L'èxit dels atacs de ransomware a organitzacions d'arreu del món està provocant que cada cop més nous atacants entrin en el joc. Un d'aquests nous jugadors és un grup que utilitza el ransomware ProLock. Va aparèixer el març de 2020 com a successor del programa PwndLocker, que va començar a funcionar a finals de 2019. Els atacs de ransomware ProLock es dirigeixen principalment a organitzacions financeres i sanitàries, agències governamentals i al sector minorista. Recentment, els operadors de ProLock van atacar amb èxit un dels fabricants de caixers automàtics més grans, Diebold Nixdorf.
En aquest post Oleg Skulkin, especialista principal del Laboratori d'Informàtica Forense del Grup-IB, cobreix les tàctiques, tècniques i procediments bàsics (TTP) utilitzats pels operadors de ProLock. L'article conclou amb una comparació amb la matriu MITRE ATT&CK, una base de dades pública que recopila tàctiques d'atac dirigides utilitzades per diversos grups cibercriminals.
Aconseguint l'accés inicial
Els operadors de ProLock utilitzen dos vectors principals de compromís principal: el troià QakBot (Qbot) i servidors RDP desprotegits amb contrasenyes febles.
El compromís mitjançant un servidor RDP accessible externament és molt popular entre els operadors de ransomware. Normalment, els atacants compren accés a un servidor compromès a tercers, però també el poden obtenir els membres del grup pel seu compte.
Un vector més interessant de compromís principal és el programari maliciós QakBot. Anteriorment, aquest troià estava associat amb una altra família de ransomware: MegaCortex. Tanmateix, ara l'utilitzen els operadors de ProLock.
Normalment, QakBot es distribueix mitjançant campanyes de pesca. Un correu electrònic de pesca pot contenir un document de Microsoft Office adjunt o un enllaç a un fitxer situat en un servei d'emmagatzematge al núvol, com ara Microsoft OneDrive.
També es coneixen casos de càrrega de QakBot amb un altre troià, Emotet, que és àmpliament conegut per la seva participació en campanyes que van distribuir el ransomware Ryuk.
Execució
Després de descarregar i obrir un document infectat, se li demana a l'usuari que permeti l'execució de macros. Si té èxit, es llança PowerShell, que us permetrà descarregar i executar la càrrega útil QakBot des del servidor d'ordres i control.
És important tenir en compte que el mateix s'aplica a ProLock: la càrrega útil s'extreu del fitxer BMP o JPG i es carrega a la memòria mitjançant PowerShell. En alguns casos, s'utilitza una tasca programada per iniciar PowerShell.
Script per lots que executa ProLock mitjançant el planificador de tasques:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batFixació en el sistema
Si és possible comprometre el servidor RDP i obtenir accés, s'utilitzen comptes vàlids per accedir a la xarxa. QakBot es caracteritza per una varietat de mecanismes de connexió. Molt sovint, aquest troià utilitza la clau del registre Executar i crea tasques al planificador:
Fixar Qakbot al sistema mitjançant la clau del registre Executar
En alguns casos, també s'utilitzen carpetes d'inici: s'hi col·loca una drecera que apunta al carregador d'arrencada.
Protecció de bypass
En comunicar-se amb el servidor d'ordres i control, QakBot intenta actualitzar-se periòdicament, de manera que per evitar la detecció, el programari maliciós pot substituir la seva pròpia versió actual per una de nova. Els fitxers executables es signen amb una signatura compromesa o falsificada. La càrrega útil inicial carregada per PowerShell s'emmagatzema al servidor C&C amb l'extensió PNG. A més, després de l'execució es substitueix per un fitxer legítim calc.exe.
A més, per ocultar l'activitat maliciosa, QakBot utilitza la tècnica d'injectar codi als processos, utilitzant explorer.exe.
Com s'ha esmentat, la càrrega útil de ProLock s'amaga dins del fitxer BMP o JPG. Això també es pot considerar com un mètode per evitar la protecció.
Obtenció de credencials
QakBot té la funcionalitat de keylogger. A més, pot descarregar i executar scripts addicionals, per exemple, Invoke-Mimikatz, una versió de PowerShell de la famosa utilitat Mimikatz. Aquests scripts poden ser utilitzats pels atacants per abocar credencials.
Intel·ligència de xarxa
Després d'obtenir accés als comptes privilegiats, els operadors de ProLock realitzen un reconeixement de la xarxa, que pot incloure l'exploració de ports i l'anàlisi de l'entorn de l'Active Directory. A més de diversos scripts, els atacants utilitzen AdFind, una altra eina popular entre els grups de ransomware, per recopilar informació sobre Active Directory.
Promoció de la xarxa
Tradicionalment, un dels mètodes més populars de promoció de la xarxa és el Protocol d'escriptori remot. ProLock no va ser una excepció. Els atacants fins i tot tenen scripts al seu arsenal per obtenir accés remot mitjançant RDP per orientar els amfitrions.
