Úspěch ransomwarových útoků na organizace po celém světě nutí stále více nových útočníků, aby se dostali do hry. Jedním z těchto nových hráčů je skupina využívající ransomware ProLock. Objevil se v březnu 2020 jako nástupce programu PwndLocker, který začal fungovat na konci roku 2019. Útoky ransomwaru ProLock se primárně zaměřují na finanční a zdravotnické organizace, vládní agentury a maloobchodní sektor. Nedávno operátoři ProLock úspěšně zaútočili na jednoho z největších výrobců bankomatů, Diebold Nixdorf.
V tomto příspěvku Oleg Skulkin, vedoucí specialista počítačové forenzní laboratoře Group-IB, pokrývá základní taktiky, techniky a postupy (TTP) používané operátory ProLock. Článek uzavírá srovnání s MITER ATT&CK Matrix, veřejnou databází, která shromažďuje taktiky cílených útoků používané různými skupinami kyberzločinců.
Získání počátečního přístupu
Operátoři ProLock používají dva hlavní vektory primárního kompromisu: trojského koně QakBot (Qbot) a nechráněné servery RDP se slabými hesly.
Kompromis prostřednictvím externě přístupného serveru RDP je mezi provozovateli ransomwaru extrémně populární. Útočníci si obvykle kupují přístup ke kompromitovanému serveru od třetích stran, ale mohou jej získat i členové skupiny sami.
Zajímavějším vektorem primárního kompromisu je malware QakBot. Dříve byl tento trojský kůň spojován s jinou rodinou ransomwaru – MegaCortex. Nyní jej však využívají operátoři ProLock.
QakBot je obvykle distribuován prostřednictvím phishingových kampaní. Phishingový e-mail může obsahovat přiložený dokument Microsoft Office nebo odkaz na soubor umístěný ve službě cloudového úložiště, jako je Microsoft OneDrive.
Jsou známy i případy, kdy byl QakBot načten jiným trojským koněm, Emotet, který je široce známý svou účastí v kampaních distribuujících ransomware Ryuk.
Provedení
Po stažení a otevření infikovaného dokumentu je uživatel vyzván, aby povolil spuštění maker. V případě úspěchu se spustí PowerShell, který vám umožní stáhnout a spustit datovou část QakBot z příkazového a řídicího serveru.
Je důležité si uvědomit, že totéž platí pro ProLock: užitečné zatížení je extrahováno ze souboru BMP nebo JPG a načte se do paměti pomocí PowerShellu. V některých případech se ke spuštění PowerShellu používá naplánovaná úloha.
Dávkový skript spouštějící ProLock prostřednictvím plánovače úloh:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batOprava v systému
Pokud je možné kompromitovat server RDP a získat přístup, pak se k získání přístupu k síti použijí platné účty. QakBot se vyznačuje řadou připojovacích mechanismů. Tento trojský kůň nejčastěji používá klíč registru Run a vytváří úlohy v plánovači:
Připnutí Qakbota k systému pomocí klíče registru Run
V některých případech se také používají spouštěcí složky: tam je umístěn zástupce, který ukazuje na bootloader.
Ochrana proti přemostění
Prostřednictvím komunikace s příkazovým a řídicím serverem se QakBot pravidelně pokouší aktualizovat, takže aby se zabránilo odhalení, malware může nahradit svou vlastní aktuální verzi novou. Spustitelné soubory jsou podepsány kompromitovaným nebo padělaným podpisem. Počáteční užitečné zatížení načtené prostředím PowerShell je uloženo na serveru C&C s příponou PNG. Navíc je po spuštění nahrazen legitimním souborem Calc.exe.
Ke skrytí škodlivé aktivity používá QakBot také techniku vkládání kódu do procesů pomocí explorer.exe.
Jak již bylo zmíněno, užitečné zatížení ProLock je skryto uvnitř souboru BMP nebo JPG. To lze také považovat za způsob obcházení ochrany.
Získání pověření
QakBot má funkci keyloggeru. Kromě toho může stahovat a spouštět další skripty, například Invoke-Mimikatz, PowerShell verzi slavného nástroje Mimikatz. Takové skripty mohou útočníci použít k výpisu přihlašovacích údajů.
síťová inteligence
Po získání přístupu k privilegovaným účtům provedou operátoři ProLock průzkum sítě, který může zahrnovat skenování portů a analýzu prostředí Active Directory. Kromě různých skriptů útočníci používají AdFind, další nástroj oblíbený mezi skupinami ransomwaru, ke shromažďování informací o Active Directory.
