Le succès des attaques de ransomware contre des organisations du monde entier incite de plus en plus de nouveaux attaquants à se lancer dans le jeu. L’un de ces nouveaux acteurs est un groupe utilisant le ransomware ProLock. Il est apparu en mars 2020 comme successeur du programme PwndLocker, entré en service fin 2019. Les attaques du ransomware ProLock ciblent principalement les organisations financières et de santé, les agences gouvernementales et le secteur de la vente au détail. Récemment, les opérateurs ProLock ont attaqué avec succès l'un des plus grands fabricants de distributeurs automatiques, Diebold Nixdorf.
Dans ce poste Oleg Skulkin, principal spécialiste du laboratoire d'informatique judiciaire du Groupe-IB, couvre les tactiques, techniques et procédures (TTP) de base utilisées par les opérateurs ProLock. L'article se termine par une comparaison avec la MITRE ATT&CK Matrix, une base de données publique qui compile les tactiques d'attaque ciblées utilisées par divers groupes cybercriminels.
Obtenir un accès initial
Les opérateurs ProLock utilisent deux principaux vecteurs de compromission primaire : le cheval de Troie QakBot (Qbot) et les serveurs RDP non protégés avec des mots de passe faibles.
La compromission via un serveur RDP accessible de l’extérieur est extrêmement populaire parmi les opérateurs de ransomwares. En règle générale, les attaquants achètent l'accès à un serveur compromis à des tiers, mais les membres du groupe peuvent également l'obtenir eux-mêmes.
Le malware QakBot est un vecteur de compromission primaire plus intéressant. Auparavant, ce cheval de Troie était associé à une autre famille de ransomwares : MegaCortex. Cependant, il est désormais utilisé par les opérateurs ProLock.
Généralement, QakBot est distribué via des campagnes de phishing. Un e-mail de phishing peut contenir un document Microsoft Office joint ou un lien vers un fichier situé dans un service de stockage cloud, tel que Microsoft OneDrive.
Il existe également des cas connus où QakBot a été chargé avec un autre cheval de Troie, Emotet, largement connu pour sa participation à des campagnes de distribution du ransomware Ryuk.
Exécution
Après avoir téléchargé et ouvert un document infecté, l'utilisateur est invité à autoriser l'exécution des macros. En cas de succès, PowerShell est lancé, ce qui vous permettra de télécharger et d'exécuter la charge utile QakBot à partir du serveur de commande et de contrôle.
Il est important de noter qu'il en va de même pour ProLock : la charge utile est extraite du fichier BMP ou JPG et chargé en mémoire à l'aide de PowerShell. Dans certains cas, une tâche planifiée est utilisée pour démarrer PowerShell.
Script batch exécutant ProLock via le planificateur de tâches :
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batConsolidation dans le système
S'il est possible de compromettre le serveur RDP et d'y accéder, des comptes valides sont utilisés pour accéder au réseau. QakBot se caractérise par une variété de mécanismes d'attachement. Le plus souvent, ce cheval de Troie utilise la clé de registre Run et crée des tâches dans le planificateur :
Épingler Qakbot au système à l'aide de la clé de registre Exécuter
Dans certains cas, des dossiers de démarrage sont également utilisés : un raccourci y est placé qui pointe vers le chargeur de démarrage.
Protection contre le contournement
En communiquant avec le serveur de commande et de contrôle, QakBot essaie périodiquement de se mettre à jour. Ainsi, afin d'éviter d'être détecté, le malware peut remplacer sa propre version actuelle par une nouvelle. Les fichiers exécutables sont signés avec une signature compromise ou falsifiée. La charge utile initiale chargée par PowerShell est stockée sur le serveur C&C avec l'extension PNG. De plus, après exécution, il est remplacé par un fichier légitime calc.exe.
De plus, pour masquer les activités malveillantes, QakBot utilise la technique d'injection de code dans les processus, en utilisant explorer.exe.
Comme mentionné, la charge utile ProLock est cachée dans le fichier BMP ou JPG. Cela peut également être considéré comme une méthode de contournement de la protection.
Obtention des informations d'identification
QakBot a une fonctionnalité d'enregistreur de frappe. De plus, il peut télécharger et exécuter des scripts supplémentaires, par exemple Invoke-Mimikatz, une version PowerShell du célèbre utilitaire Mimikatz. De tels scripts peuvent être utilisés par des attaquants pour supprimer les informations d'identification.
Intelligence de réseau
Après avoir accédé aux comptes privilégiés, les opérateurs ProLock effectuent une reconnaissance du réseau, qui peut inclure une analyse des ports et une analyse de l'environnement Active Directory. En plus de divers scripts, les attaquants utilisent AdFind, un autre outil populaire parmi les groupes de ransomwares, pour collecter des informations sur Active Directory.
Promotion du réseau
Traditionnellement, l’une des méthodes les plus populaires de promotion de réseau est le protocole Remote Desktop. ProLock ne faisait pas exception. Les attaquants disposent même de scripts dans leur arsenal pour accéder à distance via RDP aux hôtes cibles.
