Ang kalampusan sa mga pag-atake sa ransomware sa mga organisasyon sa tibuuk kalibutan nag-aghat sa daghang mga bag-ong tig-atake nga mosulod sa dula. Usa sa mga bag-ong magdudula usa ka grupo nga naggamit sa ProLock ransomware. Nagpakita kini kaniadtong Marso 2020 ingon nga manununod sa programa sa PwndLocker, nga nagsugod sa pag-operate sa katapusan sa 2019. Ang mga pag-atake sa ProLock ransomware nag-una nga target ang mga organisasyon sa pinansyal ug pag-atiman sa kahimsog, ahensya sa gobyerno, ug sektor sa tingi. Bag-ohay lang, malampuson nga giatake sa mga operator sa ProLock ang usa sa pinakadako nga tiggama sa ATM, si Diebold Nixdorf.
Niini nga post Oleg Skulkin, nanguna nga espesyalista sa Computer Forensics Laboratory sa Group-IB, naglangkob sa mga batakang taktika, teknik ug pamaagi (TTPs) nga gigamit sa mga operator sa ProLock. Ang artikulo gitapos sa usa ka pagtandi sa MITRE ATT&CK Matrix, usa ka publiko nga database nga nag-compile sa gipunting nga mga taktika sa pag-atake nga gigamit sa lainlaing mga grupo sa cybercriminal.
Pagkuha sa inisyal nga pag-access
Ang mga operator sa ProLock naggamit og duha ka nag-unang mga vector sa nag-unang kompromiso: ang QakBot (Qbot) Trojan ug wala'y proteksyon nga RDP server nga adunay huyang nga mga password.
Ang pagkompromiso pinaagi sa externally accessible nga RDP server kay sikat kaayo sa mga ransomware operators. Kasagaran, ang mga tig-atake mopalit og access sa usa ka nakompromiso nga server gikan sa mga ikatulo nga partido, apan mahimo usab kini nga makuha sa mga miyembro sa grupo sa ilang kaugalingon.
Ang usa ka mas makapaikag nga vector sa panguna nga pagkompromiso mao ang QakBot malware. Kaniadto, kini nga Trojan nakig-uban sa laing pamilya sa ransomware - MegaCortex. Bisan pa, gigamit na kini sa mga operator sa ProLock.
Kasagaran, ang QakBot giapod-apod pinaagi sa mga kampanya sa phishing. Ang email sa phishing mahimong adunay gilakip nga dokumento sa Microsoft Office o usa ka link sa usa ka file nga nahimutang sa usa ka serbisyo sa pagtipig sa panganod, sama sa Microsoft OneDrive.
Adunay usab nahibal-an nga mga kaso sa QakBot nga puno sa laing Trojan, Emotet, nga kaylap nga nailhan tungod sa pag-apil niini sa mga kampanya nga nag-apod-apod sa Ryuk ransomware.
Pag-ayo
Pagkahuman sa pag-download ug pag-abli sa usa ka nataptan nga dokumento, giaghat ang tiggamit nga tugutan ang mga macro nga modagan. Kung malampuson, gilansad ang PowerShell, nga magtugot kanimo sa pag-download ug pagpadagan sa payload sa QakBot gikan sa command ug control server.
Importante nga hinumdoman nga ang parehas magamit sa ProLock: ang payload gikuha gikan sa file Bmp o JPG ug gikarga sa memorya gamit ang PowerShell. Sa pipila ka mga kaso, usa ka naka-iskedyul nga buluhaton ang gigamit sa pagsugod sa PowerShell.
Batch script nga nagpadagan sa ProLock pinaagi sa task scheduler:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batPag-ayo sa sistema
Kung posible nga makompromiso ang RDP server ug makakuha og access, unya ang mga balido nga mga account gigamit aron makakuha og access sa network. Ang QakBot gihulagway sa lainlaing mga mekanismo sa pagdugtong. Kasagaran, kini nga Trojan naggamit sa Run registry key ug nagmugna og mga buluhaton sa scheduler:
Pag-pin sa Qakbot sa sistema gamit ang Run registry key
Sa pipila ka mga kaso, gigamit usab ang mga folder sa pagsugod: usa ka shortcut ang gibutang didto nga nagpunting sa bootloader.
Proteksyon sa bypass
Pinaagi sa pagpakigsulti sa command and control server, ang QakBot matag karon ug unya naningkamot sa pag-update sa iyang kaugalingon, aron malikayan ang pag-detect, ang malware makapuli sa kaugalingong kasamtangang bersyon sa bag-o. Ang mga executable nga mga file gipirmahan sa usa ka nakompromiso o peke nga pirma. Ang inisyal nga payload nga gikarga sa PowerShell gitipigan sa C&C server nga adunay extension PNG. Dugang pa, human sa pagpatay kini gipulihan sa usa ka lehitimong file calc.exe.
Usab, aron itago ang malisyoso nga kalihokan, gigamit ni QakBot ang teknik sa pag-inject sa code sa mga proseso, gamit explorer.exe.
Sama sa gihisgutan, ang ProLock payload gitago sa sulod sa file Bmp o JPG. Mahimo usab kini isipon nga usa ka paagi sa pag-bypass sa proteksyon.
Pagkuha og mga kredensyal
Ang QakBot adunay keylogger functionality. Dugang pa, kini maka-download ug makadagan ug dugang nga mga script, pananglitan, Invoke-Mimikatz, usa ka PowerShell nga bersyon sa sikat nga Mimikatz utility. Ang ingon nga mga script mahimong magamit sa mga tig-atake aron ihulog ang mga kredensyal.