Síťová propagace
Tradičně jednou z nejpopulárnějších metod propagace sítě je protokol vzdálené plochy. ProLock nebyl výjimkou. Útočníci mají dokonce ve svém arzenálu skripty pro získání vzdáleného přístupu přes RDP k cílovým hostitelům.
BAT skript pro získání přístupu přes protokol RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Pro vzdálené spouštění skriptů používají operátoři ProLock další oblíbený nástroj, nástroj PsExec ze Sysinternals Suite.
ProLock běží na hostitelích pomocí WMIC, což je rozhraní příkazového řádku pro práci se subsystémem Windows Management Instrumentation. Tento nástroj je také stále oblíbenější mezi provozovateli ransomwaru.
Sběr dat
Stejně jako mnoho dalších provozovatelů ransomwaru sbírá skupina využívající ProLock data z kompromitované sítě, aby zvýšila své šance na obdržení výkupného. Před exfiltrací jsou shromážděná data archivována pomocí utility 7Zip.
Exfiltrace
K nahrávání dat používají operátoři ProLock Rclone, nástroj příkazového řádku určený k synchronizaci souborů s různými službami cloudového úložiště, jako je OneDrive, Google Drive, Mega atd. Útočníci vždy přejmenují spustitelný soubor, aby vypadal jako legitimní systémové soubory.
Operátoři ProLock na rozdíl od svých vrstevníků stále nemají vlastní webovou stránku, kde by zveřejňovali odcizená data patřící společnostem, které odmítly zaplatit výkupné.
Dosažení konečného cíle
Jakmile jsou data exfiltrována, tým nasadí ProLock v celé podnikové síti. Binární soubor je extrahován ze souboru s příponou PNG nebo JPG pomocí PowerShellu a vložené do paměti:
Za prvé, ProLock ukončí procesy specifikované ve vestavěném seznamu (zajímavé je, že používá pouze šest písmen názvu procesu, např. „winwor“), a ukončí služby, včetně těch souvisejících s bezpečností, jako je CSFalconService ( CrowdStrike Falcon). pomocí příkazu net stop.
Poté, stejně jako u mnoha jiných rodin ransomwaru, útočníci používají vssadmin odstranění stínových kopií systému Windows a omezení jejich velikosti, aby se nevytvářely nové kopie:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock přidává rozšíření .proLock, .pr0Lock nebo .proL0ck do každého zašifrovaného souboru a umístí soubor [JAK OBNOVIT SOUBORY].TXT do každé složky. Tento soubor obsahuje pokyny, jak soubory dešifrovat, včetně odkazu na web, kde musí oběť zadat jedinečné ID a obdržet platební údaje:
Každá instance ProLock obsahuje informace o výši výkupného – v tomto případě 35 bitcoinů, což je přibližně 312 000 $.
Závěr
Mnoho provozovatelů ransomwaru používá podobné metody k dosažení svých cílů. Některé techniky jsou přitom pro každou skupinu jedinečné. V současné době roste počet kyberzločineckých skupin, které ve svých kampaních používají ransomware. V některých případech mohou být stejní operátoři zapojeni do útoků pomocí různých rodin ransomwaru, takže budeme stále častěji svědky překrývání v používaných taktikách, technikách a postupech.
Mapování pomocí MITER ATT&CK Mapping
Taktika
Technika
Počáteční přístup (TA0001)
Externí vzdálené služby (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Provedení (TA0002)
Powershell (T1086), skriptování (T1064), spouštění uživatele (T1204), Windows Management Instrumentation (T1047)
Perzistence (TA0003)
Spouštěcí klíče registru / spouštěcí složka (T1060), plánovaná úloha (T1053), platné účty (T1078)
Obranný únik (TA0005)
Podepisování kódu (T1116), deobfuskace/dekódování souborů nebo informací (T1140), deaktivace nástrojů zabezpečení (T1089), mazání souborů (T1107), maskování (T1036), vkládání procesu (T1055)
Přístup k přihlašovacím údajům (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Zjišťování účtu (T1087), zjišťování důvěryhodnosti domény (T1482), zjišťování souborů a adresářů (T1083), skenování síťových služeb (T1046), zjišťování sdílené sítě (T1135), zjišťování vzdáleného systému (T1018)
Laterální pohyb (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Sbírka (TA0009)
Data z místního systému (T1005), Data ze sdíleného síťového disku (T1039), Data připravená (T1074)
Příkaz a řízení (TA0011)
Běžně používaný port (T1043), webová služba (T1102)
Exfiltrace (TA0010)
Data komprimovaná (T1002), přenos dat do cloudového účtu (T1537)
Dopad (TA0040)
Data zašifrovaná pro dopad (T1486), Inhibice obnovení systému (T1490)
Zdroj: www.habr.com