Lunavararünnakute edu organisatsioonide vastu üle maailma ajendab mängu aina uusi ründajaid. Üks neist uutest mängijatest on ProLocki lunavara kasutav grupp. See ilmus 2020. aasta märtsis PwndLockeri programmi järglasena, mis alustas tegevust 2019. aasta lõpus. ProLocki lunavararünnakud on suunatud peamiselt finants- ja tervishoiuorganisatsioonidele, valitsusasutustele ja jaemüügisektorile. Hiljuti ründasid ProLocki operaatorid edukalt üht suurimat sularahaautomaatide tootjat Diebold Nixdorfi.
Selles postituses Oleg Skulkin, Group-IB arvutikohtuekspertiisi labori juhtivspetsialist, hõlmab ProLocki operaatorite kasutatavaid põhilisi taktikaid, tehnikaid ja protseduure (TTP). Artikli lõpetab võrdlus avaliku andmebaasiga MITER ATT&CK Matrix, mis koondab erinevate küberkurjategijate rühmituste kasutatavaid sihipäraseid rünnakutaktikaid.
Esialgse juurdepääsu saamine
ProLocki operaatorid kasutavad kahte peamist esmase kompromissi vektorit: Trooja QakBot (Qbot) ja nõrkade paroolidega kaitsmata RDP-servereid.
Kompromissi tegemine väliselt ligipääsetava RDP-serveri kaudu on lunavaraoperaatorite seas äärmiselt populaarne. Tavaliselt ostavad ründajad juurdepääsu ohustatud serverile kolmandatelt osapooltelt, kuid grupiliikmed võivad selle hankida ka iseseisvalt.
Huvitavam esmase kompromissi vektor on QakBoti pahavara. Varem seostati seda troojat teise lunavaraperekonnaga – MegaCortexiga. Nüüd kasutavad seda aga ProLocki operaatorid.
Tavaliselt levitatakse QakBoti andmepüügikampaaniate kaudu. Andmepüügimeil võib sisaldada manustatud Microsoft Office'i dokumenti või linki pilvesalvestusteenuses (nt Microsoft OneDrive) asuvale failile.
Samuti on teada juhtumeid, kus QakBot on laaditud teise troojaga, Emotetiga, mis on laialt tuntud Ryuki lunavara levitamise kampaaniates osalemise poolest.
Performance
Pärast nakatunud dokumendi allalaadimist ja avamist palutakse kasutajal lubada makrodel käitada. Edu korral käivitatakse PowerShell, mis võimaldab teil QakBoti kasulikku koormust käsu- ja juhtimisserverist alla laadida ja käivitada.
Oluline on märkida, et sama kehtib ka ProLocki kohta: kasulik koormus ekstraheeritakse failist BMP või JPG ja laaditakse PowerShelli abil mällu. Mõnel juhul kasutatakse PowerShelli käivitamiseks ajastatud toimingut.
Pakettskript, mis käivitab ProLocki ülesannete planeerija kaudu:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolideerimine süsteemis
Kui RDP-serverit on võimalik kahjustada ja juurdepääsu saada, kasutatakse võrgule juurdepääsu saamiseks kehtivaid kontosid. QakBoti iseloomustavad mitmesugused kinnitusmehhanismid. Enamasti kasutab see troojalane Run registrivõtit ja loob ajakavas ülesandeid:
Qakboti kinnitamine süsteemi, kasutades registrivõtit Käivita
Mõnel juhul kasutatakse ka käivituskaustu: sinna asetatakse otsetee, mis osutab alglaadurile.
Möödaviigu kaitse
Käsu- ja juhtimisserveriga suheldes püüab QakBot end perioodiliselt uuendada, nii et tuvastamise vältimiseks saab pahavara enda praeguse versiooni uuega asendada. Käivitavad failid on allkirjastatud rikutud või võltsitud allkirjaga. PowerShelli poolt laaditud esialgne kasulik koormus salvestatakse laiendusega C&C serverisse PNG. Lisaks asendatakse see pärast täitmist seadusliku failiga calc.exe.
Samuti kasutab QakBot pahatahtliku tegevuse varjamiseks protsessidesse koodi sisestamise tehnikat, kasutades explorer.exe.
Nagu mainitud, on ProLocki kasulik koormus faili sees peidetud BMP või JPG. Seda võib pidada ka kaitsest möödahiilimise meetodiks.
Mandaatide hankimine
QakBotil on klahvilogija funktsioon. Lisaks saab see alla laadida ja käivitada täiendavaid skripte, näiteks Invoke-Mimikatz, kuulsa Mimikatzi utiliidi PowerShelli versioon. Selliseid skripte saavad ründajad kasutada mandaatide kustutamiseks.
Võrgu intelligentsus
Pärast privilegeeritud kontodele juurdepääsu saamist teostavad ProLocki operaatorid võrguga tutvumise, mis võib hõlmata pordi skannimist ja Active Directory keskkonna analüüsi. Lisaks erinevatele skriptidele kasutavad ründajad Active Directory kohta teabe kogumiseks teist lunavaragruppide seas populaarset tööriista AdFindi.
Võrgustiku edendamine
Traditsiooniliselt on üks populaarsemaid võrgu edendamise meetodeid Remote Desktop Protocol. ProLock polnud erand. Ründajate arsenalis on isegi skripte, et saada hostide sihtimiseks RDP kaudu kaugjuurdepääs.
