Tha soirbheachas ionnsaighean ransomware air buidhnean air feadh an t-saoghail a’ brosnachadh barrachd is barrachd luchd-ionnsaigh ùr a dhol a-steach don gheama. Tha aon de na cluicheadairean ùra sin na bhuidheann a tha a’ cleachdadh an ProLock ransomware. Nochd e sa Mhàrt 2020 mar neach-leantainn a’ phrògram PwndLocker, a thòisich ag obair aig deireadh 2019. Bidh ionnsaighean ransomware ProLock gu sònraichte ag amas air buidhnean ionmhais is cùram slàinte, buidhnean riaghaltais, agus an roinn reic. O chionn ghoirid, thug gnìomhaichean ProLock ionnsaigh air aon de na luchd-saothrachaidh ATM as motha, Diebold Nixdorf.
Anns an dreuchd seo Oleg Skulkin, prìomh eòlaiche aig Saotharlann Foireansach Coimpiutaireachd Buidheann-IB, a’ còmhdach na innleachdan, na dòighean agus na modhan-obrach bunaiteach (TTPn) a bhios luchd-obrachaidh ProLock a’ cleachdadh. Tha an artaigil a’ crìochnachadh le coimeas ris an MITER ATT&CK Matrix, stòr-dàta poblach a bhios a’ cur ri chèile innleachdan ionnsaigh cuimsichte a bhios diofar bhuidhnean cybercriminal a’ cleachdadh.
A 'faighinn ruigsinneachd tùsail
Bidh gnìomhaichean ProLock a’ cleachdadh dà phrìomh vectar de phrìomh cho-rèiteachadh: an QakBot (Qbot) Trojan agus frithealaichean RDP gun dìon le faclan-faire lag.
Tha fèill mhòr air co-rèiteachadh tro fhrithealaiche RDP a tha ruigsinneach bhon taobh a-muigh am measg luchd-obrachaidh ransomware. Mar as trice, bidh luchd-ionnsaigh a’ ceannach cothrom air frithealaiche a tha fo chunnart bho threas phàrtaidhean, ach gheibhear e le buill na buidhne leotha fhèin.
Is e vectar nas inntinniche de phrìomh cho-rèiteachadh an malware QakBot. Roimhe sin, bha an Trojan seo co-cheangailte ri teaghlach eile de ransomware - MegaCortex. Ach, tha e a-nis air a chleachdadh le gnìomhaichean ProLock.
Mar as trice, bidh QakBot air a chuairteachadh tro iomairtean fiasgach. Faodaidh sgrìobhainn Microsoft Office ceangailte no ceangal gu faidhle a tha suidhichte ann an seirbheis stòraidh neòil, leithid Microsoft OneDrive a bhith ann am post-d phishing.
Tha cùisean aithnichte cuideachd de QakBot air a luchdachadh le Trojan eile, Emotet, a tha ainmeil fad is farsaing airson a bhith an sàs ann an iomairtean a sgaoil an Ryuk ransomware.
Coileanadh
Às deidh dha sgrìobhainn gabhaltach a luchdachadh sìos agus fhosgladh, thathas ag iarraidh air an neach-cleachdaidh leigeil le macros ruith. Ma shoirbhicheas leis, thèid PowerShell a chuir air bhog, a leigeas leat an luchd pàighidh QakBot a luchdachadh sìos agus a ruith bhon t-seirbheisiche àithne is smachd.
Tha e cudromach cuimhneachadh gu bheil an aon rud a’ buntainn ri ProLock: tha an t-uallach pàighidh air a thoirt a-mach às an fhaidhle BMP no JPG agus air a luchdachadh gu cuimhne a’ cleachdadh PowerShell. Ann an cuid de chùisean, thèid gnìomh clàraichte a chleachdadh gus PowerShell a thòiseachadh.
Sgriobt baidse a ’ruith ProLock tron chlàr-ama gnìomh:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batDaingneachadh san t-siostam
Ma tha e comasach cron a dhèanamh air an fhrithealaiche RDP agus faighinn a-steach, thèid cunntasan dligheach a chleachdadh gus faighinn chun lìonra. Tha QakBot air a chomharrachadh le grunn dhòighean ceangail. Mar as trice, bidh an Trojan seo a 'cleachdadh an iuchair clàraidh Run agus a' cruthachadh ghnìomhan anns a 'chlàr-ama:
A’ pinadh Qakbot chun t-siostam a’ cleachdadh an iuchair clàraidh Run
Ann an cuid de chùisean, bidh pasganan tòiseachaidh air an cleachdadh cuideachd: tha ath-ghoirid air a chuir an sin a tha a’ comharrachadh an luchd-tòiseachaidh.
