ProHoster > وبلاگ > اداره > باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK

باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK

باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK

موفقیت حملات باج‌افزاری به سازمان‌ها در سراسر جهان، مهاجمان جدید بیشتری را ترغیب می‌کند تا وارد بازی شوند. یکی از این بازیکنان جدید گروهی است که از باج افزار ProLock استفاده می کند. در مارس 2020 به عنوان جانشین برنامه PwndLocker ظاهر شد که در پایان سال 2019 شروع به کار کرد. حملات باج افزار ProLock در درجه اول سازمان های مالی و مراقبت های بهداشتی، سازمان های دولتی و بخش خرده فروشی را هدف قرار می دهند. اخیرا اپراتورهای ProLock با موفقیت به یکی از بزرگترین تولیدکنندگان خودپرداز، Diebold Nixdorf حمله کردند.

در این پست اولگ اسکالکین، متخصص برجسته آزمایشگاه پزشکی قانونی کامپیوتر گروه-IB، تاکتیک ها، تکنیک ها و رویه های اساسی (TTP) مورد استفاده توسط اپراتورهای ProLock را پوشش می دهد. این مقاله با مقایسه با ماتریس MITER ATT&CK، یک پایگاه داده عمومی که تاکتیک‌های حمله هدفمند مورد استفاده توسط گروه‌های مجرم سایبری مختلف را گردآوری می‌کند، به پایان می‌رسد.

دریافت دسترسی اولیه

اپراتورهای ProLock از دو بردار اصلی سازش اولیه استفاده می کنند: تروجان QakBot (Qbot) و سرورهای RDP محافظت نشده با رمزهای عبور ضعیف.

سازش از طریق یک سرور RDP قابل دسترسی خارجی در میان اپراتورهای باج افزار بسیار محبوب است. به طور معمول، مهاجمان دسترسی به یک سرور در معرض خطر را از اشخاص ثالث خریداری می‌کنند، اما می‌توانند به تنهایی توسط اعضای گروه نیز به دست آورند.

یک بردار جالب تر از سازش اولیه بدافزار QakBot است. پیش از این، این تروجان با خانواده دیگری از باج افزارها - MegaCortex مرتبط بود. با این حال، اکنون توسط اپراتورهای ProLock استفاده می شود.

به طور معمول، QakBot از طریق کمپین های فیشینگ توزیع می شود. یک ایمیل فیشینگ ممکن است حاوی یک سند مایکروسافت آفیس پیوست شده یا پیوندی به فایلی باشد که در یک سرویس ذخیره سازی ابری مانند Microsoft OneDrive قرار دارد.

همچنین موارد شناخته شده ای از بارگیری QakBot با تروجان دیگری به نام Emotet وجود دارد که به دلیل مشارکت در کمپین هایی که باج افزار Ryuk را توزیع می کند شناخته شده است.

کارایی

پس از دانلود و باز کردن یک سند آلوده، از کاربر خواسته می شود تا اجازه اجرای ماکروها را بدهد. در صورت موفقیت آمیز بودن، PowerShell راه اندازی می شود که به شما امکان می دهد بارگیری QakBot را از سرور فرمان و کنترل دانلود و اجرا کنید.

مهم است که توجه داشته باشید که همین امر در مورد ProLock نیز صدق می کند: محموله از فایل استخراج می شود BMP یا JPG و با استفاده از PowerShell در حافظه بارگذاری می شود. در برخی موارد، یک کار زمان بندی شده برای راه اندازی PowerShell استفاده می شود.

اسکریپت دسته‌ای که ProLock را از طریق زمان‌بندی کار اجرا می‌کند:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

تجمیع در نظام

اگر امکان به خطر انداختن سرور RDP و دسترسی به آن وجود داشته باشد، از حساب های معتبر برای دسترسی به شبکه استفاده می شود. QakBot با مکانیسم‌های مختلف پیوست مشخص می‌شود. اغلب، این تروجان از کلید رجیستری Run استفاده می کند و وظایفی را در زمانبندی ایجاد می کند:

باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK
پین کردن Qakbot به سیستم با استفاده از کلید رجیستری Run

در برخی موارد، پوشه های راه اندازی نیز استفاده می شود: میانبری در آنجا قرار می گیرد که به بوت لودر اشاره می کند.

