Kiristysohjelmahyökkäysten menestys organisaatioita vastaan ympäri maailmaa saa yhä enemmän uusia hyökkääjiä mukaan peliin. Yksi näistä uusista pelaajista on ProLock-lunnasohjelmaa käyttävä ryhmä. Se ilmestyi maaliskuussa 2020 PwndLocker-ohjelman seuraajana, joka aloitti toimintansa vuoden 2019 lopussa. ProLock ransomware -hyökkäykset kohdistuvat ensisijaisesti rahoitus- ja terveydenhuoltoorganisaatioihin, valtion virastoihin ja vähittäiskauppasektoriin. Äskettäin ProLock-operaattorit hyökkäsivät onnistuneesti yhtä suurimmista pankkiautomaattien valmistajista Diebold Nixdorfia vastaan.
Tässä viestissä Oleg Skulkin, Group-IB:n Computer Forensics Laboratoryn johtava asiantuntija, kattaa ProLock-operaattoreiden käyttämät perustaktiikat, -tekniikat ja -menettelyt (TTP:t). Artikkeli päättyy vertailuun MITER ATT&CK Matrixiin, julkiseen tietokantaan, joka kokoaa erilaisten kyberrikollisryhmien käyttämiä kohdennettuja hyökkäystaktiikoita.
Alkukäyttöoikeuden saaminen
ProLock-operaattorit käyttävät kahta ensisijaisen kompromissin vektoria: QakBot (Qbot) -troijalaista ja suojaamattomia RDP-palvelimia heikkoilla salasanoilla.
Kompromissit ulkoisesti saavutettavan RDP-palvelimen kautta ovat erittäin suosittuja kiristyshaittaohjelmien toimijoiden keskuudessa. Yleensä hyökkääjät ostavat pääsyn vaarantuneelle palvelimelle kolmansilta osapuolilta, mutta ryhmän jäsenet voivat hankkia sen myös itse.
Mielenkiintoisempi ensisijaisen kompromissin vektori on QakBot-haittaohjelma. Aiemmin tämä troijalainen liitettiin toiseen kiristysohjelmaperheeseen - MegaCortex. ProLock-operaattorit käyttävät sitä kuitenkin nyt.
Tyypillisesti QakBot jaetaan tietojenkalastelukampanjoiden kautta. Tietojenkalasteluviesti voi sisältää liitteenä olevan Microsoft Office -asiakirjan tai linkin tiedostoon, joka sijaitsee pilvitallennuspalvelussa, kuten Microsoft OneDrivessa.
On myös tunnettuja tapauksia, joissa QakBotiin on ladattu toinen troijalainen, Emotet, joka on laajalti tunnettu osallistumisestaan Ryuk-lunnasohjelmia levittäviin kampanjoihin.
suoritus
Lataamisen ja tartunnan saaneen asiakirjan avaamisen jälkeen käyttäjää pyydetään sallimaan makrojen suorittaminen. Jos onnistuu, PowerShell käynnistetään, jonka avulla voit ladata ja suorittaa QakBot-hyötykuorman komento- ja ohjauspalvelimelta.
On tärkeää huomata, että sama koskee ProLockia: hyötykuorma puretaan tiedostosta BMP tai JPG ja ladataan muistiin PowerShellin avulla. Joissakin tapauksissa PowerShellin käynnistämiseen käytetään ajoitettua tehtävää.
Eräskripti, joka ajaa ProLockia tehtävän ajastimen kautta:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidointi järjestelmässä
Jos on mahdollista vaarantaa RDP-palvelin ja saada pääsy, verkkoon pääsyyn käytetään kelvollisia tilejä. QakBotille on ominaista erilaiset kiinnitysmekanismit. Useimmiten tämä troijalainen käyttää Run-rekisteriavainta ja luo tehtäviä ajoittimessa:
Qakbotin kiinnittäminen järjestelmään Run-rekisteriavaimen avulla
Joissakin tapauksissa käytetään myös käynnistyskansioita: sinne sijoitetaan pikakuvake, joka osoittaa käynnistyslataimeen.
