Der Erfolg von Ransomware-Angriffen auf Unternehmen auf der ganzen Welt führt dazu, dass immer mehr neue Angreifer ins Spiel kommen. Einer dieser neuen Akteure ist eine Gruppe, die die ProLock-Ransomware verwendet. Es erschien im März 2020 als Nachfolger des PwndLocker-Programms, das Ende 2019 seinen Betrieb aufnahm. Die Ransomware-Angriffe von ProLock zielen in erster Linie auf Finanz- und Gesundheitsorganisationen, Regierungsbehörden und den Einzelhandel ab. Kürzlich haben ProLock-Betreiber einen der größten Geldautomatenhersteller, Diebold Nixdorf, erfolgreich angegriffen.
In diesem Beitrag Oleg Skulkin, führender Spezialist des Computerforensiklabors der Gruppe-IB, deckt die grundlegenden Taktiken, Techniken und Verfahren (TTPs) ab, die von ProLock-Betreibern verwendet werden. Der Artikel schließt mit einem Vergleich mit der MITRE ATT&CK Matrix, einer öffentlichen Datenbank, die gezielte Angriffstaktiken verschiedener Cyberkriminalitätsgruppen zusammenstellt.
Erstzugang erhalten
ProLock-Betreiber nutzen zwei Hauptangriffsvektoren: den Trojaner QakBot (Qbot) und ungeschützte RDP-Server mit schwachen Passwörtern.
Die Kompromittierung über einen von außen zugänglichen RDP-Server ist bei Ransomware-Betreibern äußerst beliebt. Üblicherweise erkaufen sich Angreifer den Zugang zu einem kompromittierten Server von Dritten, er kann aber auch von Gruppenmitgliedern auf eigene Faust erlangt werden.
Ein interessanterer primärer Kompromittierungsvektor ist die QakBot-Malware. Zuvor wurde dieser Trojaner mit einer anderen Ransomware-Familie in Verbindung gebracht – MegaCortex. Mittlerweile wird es jedoch von ProLock-Betreibern verwendet.
Typischerweise wird QakBot über Phishing-Kampagnen verbreitet. Eine Phishing-E-Mail kann ein angehängtes Microsoft Office-Dokument oder einen Link zu einer Datei enthalten, die sich in einem Cloud-Speicherdienst wie Microsoft OneDrive befindet.
Es sind auch Fälle bekannt, in denen QakBot mit einem anderen Trojaner, Emotet, geladen wurde, der weithin für seine Teilnahme an Kampagnen zur Verbreitung der Ryuk-Ransomware bekannt ist.
Durchführen
Nach dem Herunterladen und Öffnen eines infizierten Dokuments wird der Benutzer aufgefordert, die Ausführung von Makros zuzulassen. Bei Erfolg wird PowerShell gestartet, wodurch Sie die QakBot-Nutzlast vom Befehls- und Kontrollserver herunterladen und ausführen können.
Es ist wichtig zu beachten, dass das Gleiche auch für ProLock gilt: Die Nutzlast wird aus der Datei extrahiert BMP oder JPG und mit PowerShell in den Speicher geladen. In manchen Fällen wird eine geplante Aufgabe zum Starten von PowerShell verwendet.
Batch-Skript, das ProLock über den Taskplaner ausführt:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidierung im System
Wenn es möglich ist, den RDP-Server zu kompromittieren und Zugriff zu erhalten, werden gültige Konten verwendet, um Zugriff auf das Netzwerk zu erhalten. QakBot zeichnet sich durch eine Vielzahl von Bindungsmechanismen aus. Am häufigsten verwendet dieser Trojaner den Registrierungsschlüssel „Run“ und erstellt Aufgaben im Scheduler:
Anheften von Qakbot an das System mithilfe des Registrierungsschlüssels „Run“.
Teilweise werden auch Startordner verwendet: Dort wird eine Verknüpfung abgelegt, die auf den Bootloader verweist.
