ProHoster > Blog > administration > Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen

Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen

Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen

Succesen med ransomware-angreb på organisationer over hele verden får flere og flere nye angribere til at komme ind i spillet. En af disse nye spillere er en gruppe, der bruger ProLock ransomware. Det dukkede op i marts 2020 som efterfølgeren til PwndLocker-programmet, som begyndte at fungere i slutningen af ​​2019. ProLock ransomware-angreb er primært rettet mod finans- og sundhedsorganisationer, offentlige myndigheder og detailsektoren. For nylig angreb ProLock-operatører med succes en af ​​de største ATM-producenter, Diebold Nixdorf.

I dette indlæg Oleg Skulkin, førende specialist fra Computer Forensics Laboratory i Group-IB, dækker de grundlæggende taktikker, teknikker og procedurer (TTP'er), der bruges af ProLock-operatører. Artiklen afsluttes med en sammenligning med MITER ATT&CK Matrix, en offentlig database, der kompilerer målrettede angrebstaktikker, der bruges af forskellige cyberkriminelle grupper.

Få indledende adgang

ProLock-operatører bruger to hovedvektorer for primært kompromis: QakBot (Qbot) Trojan og ubeskyttede RDP-servere med svage adgangskoder.

Kompromis via en eksternt tilgængelig RDP-server er ekstremt populær blandt ransomware-operatører. Typisk køber angribere adgang til en kompromitteret server fra tredjeparter, men den kan også fås af gruppemedlemmer på egen hånd.

En mere interessant vektor for primært kompromis er QakBot-malwaren. Tidligere var denne trojaner forbundet med en anden familie af ransomware - MegaCortex. Det bruges dog nu af ProLock-operatører.

Typisk distribueres QakBot gennem phishing-kampagner. En phishing-e-mail kan indeholde et vedhæftet Microsoft Office-dokument eller et link til en fil, der er placeret i en cloud-lagringstjeneste, såsom Microsoft OneDrive.

Der er også kendte tilfælde af, at QakBot er blevet indlæst med en anden trojaner, Emotet, som er almindeligt kendt for sin deltagelse i kampagner, der distribuerede Ryuk-ransomwaren.

udførelse

Efter at have downloadet og åbnet et inficeret dokument, bliver brugeren bedt om at tillade makroer at køre. Hvis det lykkes, lanceres PowerShell, som giver dig mulighed for at downloade og køre QakBot-nyttelasten fra kommando- og kontrolserveren.

Det er vigtigt at bemærke, at det samme gælder for ProLock: nyttelasten udtrækkes fra filen BMP eller JPG og indlæst i hukommelsen ved hjælp af PowerShell. I nogle tilfælde bruges en planlagt opgave til at starte PowerShell.

Batchscript, der kører ProLock gennem opgaveplanlæggeren:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Rettelse i systemet

Hvis det er muligt at kompromittere RDP-serveren og få adgang, så bruges gyldige konti til at få adgang til netværket. QakBot er kendetegnet ved en række forskellige fastgørelsesmekanismer. Oftest bruger denne trojaner Kør registreringsdatabasenøglen og opretter opgaver i planlæggeren:

Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen
Fastgør Qakbot til systemet ved hjælp af Kør registreringsdatabasenøglen

I nogle tilfælde bruges opstartsmapper også: der placeres en genvej, der peger på bootloaderen.

Bypass beskyttelse

Ved at kommunikere med kommando- og kontrolserveren forsøger QakBot med jævne mellemrum at opdatere sig selv, så for at undgå opdagelse kan malwaren erstatte sin egen nuværende version med en ny. Eksekverbare filer er signeret med en kompromitteret eller forfalsket signatur. Den indledende nyttelast indlæst af PowerShell gemmes på C&C-serveren med udvidelsen PNG. Derudover erstattes den efter udførelse med en legitim fil calc.exe.

For at skjule ondsindet aktivitet bruger QakBot også teknikken til at injicere kode i processer, vha. explorer.exe.

Som nævnt er ProLock-nyttelasten skjult inde i filen BMP eller JPG. Dette kan også betragtes som en metode til at omgå beskyttelse.

Indhentning af legitimationsoplysninger

QakBot har keylogger-funktionalitet. Derudover kan den downloade og køre yderligere scripts, for eksempel Invoke-Mimikatz, en PowerShell-version af det berømte Mimikatz-værktøj. Sådanne scripts kan bruges af angribere til at dumpe legitimationsoplysninger.

Netværks intelligens

Efter at have fået adgang til privilegerede konti, udfører ProLock-operatører netværksrekognoscering, som kan omfatte portscanning og analyse af Active Directory-miljøet. Ud over forskellige scripts bruger angribere AdFind, et andet værktøj, der er populært blandt ransomware-grupper, til at indsamle oplysninger om Active Directory.