Script BAT pour accéder via le protocole RDP :
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Pour exécuter des scripts à distance, les opérateurs ProLock utilisent un autre outil populaire, l'utilitaire PsExec de Sysinternals Suite.
ProLock s'exécute sur des hôtes utilisant WMIC, qui est une interface de ligne de commande permettant de travailler avec le sous-système Windows Management Instrumentation. Cet outil devient également de plus en plus populaire parmi les opérateurs de ransomwares.
Collecte de données
Comme beaucoup d’autres opérateurs de ransomwares, le groupe utilisant ProLock collecte des données sur un réseau compromis pour augmenter ses chances de recevoir une rançon. Avant l'exfiltration, les données collectées sont archivées à l'aide de l'utilitaire 7Zip.
Exfiltration
Pour télécharger des données, les opérateurs ProLock utilisent Rclone, un outil de ligne de commande conçu pour synchroniser les fichiers avec divers services de stockage cloud tels que OneDrive, Google Drive, Mega, etc. Les attaquants renomment toujours le fichier exécutable pour le faire ressembler à des fichiers système légitimes.
Contrairement à leurs pairs, les opérateurs ProLock ne disposent toujours pas de leur propre site Internet pour publier les données volées appartenant aux entreprises qui ont refusé de payer la rançon.
Atteindre l'objectif final
Une fois les données exfiltrées, l'équipe déploie ProLock sur l'ensemble du réseau de l'entreprise. Le fichier binaire est extrait d'un fichier avec l'extension PNG ou JPG en utilisant PowerShell et injecté en mémoire :
Tout d'abord, ProLock met fin aux processus spécifiés dans la liste intégrée (ce qui est intéressant, il n'utilise que les six lettres du nom du processus, comme "winwor"), et met fin aux services, y compris ceux liés à la sécurité, comme CSFalconService ( CrowdStrike Falcon) à l'aide de la commande arrêt net.
Ensuite, comme pour de nombreuses autres familles de ransomwares, les attaquants utilisent vssadmin pour supprimer les clichés instantanés Windows et limiter leur taille afin qu'aucune nouvelle copie ne soit créée :
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock ajoute une extension .proLock, .pr0Verrouillage ou .proL0ck à chaque fichier crypté et place le fichier [COMMENT RÉCUPÉRER DES FICHIERS].TXT à chaque dossier. Ce fichier contient des instructions sur la façon de décrypter les fichiers, y compris un lien vers un site sur lequel la victime doit saisir un identifiant unique et recevoir des informations de paiement :
Chaque instance de ProLock contient des informations sur le montant de la rançon – dans ce cas, 35 bitcoins, soit environ 312 000 $.
Conclusion
De nombreux opérateurs de ransomwares utilisent des méthodes similaires pour atteindre leurs objectifs. En même temps, certaines techniques sont propres à chaque groupe. Actuellement, un nombre croissant de groupes de cybercriminels utilisent des ransomwares dans leurs campagnes. Dans certains cas, les mêmes opérateurs peuvent être impliqués dans des attaques utilisant différentes familles de ransomwares, nous verrons donc de plus en plus de chevauchements dans les tactiques, techniques et procédures utilisées.
Cartographie avec la cartographie MITRE ATT&CK
Tactique
Technique
Accès initial (TA0001)
Services distants externes (T1133), pièce jointe de spearphishing (T1193), lien de spearphishing (T1192)
Exécution (TA0002)
Powershell (T1086), scripts (T1064), exécution utilisateur (T1204), Windows Management Instrumentation (T1047)
Persistance (TA0003)
Clés d'exécution du registre/dossier de démarrage (T1060), tâche planifiée (T1053), comptes valides (T1078)
Évasion de défense (TA0005)
Signature de code (T1116), désobfuscation/décodage de fichiers ou d'informations (T1140), désactivation des outils de sécurité (T1089), suppression de fichiers (T1107), masquage (T1036), injection de processus (T1055)
Accès aux informations d'identification (TA0006)
Dumping d'informations d'identification (T1003), Force brute (T1110), Capture d'entrée (T1056)
Découverte (TA0007)
Découverte de comptes (T1087), découverte d'approbations de domaine (T1482), découverte de fichiers et de répertoires (T1083), analyse de services réseau (T1046), découverte de partages réseau (T1135), découverte de systèmes distants (T1018)
Mouvement latéral (TA0008)
Protocole de bureau à distance (T1076), copie de fichiers à distance (T1105), partages d'administrateur Windows (T1077)
Collecte (TA0009)
Données du système local (T1005), données du lecteur réseau partagé (T1039), données transférées (T1074)
Commandement et contrôle (TA0011)
Port couramment utilisé (T1043), service Web (T1102)
Exfiltration (TA0010)
Données compressées (T1002), transfert de données vers un compte cloud (T1537)
Impact (TA0040)
Données chiffrées pour impact (T1486), inhibition de la récupération du système (T1490)
Source: habr.com