Tá rath na n-ionsaithe ransomware ar eagraíochtaí ar fud an domhain ag spreagadh níos mó agus níos mó ionsaitheoirí nua dul isteach sa chluiche. Is grúpa é ceann de na himreoirí nua seo a úsáideann an ransomware ProLock. Bhí an chuma air i mí an Mhárta 2020 mar chomharba ar an gclár PwndLocker, a thosaigh ag feidhmiú ag deireadh 2019. Díríonn ionsaithe ransomware ProLock go príomha ar eagraíochtaí airgeadais agus cúram sláinte, gníomhaireachtaí rialtais, agus an earnáil mhiondíola. Le déanaí, d'éirigh le hoibreoirí ProLock ionsaí ar cheann de na monaróirí ATM is mó, Diebold Nixdorf.
Sa phost seo Oleg Skulkin, príomhspeisialtóir na Saotharlainne Fóiréinsice Ríomhaireachta de chuid Group-IB, clúdaíonn sé na tactics, teicnící agus nósanna imeachta bunúsacha (TTPanna) a úsáideann oibreoirí ProLock. Críochnaíonn an t-alt le comparáid leis an Maitrís MITER ATT&CK, bunachar sonraí poiblí a thiomsaíonn tactics ionsaithe spriocdhírithe a úsáideann grúpaí éagsúla cibearchoireachta.
Rochtain tosaigh a fháil
Úsáideann oibreoirí ProLock dhá phríomh-veicteoir comhréitigh: an Trojan QakBot (Qbot) agus freastalaithe RDP gan chosaint le pasfhocail lag.
Tá an-tóir ar chomhréiteach trí fhreastalaí RDP atá inrochtana go seachtrach i measc oibreoirí earraí ransom. De ghnáth, ceannaíonn ionsaitheoirí rochtain ar fhreastalaí comhréitigh ó thríú páirtithe, ach is féidir le baill an ghrúpa é a fháil ina n-aonar freisin.
Veicteoir níos suimiúla de chomhréiteach príomhúil ná an malware QakBot. Roimhe seo, bhí baint ag an Trojan seo le teaghlach eile de ransomware - MegaCortex. Mar sin féin, tá sé in úsáid anois ag oibreoirí ProLock.
De ghnáth, déantar QakBot a dháileadh trí fheachtais fioscaireachta. Féadfaidh doiciméad Microsoft Office ceangailte nó nasc chuig comhad atá suite i seirbhís stórála néil, mar Microsoft OneDrive, a bheith i ríomhphost fioscaireachta.
Is eol freisin go bhfuil cásanna QakBot á lódáil le Trojan eile, Emotet, a bhfuil cáil air go forleathan as a rannpháirtíocht i bhfeachtais a dháil an Ryuk ransomware.
Feidhmíocht
Tar éis doiciméad ionfhabhtaithe a íoslódáil agus a oscailt, moltar don úsáideoir ligean do mhacraí rith. Má éiríonn leis, seolfar PowerShell, a ligfidh duit pálasta QakBot a íoslódáil agus a rith ón bhfreastalaí ordaithe agus rialaithe.
Tá sé tábhachtach a thabhairt faoi deara go mbaineann an rud céanna le ProLock: baintear an pálasta as an gcomhad BMP nó JPG agus luchtaithe isteach sa chuimhne ag baint úsáide as PowerShell. I gcásanna áirithe, úsáidtear tasc sceidealta chun PowerShell a thosú.
Script baisc ag rith ProLock tríd an sceidealóir tascanna:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batComhdhlúthú sa chóras
Más féidir an freastalaí RDP a chomhréiteach agus rochtain a fháil, úsáidtear cuntais bhailí chun rochtain a fháil ar an líonra. Tá éagsúlacht meicníochtaí ceangail tréithrithe ag QakBot. Go minic, úsáideann an Trojan seo an eochair chláraithe Rith agus cruthaíonn sé tascanna sa sceidealóir:
Pionnáil Qakbot leis an gcóras ag baint úsáide as an eochair clárlainne Rith
I gcásanna áirithe, úsáidtear fillteáin tosaithe freisin: cuirtear aicearra ann a dhíríonn ar an lódóir tosaithe.