Bypass-Schutz
Durch die Kommunikation mit dem Befehls- und Kontrollserver versucht QakBot regelmäßig, sich selbst zu aktualisieren, sodass die Malware ihre eigene aktuelle Version durch eine neue ersetzen kann, um einer Entdeckung zu entgehen. Ausführbare Dateien werden mit einer manipulierten oder gefälschten Signatur signiert. Die von PowerShell geladene anfängliche Nutzlast wird mit der Erweiterung auf dem C&C-Server gespeichert PNG. Darüber hinaus wird sie nach der Ausführung durch eine legitime Datei ersetzt calc.exe.
Um bösartige Aktivitäten zu verbergen, verwendet QakBot außerdem die Technik, Code in Prozesse einzuschleusen explorer.exe.
Wie bereits erwähnt, ist die ProLock-Nutzlast in der Datei versteckt BMP oder JPG. Dies kann auch als eine Methode zur Umgehung des Schutzes angesehen werden.
Berechtigungsnachweise erhalten
QakBot verfügt über eine Keylogger-Funktionalität. Darüber hinaus können zusätzliche Skripte heruntergeladen und ausgeführt werden, beispielsweise Invoke-Mimikatz, eine PowerShell-Version des berühmten Mimikatz-Dienstprogramms. Solche Skripte können von Angreifern verwendet werden, um Anmeldeinformationen zu sichern.
Netzwerkintelligenz
Nachdem ProLock-Betreiber Zugriff auf privilegierte Konten erhalten haben, führen sie eine Netzwerkerkundung durch, die möglicherweise Port-Scans und eine Analyse der Active Directory-Umgebung umfasst. Zusätzlich zu verschiedenen Skripten nutzen Angreifer AdFind, ein weiteres bei Ransomware-Gruppen beliebtes Tool, um Informationen über Active Directory zu sammeln.
Netzwerkförderung
Traditionell ist das Remotedesktopprotokoll eine der beliebtesten Methoden zur Netzwerkförderung. ProLock war keine Ausnahme. Angreifer verfügen sogar über Skripte in ihrem Arsenal, um über RDP Fernzugriff auf Zielhosts zu erhalten.
BAT-Skript für den Zugriff über das RDP-Protokoll:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Um Skripte aus der Ferne auszuführen, verwenden ProLock-Betreiber ein weiteres beliebtes Tool, das Dienstprogramm PsExec aus der Sysinternals Suite.
ProLock läuft auf Hosts mit WMIC, einer Befehlszeilenschnittstelle für die Arbeit mit dem Windows Management Instrumentation-Subsystem. Auch bei Ransomware-Betreibern erfreut sich dieses Tool immer größerer Beliebtheit.
Datensammlung
Wie viele andere Ransomware-Betreiber sammelt die Gruppe, die ProLock verwendet, Daten aus einem kompromittierten Netzwerk, um ihre Chancen auf ein Lösegeld zu erhöhen. Vor der Exfiltration werden die gesammelten Daten mit dem Dienstprogramm 7Zip archiviert.
Exfiltration
Um Daten hochzuladen, verwenden ProLock-Betreiber Rclone, ein Befehlszeilentool, das zum Synchronisieren von Dateien mit verschiedenen Cloud-Speicherdiensten wie OneDrive, Google Drive, Mega usw. entwickelt wurde. Angreifer benennen die ausführbare Datei immer um, damit sie wie legitime Systemdateien aussieht.
Im Gegensatz zu ihren Konkurrenten verfügen die ProLock-Betreiber noch immer nicht über eine eigene Website, auf der sie gestohlene Daten von Unternehmen veröffentlichen könnten, die sich geweigert haben, das Lösegeld zu zahlen.