BAT-skript RDP-protokolli kaudu juurdepääsu saamiseks:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Skriptide kaugkäivitamiseks kasutavad ProLocki operaatorid teist populaarset tööriista, Sysinternals Suite'i utiliiti PsExec.
ProLock töötab hostides, kasutades WMIC-i, mis on käsurea liides Windowsi haldusinstrumentide alamsüsteemiga töötamiseks. See tööriist on muutumas üha populaarsemaks ka lunavaraoperaatorite seas.
Andmete kogumine
Nagu paljud teised lunavaraoperaatorid, kogub ProLocki kasutav grupp andmeid ohustatud võrgust, et suurendada nende lunaraha saamise võimalusi. Enne eksfiltreerimist arhiveeritakse kogutud andmed utiliidi 7Zip abil.
Eksfiltratsioon
Andmete üleslaadimiseks kasutavad ProLocki operaatorid käsurea tööriista Rclone, mis on loodud failide sünkroonimiseks erinevate pilvesalvestusteenustega, nagu OneDrive, Google Drive, Mega jne. Ründajad nimetavad käivitatava faili alati ümber, et see näeks välja seaduslike süsteemifailidena.
Erinevalt oma kaaslastest ei ole ProLocki operaatoritel endiselt oma veebisaiti, kus avaldada varastatud andmeid, mis kuuluvad lunaraha maksmast keeldunud ettevõtetele.
Lõpliku eesmärgi saavutamine
Kui andmed on välja filtreeritud, juurutab meeskond ProLocki kogu ettevõtte võrgus. Binaarfail ekstraheeritakse laiendiga failist PNG või JPG PowerShelli abil ja mällu sisestatud:
Esiteks lõpetab ProLock sisseehitatud loendis määratud protsessid (huvitav on see, et see kasutab ainult protsessi nime kuut tähte, näiteks "winwor") ja lõpetab teenused, sealhulgas turvalisusega seotud teenused, nagu CSFalconService ( CrowdStrike Falcon). netopeatus.
Seejärel, nagu paljude teiste lunavaraperekondade puhul, kasutavad ründajad vssadmin Windowsi varikoopiate kustutamiseks ja nende suuruse piiramiseks, et uusi koopiaid ei tekiks:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock lisab laienduse .proLock, .pr0Lock või .proL0ck igale krüptitud failile ja paigutab faili [KUIDAS FAILID TAASTADA].TXT igasse kausta. See fail sisaldab juhiseid failide dekrüpteerimiseks, sealhulgas linki saidile, kus ohver peab sisestama kordumatu ID ja saama makseteabe:
Iga ProLocki eksemplar sisaldab teavet lunaraha summa kohta – antud juhul 35 bitcoini, mis on ligikaudu 312 000 dollarit.
Järeldus
Paljud lunavaraoperaatorid kasutavad oma eesmärkide saavutamiseks sarnaseid meetodeid. Samal ajal on mõned tehnikad iga rühma jaoks ainulaadsed. Praegu on üha rohkem küberkurjategijate rühmitusi, kes kasutavad oma kampaaniates lunavara. Mõnel juhul võivad samad operaatorid olla seotud rünnakutega, mis kasutavad erinevaid lunavaraperekondi, mistõttu näeme üha enam kasutatud taktikate, tehnikate ja protseduuride kattumist.
Kaardistamine rakendusega MITER ATT&CK Mapping
Taktika
Tehnika
Esialgne juurdepääs (TA0001)
Välised kaugteenused (T1133), andmepüügimanus (T1193), andmepüügilink (T1192)
Täitmine (TA0002)
Powershell (T1086), skriptimine (T1064), kasutaja täitmine (T1204), Windowsi haldustööriistad (T1047)
Püsivus (TA0003)
Registri käitamise võtmed / käivituskaust (T1060), ajastatud ülesanne (T1053), kehtivad kontod (T1078)
Kaitsest kõrvalehoidmine (TA0005)
Koodi allkirjastamine (T1116), failide või teabe deobfuskeerimine/dekodeerimine (T1140), turbetööriistade keelamine (T1089), failide kustutamine (T1107), maskeerimine (T1036), protsesside sisestamine (T1055)
Mandaadi juurdepääs (TA0006)
Mandaadi dumping (T1003), jõhker jõud (T1110), sisendi jäädvustamine (T1056)
Discovery (TA0007)
Kontotuvastus (T1087), domeeni usaldusväärsuse tuvastamine (T1482), failide ja kataloogide tuvastamine (T1083), võrguteenuse skannimine (T1046), võrgu ühiskasutustuvastus (T1135), kaugsüsteemi tuvastamine (T1018)
Külgsuunaline liikumine (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Kogu (TA0009)
Andmed kohalikust süsteemist (T1005), andmed võrgu jagatud kettalt (T1039), etapiviisilised andmed (T1074)
Käsklused ja juhtimine (TA0011)
Tavaliselt kasutatav port (T1043), veebiteenus (T1102)
Eksfiltratsioon (TA0010)
Andmed tihendatud (T1002), andmete edastamine pilvekontole (T1537)
Mõju (TA0040)
Andmed krüpteeritud mõju jaoks (T1486), süsteemi taastamise pärssimine (T1490)
Allikas: www.habr.com