Mundu osoko erakundeen aurkako ransomware erasoen arrakastak gero eta erasotzaile berri gehiago jokoan sartzera bultzatzen ditu. Jokalari berri horietako bat ProLock ransomwarea erabiltzen duen talde bat da. 2020ko martxoan agertu zen PwndLocker programaren oinordeko gisa, 2019 amaieran hasi zen lanean. ProLock ransomware-aren erasoak finantza- eta osasun-erakundeei, gobernu-agentziari eta txikizkako sektoreari zuzenduta daude batez ere. Duela gutxi, ProLock-eko operadoreek arrakastaz eraso zioten kutxazain automatikoen fabrikatzaile handienetako bati, Diebold Nixdorf.
Post honetan Oleg Skulkin, IB Taldeko Informatika Auzitegiko laborategiko espezialista nagusia, ProLock operadoreek erabiltzen dituzten oinarrizko taktikak, teknikak eta prozedurak (TTP) biltzen ditu. Artikulua MITRE ATT&CK Matrix-ekin alderatuz amaitzen da, hainbat ziberkriminal taldek erabiltzen dituzten eraso-taktikak biltzen dituen datu-base publikoa.
Hasierako sarbidea lortzea
ProLock-eko operadoreek konpromiso nagusiaren bi bektore nagusi erabiltzen dituzte: QakBot (Qbot) Troiako eta pasahitz ahulak dituzten RDP zerbitzari babestuak.
Kanpotik irisgarria den RDP zerbitzari baten bidezko konpromisoa oso ezaguna da ransomware operadoreen artean. Normalean, erasotzaileek arriskuan dauden zerbitzari baterako sarbidea hirugarrenei erosten diete, baina taldekideek euren kabuz ere lor dezakete.
Konpromiso nagusiaren bektore interesgarriagoa QakBot malwarea da. Aurretik, troiako hau ransomware familia batekin lotuta zegoen MegaCortex. Hala ere, gaur egun ProLock operadoreek erabiltzen dute.
Normalean, QakBot phishing kanpainen bidez banatzen da. Phishing mezu elektroniko batek Microsoft Office dokumentu bat edo hodeiko biltegiratze-zerbitzu batean dagoen fitxategi baterako esteka izan dezake, hala nola Microsoft OneDrive.
QakBot beste Troiako batekin kargatu izanaren kasuak ere ezagutzen dira, Emotet, oso ezaguna dena Ryuk ransomwarea banatzen zuten kanpainetan parte hartzeagatik.
Emanaldia
Kutsatutako dokumentu bat deskargatu eta ireki ondoren, erabiltzaileari makroak exekutatzen uzteko eskatuko zaio. Arrakasta izanez gero, PowerShell abiarazten da, eta horri esker QakBot karga karga deskargatu eta exekutatu ahal izango duzu komando eta kontrol zerbitzaritik.
Garrantzitsua da ProLock-ekin gauza bera gertatzen dela kontutan izan: karga fitxategitik ateratzen da BMP edo JPG eta memorian kargatu PowerShell erabiliz. Zenbait kasutan, programatutako zeregin bat erabiltzen da PowerShell abiarazteko.
Batch script-a ProLock exekutatzen ari da zereginen programatzailearen bidez:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batSisteman finkatzea
RDP zerbitzaria arriskuan jartzea eta sarbidea lortzea posible bada, baliozko kontuak erabiltzen dira sarera sartzeko. QakBot-ek hainbat eranskin-mekanismo ditu ezaugarri. Gehienetan, Troiako honek Exekutatu erregistroko gakoa erabiltzen du eta zereginak sortzen ditu programatzailean:
Qakbot sistemara ainguratzea Exekutatu erregistro-gakoa erabiliz
Zenbait kasutan, abiarazte-karpetak ere erabiltzen dira: abio-kargatzailea seinalatzen duen lasterbide bat jartzen da bertan.
