La sukceso de ransomware-atakoj kontraŭ organizoj tra la mondo instigas pli kaj pli da novaj atakantoj eniri la ludon. Unu el ĉi tiuj novaj ludantoj estas grupo uzanta la ransomware ProLock. Ĝi aperis en marto 2020 kiel la posteulo de la programo PwndLocker, kiu ekfunkciis fine de 2019. ProLock ransomware atakoj ĉefe celas financajn kaj sanorganizojn, registarajn agentejojn, kaj la podetala sektoro. Lastatempe, ProLock-funkciigistoj sukcese atakis unu el la plej grandaj ATM-fabrikistoj, Diebold Nixdorf.
En ĉi tiu afiŝo Oleg Skulkin, plej elstara specialisto de la Komputila Krimmedicina Laboratorio de Grupo-IB, kovras la bazajn taktikojn, teknikojn kaj procedurojn (TTPoj) uzitaj fare de ProLock-funkciigistoj. La artikolo finas per komparo al la MITRE ATT&CK Matrico, publika datumbazo, kiu kompilas celitajn ataktaktikojn uzatajn de diversaj ciberkrimaj grupoj.
Akirante komencan aliron
ProLock-funkciigistoj uzas du ĉefajn vektorojn de primara kompromiso: la QakBot (Qbot) trojano kaj neprotektitaj RDP-serviloj kun malfortaj pasvortoj.
Kompromiso per ekstere alirebla RDP-servilo estas ege populara inter ransomware-funkciigistoj. Tipe, atakantoj aĉetas aliron al kompromitita servilo de triaj partioj, sed ĝi ankaŭ povas esti akirita de grupanoj memstare.
Pli interesa vektoro de primara kompromiso estas la malware QakBot. Antaŭe, ĉi tiu trojano estis asociita kun alia familio de ransomware - MegaCortex. Tamen, ĝi nun estas uzata de ProLock-funkciigistoj.
Tipe, QakBot estas distribuita per phishing kampanjoj. Fiŝa retpoŝto povas enhavi alkroĉitan Microsoft Office-dokumenton aŭ ligon al dosiero situanta en nuba stokado-servo, kiel Microsoft OneDrive.
Estas ankaŭ konataj kazoj de QakBot ŝarĝita kun alia trojano, Emotet, kiu estas vaste konata pro sia partopreno en kampanjoj kiuj distribuis la Ryuk-ransomware.
Agado
Post elŝuto kaj malfermo de infektita dokumento, la uzanto estas instigita permesi makroojn funkcii. Se sukcesa, PowerShell estas lanĉita, kio permesos al vi elŝuti kaj ruli la utilan ŝarĝon QakBot de la komanda kaj kontrola servilo.
Gravas noti, ke la sama validas por ProLock: la utila ŝarĝo estas ĉerpita el la dosiero BMP aŭ JPG kaj ŝarĝita en memoron uzante PowerShell. En iuj kazoj, planita tasko estas uzata por komenci PowerShell.
Batch-skripto kurante ProLock per la taskoplanilo:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batFiksado en la sistemo
Se eblas kompromiti la RDP-servilon kaj akiri aliron, tiam validaj kontoj estas uzataj por akiri aliron al la reto. QakBot estas karakterizita per diversaj alligaj mekanismoj. Plej ofte, ĉi tiu trojano uzas la Run-registran ŝlosilon kaj kreas taskojn en la planilo:
Alpinglante Qakbot al la sistemo per la Run-registra ŝlosilo
En iuj kazoj, oni ankaŭ uzas startajn dosierujojn: ŝparvojo estas metita tie, kiu montras al la ekŝargilo.
Preterpasi protekton
Komunikante kun la komanda kaj kontrola servilo, QakBot periode provas ĝisdatigi sin, do por eviti detekton, la malware povas anstataŭigi sian propran nunan version per nova. Efektiveblaj dosieroj estas subskribitaj per kompromitita aŭ falsa subskribo. La komenca utila ŝarĝo ŝarĝita de PowerShell estas konservita sur la C&C-servilo kun la etendaĵo PNG. Krome, post ekzekuto ĝi estas anstataŭigita per legitima dosiero calc.exe.
Ankaŭ, por kaŝi malican agadon, QakBot uzas la teknikon injekti kodon en procezojn, uzante explorer.exe.
Kiel menciite, la utila ŝarĝo de ProLock estas kaŝita ene de la dosiero BMP aŭ JPG. Ĉi tio ankaŭ povas esti konsiderata kiel metodo de preterpasi protekton.
Akiro de akreditaĵoj
QakBot havas keylogger funkciojn. Krome, ĝi povas elŝuti kaj ruli pliajn skriptojn, ekzemple, Invoke-Mimikatz, PowerShell-versio de la fama Mimikatz ilo. Tiaj skriptoj povas esti uzataj de atakantoj por forĵeti akreditaĵojn.
Reta inteligenteco
Post akiri aliron al privilegiaj kontoj, ProLock-funkciigistoj faras reton-sciigon, kiu povas inkluzivi havenskanadon kaj analizon de la Active Directory-medio. Krom diversaj skriptoj, atakantoj uzas AdFind, alian ilon popularan inter ransomware grupoj, por kolekti informojn pri Active Directory.
Reta reklamado
Tradicie, unu el la plej popularaj metodoj de reto-promocio estas la Remote Desktop Protocol. ProLock ne estis escepto. Atakantoj eĉ havas skriptojn en sia arsenalo por akiri foran aliron per RDP por celi gastigantojn.
