موفقیت حملات باجافزاری به سازمانها در سراسر جهان، مهاجمان جدید بیشتری را ترغیب میکند تا وارد بازی شوند. یکی از این بازیکنان جدید گروهی است که از باج افزار ProLock استفاده می کند. در مارس 2020 به عنوان جانشین برنامه PwndLocker ظاهر شد که در پایان سال 2019 شروع به کار کرد. حملات باج افزار ProLock در درجه اول سازمان های مالی و مراقبت های بهداشتی، سازمان های دولتی و بخش خرده فروشی را هدف قرار می دهند. اخیرا اپراتورهای ProLock با موفقیت به یکی از بزرگترین تولیدکنندگان خودپرداز، Diebold Nixdorf حمله کردند.
در این پست اولگ اسکالکین، متخصص برجسته آزمایشگاه پزشکی قانونی کامپیوتر گروه-IB، تاکتیک ها، تکنیک ها و رویه های اساسی (TTP) مورد استفاده توسط اپراتورهای ProLock را پوشش می دهد. این مقاله با مقایسه با ماتریس MITER ATT&CK، یک پایگاه داده عمومی که تاکتیکهای حمله هدفمند مورد استفاده توسط گروههای مجرم سایبری مختلف را گردآوری میکند، به پایان میرسد.
دریافت دسترسی اولیه
اپراتورهای ProLock از دو بردار اصلی سازش اولیه استفاده می کنند: تروجان QakBot (Qbot) و سرورهای RDP محافظت نشده با رمزهای عبور ضعیف.
سازش از طریق یک سرور RDP قابل دسترسی خارجی در میان اپراتورهای باج افزار بسیار محبوب است. به طور معمول، مهاجمان دسترسی به یک سرور در معرض خطر را از اشخاص ثالث خریداری میکنند، اما میتوانند به تنهایی توسط اعضای گروه نیز به دست آورند.
یک بردار جالب تر از سازش اولیه بدافزار QakBot است. پیش از این، این تروجان با خانواده دیگری از باج افزارها - MegaCortex مرتبط بود. با این حال، اکنون توسط اپراتورهای ProLock استفاده می شود.
به طور معمول، QakBot از طریق کمپین های فیشینگ توزیع می شود. یک ایمیل فیشینگ ممکن است حاوی یک سند مایکروسافت آفیس پیوست شده یا پیوندی به فایلی باشد که در یک سرویس ذخیره سازی ابری مانند Microsoft OneDrive قرار دارد.
همچنین موارد شناخته شده ای از بارگیری QakBot با تروجان دیگری به نام Emotet وجود دارد که به دلیل مشارکت در کمپین هایی که باج افزار Ryuk را توزیع می کند شناخته شده است.
کارایی
پس از دانلود و باز کردن یک سند آلوده، از کاربر خواسته می شود تا اجازه اجرای ماکروها را بدهد. در صورت موفقیت آمیز بودن، PowerShell راه اندازی می شود که به شما امکان می دهد بارگیری QakBot را از سرور فرمان و کنترل دانلود و اجرا کنید.
مهم است که توجه داشته باشید که همین امر در مورد ProLock نیز صدق می کند: محموله از فایل استخراج می شود BMP یا JPG و با استفاده از PowerShell در حافظه بارگذاری می شود. در برخی موارد، یک کار زمان بندی شده برای راه اندازی PowerShell استفاده می شود.
اسکریپت دستهای که ProLock را از طریق زمانبندی کار اجرا میکند:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat
تجمیع در نظام
اگر امکان به خطر انداختن سرور RDP و دسترسی به آن وجود داشته باشد، از حساب های معتبر برای دسترسی به شبکه استفاده می شود. QakBot با مکانیسمهای مختلف پیوست مشخص میشود. اغلب، این تروجان از کلید رجیستری Run استفاده می کند و وظایفی را در زمانبندی ایجاد می کند:
پین کردن Qakbot به سیستم با استفاده از کلید رجیستری Run
در برخی موارد، پوشه های راه اندازی نیز استفاده می شود: میانبری در آنجا قرار می گیرد که به بوت لودر اشاره می کند.
