svojih kolega, ProLock operateri još uvijek nemaju vlastitu web stranicu za objavljivanje ukradenih podataka koji pripadaju kompanijama koje su odbile da plate otkup.
Postizanje konačnog cilja
Kada se podaci eksfiltriraju, tim primenjuje ProLock u celoj poslovnoj mreži. Binarni fajl se izdvaja iz datoteke sa ekstenzijom PNG ili JPG koristeći PowerShell i ubrizgano u memoriju:
Prije svega, ProLock prekida procese navedene u ugrađenoj listi (zanimljivo je da koristi samo šest slova naziva procesa, kao što je "winwor") i prekida usluge, uključujući one vezane za sigurnost, kao što je CSFalconService ( CrowdStrike Falcon). pomoću naredbe neto stop.
Zatim, kao i kod mnogih drugih porodica ransomwarea, napadači koriste vssadmin da izbrišete Windows kopije u sjeni i ograničite njihovu veličinu tako da se nove kopije ne stvaraju:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock dodaje ekstenziju .proLock, .pr0Lock ili .proL0ck na svaku šifrovanu datoteku i postavlja datoteku [KAKO OBAVITI DATOTEKE].TXT u svaki folder. Ova datoteka sadrži upute o tome kako dešifrirati datoteke, uključujući vezu do stranice na kojoj žrtva mora unijeti jedinstveni ID i primiti informacije o plaćanju:
Svaka instanca ProLocka sadrži informacije o iznosu otkupnine - u ovom slučaju, 35 bitcoina, što je otprilike 312 dolara.
zaključak
Mnogi operateri ransomware-a koriste slične metode za postizanje svojih ciljeva. Istovremeno, neke tehnike su jedinstvene za svaku grupu. Trenutno postoji sve veći broj cyber kriminalnih grupa koje koriste ransomware u svojim kampanjama. U nekim slučajevima, isti operateri mogu biti uključeni u napade koristeći različite porodice ransomware-a, tako da ćemo sve više vidjeti preklapanje u korištenim taktikama, tehnikama i procedurama.
Mapiranje sa MITER ATT&CK Mapiranjem
Taktika
tehnika
Početni pristup (TA0001)
Eksterne daljinske usluge (T1133), prilog za spearphishing (T1193), veza za spearphishing (T1192)
Izvršenje (TA0002)
Powershell (T1086), Skriptiranje (T1064), Izvršenje korisnika (T1204), Instrumentacija za upravljanje Windows (T1047)
Postojanost (TA0003)
Ključevi za pokretanje registra / folder za pokretanje (T1060), zakazani zadatak (T1053), važeći nalozi (T1078)
Izbjegavanje odbrane (TA0005)
Potpisivanje koda (T1116), demaskiranje/dekodiranje datoteka ili informacija (T1140), onemogućavanje sigurnosnih alata (T1089), brisanje datoteke (T1107), maskiranje (T1036), ubacivanje procesa (T1055)
Pristup vjerodajnicama (TA0006)
Izbacivanje vjerodajnica (T1003), Brute Force (T1110), Hvatanje ulaza (T1056)
Discovery (TA0007)
Otkrivanje naloga (T1087), Pronalaženje poverenja u domenu (T1482), Otkrivanje datoteka i direktorijuma (T1083), Skeniranje mrežnih usluga (T1046), Otkrivanje dijeljenja mreže (T1135), Otkrivanje udaljenog sistema (T1018)
Lateralni pokret (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Kolekcija (TA0009)
Podaci iz lokalnog sistema (T1005), podaci sa mrežnog dijeljenog diska (T1039), podaci u fazama (T1074)
Komanda i kontrola (TA0011)
Često korišteni port (T1043), Web usluga (T1102)
Eksfiltracija (TA0010)
Komprimirani podaci (T1002), prijenos podataka na račun u oblaku (T1537)
Udar (TA0040)
Podaci šifrirani za udar (T1486), blokiranje oporavka sistema (T1490)
izvor: www.habr.com