Η επιτυχία των επιθέσεων ransomware σε οργανισμούς σε όλο τον κόσμο ωθεί όλο και περισσότερους νέους εισβολείς να μπουν στο παιχνίδι. Ένας από αυτούς τους νέους παίκτες είναι μια ομάδα που χρησιμοποιεί το ProLock ransomware. Εμφανίστηκε τον Μάρτιο του 2020 ως διάδοχος του προγράμματος PwndLocker, το οποίο άρχισε να λειτουργεί στα τέλη του 2019. Οι επιθέσεις ransomware ProLock στοχεύουν κυρίως χρηματοοικονομικούς οργανισμούς και οργανισμούς υγειονομικής περίθαλψης, κυβερνητικούς φορείς και τον τομέα λιανικής. Πρόσφατα, οι χειριστές ProLock επιτέθηκαν με επιτυχία σε έναν από τους μεγαλύτερους κατασκευαστές ATM, τον Diebold Nixdorf.
Σε αυτή την ανάρτηση Oleg Skulkin, κορυφαίος ειδικός του Computer Forensics Laboratory of Group-IB, καλύπτει τις βασικές τακτικές, τεχνικές και διαδικασίες (TTP) που χρησιμοποιούνται από τους χειριστές ProLock. Το άρθρο ολοκληρώνεται με μια σύγκριση με το MITER ATT&CK Matrix, μια δημόσια βάση δεδομένων που συγκεντρώνει στοχευμένες τακτικές επίθεσης που χρησιμοποιούνται από διάφορες ομάδες κυβερνοεγκληματιών.
Λήψη αρχικής πρόσβασης
Οι χειριστές ProLock χρησιμοποιούν δύο κύριους φορείς του πρωτεύοντος συμβιβασμού: τον Trojan QakBot (Qbot) και τους μη προστατευμένους διακομιστές RDP με αδύναμους κωδικούς πρόσβασης.
Ο συμβιβασμός μέσω ενός εξωτερικά προσβάσιμου διακομιστή RDP είναι εξαιρετικά δημοφιλής μεταξύ των χειριστών ransomware. Συνήθως, οι εισβολείς αγοράζουν πρόσβαση σε έναν παραβιασμένο διακομιστή από τρίτους, αλλά μπορούν επίσης να αποκτηθούν από τα μέλη της ομάδας από μόνοι τους.
Ένας πιο ενδιαφέρον φορέας πρωτεύοντος συμβιβασμού είναι το κακόβουλο λογισμικό QakBot. Προηγουμένως, αυτός ο Trojan συνδέθηκε με μια άλλη οικογένεια ransomware - το MegaCortex. Ωστόσο, χρησιμοποιείται πλέον από χειριστές ProLock.
Συνήθως, το QakBot διανέμεται μέσω εκστρατειών phishing. Ένα email ηλεκτρονικού ψαρέματος μπορεί να περιέχει ένα συνημμένο έγγραφο του Microsoft Office ή έναν σύνδεσμο προς ένα αρχείο που βρίσκεται σε μια υπηρεσία αποθήκευσης cloud, όπως το Microsoft OneDrive.
Υπάρχουν επίσης γνωστές περιπτώσεις φόρτωσης του QakBot με ένα άλλο Trojan, το Emotet, το οποίο είναι ευρέως γνωστό για τη συμμετοχή του σε καμπάνιες που διένειμαν το Ryuk ransomware.
Εκτέλεση
Μετά τη λήψη και το άνοιγμα ενός μολυσμένου εγγράφου, ζητείται από τον χρήστη να επιτρέψει την εκτέλεση μακροεντολών. Εάν είναι επιτυχής, εκκινείται το PowerShell, το οποίο θα σας επιτρέψει να κατεβάσετε και να εκτελέσετε το ωφέλιμο φορτίο QakBot από τον διακομιστή εντολών και ελέγχου.
Είναι σημαντικό να σημειωθεί ότι το ίδιο ισχύει και για το ProLock: το ωφέλιμο φορτίο εξάγεται από το αρχείο BMP ή JPG και φορτώνεται στη μνήμη χρησιμοποιώντας το PowerShell. Σε ορισμένες περιπτώσεις, χρησιμοποιείται μια προγραμματισμένη εργασία για την εκκίνηση του PowerShell.
Μαζική δέσμη ενεργειών που εκτελεί το ProLock μέσω του προγραμματιστή εργασιών:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batΔιόρθωση στο σύστημα
Εάν είναι δυνατό να παραβιαστεί ο διακομιστής RDP και να αποκτήσετε πρόσβαση, τότε χρησιμοποιούνται έγκυροι λογαριασμοί για να αποκτήσετε πρόσβαση στο δίκτυο. Το QakBot χαρακτηρίζεται από μια ποικιλία μηχανισμών προσάρτησης. Τις περισσότερες φορές, αυτός ο Trojan χρησιμοποιεί το κλειδί μητρώου Εκτέλεση και δημιουργεί εργασίες στον προγραμματιστή:
Καρφίτσωμα του Qakbot στο σύστημα χρησιμοποιώντας το κλειδί μητρώου Εκτέλεση
Σε ορισμένες περιπτώσεις, χρησιμοποιούνται επίσης φάκελοι εκκίνησης: τοποθετείται μια συντόμευση που οδηγεί στον φορτωτή εκκίνησης.
