Mae llwyddiant ymosodiadau ransomware ar sefydliadau ledled y byd yn ysgogi mwy a mwy o ymosodwyr newydd i fynd i mewn i'r gêm. Mae un o'r chwaraewyr newydd hyn yn grŵp sy'n defnyddio'r ransomware ProLock. Ymddangosodd ym mis Mawrth 2020 fel olynydd i raglen PwndLocker, a ddechreuodd weithio ddiwedd 2019. Mae ymosodiadau ransomware ProLock yn targedu sefydliadau ariannol a gofal iechyd, asiantaethau'r llywodraeth, a'r sector manwerthu yn bennaf. Yn ddiweddar, ymosododd gweithredwyr ProLock yn llwyddiannus ar un o'r gwneuthurwyr ATM mwyaf, Diebold Nixdorf.
Yn y post hwn Oleg Skulkin, arbenigwr blaenllaw Labordy Fforensig Cyfrifiadurol Group-IB, yn cwmpasu'r tactegau, technegau a gweithdrefnau sylfaenol (TTPs) a ddefnyddir gan weithredwyr ProLock. Mae'r erthygl yn cloi gyda chymhariaeth â Matrics MITER ATT&CK, cronfa ddata gyhoeddus sy'n casglu tactegau ymosod wedi'u targedu a ddefnyddir gan wahanol grwpiau seiberdroseddol.
Cael mynediad cychwynnol
Mae gweithredwyr ProLock yn defnyddio dau brif fector o gyfaddawd sylfaenol: y Trojan QakBot (Qbot) a gweinyddwyr RDP heb eu diogelu gyda chyfrineiriau gwan.
Mae cyfaddawdu trwy weinydd RDP sy'n hygyrch yn allanol yn hynod boblogaidd ymhlith gweithredwyr nwyddau ransom. Yn nodweddiadol, mae ymosodwyr yn prynu mynediad i weinydd dan fygythiad gan drydydd parti, ond gall aelodau'r grŵp ei gael hefyd ar eu pen eu hunain.
Fector mwy diddorol o gyfaddawd sylfaenol yw meddalwedd maleisus QakBot. Yn flaenorol, roedd y pren Troea hwn yn gysylltiedig â theulu arall o ransomware - MegaCortex. Fodd bynnag, mae bellach yn cael ei ddefnyddio gan weithredwyr ProLock.
Yn nodweddiadol, mae QakBot yn cael ei ddosbarthu trwy ymgyrchoedd gwe-rwydo. Gall e-bost gwe-rwydo gynnwys dogfen Microsoft Office atodedig neu ddolen i ffeil sydd wedi'i lleoli mewn gwasanaeth storio cwmwl, fel Microsoft OneDrive.
Mae achosion hysbys hefyd o QakBot yn cael ei lwytho â Trojan arall, Emotet, sy'n adnabyddus am ei gyfranogiad mewn ymgyrchoedd a ddosbarthodd y Ryuk ransomware.
Perfformiad
Ar ôl lawrlwytho ac agor dogfen heintiedig, anogir y defnyddiwr i ganiatáu i macros redeg. Os yw'n llwyddiannus, caiff PowerShell ei lansio, a fydd yn caniatáu ichi lawrlwytho a rhedeg y llwyth tâl QakBot o'r gweinydd gorchymyn a rheoli.
Mae'n bwysig nodi bod yr un peth yn berthnasol i ProLock: mae'r llwyth tâl yn cael ei dynnu o'r ffeil BMP neu JPG a'i lwytho i'r cof gan ddefnyddio PowerShell. Mewn rhai achosion, defnyddir tasg a drefnwyd i gychwyn PowerShell.
Sgript swp yn rhedeg ProLock trwy'r trefnydd tasgau:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batTrwsio yn y system
Os yw'n bosibl cyfaddawdu'r gweinydd RDP a chael mynediad, yna defnyddir cyfrifon dilys i gael mynediad i'r rhwydwaith. Nodweddir QakBot gan amrywiaeth o fecanweithiau ymlyniad. Yn fwyaf aml, mae'r pren Troea hwn yn defnyddio'r allwedd gofrestrfa Run ac yn creu tasgau yn y rhaglennydd:
Pinio Qakbot i'r system gan ddefnyddio allwedd y gofrestrfa Run
Mewn rhai achosion, defnyddir ffolderi cychwyn hefyd: gosodir llwybr byr yno sy'n pwyntio at y cychwynnwr.