حفاظت دور زدن

QakBot با برقراری ارتباط با سرور فرمان و کنترل، به صورت دوره ای سعی می کند خود را به روز کند، بنابراین برای جلوگیری از شناسایی، بدافزار می تواند نسخه فعلی خود را با نسخه جدید جایگزین کند. فایل های اجرایی با امضای در معرض خطر یا جعلی امضا می شوند. بار اولیه بارگیری شده توسط PowerShell در سرور C&C با پسوند ذخیره می شود PNG. علاوه بر این، پس از اجرا با یک فایل قانونی جایگزین می شود calc.exe.

همچنین برای پنهان کردن فعالیت های مخرب، QakBot از تکنیک تزریق کد به فرآیندها، با استفاده از explorer.exe.

همانطور که گفته شد، محموله ProLock در داخل فایل پنهان است BMP یا JPG. این نیز می تواند به عنوان یک روش دور زدن حفاظت در نظر گرفته شود.

اخذ مدارک

QakBot دارای قابلیت keylogger است. علاوه بر این، می تواند اسکریپت های اضافی را دانلود و اجرا کند، به عنوان مثال، Invoke-Mimikatz، یک نسخه PowerShell از ابزار معروف Mimikatz. چنین اسکریپت هایی می توانند توسط مهاجمان برای تخلیه اعتبار استفاده شوند.

هوش شبکه

اپراتورهای ProLock پس از دسترسی به حساب‌های دارای امتیاز، شناسایی شبکه را انجام می‌دهند که ممکن است شامل اسکن پورت و تجزیه و تحلیل محیط Active Directory باشد. علاوه بر اسکریپت‌های مختلف، مهاجمان از AdFind، ابزار دیگری که در میان گروه‌های باج‌افزار محبوب است، برای جمع‌آوری اطلاعات درباره Active Directory استفاده می‌کنند.

ارتقاء شبکه

به طور سنتی، یکی از محبوب ترین روش های ارتقاء شبکه، پروتکل دسکتاپ از راه دور است. ProLock نیز از این قاعده مستثنی نبود. مهاجمان حتی اسکریپت هایی در زرادخانه خود دارند تا از راه دور از طریق RDP برای هدف قرار دادن میزبان ها دسترسی داشته باشند.

اسکریپت BAT برای دسترسی از طریق پروتکل RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

برای اجرای از راه دور اسکریپت ها، اپراتورهای ProLock از ابزار محبوب دیگری، ابزار PsExec از Sysinternals Suite استفاده می کنند.

ProLock بر روی هاست ها با استفاده از WMIC اجرا می شود که یک رابط خط فرمان برای کار با زیرسیستم ابزار مدیریت ویندوز است. این ابزار همچنین در بین اپراتورهای باج افزار به طور فزاینده ای محبوب می شود.

جمع آوری داده ها

مانند بسیاری از اپراتورهای باج افزار دیگر، گروهی که از ProLock استفاده می کنند، داده ها را از یک شبکه در معرض خطر جمع آوری می کنند تا شانس خود را برای دریافت باج افزایش دهند. قبل از استخراج، داده های جمع آوری شده با استفاده از ابزار 7Zip بایگانی می شوند.

اکسفیلتراسیون

برای آپلود داده‌ها، اپراتورهای ProLock از Rclone استفاده می‌کنند، یک ابزار خط فرمان که برای همگام‌سازی فایل‌ها با سرویس‌های ذخیره‌سازی ابری مختلف مانند OneDrive، Google Drive، Mega و غیره طراحی شده است. مهاجمان همیشه نام فایل اجرایی را تغییر می‌دهند تا شبیه فایل‌های سیستمی قانونی به نظر برسد.

بر خلاف همتایان خود، اپراتورهای ProLock هنوز وب سایت خود را برای انتشار اطلاعات سرقت شده متعلق به شرکت هایی که از پرداخت باج امتناع کرده اند، ندارند.

رسیدن به هدف نهایی

پس از استخراج داده ها، تیم ProLock را در سراسر شبکه سازمانی مستقر می کند. فایل باینری از یک فایل با پسوند استخراج می شود PNG یا JPG با استفاده از PowerShell و تزریق به حافظه:

باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK
اول از همه، ProLock فرآیندهای مشخص شده در لیست داخلی را خاتمه می دهد (جالب است که فقط از شش حرف نام فرآیند مانند "winwor" استفاده می کند) و خدمات را خاتمه می دهد، از جمله موارد مربوط به امنیت، مانند CSFalconService ( CrowdStrike Falcon) با استفاده از دستور توقف خالص.