Ohitussuojaus
Kommunikoimalla komento- ja ohjauspalvelimen kanssa QakBot yrittää ajoittain päivittää itseään, joten havaitsemisen välttämiseksi haittaohjelma voi korvata oman nykyisen versionsa uudella. Suoritettavat tiedostot allekirjoitetaan vaarantuneella tai väärennetyllä allekirjoituksella. PowerShellin lataama alkuperäinen hyötykuorma tallennetaan C&C-palvelimelle laajennuksen kanssa PNG. Lisäksi suorituksen jälkeen se korvataan laillisella tiedostolla calc.exe.
Myös haitallisen toiminnan piilottamiseksi QakBot käyttää tekniikkaa, joka ruiskuttaa koodia prosesseihin käyttämällä explorer.exe.
Kuten mainittiin, ProLock-hyötykuorma on piilotettu tiedoston sisällä BMP tai JPG. Tätä voidaan pitää myös menetelmänä suojauksen ohittamiseksi.
Valtuustietojen hankkiminen
QakBotissa on keylogger-toiminto. Lisäksi se voi ladata ja suorittaa muita komentosarjoja, esimerkiksi Invoke-Mimikatz, PowerShell-versio kuuluisasta Mimikatz-apuohjelmasta. Hyökkääjät voivat käyttää tällaisia komentosarjoja kirjautumistietojen poistamiseen.
verkon älykkyyttä
Saatuaan pääsyn etuoikeutetuille tileille ProLock-operaattorit suorittavat verkkotutkinnan, joka voi sisältää porttien skannauksen ja Active Directory -ympäristön analysoinnin. Erilaisten komentosarjojen lisäksi hyökkääjät käyttävät AdFindiä, toista kiristyshaittaohjelmien keskuudessa suosittua työkalua kerätäkseen tietoja Active Directorystä.
Verkoston edistäminen
Perinteisesti yksi suosituimmista verkon edistämismenetelmistä on Remote Desktop Protocol. ProLock ei ollut poikkeus. Hyökkääjillä on jopa skriptejä arsenaalissaan päästäkseen etäkäyttöön RDP:n kautta isäntien kohdentamiseen.
BAT-skripti pääsyn saamiseksi RDP-protokollan kautta:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
ProLock-operaattorit käyttävät komentosarjojen suorittamiseen etänä toista suosittua työkalua, Sysinternals Suiten PsExec-apuohjelmaa.
ProLock toimii isännissä WMIC:llä, joka on komentorivikäyttöliittymä Windows Management Instrumentation -alijärjestelmän kanssa työskentelemiseen. Tämä työkalu on myös tulossa yhä suositummaksi ransomware-operaattoreiden keskuudessa.
Tiedonkeruu
Kuten monet muut ransomware-operaattorit, ProLockia käyttävä ryhmä kerää tietoja vaarantuneesta verkosta lisätäkseen mahdollisuuksiaan saada lunnaita. Ennen suodatusta kerätyt tiedot arkistoidaan 7Zip-apuohjelmalla.
Eksfiltraatio
Tietojen lataamiseen ProLock-operaattorit käyttävät Rclonea, komentorivityökalua, joka on suunniteltu synkronoimaan tiedostoja eri pilvitallennuspalveluiden, kuten OneDriven, Google Driven, Megan jne., kanssa. Hyökkääjät nimeävät suoritettavan tiedoston aina uudelleen, jotta se näyttää laillisilta järjestelmätiedostoilta.
Toisin kuin heidän ikäisensä, ProLock-operaattoreilla ei edelleenkään ole omaa verkkosivustoa, jossa julkaistaisiin lunnaita maksamasta kieltäytyneiden yritysten varastetut tiedot.