Dìon seach-rathad
Le bhith a’ conaltradh ris an t-seirbheisiche àithne is smachd, bidh QakBot bho àm gu àm a’ feuchainn ri e fhèin ùrachadh, agus mar sin gus nach tèid a lorg, faodaidh an malware dreach ùr a chuir na àite. Tha soidhnigeadh air faidhlichean so-ghnìomhaichte le ainm-sgrìobhte ann an cunnart no cruthaichte. Tha an t-uallach pàighidh tùsail air a luchdachadh le PowerShell air a stòradh air an fhrithealaiche C&C leis an leudachadh PNG. A bharrachd air an sin, às deidh a chuir gu bàs thèid faidhle dligheach a chuir na àite calc.exe.
Cuideachd, gus gnìomhachd droch-rùnach fhalach, bidh QakBot a’ cleachdadh an dòigh air còd a chuir a-steach do phròiseasan, a’ cleachdadh Rannsaich:.
Mar a chaidh ainmeachadh, tha an t-uallach pàighidh ProLock falaichte am broinn an fhaidhle BMP no JPG. Faodar beachdachadh air seo cuideachd mar dhòigh air dìon a sheachnadh.
A 'faighinn teisteanasan
Tha gnìomhachd keylogger aig QakBot. A bharrachd air an sin, faodaidh e sgriobtaichean a bharrachd a luchdachadh sìos agus a ruith, mar eisimpleir, Invoke-Mimikatz, dreach PowerShell den ghoireas ainmeil Mimikatz. Faodaidh luchd-ionnsaigh na sgriobtaichean sin a chleachdadh gus teisteanasan a dhumpadh.
Eòlas lìonra
Às deidh dhaibh faighinn gu cunntasan sochair, bidh gnìomhaichean ProLock a ’dèanamh sgrùdadh lìonra, a dh’ fhaodadh a bhith a ’toirt a-steach sganadh puirt agus mion-sgrùdadh air àrainneachd Active Directory. A bharrachd air grunn sgriobtaichean, bidh luchd-ionnsaigh a’ cleachdadh AdFind, inneal eile a tha mòr-chòrdte am measg bhuidhnean ransomware, gus fiosrachadh a chruinneachadh mu Active Directory.
Brosnachadh lìonra
Gu traidiseanta, is e am Pròtacal Remote Desktop Protocol aon de na dòighean as mòr-chòrdte airson adhartachadh lìonra. Cha robh ProLock na eisgeachd. Tha eadhon sgriobtaichean aig luchd-ionnsaigh san arsenal aca gus faighinn gu astar tro RDP gus luchd-aoigheachd a chuimseachadh.
Sgriobt BAT airson faighinn a-steach tro phròtacal RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Gus sgriobtaichean a chuir an gnìomh air astar, bidh gnìomhaichean ProLock a’ cleachdadh inneal mòr-chòrdte eile, an goireas PsExec bhon Sysinternals Suite.
Bidh ProLock a’ ruith air luchd-aoigheachd a’ cleachdadh WMIC, a tha na eadar-aghaidh loidhne-àithne airson a bhith ag obair le fo-shiostam Windows Management Instrumentation. Tha an inneal seo cuideachd a’ sìor fhàs mòr-chòrdte am measg luchd-obrachaidh ransomware.
Cruinneachadh dàta
Coltach ri mòran de ghnìomhaichean ransomware eile, bidh a’ bhuidheann a bhios a’ cleachdadh ProLock a’ tional dàta bho lìonra a tha ann an cunnart gus na cothroman aca air airgead-fuadain fhaighinn àrdachadh. Mus tèid a chuir a-mach, tha an dàta cruinnichte air a thasgadh a’ cleachdadh goireas 7Zip.
Sguabadh às
Gus dàta a luchdachadh suas, bidh gnìomhaichean ProLock a’ cleachdadh Rclone, inneal loidhne-àithne a chaidh a dhealbhadh gus faidhlichean a shioncronadh le diofar sheirbheisean stòraidh sgòthan leithid OneDrive, Google Drive, Mega, msaa. Bidh luchd-ionnsaigh an-còmhnaidh ag ath-ainmeachadh am faidhle so-ghnìomhaichte gus am bi e coltach ri faidhlichean siostam dligheach.
Eu-coltach ris an co-aoisean, chan eil an làrach-lìn aca fhèin aig gnìomhaichean ProLock fhathast gus dàta a chaidh a ghoid fhoillseachadh le companaidhean a dhiùlt an airgead-fuadain a phàigheadh.