Προστασία παράκαμψης
Επικοινωνώντας με τον διακομιστή εντολών και ελέγχου, το QakBot προσπαθεί περιοδικά να ενημερώνεται, έτσι ώστε για να αποφευχθεί ο εντοπισμός, το κακόβουλο λογισμικό μπορεί να αντικαταστήσει τη δική του τρέχουσα έκδοση με μια νέα. Τα εκτελέσιμα αρχεία υπογράφονται με παραβιασμένη ή πλαστογραφημένη υπογραφή. Το αρχικό ωφέλιμο φορτίο που φορτώνεται από το PowerShell αποθηκεύεται στον διακομιστή C&C με την επέκταση PNG. Επιπλέον, μετά την εκτέλεση αντικαθίσταται από ένα νόμιμο αρχείο calc.exe.
Επίσης, για να κρύψει κακόβουλη δραστηριότητα, το QakBot χρησιμοποιεί την τεχνική της έγχυσης κώδικα σε διαδικασίες, χρησιμοποιώντας explorer.exe.
Όπως αναφέρθηκε, το ωφέλιμο φορτίο ProLock είναι κρυμμένο μέσα στο αρχείο BMP ή JPG. Αυτό μπορεί επίσης να θεωρηθεί ως μέθοδος παράκαμψης της προστασίας.
Λήψη διαπιστευτηρίων
Το QakBot διαθέτει λειτουργία keylogger. Επιπλέον, μπορεί να κατεβάσει και να εκτελέσει πρόσθετα σενάρια, για παράδειγμα, Invoke-Mimikatz, μια έκδοση PowerShell του διάσημου βοηθητικού προγράμματος Mimikatz. Τέτοια σενάρια μπορούν να χρησιμοποιηθούν από εισβολείς για την απόρριψη διαπιστευτηρίων.
ευφυΐα δικτύου
Αφού αποκτήσουν πρόσβαση σε προνομιούχους λογαριασμούς, οι χειριστές ProLock πραγματοποιούν αναγνώριση δικτύου, η οποία μπορεί να περιλαμβάνει σάρωση θυρών και ανάλυση του περιβάλλοντος Active Directory. Εκτός από διάφορα σενάρια, οι εισβολείς χρησιμοποιούν το AdFind, ένα άλλο εργαλείο που είναι δημοφιλές μεταξύ των ομάδων ransomware, για τη συλλογή πληροφοριών σχετικά με την υπηρεσία καταλόγου Active Directory.
Προώθηση δικτύου
Παραδοσιακά, μια από τις πιο δημοφιλείς μεθόδους προώθησης δικτύου είναι το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας. Το ProLock δεν ήταν εξαίρεση. Οι εισβολείς έχουν ακόμη και σενάρια στο οπλοστάσιό τους για να αποκτήσουν απομακρυσμένη πρόσβαση μέσω RDP για να στοχεύσουν κεντρικούς υπολογιστές.
Σενάριο BAT για απόκτηση πρόσβασης μέσω πρωτοκόλλου RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Για την απομακρυσμένη εκτέλεση σεναρίων, οι χειριστές ProLock χρησιμοποιούν ένα άλλο δημοφιλές εργαλείο, το βοηθητικό πρόγραμμα PsExec από τη σουίτα Sysinternals.
Το ProLock εκτελείται σε κεντρικούς υπολογιστές χρησιμοποιώντας το WMIC, το οποίο είναι μια διεπαφή γραμμής εντολών για εργασία με το υποσύστημα οργάνων διαχείρισης των Windows. Αυτό το εργαλείο γίνεται επίσης όλο και πιο δημοφιλές μεταξύ των χειριστών ransomware.
Συλλογή δεδομένων
Όπως πολλοί άλλοι χειριστές ransomware, η ομάδα που χρησιμοποιεί το ProLock συλλέγει δεδομένα από ένα παραβιασμένο δίκτυο για να αυξήσει τις πιθανότητές τους να λάβουν λύτρα. Πριν από την εξαγωγή, τα δεδομένα που συλλέγονται αρχειοθετούνται χρησιμοποιώντας το βοηθητικό πρόγραμμα 7Zip.
Διήθηση
Για τη μεταφόρτωση δεδομένων, οι χειριστές ProLock χρησιμοποιούν το Rclone, ένα εργαλείο γραμμής εντολών που έχει σχεδιαστεί για να συγχρονίζει αρχεία με διάφορες υπηρεσίες αποθήκευσης cloud, όπως το OneDrive, το Google Drive, το Mega κ.λπ. Οι εισβολείς πάντα μετονομάζουν το εκτελέσιμο αρχείο για να φαίνεται σαν νόμιμα αρχεία συστήματος.