Cosaint sheachbhóthar
Trí chumarsáid a dhéanamh leis an bhfreastalaí ordaithe agus rialaithe, déanann QakBot iarracht é féin a nuashonrú go tréimhsiúil, mar sin chun a bhrath a sheachaint, is féidir leis an malware a leagan reatha féin a athsholáthar le ceann nua. Sínítear comhaid inrite le síniú comhréiteach nó brionnaithe. Stóráiltear an pálasta tosaigh arna luchtú ag PowerShell ar an bhfreastalaí C&C leis an síneadh PNG. Ina theannta sin, tar éis é a fhorghníomhú, cuirtear comhad dlisteanach ina ionad calc.exe.
Chomh maith leis sin, chun gníomhaíocht mhailíseach a cheilt, úsáideann QakBot an teicníc chun cód a instealladh isteach i bpróisis, ag baint úsáide as explorer.exe.
Mar a luadh, tá pálasta ProLock i bhfolach taobh istigh den chomhad BMP nó JPG. Is féidir é seo a mheas freisin mar mhodh chun cosaint a sheachbhóthar.
Dintiúir a fháil
Tá feidhmiúlacht keylogger ag QakBot. Ina theannta sin, is féidir leis scripteanna breise a íoslódáil agus a reáchtáil, mar shampla, Invoke-Mimikatz, leagan PowerShell den áirgiúlacht cáiliúil Mimikatz. Is féidir le hionsaitheoirí scripteanna den sórt sin a úsáid chun dintiúir a dhumpáil.
Faisnéise líonra
Tar éis dóibh rochtain a fháil ar chuntais phribhléid, déanann oibreoirí ProLock taiscéalaíocht líonra, lena bhféadfaí scanadh poirt agus anailís ar thimpeallacht an Eolaire Gníomhach a áireamh. Chomh maith le scripteanna éagsúla, úsáideann ionsaitheoirí AdFind, uirlis eile a bhfuil tóir uirthi i measc grúpaí ransomware, chun faisnéis a bhailiú faoin Eolaire Gníomhach.
Cur chun cinn líonra
Go traidisiúnta, is é ceann de na modhanna cur chun cinn líonra is coitianta ná an Prótacal Deisce Cianda. Ní raibh ProLock aon eisceacht. Tá fiú scripteanna ag ionsaitheoirí ina n-armán chun cianrochtain a fháil trí RDP chun díriú ar óstaigh.
Script BAT chun rochtain a fháil trí phrótacal RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Chun scripteanna a rith go cianda, úsáideann oibreoirí ProLock uirlis mhóréilimh eile, an áirgiúlacht PsExec ón Sysinternals Suite.
Ritheann ProLock ar óstaigh ag baint úsáide as WMIC, atá ina chomhéadan líne ordaithe chun oibriú le fochóras Ionstraimíocht Bainistíochta Windows. Tá an uirlis seo ag éirí níos coitianta freisin i measc oibreoirí ransomware.
Bailiú sonraí
Cosúil le go leor oibreoirí ransomware eile, bailíonn an grúpa a úsáideann ProLock sonraí ó líonra atá faoi chontúirt chun cur lena seansanna airgead fuascailte a fháil. Roimh an dí-scagadh, cuirtear na sonraí a bhailítear i gcartlann ag baint úsáide as an bhfóntas 7Zip.
Eis-scagadh
Chun sonraí a uaslódáil, úsáideann oibreoirí ProLock Rclone, uirlis líne ordaithe atá deartha chun comhaid a shioncronú le seirbhísí stórála néil éagsúla cosúil le OneDrive, Google Drive, Mega, etc. Athainmníonn ionsaitheoirí an comhad inrite i gcónaí chun é a dhéanamh cosúil le comhaid chórais dlisteanacha.
Murab ionann agus a bpiaraí, níl a suíomh Gréasáin féin ag oibreoirí ProLock fós chun sonraí goidte a bhaineann le cuideachtaí a dhiúltaigh an airgead fuascailte a íoc a fhoilsiú.
An sprioc deiridh a bhaint amach
Nuair a bheidh na sonraí eas-scagtha, imscarann an fhoireann ProLock ar fud an líonra fiontair. Baintear an comhad dénártha as comhad leis an síneadh PNG nó JPG ag baint úsáide as PowerShell agus á instealladh isteach sa chuimhne:
Ar an gcéad dul síos, cuireann ProLock deireadh leis na próisis a shonraítear sa liosta ionsuite (go spéisiúil, ní úsáideann sé ach sé litir ainm an phróisis, mar shampla "winwor"), agus cuireann sé deireadh le seirbhísí, lena n-áirítear iad siúd a bhaineann le slándáil, mar CSFalconService ( CrowdStrike Falcon) ag baint úsáide as an ordú stad glan.