A 'coileanadh an amas mu dheireadh
Aon uair ‘s gu bheil an dàta air a chuir a-mach, bidh an sgioba a’ cleachdadh ProLock air feadh an lìonra iomairt. Tha am faidhle binary air a thoirt a-mach à faidhle leis an leudachadh PNG no JPG a’ cleachdadh PowerShell agus air a chuir a-steach don chuimhne:
An toiseach, bidh ProLock a’ cur crìoch air na pròiseasan a tha air an comharrachadh anns an liosta togte (gu h-inntinneach, chan eil e a’ cleachdadh ach sia litrichean ainm a’ phròiseis, leithid “winwor”), agus a’ crìochnachadh sheirbheisean, a’ gabhail a-steach an fheadhainn co-cheangailte ri tèarainteachd, leithid CSFalconService ( CrowdStrike Falcon) a’ cleachdadh an àithne stad lom.
An uairsin, mar le mòran theaghlaichean ransomware eile, bidh luchd-ionnsaigh a’ cleachdadh vssadmin gus lethbhric sgàil Windows a dhubhadh às agus am meud a chuingealachadh gus nach tèid lethbhric ùra a chruthachadh:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedBidh ProLock a’ cur leudachadh ris .proLock, .pr0Glais no .proL0ck gu gach faidhle crioptaichte agus cuiridh e am faidhle [Mar a gheibh thu air ais faidhlichean].TXT gu gach pasgan. Anns an fhaidhle seo tha stiùireadh air mar as urrainn dhut na faidhlichean a dhì-chrioptachadh, a’ toirt a-steach ceangal gu làrach far am feum an neach-fulang ID sònraichte a chuir a-steach agus fiosrachadh pàighidh fhaighinn:
Anns gach eisimpleir de ProLock tha fiosrachadh mun t-suim airgead-fuadain - sa chùis seo, 35 bitcoins, a tha timcheall air $ 312.
co-dhùnadh
Bidh mòran de ghnìomhaichean ransomware a’ cleachdadh dhòighean coltach ris gus na h-amasan aca a choileanadh. Aig an aon àm, tha cuid de dhòighean-obrach gun samhail airson gach buidheann. An-dràsta, tha àireamh a tha a’ sìor fhàs de bhuidhnean cybercriminal a’ cleachdadh ransomware nan iomairtean. Ann an cuid de chùisean, is dòcha gum bi na h-aon ghnìomhaichean an sàs ann an ionnsaighean a’ cleachdadh diofar theaghlaichean de ransomware, agus mar sin chì sinn barrachd is barrachd a’ dol thairis air na innleachdan, na dòighean agus na modhan-obrach a thathar a’ cleachdadh.
Mapadh le mapaichean MITER ATT&CK
Innleachdach
Technique
Cothrom tùsail (TA0001)
Seirbheisean Iomallach Taobh a-muigh (T1133), Ceangal Spearphishing (T1193), Ceangal Spearphishing (T1192)
Cur gu bàs (TA0002)
Powershell (T1086), Sgriobtadh (T1064), Cur an gnìomh Cleachdaiche (T1204), Ionnsramaid Riaghlaidh Windows (T1047)
Seasmhachd (TA0003)
Iuchraichean ruith a’ chlàr / pasgan tòiseachaidh (T1060), Gnìomh Clàraichte (T1053), Cunntasan Dligheach (T1078)
Fuadach Dìon (TA0005)
Soidhnigeadh còd (T1116), Deobfuscate / dì-chòdachadh faidhlichean no fiosrachadh (T1140), Innealan tèarainteachd à comas (T1089), Sguabadh às faidhle (T1107), Masquerading (T1036), In-stealladh pròiseas (T1055)
Cothrom teisteanais (TA0006)
Dumpadh teisteanais (T1003), Brute Force (T1110), Glacadh a-steach (T1056)
Lorg (TA0007)
Lorg Cunntas (T1087), Lorg Urras Fearainn (T1482), Lorg Faidhle is Leabhar-seòlaidh (T1083), Scanadh Seirbheis Lìonra (T1046), Lorg Co-roinn Lìonra (T1135), Lorg Siostam Iomallach (T1018)
Gluasad taobhach (TA0008)
Pròtacal Deasg Iomallach (T1076), Leth-bhreac de Fhaidhle Iomallach (T1105), Earrannan Rianachd Windows (T1077)
Cruinneachadh (TA0009)
Dàta bhon t-siostam ionadail (T1005), Dàta bho dhràibhear co-roinnte lìonra (T1039), dàta air a chuir air dòigh (T1074)
Òrdugh is Smachd (TA0011)
Port air a chleachdadh gu cumanta (T1043), Seirbheis Lìn (T1102)
Sguabadh às (TA0010)
Dàta teannaichte (T1002), gluasad dàta gu cunntas Cloud (T1537)
Buaidh (TA0040)
Dàta air a chrioptachadh airson buaidh (T1486), Inhibit System Recovery (T1490)
Source: www.habr.com