Σε αντίθεση με τους ομοτίμους τους, οι χειριστές ProLock εξακολουθούν να μην έχουν δικό τους ιστότοπο για να δημοσιεύουν κλεμμένα δεδομένα που ανήκουν σε εταιρείες που αρνήθηκαν να πληρώσουν τα λύτρα.
Επίτευξη του τελικού στόχου
Μόλις γίνει εξαγωγή των δεδομένων, η ομάδα αναπτύσσει το ProLock σε όλο το εταιρικό δίκτυο. Το δυαδικό αρχείο εξάγεται από ένα αρχείο με την επέκταση PNG ή JPG χρησιμοποιώντας το PowerShell και εγχύθηκε στη μνήμη:
Πρώτα απ 'όλα, το ProLock τερματίζει τις διαδικασίες που καθορίζονται στην ενσωματωμένη λίστα (είναι ενδιαφέρον ότι χρησιμοποιεί μόνο τα έξι γράμματα του ονόματος της διαδικασίας, όπως "winwor") και τερματίζει υπηρεσίες, συμπεριλαμβανομένων εκείνων που σχετίζονται με την ασφάλεια, όπως το CSFalconService ( CrowdStrike Falcon). χρησιμοποιώντας την εντολή καθαρή στάση.
Στη συνέχεια, όπως συμβαίνει με πολλές άλλες οικογένειες ransomware, οι εισβολείς χρησιμοποιούν vssadmin για να διαγράψετε τα σκιερά αντίγραφα των Windows και να περιορίσετε το μέγεθός τους ώστε να μην δημιουργούνται νέα αντίγραφα:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedΤο ProLock προσθέτει επέκταση .proLock, .pr0Lock ή .proL0ck σε κάθε κρυπτογραφημένο αρχείο και τοποθετεί το αρχείο [ΠΩΣ ΝΑ ΑΝΑΚΤΗΣΩ ΑΡΧΕΙΑ].TXT σε κάθε φάκελο. Αυτό το αρχείο περιέχει οδηγίες για τον τρόπο αποκρυπτογράφησης των αρχείων, συμπεριλαμβανομένου ενός συνδέσμου σε έναν ιστότοπο όπου το θύμα πρέπει να εισαγάγει ένα μοναδικό αναγνωριστικό και να λάβει στοιχεία πληρωμής:
Κάθε παρουσία του ProLock περιέχει πληροφορίες σχετικά με το ποσό των λύτρων - σε αυτήν την περίπτωση, 35 bitcoins, που είναι περίπου 312 $.
Συμπέρασμα
Πολλοί χειριστές ransomware χρησιμοποιούν παρόμοιες μεθόδους για να επιτύχουν τους στόχους τους. Ταυτόχρονα, ορισμένες τεχνικές είναι μοναδικές για κάθε ομάδα. Επί του παρόντος, υπάρχει ένας αυξανόμενος αριθμός κυβερνοεγκληματικών ομάδων που χρησιμοποιούν ransomware στις καμπάνιες τους. Σε ορισμένες περιπτώσεις, οι ίδιοι χειριστές ενδέχεται να εμπλέκονται σε επιθέσεις που χρησιμοποιούν διαφορετικές οικογένειες ransomware, επομένως θα βλέπουμε όλο και περισσότερο αλληλεπικαλύψεις στις τακτικές, τις τεχνικές και τις διαδικασίες που χρησιμοποιούνται.
Χαρτογράφηση με MITER ATT&CK Mapping
Τακτική
Τεχνική
Αρχική πρόσβαση (TA0001)
Εξωτερικές απομακρυσμένες υπηρεσίες (T1133), Προσάρτημα Spearphishing (T1193), Σύνδεσμος Spearphishing (T1192)
Εκτέλεση (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Εμμονή (TA0003)
Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)
Υπογραφή κώδικα (T1116), Αποσυμφόρηση/Αποκωδικοποίηση αρχείων ή πληροφοριών (T1140), Απενεργοποίηση εργαλείων ασφαλείας (T1089), Διαγραφή αρχείων (T1107), Μεταμφίεση (T1036), Έγχυση διαδικασίας (T1055)
Πρόσβαση διαπιστευτηρίων (TA0006)
Διαπιστευτήρια Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Πλευρική κίνηση (TA0008)
Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (T1076), Απομακρυσμένο αντίγραφο αρχείου (T1105), Κοινόχρηστα στοιχεία διαχειριστή Windows (T1077)
Συλλογή (TA0009)
Δεδομένα από Τοπικό Σύστημα (T1005), Δεδομένα από Κοινόχρηστο Δίσκο Δικτύου (T1039), Σταδιακά Δεδομένα (T1074)
Εντολή και έλεγχος (TA0011)
Συνήθως χρησιμοποιούμενη θύρα (T1043), Web Service (T1102)
Διήθηση (TA0010)
Συμπιεσμένα δεδομένα (T1002), Μεταφορά δεδομένων σε λογαριασμό Cloud (T1537)
Αντίκτυπος (TA0040)
Κρυπτογραφημένα δεδομένα για Impact (T1486), Inhibit System Recovery (T1490)
Πηγή: www.habr.com