Bypass babesa
Komando eta kontrol zerbitzariarekin komunikatuz, QakBot aldian-aldian bere burua eguneratzen saiatzen da, beraz, detektatzeko saihesteko, malwareak bere egungo bertsioa berri batekin ordezkatu dezake. Exekutatu daitezkeen fitxategiak sinadura arriskutsu edo faltsu batekin sinatzen dira. PowerShell-ek kargatutako hasierako karga C&C zerbitzarian gordetzen da luzapenarekin PNG. Horrez gain, exekutatu ondoren fitxategi legitimo batekin ordezkatzen da calc.exe.
Gainera, jarduera gaiztoak ezkutatzeko, QakBot-ek prozesuetan kodea injektatzeko teknika erabiltzen du, erabiliz. explorer.exe.
Esan bezala, ProLock karga fitxategiaren barruan ezkutatuta dago BMP edo JPG. Hau babesa saihesteko metodo gisa ere har daiteke.
Kredentzialak lortzea
QakBot-ek keylogger funtzionaltasuna du. Horrez gain, script gehigarriak deskargatu eta exekutatu ditzake, adibidez, Invoke-Mimikatz, Mimikatz utilitate ospetsuaren PowerShell bertsioa. Horrelako script-ak erasotzaileek erabil ditzakete kredentzialak iraultzeko.
Sareko adimena
Kontu pribilegiatuetarako sarbidea lortu ondoren, ProLock-eko operadoreek sarearen azterketa egiten dute, eta, besteak beste, portuen eskaneatzea eta Active Directory ingurunearen azterketa izan daitezke. Hainbat scriptez gain, erasotzaileek AdFind erabiltzen dute, ransomware taldeen artean ezaguna den beste tresna bat, Active Directory-ri buruzko informazioa biltzeko.
Sarearen sustapena
Tradizionalki, sareak sustatzeko metodo ezagunenetako bat Urruneko Mahaigaineko Protokoloa da. ProLock ez zen salbuespena izan. Erasotzaileek script-ak ere badituzte beren armategian RDP bidez urrutiko sarbidea lortzeko ostalariak helburu.
RDP protokoloaren bidez sarbidea lortzeko BAT scripta:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Scriptak urrunetik exekutatzeko, ProLock-eko operadoreek beste tresna ezagun bat erabiltzen dute, Sysinternals Suite-ko PsExec utilitatea.
ProLock ostalarietan exekutatzen da WMIC, Windows Management Instrumentation azpisistemarekin lan egiteko komando lerroko interfazea erabiliz. Tresna hau gero eta ezagunagoa da ransomware operadoreen artean.
Datu bilketa
Beste ransomware operadore askok bezala, ProLock erabiltzen duen taldeak arriskuan dagoen sare bateko datuak biltzen ditu erreskate bat jasotzeko aukerak areagotzeko. Filtrazio aurretik, bildutako datuak 7Zip utilitatearen bidez artxibatu egiten dira.
Esfiltrazioa
Datuak kargatzeko, ProLock-eko operadoreek Rclone erabiltzen dute, hodeiko biltegiratze-zerbitzu ezberdinekin fitxategiak sinkronizatzeko diseinatutako komando-lerroko tresna bat, hala nola OneDrive, Google Drive, Mega, etab. Erasotzaileek beti izendatzen dute fitxategi exekutagarria, sistemaren fitxategi legitimoen itxura izan dezan.
Beren kideek ez bezala, ProLock-eko operadoreek oraindik ez dute euren webgune propiorik erreskatea ordaintzeari uko egin dioten enpresen lapurtutako datuak argitaratzeko.