BAT-skripto por akiri aliron per RDP-protokolo:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Por malproksime ekzekuti skriptojn, ProLock-funkciigistoj uzas alian popularan ilon, la ilon PsExec de la Sysinternals Suite.
ProLock funkcias per gastigantoj uzante WMIC, kio estas komandlinia interfaco por labori kun la subsistemo Windows Management Instrumentation. Ĉi tiu ilo ankaŭ fariĝas ĉiam pli populara inter ransomware-funkciigistoj.
Kolekto de datumoj
Kiel multaj aliaj ransomware-funkciigistoj, la grupo uzanta ProLock kolektas datumojn de kompromitita reto por pliigi siajn ŝancojn ricevi elaĉetomonon. Antaŭ eksfiltrado, la kolektitaj datumoj estas arkivitaj per la ilo 7Zip.
Eksfiltrado
Por alŝuti datumojn, ProLock-funkciigistoj uzas Rclone, komandlinian ilon desegnitan por sinkronigi dosierojn kun diversaj nubaj stokadoservoj kiel OneDrive, Google Drive, Mega, ktp. Atakantoj ĉiam renomas la ruleblan dosieron por ke ĝi aspektu kiel laŭleĝaj sistemdosieroj.
Male al siaj samuloj, ProLock-funkciigistoj ankoraŭ ne havas sian propran retejon por publikigi ŝtelitajn datumojn apartenantaj al kompanioj, kiuj rifuzis pagi la elaĉetomonon.
Atingo de la fina celo
Post kiam la datumoj estas eksfiltrataj, la teamo deplojas ProLock tra la entreprena reto. La binara dosiero estas ĉerpita el dosiero kun la etendaĵo PNG aŭ JPG uzante PowerShell kaj injektita en memoron:
Antaŭ ĉio, ProLock finas la procezojn specifitajn en la enkonstruita listo (interese, ĝi nur uzas la ses literojn de la proceznomo, kiel "winwor"), kaj ĉesigas servojn, inkluzive de tiuj rilataj al sekureco, kiel CSFalconService ( CrowdStrike Falcon) uzante la komandon neta halto.
Tiam, kiel kun multaj aliaj ransomware familioj, atakantoj uzas vsadmin forigi Vindozajn ombrokopiojn kaj limigi ilian grandecon por ke novaj kopioj ne estu kreitaj:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock aldonas etendon .proLock, .pr0Loku aŭ .proL0ck al ĉiu ĉifrita dosiero kaj metas la dosieron [KIEL REAKURI DOSIEROJ].TXT al ĉiu dosierujo. Ĉi tiu dosiero enhavas instrukciojn pri kiel malĉifri la dosierojn, inkluzive de ligo al retejo, kie la viktimo devas enigi unikan identigilon kaj ricevi pagajn informojn:
Ĉiu kazo de ProLock enhavas informojn pri la elaĉetomono - en ĉi tiu kazo, 35 bitcoins, kio estas proksimume $312.
konkludo
Multaj ransomware-funkciigistoj uzas similajn metodojn por atingi siajn celojn. Samtempe, iuj teknikoj estas unikaj por ĉiu grupo. Nuntempe, estas kreskanta nombro da ciberkrimaj grupoj uzantaj ransomware en siaj kampanjoj. En iuj kazoj, la samaj funkciigistoj povas esti implikitaj en atakoj uzante malsamajn familiojn de ransomware, do ni ĉiam pli vidos interkovron en la taktikoj, teknikoj kaj proceduroj uzitaj.
Mapado kun MITRE ATT&CK Mapado
Taktiko
tekniko
Komenca Aliro (TA0001)
Eksteraj Foraj Servoj (T1133), Spearphishing Aldonaĵo (T1193), Spearphishing Ligo (T1192)
Ekzekuto (TA0002)
Powershell (T1086), Skripto (T1064), Uzanto-Ekzekuto (T1204), Windows Management Instrumentation (T1047)
Persisto (TA0003)
Registraj Kuraj Ŝlosiloj / Komenca Dosierujo (T1060), Planita Tasko (T1053), Validaj Kontoj (T1078)
Defenda Evadado (TA0005)
Kodsubskribado (T1116), Senmalklarigi/Malkodi dosierojn aŭ Informojn (T1140), Malŝalti Sekurecajn Ilojn (T1089), Dosiera Forigo (T1107), Maskerado (T1036), Proceza Injekto (T1055)
Akreditaĵo-Aliro (TA0006)
Kredenta Forĵeto (T1003), Brute Force (T1110), Eniga Kapto (T1056)
Malkovro (TA0007)
Konto Discovery (T1087), Domain Trust Discovery (T1482), Dosiero kaj Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Flanka Movado (TA0008)
Malproksima Labortabla Protokolo (T1076), Malproksima Dosiera Kopio (T1105), Windows Admin Shares (T1077)
Kolekto (TA0009)
Datenoj de Loka Sistemo (T1005), Datenoj de Reto Komuna Veturado (T1039), Data Staged (T1074)
Komando kaj Kontrolo (TA0011)
Ofte Uzata Haveno (T1043), Reta Servo (T1102)
Eksfiltrado (TA0010)
Datumoj Kunpremitaj (T1002), Transdono de Datumoj al Nuba Konto (T1537)
Efiko (TA0040)
Datumoj Ĉifritaj por Efiko (T1486), Malhelpi Sisteman Reakiron (T1490)
fonto: www.habr.com