Network intelligence
Pagkahuman sa pag-access sa mga pribilihiyo nga mga account, ang mga operator sa ProLock naghimo sa pag-reconnaissance sa network, nga mahimong maglakip sa pag-scan sa pantalan ug pagtuki sa palibot sa Active Directory. Dugang sa lain-laing mga script, ang mga tig-atake naggamit sa AdFind, laing himan nga popular sa mga grupo sa ransomware, aron magtigom og impormasyon bahin sa Active Directory.
Promosyon sa network
Sa naandan, usa sa labing inila nga paagi sa promosyon sa network mao ang Remote Desktop Protocol. Ang ProLock dili eksepsiyon. Ang mga tig-atake adunay mga script sa ilang arsenal aron makakuha og hilit nga pag-access pinaagi sa RDP aron ma-target ang mga host.
BAT script alang sa pag-angkon og access pinaagi sa RDP protocol:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Sa layo nga pagpatuman sa mga script, ang mga operator sa ProLock naggamit ug lain nga sikat nga himan, ang PsExec utility gikan sa Sysinternals Suite.
Ang ProLock nagdagan sa mga host gamit ang WMIC, nga usa ka interface sa command line alang sa pagtrabaho kauban ang Windows Management Instrumentation subsystem. Kini nga himan nahimong mas popular sa mga operator sa ransomware.
Pagkolekta sa datos
Sama sa daghang uban pang mga operator sa ransomware, ang grupo nga naggamit sa ProLock nagkolekta mga datos gikan sa usa ka nakompromiso nga network aron madugangan ang ilang mga higayon nga makadawat usa ka lukat. Sa wala pa ang exfiltration, ang nakolekta nga datos gi-archive gamit ang 7Zip utility.
Exfiltration
Aron ma-upload ang datos, ang mga operator sa ProLock naggamit sa Rclone, usa ka tool sa command line nga gidesinyo sa pag-synchronize sa mga file sa lain-laing mga cloud storage services sama sa OneDrive, Google Drive, Mega, ug uban pa.
Dili sama sa ilang mga kaedad, ang mga operator sa ProLock wala gihapon adunay kaugalingon nga website aron imantala ang mga kinawat nga datos nga iya sa mga kompanya nga nagdumili sa pagbayad sa lukat.
Pagkab-ot sa katapusang tumong
Kung ma-exfiltrate na ang datos, ang team nag-deploy sa ProLock sa tibuuk nga network sa negosyo. Ang binary file gikuha gikan sa usa ka file nga adunay extension PNG o JPG gamit ang PowerShell ug gi-inject sa memorya:
Una sa tanan, gitapos sa ProLock ang mga proseso nga gitakda sa built-in nga lista (makapainteres, gigamit lamang niini ang unom ka letra sa ngalan sa proseso, sama sa "winwor"), ug gitapos ang mga serbisyo, lakip ang mga may kalabotan sa seguridad, sama sa CSFalconService ( CrowdStrike Falcon). gamit ang command paghunong sa pukot.
Unya, sama sa daghang uban pang mga pamilya sa ransomware, gigamit sa mga tig-atake vssadmin aron matangtang ang mga kopya sa anino sa Windows ug limitahan ang ilang gidak-on aron dili mabuhat ang mga bag-ong kopya:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedAng ProLock nagdugang extension .proLock, .pr0Lock o .proL0ck sa matag naka-encrypt nga file ug ibutang ang file [UNSAON PAG-RECOVER MGA FILES].TXT sa matag folder. Kini nga file adunay mga panudlo kung unsaon pag-decrypt ang mga file, lakip ang usa ka link sa usa ka site diin ang biktima kinahanglan nga mosulod sa usa ka talagsaon nga ID ug makadawat sa impormasyon sa pagbayad:
Ang matag pananglitan sa ProLock adunay kasayuran bahin sa kantidad sa lukat - sa kini nga kaso, 35 bitcoins, nga gibana-bana nga $312.
konklusyon
Daghang mga operator sa ransomware ang naggamit sa parehas nga mga pamaagi aron makab-ot ang ilang mga katuyoan. Sa samang higayon, ang pipila ka mga teknik talagsaon sa matag grupo. Sa pagkakaron, nagkadaghan ang mga cybercriminal nga grupo nga naggamit sa ransomware sa ilang mga kampanya. Sa pipila ka mga kaso, ang parehas nga mga operator mahimong maapil sa mga pag-atake gamit ang lainlaing mga pamilya sa ransomware, mao nga labi namon nga makita nga nagsapaw sa mga taktika, teknik ug pamaagi nga gigamit.
Pagmapa gamit ang MITER ATT&CK Mapping
Taktika
Ang teknik
Inisyal nga Pag-access (TA0001)
External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Pagpatay (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Paglahutay (TA0003)
Registry Run Keys / Startup Folder (T1060), Naka-iskedyul nga Buluhaton (T1053), Valid Accounts (T1078)
Paglikay sa Depensa (TA0005)
Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disable Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Pag-access sa Kredensyal (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Pagdiskobre (TA0007)
Pagdiskobre sa Account (T1087), Pagkaplag sa Pagsalig sa Domain (T1482), Pagdiskobre sa File ug Direktoryo (T1083), Pag-scan sa Serbisyo sa Network (T1046), Pagdiskobre sa Pagpaambit sa Network (T1135), Pagdiskobre sa Remote System (T1018)
Lateral nga Paglihok (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Koleksyon (TA0009)
Data gikan sa Local System (T1005), Data gikan sa Network Shared Drive (T1039), Data Staged (T1074)
Command ug Control (TA0011)
Kasagarang Gigamit nga Port (T1043), Web Service (T1102)
Exfiltration (TA0010)
Data Compressed (T1002), Pagbalhin Data ngadto sa Cloud Account (T1537)
Epekto (TA0040)
Data Encrypted alang sa Epekto (T1486), Pagpugong sa System Recovery (T1490)
Source: www.habr.com