Script BAT per obtenir accés mitjançant el protocol RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Per executar scripts de forma remota, els operadors de ProLock utilitzen una altra eina popular, la utilitat PsExec de Sysinternals Suite.
ProLock s'executa en amfitrions mitjançant WMIC, que és una interfície de línia d'ordres per treballar amb el subsistema d'instrumentació de gestió de Windows. Aquesta eina també és cada cop més popular entre els operadors de ransomware.
Recopilació de dades
Com molts altres operadors de ransomware, el grup que utilitza ProLock recopila dades d'una xarxa compromesa per augmentar les seves possibilitats de rebre un rescat. Abans de l'exfiltració, les dades recollides s'arxiven mitjançant la utilitat 7Zip.
Exfiltració
Per carregar dades, els operadors de ProLock utilitzen Rclone, una eina de línia d'ordres dissenyada per sincronitzar fitxers amb diversos serveis d'emmagatzematge al núvol com OneDrive, Google Drive, Mega, etc. Els atacants sempre canvien el nom del fitxer executable perquè sembli fitxers del sistema legítims.
A diferència dels seus companys, els operadors de ProLock encara no tenen el seu propi lloc web per publicar dades robades que pertanyen a empreses que es van negar a pagar el rescat.
Aconseguint l'objectiu final
Un cop exfiltrades les dades, l'equip desplega ProLock a tota la xarxa empresarial. El fitxer binari s'extreu d'un fitxer amb l'extensió PNG o JPG utilitzant PowerShell i injectat a la memòria:
En primer lloc, ProLock finalitza els processos especificats a la llista integrada (curiosament, només utilitza les sis lletres del nom del procés, com ara "winwor"), i finalitza els serveis, inclosos els relacionats amb la seguretat, com ara CSFalconService ( CrowdStrike Falcon) utilitzant l'ordre parada de xarxa.
Aleshores, com passa amb moltes altres famílies de ransomware, els atacants utilitzen vssadmin per eliminar còpies d'ombra de Windows i limitar-ne la mida perquè no es creïn còpies noves:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock afegeix una extensió .proLock, .pr0Bloquejar o .proL0ck a cada fitxer xifrat i col·loca el fitxer [COM RECUPERAR FITXERS].TXT a cada carpeta. Aquest fitxer conté instruccions sobre com desxifrar els fitxers, inclòs un enllaç a un lloc on la víctima ha d'introduir un identificador únic i rebre informació de pagament:
Cada instància de ProLock conté informació sobre l'import del rescat: en aquest cas, 35 bitcoins, que són aproximadament 312 dòlars.
Conclusió
Molts operadors de ransomware utilitzen mètodes similars per assolir els seus objectius. Al mateix temps, algunes tècniques són úniques per a cada grup. Actualment, hi ha un nombre creixent de grups cibercriminals que utilitzen ransomware a les seves campanyes. En alguns casos, els mateixos operadors poden estar implicats en atacs amb diferents famílies de ransomware, de manera que veurem cada cop més solapaments en les tàctiques, tècniques i procediments utilitzats.
Cartografia amb MITRE ATT&CK Mapping
Tàctica
Tècnica
Accés inicial (TA0001)
Serveis remots externs (T1133), fitxer adjunt d'espearphishing (T1193), enllaç de spearphishing (T1192)
Execució (TA0002)
Powershell (T1086), scripting (T1064), execució d'usuari (T1204), instrumentació de gestió de Windows (T1047)
Persistència (TA0003)
Claus d'execució del registre/Carpeta d'inici (T1060), Tasca programada (T1053), Comptes vàlids (T1078)
Evasió de defensa (TA0005)
Signatura de codi (T1116), desofuscació/descodificació de fitxers o informació (T1140), desactivació d'eines de seguretat (T1089), supressió de fitxers (T1107), enmascarament (T1036), injecció de processos (T1055)
Accés a la credencial (TA0006)
Abocament de credencials (T1003), força bruta (T1110), captura d'entrada (T1056)
Descobriment (TA0007)
Detecció de comptes (T1087), descobriment de confiança de dominis (T1482), descobriment de fitxers i directoris (T1083), exploració de serveis de xarxa (T1046), descobriment de recursos compartits de xarxa (T1135), descobriment de sistemes remots (T1018)
Moviment lateral (TA0008)
Protocol d'escriptori remot (T1076), còpia de fitxers remots (T1105), recursos compartits d'administració de Windows (T1077)
Col·lecció (TA0009)
Dades del sistema local (T1005), dades de la unitat compartida de xarxa (T1039), dades en fase (T1074)
Comandament i control (TA0011)
Port d'ús habitual (T1043), servei web (T1102)
Exfiltració (TA0010)
Dades comprimides (T1002), transferir dades al compte del núvol (T1537)
Impacte (TA0040)
Dades xifrades per a l'impacte (T1486), inhibició de la recuperació del sistema (T1490)
Font: www.habr.com