حفاظت دور زدن
QakBot با برقراری ارتباط با سرور فرمان و کنترل، به صورت دوره ای سعی می کند خود را به روز کند، بنابراین برای جلوگیری از شناسایی، بدافزار می تواند نسخه فعلی خود را با نسخه جدید جایگزین کند. فایل های اجرایی با امضای در معرض خطر یا جعلی امضا می شوند. بار اولیه بارگیری شده توسط PowerShell در سرور C&C با پسوند ذخیره می شود PNG. علاوه بر این، پس از اجرا با یک فایل قانونی جایگزین می شود calc.exe.
همچنین برای پنهان کردن فعالیت های مخرب، QakBot از تکنیک تزریق کد به فرآیندها، با استفاده از explorer.exe.
همانطور که گفته شد، محموله ProLock در داخل فایل پنهان است BMP یا JPG. این نیز می تواند به عنوان یک روش دور زدن حفاظت در نظر گرفته شود.
اخذ مدارک
QakBot دارای قابلیت keylogger است. علاوه بر این، می تواند اسکریپت های اضافی را دانلود و اجرا کند، به عنوان مثال، Invoke-Mimikatz، یک نسخه PowerShell از ابزار معروف Mimikatz. چنین اسکریپت هایی می توانند توسط مهاجمان برای تخلیه اعتبار استفاده شوند.
هوش شبکه
اپراتورهای ProLock پس از دسترسی به حسابهای دارای امتیاز، شناسایی شبکه را انجام میدهند که ممکن است شامل اسکن پورت و تجزیه و تحلیل محیط Active Directory باشد. علاوه بر اسکریپتهای مختلف، مهاجمان از AdFind، ابزار دیگری که در میان گروههای باجافزار محبوب است، برای جمعآوری اطلاعات درباره Active Directory استفاده میکنند.
ارتقاء شبکه
به طور سنتی، یکی از محبوب ترین روش های ارتقاء شبکه، پروتکل دسکتاپ از راه دور است. ProLock نیز از این قاعده مستثنی نبود. مهاجمان حتی اسکریپت هایی در زرادخانه خود دارند تا از راه دور از طریق RDP برای هدف قرار دادن میزبان ها دسترسی داشته باشند.
اسکریپت BAT برای دسترسی از طریق پروتکل RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
برای اجرای از راه دور اسکریپت ها، اپراتورهای ProLock از ابزار محبوب دیگری، ابزار PsExec از Sysinternals Suite استفاده می کنند.
ProLock بر روی هاست ها با استفاده از WMIC اجرا می شود که یک رابط خط فرمان برای کار با زیرسیستم ابزار مدیریت ویندوز است. این ابزار همچنین در بین اپراتورهای باج افزار به طور فزاینده ای محبوب می شود.
جمع آوری داده ها
مانند بسیاری از اپراتورهای باج افزار دیگر، گروهی که از ProLock استفاده می کنند، داده ها را از یک شبکه در معرض خطر جمع آوری می کنند تا شانس خود را برای دریافت باج افزایش دهند. قبل از استخراج، داده های جمع آوری شده با استفاده از ابزار 7Zip بایگانی می شوند.
اکسفیلتراسیون
برای آپلود دادهها، اپراتورهای ProLock از Rclone استفاده میکنند، یک ابزار خط فرمان که برای همگامسازی فایلها با سرویسهای ذخیرهسازی ابری مختلف مانند OneDrive، Google Drive، Mega و غیره طراحی شده است. مهاجمان همیشه نام فایل اجرایی را تغییر میدهند تا شبیه فایلهای سیستمی قانونی به نظر برسد.
بر خلاف همتایان خود، اپراتورهای ProLock هنوز وب سایت خود را برای انتشار اطلاعات سرقت شده متعلق به شرکت هایی که از پرداخت باج امتناع کرده اند، ندارند.