Azken helburua lortzea
Datuak infiltratu ondoren, taldeak ProLock zabaltzen du enpresa-sare osoan. Fitxategi bitarra luzapena duen fitxategi batetik ateratzen da PNG edo JPG PowerShell erabiliz eta memorian injektatu:
Lehenik eta behin, ProLock-ek integratutako zerrendan zehaztutako prozesuak amaitzen ditu (interesgarria da, prozesuaren izenaren sei letrak bakarrik erabiltzen ditu, hala nola "winwor"), eta zerbitzuak amaitzen ditu, segurtasunarekin lotutakoak barne, hala nola CSFalconService ( CrowdStrike Falcon). komandoa erabiliz net stop.
Orduan, beste ransomware familia askorekin bezala, erasotzaileek erabiltzen dute vssadmin Windows itzal kopiak ezabatzeko eta haien tamaina mugatzeko, kopia berriak sortu ez daitezen:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock-ek luzapena gehitzen du .proLock, .pr0Blokeatu edo .proL0ck enkriptatutako fitxategi bakoitzari eta fitxategia jartzen du [NOLA BERRESURATU FITXATEGIAK].TXT karpeta bakoitzean. Fitxategi honek fitxategiak deszifratzeko argibideak ditu, biktimak ID esklusibo bat sartu eta ordainketa-informazioa jaso behar duen gune baterako esteka barne:
ProLock-en instantzia bakoitzak erreskate kopuruari buruzko informazioa dauka - kasu honetan, 35 bitcoins, hau da, 312 $ gutxi gorabehera.
Ondorioa
Ransomware operadore askok antzeko metodoak erabiltzen dituzte beren helburuak lortzeko. Aldi berean, teknika batzuk talde bakoitzarentzat bereziak dira. Gaur egun, gero eta gehiago dira ransomwarea erabiltzen duten talde ziberkriminalak euren kanpainetan. Zenbait kasutan, operadore berberek ransomware familia desberdinak erabiliz erasoetan parte hartu dezakete, beraz, gero eta gehiago ikusiko ditugu erabilitako taktika, teknika eta prozeduretan gainjartzea.
Mapeatzea MITRE ATT&CK Mapping-ekin
Taktika
Teknika
Hasierako sarbidea (TA0001)
Kanpoko urruneko zerbitzuak (T1133), Spearphishing eranskina (T1193), Spearphishing esteka (T1192)
Exekuzioa (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Iraunkortasuna (TA0003)
Erregistroko exekuzio-gakoak / Abiarazteko karpeta (T1060), Programatutako zeregina (T1053), Baliozko kontuak (T1078)
Defentsa ihesa (TA0005)
Kode sinadura (T1116), Fitxategiak edo informazioa desobfuskatu/deskodetzea (T1140), Segurtasun-tresnak desgaitzea (T1089), Fitxategiak ezabatzea (T1107), Maskaratzea (T1036), Prozesuen injekzioa (T1055)
Kredentzialak sarbidea (TA0006)
Kredentzialak iraultzea (T1003), Brute Force (T1110), Sarrerako kaptura (T1056)
Aurkikuntza (TA0007)
Kontuaren aurkikuntza (T1087), Domeinuaren fidagarritasunaren aurkikuntza (T1482), Fitxategien eta direktorioaren aurkikuntza (T1083), Sare-zerbitzuen eskaneatzea (T1046), Sare-partekatzearen aurkikuntza (T1135), Urruneko sistemaren aurkikuntza (T1018)
Alboko mugimendua (TA0008)
Urruneko mahaigaineko protokoloa (T1076), urruneko fitxategien kopia (T1105), Windows Admin partekatzeak (T1077)
Bilduma (TA0009)
Sistema lokaleko datuak (T1005), sareko unitate partekatuko datuak (T1039), faseko datuak (T1074)
Agindua eta Kontrola (TA0011)
Gehien erabiltzen den ataka (T1043), web-zerbitzua (T1102)
Infiltrazioa (TA0010)
Datuak konprimituta (T1002), transferitu datuak hodeiko kontura (T1537)
Eragina (TA0040)
Eraginerako enkriptatutako datuak (T1486), sistemaren berreskurapena debekatu (T1490)
Iturria: www.habr.com