Ansin, mar atá le go leor teaghlaigh ransomware eile, úsáideann ionsaitheoirí vssadmin scáthchóipeanna Windows a scriosadh agus a méid a theorannú ionas nach gcruthófar cóipeanna nua:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedCuireann ProLock síneadh leis .proLock, .pr0Lock nó .proL0ck chuig gach comhad criptithe agus cuireann sé an comhad [CONAS COMHAID A CHUR AR AIS].TXT chuig gach fillteán. Tá treoracha sa chomhad seo maidir le conas na comhaid a dhíchriptiú, lena n-áirítear nasc chuig suíomh ina gcaithfidh an t-íospartach ID uathúil a chur isteach agus faisnéis íocaíochta a fháil:
Tá faisnéis i ngach cás de ProLock faoin méid airgead fuascailte - sa chás seo, 35 bitcoins, sin thart ar $312.
Conclúid
Úsáideann go leor oibreoirí ransomware modhanna comhchosúla chun a gcuid spriocanna a bhaint amach. Ag an am céanna, tá roinnt teicnící uathúil do gach grúpa. Faoi láthair, tá méadú ag teacht ar líon na ngrúpaí cibearchoireachta a úsáideann earraí ransom ina gcuid feachtais. I gcásanna áirithe, féadfaidh na hoibreoirí céanna a bheith páirteach in ionsaithe ag baint úsáide as teaghlaigh éagsúla earraí ransom, agus mar sin feicfimid forluí níos mó sna tactics, sna teicnící agus sna nósanna imeachta a úsáidtear.
Mapáil le Mapáil MITER ATT&CK
Oirbheartaíochta
Teicníocht
Rochtain Tosaigh (TA0001)
Seirbhísí Iargúlta Seachtracha (T1133), Ceangaltán Spearphishing (T1193), Nasc Spearphishing (T1192)
Forghníomhú (TA0002)
Powershell (T1086), Scripting (T1064), Forghníomhú Úsáideora (T1204), Ionstraimíocht Bainistíochta Windows (T1047)
Marthanacht (TA0003)
Eochracha Rith na Clárlainne / Fillteán Tosaithe (T1060), Tasc Sceidealta (T1053), Cuntais Bhailí (T1078)
Imghabháil Chosanta (TA0005)
Síniú Cóid (T1116), Comhaid nó Faisnéis a Dhíobfuscate/Díchódaithe (T1140), Uirlisí Slándála Díchumasaithe (T1089), Scriosadh Comhaid (T1107), Masquerading (T1036), Instealladh Próisis (T1055)
Rochtain Inchreidte (TA0006)
Dumpáil Dintiúir (T1003), Brute Force (T1110), Gabháil Ionchuir (T1056)
Fionnachtain (TA0007)
Fionnachtain Cuntas (T1087), Fionnachtain Iontaobhais Fearainn (T1482), Fionnachtain Comhad agus Eolaire (T1083), Scanadh Seirbhíse Líonra (T1046), Fionnachtain Comhroinnte Líonra (T1135), Fionnachtain Cianchóras (T1018)
Gluaiseacht Chlathánach (TA0008)
Prótacal Deisce Cianda (T1076), Cóip Chianchomhad (T1105), Scaireanna Riaracháin Windows (T1077)
Bailiúchán (TA0009)
Sonraí ón gCóras Áitiúil (T1005), Sonraí ó Thiomántán Comhroinnte Líonra (T1039), Sonraí Céimnithe (T1074)
Ordú agus Rialú (TA0011)
Port a Úsáidtear go Coitianta (T1043), Seirbhís Gréasáin (T1102)
Eis-scagadh (TA0010)
Sonraí Comhbhrúite (T1002), Aistrigh Sonraí go Néalchuntas (T1537)
Tionchar (TA0040)
Sonraí Criptithe le haghaidh Tionchair (T1486), Cosc ar Aisghabháil an Chórais (T1490)
Foinse: will.com