Netværksfremme

Traditionelt er en af ​​de mest populære metoder til netværkspromovering Remote Desktop Protocol. ProLock var ingen undtagelse. Angribere har endda scripts i deres arsenal for at få fjernadgang via RDP til at målrette værter.

BAT-script til at få adgang via RDP-protokol:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

For at fjernkøre scripts bruger ProLock-operatører et andet populært værktøj, PsExec-værktøjet fra Sysinternals Suite.

ProLock kører på værter ved hjælp af WMIC, som er en kommandolinjegrænseflade til at arbejde med Windows Management Instrumentation-undersystemet. Værktøjet bliver også mere og mere populært blandt ransomware-operatører.

Dataindsamling

Som mange andre ransomware-operatører indsamler gruppen, der bruger ProLock, data fra et kompromitteret netværk for at øge deres chancer for at modtage en løsesum. Før eksfiltrering arkiveres de indsamlede data ved hjælp af 7Zip-værktøjet.

Eksfiltration

Til at uploade data bruger ProLock-operatører Rclone, et kommandolinjeværktøj designet til at synkronisere filer med forskellige cloud-lagringstjenester såsom OneDrive, Google Drive, Mega osv. Angribere omdøber altid den eksekverbare fil for at få den til at ligne legitime systemfiler.

I modsætning til deres jævnaldrende har ProLock-operatører stadig ikke deres egen hjemmeside til at offentliggøre stjålne data, der tilhører virksomheder, der nægtede at betale løsesummen.

At nå det endelige mål

Når dataene er eksfiltreret, implementerer teamet ProLock i hele virksomhedens netværk. Den binære fil udpakkes fra en fil med filtypenavnet PNG eller JPG ved hjælp af PowerShell og indsprøjtet i hukommelsen:

Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen
Først og fremmest afslutter ProLock de processer, der er angivet i den indbyggede liste (interessant nok bruger den kun de seks bogstaver i procesnavnet, såsom "winwor"), og afslutter tjenester, herunder dem, der er relateret til sikkerhed, såsom CSFalconService ( CrowdStrike Falcon). ved hjælp af kommandoen net stop.

Derefter, som med mange andre ransomware-familier, bruger angribere vssadmin for at slette Windows-skyggekopier og begrænse deres størrelse, så der ikke oprettes nye kopier:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock tilføjer udvidelse .proLock, .pr0Lock eller .proL0ck til hver krypteret fil og placerer filen [SÅDAN GENDANNER DU FILER].TXT til hver mappe. Denne fil indeholder instruktioner om, hvordan man dekrypterer filerne, inklusive et link til et websted, hvor offeret skal indtaste et unikt ID og modtage betalingsoplysninger:

Åbning af ProLock: analyse af handlingerne fra operatørerne af den nye ransomware ved hjælp af MITER ATT&CK-matricen
Hver forekomst af ProLock indeholder oplysninger om løsesummen - i dette tilfælde 35 bitcoins, hvilket er cirka 312 $.

Konklusion

Mange ransomware-operatører bruger lignende metoder til at nå deres mål. Samtidig er nogle teknikker unikke for hver gruppe. I øjeblikket er der et stigende antal cyberkriminelle grupper, der bruger ransomware i deres kampagner. I nogle tilfælde kan de samme operatører være involveret i angreb ved hjælp af forskellige familier af ransomware, så vi vil i stigende grad se overlapning i taktikken, teknikkerne og procedurerne.

Kortlægning med MITER ATT&CK Mapping

Taktik
Teknik

Indledende adgang (TA0001)
Eksterne fjerntjenester (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)

Udførelse (TA0002)
Powershell (T1086), Scripting (T1064), Brugerudførelse (T1204), Windows Management Instrumentation (T1047)

Vedholdenhed (TA0003)
Registry Run Keys / Startup Mappe (T1060), Planlagt opgave (T1053), Gyldige konti (T1078)

Defense Evasion (TA0005)
Kodesignering (T1116), Deobfuscate/Decode Files or Information (T1140), Deaktivering af sikkerhedsværktøjer (T1089), Filsletning (T1107), Masquerading (T1036), Process Injection (T1055)

Legitimationsadgang (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)

Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)

Sidebevægelse (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

Samling (TA0009)
Data fra lokalt system (T1005), data fra netværksdelt drev (T1039), datafaset (T1074)

Kommando og kontrol (TA0011)
Almindelig brugt port (T1043), webtjeneste (T1102)

Eksfiltrering (TA0010)
Data komprimeret (T1002), Overfør data til Cloud-konto (T1537)

Impact (TA0040)
Data krypteret for påvirkning (T1486), Inhiber systemgendannelse (T1490)

Kilde: www.habr.com

Tilføj en kommentar