Das Endziel erreichen
Sobald die Daten exfiltriert sind, implementiert das Team ProLock im gesamten Unternehmensnetzwerk. Die Binärdatei wird aus einer Datei mit der Erweiterung extrahiert PNG oder JPG mit PowerShell und in den Speicher eingefügt:
Zunächst beendet ProLock die in der integrierten Liste angegebenen Prozesse (interessanterweise werden nur die sechs Buchstaben des Prozessnamens verwendet, z. B. „winwor“) und beendet Dienste, einschließlich derer, die sich auf die Sicherheit beziehen, z. B. CSFalconService ( CrowdStrike Falcon). net halt.
Dann verwenden Angreifer, wie bei vielen anderen Ransomware-Familien vssadmin So löschen Sie Windows-Schattenkopien und begrenzen deren Größe, damit keine neuen Kopien erstellt werden:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock fügt Erweiterung hinzu .proLock, .pr0Lock oder .proL0ck zu jeder verschlüsselten Datei und platziert die Datei [WIE MAN DATEIEN WIEDERHERSTELLT].TXT zu jedem Ordner. Diese Datei enthält Anweisungen zum Entschlüsseln der Dateien, einschließlich eines Links zu einer Website, auf der das Opfer eine eindeutige ID eingeben und Zahlungsinformationen erhalten muss:
Jede Instanz von ProLock enthält Informationen über die Höhe des Lösegelds – in diesem Fall 35 Bitcoins, was etwa 312 US-Dollar entspricht.
Abschluss
Viele Ransomware-Betreiber nutzen ähnliche Methoden, um ihre Ziele zu erreichen. Gleichzeitig sind einige Techniken für jede Gruppe einzigartig. Derzeit gibt es eine wachsende Zahl von Cyberkriminellengruppen, die Ransomware in ihren Kampagnen einsetzen. In einigen Fällen können dieselben Betreiber an Angriffen mit verschiedenen Ransomware-Familien beteiligt sein, sodass wir zunehmend Überschneidungen bei den verwendeten Taktiken, Techniken und Verfahren feststellen werden.
Mapping mit MITRE ATT&CK Mapping
Taktik
Technik
Erstzugriff (TA0001)
Externe Remote-Dienste (T1133), Spearphishing-Anhang (T1193), Spearphishing-Link (T1192)
Ausführung (TA0002)
Powershell (T1086), Scripting (T1064), Benutzerausführung (T1204), Windows-Verwaltungsinstrumentation (T1047)
Persistenz (TA0003)
Registrierungslaufschlüssel/Startordner (T1060), geplante Aufgabe (T1053), gültige Konten (T1078)
Verteidigungsumgehung (TA0005)
Codesignatur (T1116), Entschleierung/Dekodierung von Dateien oder Informationen (T1140), Deaktivierung von Sicherheitstools (T1089), Dateilöschung (T1107), Maskierung (T1036), Prozessinjektion (T1055)
Zugang zu Anmeldeinformationen (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Entdeckung (TA0007)
Kontoerkennung (T1087), Domänenvertrauenserkennung (T1482), Datei- und Verzeichniserkennung (T1083), Netzwerkdienst-Scanning (T1046), Netzwerkfreigabeerkennung (T1135), Remote-Systemerkennung (T1018)
Seitliche Bewegung (TA0008)
Remotedesktopprotokoll (T1076), Remotedateikopie (T1105), Windows Admin-Freigaben (T1077)
Sammlung (TA0009)
Daten vom lokalen System (T1005), Daten vom freigegebenen Netzwerklaufwerk (T1039), bereitgestellte Daten (T1074)
Befehl und Kontrolle (TA0011)
Häufig verwendeter Port (T1043), Webdienst (T1102)
Exfiltration (TA0010)
Daten komprimiert (T1002), Daten an Cloud-Konto übertragen (T1537)
Auswirkungen (TA0040)
Daten für Auswirkungen verschlüsselt (T1486), Systemwiederherstellung verhindern (T1490)
Source: habr.com