Diogelu ffordd osgoi
Trwy gyfathrebu â'r gweinydd gorchymyn a rheoli, mae QakBot yn ceisio diweddaru ei hun o bryd i'w gilydd, felly er mwyn osgoi canfod, gall y malware ddisodli ei fersiwn gyfredol ei hun gydag un newydd. Mae ffeiliau gweithredadwy wedi'u llofnodi â llofnod wedi'i gyfaddawdu neu wedi'i ffugio. Mae'r llwyth tâl cychwynnol a lwythir gan PowerShell yn cael ei storio ar y gweinydd C&C gyda'r estyniad PNG. Yn ogystal, ar ôl ei weithredu caiff ei ddisodli gan ffeil gyfreithlon calc.exe.
Hefyd, i guddio gweithgaredd maleisus, mae QakBot yn defnyddio'r dechneg o chwistrellu cod i brosesau, gan ddefnyddio explorer.exe.
Fel y soniwyd, mae llwyth tâl ProLock wedi'i guddio y tu mewn i'r ffeil BMP neu JPG. Gellir ystyried hyn hefyd fel dull o osgoi amddiffyniad.
Cael tystlythyrau
Mae gan QakBot ymarferoldeb keylogger. Yn ogystal, gall lawrlwytho a rhedeg sgriptiau ychwanegol, er enghraifft, Invoke-Mimikatz, fersiwn PowerShell o'r cyfleustodau enwog Mimikatz. Gall ymosodwyr ddefnyddio sgriptiau o'r fath i ddympio tystlythyrau.
Cudd-wybodaeth rhwydwaith
Ar ôl cael mynediad at gyfrifon breintiedig, mae gweithredwyr ProLock yn perfformio rhagchwilio rhwydwaith, a all gynnwys sganio porthladdoedd a dadansoddi amgylchedd Active Directory. Yn ogystal â sgriptiau amrywiol, mae ymosodwyr yn defnyddio AdFind, offeryn arall sy'n boblogaidd ymhlith grwpiau ransomware, i gasglu gwybodaeth am Active Directory.
Hyrwyddo rhwydwaith
Yn draddodiadol, un o'r dulliau mwyaf poblogaidd o hyrwyddo rhwydwaith yw'r Protocol Penbwrdd o Bell. Nid oedd ProLock yn eithriad. Mae gan ymosodwyr hyd yn oed sgriptiau yn eu arsenal i gael mynediad o bell trwy RDP i dargedu gwesteiwyr.
Sgript BAT ar gyfer cael mynediad trwy brotocol RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
I weithredu sgriptiau o bell, mae gweithredwyr ProLock yn defnyddio offeryn poblogaidd arall, y cyfleustodau PsExec o'r Sysinternals Suite.
Mae ProLock yn rhedeg ar westeion gan ddefnyddio WMIC, sef rhyngwyneb llinell orchymyn ar gyfer gweithio gydag is-system Windows Management Instrumentation. Mae'r offeryn hwn hefyd yn dod yn fwyfwy poblogaidd ymhlith gweithredwyr ransomware.
Casglu data
Fel llawer o weithredwyr ransomware eraill, mae'r grŵp sy'n defnyddio ProLock yn casglu data o rwydwaith dan fygythiad i gynyddu eu siawns o gael pridwerth. Cyn all-hidlo, mae'r data a gasglwyd yn cael ei archifo gan ddefnyddio'r cyfleustodau 7Zip.
Allfudo
I uwchlwytho data, mae gweithredwyr ProLock yn defnyddio Rclone, offeryn llinell orchymyn a gynlluniwyd i gydamseru ffeiliau â gwasanaethau storio cwmwl amrywiol megis OneDrive, Google Drive, Mega, ac ati. Mae ymosodwyr bob amser yn ailenwi'r ffeil gweithredadwy i'w gwneud yn edrych fel ffeiliau system cyfreithlon.
Yn wahanol i'w cyfoedion, nid oes gan weithredwyr ProLock eu gwefan eu hunain o hyd i gyhoeddi data wedi'i ddwyn sy'n perthyn i gwmnïau a wrthododd dalu'r pridwerth.