Lopullisen tavoitteen saavuttaminen
Kun tiedot on suodatettu, tiimi ottaa ProLockin käyttöön koko yritysverkossa. Binääritiedosto puretaan tiedostosta, jonka tunniste on PNG tai JPG PowerShellin avulla ja syötettynä muistiin:
Ensinnäkin ProLock lopettaa sisäänrakennetussa luettelossa määritellyt prosessit (mielenkiintoista kyllä, se käyttää vain prosessin nimen kuutta kirjainta, kuten "winwor") ja lopettaa palvelut, mukaan lukien turvallisuuteen liittyvät palvelut, kuten CSFalconService ( CrowdStrike Falcon). nettopysäkki.
Sitten, kuten monien muiden kiristysohjelmaperheiden kohdalla, hyökkääjät käyttävät vssadmin Windowsin varjokopioiden poistaminen ja niiden koon rajoittaminen, jotta uusia kopioita ei luoda:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock lisää laajennuksen .proLock, .pr0Lock tai .proL0ck jokaiseen salattuun tiedostoon ja sijoittaa tiedoston [TIEDOSTOJEN PALAUTTAMINEN].TXT jokaiseen kansioon. Tämä tiedosto sisältää ohjeet tiedostojen salauksen purkamiseen, mukaan lukien linkin sivustolle, jossa uhrin on annettava yksilöllinen tunnus ja saatava maksutiedot:
Jokainen ProLockin esiintymä sisältää tietoja lunnaiden määrästä - tässä tapauksessa 35 bitcoinia, mikä on noin 312 000 dollaria.
Johtopäätös
Monet ransomware-operaattorit käyttävät samanlaisia menetelmiä saavuttaakseen tavoitteensa. Samaan aikaan jotkut tekniikat ovat yksilöllisiä jokaiselle ryhmälle. Tällä hetkellä yhä useammat kyberrikollisryhmät käyttävät kiristysohjelmia kampanjoissaan. Joissakin tapauksissa samat operaattorit voivat olla mukana hyökkäyksissä, joissa käytetään erilaisia kiristysohjelmaperheitä, joten näemme yhä enemmän päällekkäisyyksiä käytetyissä taktiikoissa, tekniikoissa ja menettelyissä.
Karttaus MITER ATT&CK Mappingilla
Taktiikka
Tekniikka
Alkukäyttö (TA0001)
Ulkoiset etäpalvelut (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Toteutus (TA0002)
Powershell (T1086), komentosarjat (T1064), käyttäjän suorittaminen (T1204), Windows Management Instrumentation (T1047)
Pysyvyys (TA0003)
Rekisterin suoritusavaimet / käynnistyskansio (T1060), ajoitettu tehtävä (T1053), kelvolliset tilit (T1078)
Defence Evasion (TA0005)
Koodin allekirjoitus (T1116), tiedostojen tai tietojen deobfuskointi/dekoodaus (T1140), suojaustyökalujen poistaminen käytöstä (T1089), tiedostojen poistaminen (T1107), naamiointi (T1036), prosessin lisäys (T1055)
Käyttöoikeustiedot (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Tilin etsintä (T1087), verkkotunnuksen luotettavuuden etsintä (T1482), tiedostojen ja hakemistojen etsintä (T1083), verkkopalveluskannaus (T1046), verkon jakojen etsintä (T1135), etäjärjestelmän etsintä (T1018)
Lateral Movement (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Kokoelma (TA0009)
Tiedot paikallisesta järjestelmästä (T1005), tiedot jaetusta verkkoasemasta (T1039), tiedot vaiheittain (T1074)
Komento ja ohjaus (TA0011)
Yleisesti käytetty portti (T1043), verkkopalvelu (T1102)
Exfiltration (TA0010)
Data pakattu (T1002), siirrä tiedot pilvitilille (T1537)
Vaikutus (TA0040)
Tiedot salattu vaikutusta varten (T1486), estävät järjestelmän palautuksen (T1490)
Lähde: will.com