رسیدن به هدف نهایی
پس از استخراج داده ها، تیم ProLock را در سراسر شبکه سازمانی مستقر می کند. فایل باینری از یک فایل با پسوند استخراج می شود PNG یا JPG با استفاده از PowerShell و تزریق به حافظه:
اول از همه، ProLock فرآیندهای مشخص شده در لیست داخلی را خاتمه می دهد (جالب است که فقط از شش حرف نام فرآیند مانند "winwor" استفاده می کند) و خدمات را خاتمه می دهد، از جمله موارد مربوط به امنیت، مانند CSFalconService ( CrowdStrike Falcon) با استفاده از دستور توقف خالص.
سپس، مانند بسیاری از خانوادههای باجافزار دیگر، مهاجمان از آن استفاده میکنند vssadmin برای حذف کپی های سایه ویندوز و محدود کردن اندازه آنها به طوری که کپی های جدید ایجاد نمی شود:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock پسوند را اضافه می کند .proLock, pr0Lock یا .proL0ck به هر فایل رمزگذاری شده و قرار دادن فایل [چگونه فایل ها را بازیابی کنیم].TXT به هر پوشه این فایل حاوی دستورالعملهایی در مورد نحوه رمزگشایی فایلها است، از جمله پیوندی به سایتی که قربانی باید یک شناسه منحصر به فرد وارد کند و اطلاعات پرداخت را دریافت کند:
هر نمونه از ProLock حاوی اطلاعاتی در مورد مقدار باج است - در این مورد، 35 بیت کوین، که تقریباً 312 دلار است.
نتیجه
بسیاری از اپراتورهای باج افزار از روش های مشابه برای رسیدن به اهداف خود استفاده می کنند. در عین حال، برخی از تکنیک ها برای هر گروه منحصر به فرد هستند. در حال حاضر، تعداد فزاینده ای از گروه های مجرم سایبری وجود دارد که از باج افزار در کمپین های خود استفاده می کنند. در برخی موارد، اپراتورهای یکسان ممکن است در حملات با استفاده از خانوادههای مختلف باجافزار درگیر شوند، بنابراین به طور فزایندهای شاهد همپوشانی در تاکتیکها، تکنیکها و رویههای مورد استفاده خواهیم بود.
نقشه برداری با MITER ATT&CK Mapping
تاکتیک
تکنیک
دسترسی اولیه (TA0001)
خدمات از راه دور خارجی (T1133)، پیوست Spearphishing (T1193)، پیوند Spearphishing (T1192)
اجرا (TA0002)
Powershell (T1086)، اسکریپت (T1064)، اجرای کاربر (T1204)، ابزار مدیریت ویندوز (T1047)
پایداری (TA0003)
کلیدهای اجرای رجیستری / پوشه راه اندازی (T1060)، کار برنامه ریزی شده (T1053)، حساب های معتبر (T1078)
فرار دفاعی (TA0005)
امضای کد (T1116)، Deobfuscate/Decode فایلها یا اطلاعات (T1140)، غیرفعال کردن ابزارهای امنیتی (T1089)، حذف فایل (T1107)، پنهان کردن (T1036)، تزریق فرآیند (T1055)
دسترسی به اعتبار (TA0006)
Credential Dumping (T1003)، Brute Force (T1110)، Input Capture (T1056)
کشف (TA0007)
کشف حساب (T1087)، کشف اعتماد دامنه (T1482)، کشف فایل و فهرست (T1083)، اسکن سرویس شبکه (T1046)، کشف اشتراک شبکه (T1135)، کشف سیستم از راه دور (T1018)
حرکت جانبی (TA0008)
پروتکل دسکتاپ از راه دور (T1076)، کپی فایل از راه دور (T1105)، اشتراکگذاری مدیریت ویندوز (T1077)
مجموعه (TA0009)
داده از سیستم محلی (T1005)، داده از درایو اشتراکی شبکه (T1039)، مرحله بندی داده (T1074)
فرمان و کنترل (TA0011)
پورت پر استفاده (T1043)، وب سرویس (T1102)
اکسفیلتراسیون (TA0010)
داده فشرده شده (T1002)، انتقال داده به حساب ابری (T1537)
ضربه (TA0040)
داده های رمزگذاری شده برای ضربه (T1486)، بازیابی سیستم بازدارنده (T1490)
منبع: www.habr.com