Cyrraedd y nod terfynol
Unwaith y bydd y data wedi'i all-hidlo, mae'r tîm yn defnyddio ProLock ledled y rhwydwaith menter. Mae'r ffeil ddeuaidd yn cael ei dynnu o ffeil gyda'r estyniad PNG neu JPG defnyddio PowerShell a'i chwistrellu i'r cof:
Yn gyntaf oll, mae ProLock yn terfynu'r prosesau a nodir yn y rhestr adeiledig (yn ddiddorol, dim ond chwe llythyren enw'r broses y mae'n eu defnyddio, fel "winwor"), ac yn terfynu gwasanaethau, gan gynnwys y rhai sy'n ymwneud â diogelwch, megis CSFalconService ( CrowdStrike Falcon) gan ddefnyddio'r gorchymyn stop net.
Yna, fel gyda llawer o deuluoedd ransomware eraill, ymosodwyr yn defnyddio vssadmin i ddileu copïau cysgodol Windows a chyfyngu ar eu maint fel nad yw copïau newydd yn cael eu creu:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedMae ProLock yn ychwanegu estyniad .proLock, .pr0Lloc neu .proL0ck i bob ffeil wedi'i hamgryptio ac yn gosod y ffeil [SUT I ADFER FFEILIAU].TXT i bob ffolder. Mae'r ffeil hon yn cynnwys cyfarwyddiadau ar sut i ddadgryptio'r ffeiliau, gan gynnwys dolen i wefan lle mae'n rhaid i'r dioddefwr nodi ID unigryw a derbyn gwybodaeth talu:
Mae pob enghraifft o ProLock yn cynnwys gwybodaeth am y swm pridwerth - yn yr achos hwn, 35 bitcoins, sef tua $312.
Casgliad
Mae llawer o weithredwyr ransomware yn defnyddio dulliau tebyg i gyflawni eu nodau. Ar yr un pryd, mae rhai technegau yn unigryw i bob grŵp. Ar hyn o bryd, mae nifer cynyddol o grwpiau seiberdrosedd yn defnyddio ransomware yn eu hymgyrchoedd. Mewn rhai achosion, efallai y bydd yr un gweithredwyr yn ymwneud ag ymosodiadau gan ddefnyddio gwahanol deuluoedd o nwyddau pridwerth, felly byddwn yn gweld mwy a mwy o orgyffwrdd yn y tactegau, y technegau a’r gweithdrefnau a ddefnyddir.
Mapio gyda Mapio MITER ATT&CK
Tacteg
Techneg
Mynediad Cychwynnol (TA0001)
Gwasanaethau Pell Allanol (T1133), Ymlyniad Spearphishing (T1193), Cyswllt Spearphishing (T1192)
Cyflawni (TA0002)
Powershell (T1086), Sgriptio (T1064), Cyflawni Defnyddiwr (T1204), Offeryniaeth Rheoli Windows (T1047)
Dyfalbarhad (TA0003)
Allweddi Rhedeg y Gofrestrfa / Ffolder Cychwyn (T1060), Tasg a Drefnwyd (T1053), Cyfrifon Dilys (T1078)
Osgoi Amddiffyn (TA0005)
Arwyddion Cod (T1116), Dad-ddweud/Datgodio Ffeiliau neu Wybodaeth (T1140), Offer Diogelwch Analluogi (T1089), Dileu Ffeil (T1107), Masquerading (T1036), Chwistrellu Proses (T1055)
Mynediad Credadwy (TA0006)
Dympio Cymhwysedd (T1003), Brute Force (T1110), Cipio Mewnbwn (T1056)
Darganfod (TA0007)
Darganfod Cyfrifon (T1087), Darganfod Ymddiriedolaeth Parth (T1482), Darganfod Ffeil a Chyfeiriadur (T1083), Sganio Gwasanaeth Rhwydwaith (T1046), Darganfod Cyfran Rhwydwaith (T1135), Darganfod System o Bell (T1018)
Symudiad Ochrol (TA0008)
Protocol Bwrdd Gwaith Anghysbell (T1076), Copi Ffeil o Bell (T1105), Cyfrannau Gweinyddol Windows (T1077)
Casgliad (TA0009)
Data o'r System Leol (T1005), Data o Gyriant a Rennir Rhwydwaith (T1039), Data a Gyfnododd (T1074)
Gorchymyn a Rheoli (TA0011)
Porthladd a Ddefnyddir yn Gyffredin (T1043), Gwasanaeth Gwe (T1102)
All-hidlo (TA0010)
Data Cywasgedig (T1002), Trosglwyddo Data i Gyfrif Cwmwl (T1537)
Effaith (TA0040)
Data wedi'i Amgryptio ar gyfer Effaith (T1486), Adfer System Atal (T1490)
Ffynhonnell: hab.com