سپس، مانند بسیاری از خانواده‌های باج‌افزار دیگر، مهاجمان از آن استفاده می‌کنند vssadmin برای حذف کپی های سایه ویندوز و محدود کردن اندازه آنها به طوری که کپی های جدید ایجاد نمی شود:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock پسوند را اضافه می کند .proLock, pr0Lock یا .proL0ck به هر فایل رمزگذاری شده و قرار دادن فایل [چگونه فایل ها را بازیابی کنیم].TXT به هر پوشه این فایل حاوی دستورالعمل‌هایی در مورد نحوه رمزگشایی فایل‌ها است، از جمله پیوندی به سایتی که قربانی باید یک شناسه منحصر به فرد وارد کند و اطلاعات پرداخت را دریافت کند:

باز کردن ProLock: تجزیه و تحلیل اقدامات اپراتورهای باج افزار جدید با استفاده از ماتریس MITER ATT&CK
هر نمونه از ProLock حاوی اطلاعاتی در مورد مقدار باج است - در این مورد، 35 بیت کوین، که تقریباً 312 دلار است.

نتیجه

بسیاری از اپراتورهای باج افزار از روش های مشابه برای رسیدن به اهداف خود استفاده می کنند. در عین حال، برخی از تکنیک ها برای هر گروه منحصر به فرد هستند. در حال حاضر، تعداد فزاینده ای از گروه های مجرم سایبری وجود دارد که از باج افزار در کمپین های خود استفاده می کنند. در برخی موارد، اپراتورهای یکسان ممکن است در حملات با استفاده از خانواده‌های مختلف باج‌افزار درگیر شوند، بنابراین به طور فزاینده‌ای شاهد همپوشانی در تاکتیک‌ها، تکنیک‌ها و رویه‌های مورد استفاده خواهیم بود.

نقشه برداری با MITER ATT&CK Mapping

تاکتیک
تکنیک

دسترسی اولیه (TA0001)
خدمات از راه دور خارجی (T1133)، پیوست Spearphishing (T1193)، پیوند Spearphishing (T1192)

اجرا (TA0002)
Powershell (T1086)، اسکریپت (T1064)، اجرای کاربر (T1204)، ابزار مدیریت ویندوز (T1047)

پایداری (TA0003)
کلیدهای اجرای رجیستری / پوشه راه اندازی (T1060)، کار برنامه ریزی شده (T1053)، حساب های معتبر (T1078)

فرار دفاعی (TA0005)
امضای کد (T1116)، Deobfuscate/Decode فایل‌ها یا اطلاعات (T1140)، غیرفعال کردن ابزارهای امنیتی (T1089)، حذف فایل (T1107)، پنهان کردن (T1036)، تزریق فرآیند (T1055)

دسترسی به اعتبار (TA0006)
Credential Dumping (T1003)، Brute Force (T1110)، Input Capture (T1056)

کشف (TA0007)
کشف حساب (T1087)، کشف اعتماد دامنه (T1482)، کشف فایل و فهرست (T1083)، اسکن سرویس شبکه (T1046)، کشف اشتراک شبکه (T1135)، کشف سیستم از راه دور (T1018)

حرکت جانبی (TA0008)
پروتکل دسکتاپ از راه دور (T1076)، کپی فایل از راه دور (T1105)، اشتراک‌گذاری مدیریت ویندوز (T1077)

مجموعه (TA0009)
داده از سیستم محلی (T1005)، داده از درایو اشتراکی شبکه (T1039)، مرحله بندی داده (T1074)

فرمان و کنترل (TA0011)
پورت پر استفاده (T1043)، وب سرویس (T1102)

اکسفیلتراسیون (TA0010)
داده فشرده شده (T1002)، انتقال داده به حساب ابری (T1537)

ضربه (TA0040)
داده های رمزگذاری شده برای ضربه (T1486)، بازیابی سیستم بازدارنده (T1490)

منبع: www.habr.com

اضافه کردن نظر