O éxito dos ataques de ransomware a organizacións de todo o mundo está provocando que cada vez máis novos atacantes entren no xogo. Un destes novos xogadores é un grupo que usa o ransomware ProLock. Apareceu en marzo de 2020 como o sucesor do programa PwndLocker, que comezou a funcionar a finais de 2019. Os ataques de ransomware ProLock teñen como obxectivo principal organizacións financeiras e sanitarias, axencias gobernamentais e o sector de venda polo miúdo. Recentemente, os operadores de ProLock atacaron con éxito a un dos maiores fabricantes de caixeiros automáticos, Diebold Nixdorf.
Neste post Oleg Skulkin, especialista principal do Laboratorio de Informática Forense do Grupo-IB, abrangue as tácticas, técnicas e procedementos básicos (TTP) utilizados polos operadores de ProLock. O artigo conclúe cunha comparación coa matriz MITRE ATT&CK, unha base de datos pública que compila tácticas de ataque dirixidas utilizadas por varios grupos cibercriminales.
Conseguindo o acceso inicial
Os operadores de ProLock usan dous vectores principais de compromiso principal: o troiano QakBot (Qbot) e os servidores RDP desprotexidos con contrasinais débiles.
O compromiso a través dun servidor RDP accesible externamente é moi popular entre os operadores de ransomware. Normalmente, os atacantes compran acceso a un servidor comprometido a terceiros, pero tamén o poden obter os membros do grupo por conta propia.
Un vector máis interesante de compromiso principal é o malware QakBot. Anteriormente, este troiano estaba asociado con outra familia de ransomware: MegaCortex. Non obstante, agora é usado polos operadores de ProLock.
Normalmente, QakBot distribúese a través de campañas de phishing. Un correo electrónico de phishing pode conter un documento de Microsoft Office adxunto ou unha ligazón a un ficheiro situado nun servizo de almacenamento na nube, como Microsoft OneDrive.
Tamén se coñecen casos de QakBot cargado con outro troiano, Emotet, que é moi coñecido pola súa participación en campañas que distribuían o ransomware Ryuk.
Actuación
Despois de descargar e abrir un documento infectado, pídeselle ao usuario que permita que se executen as macros. Se ten éxito, lánzase PowerShell, o que lle permitirá descargar e executar a carga útil de QakBot desde o servidor de comandos e control.
É importante ter en conta que o mesmo se aplica a ProLock: a carga útil extráese do ficheiro BMP ou JPG e cargado na memoria mediante PowerShell. Nalgúns casos, utilízase unha tarefa programada para iniciar PowerShell.
Script por lotes que executa ProLock a través do planificador de tarefas:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batConsolidación no sistema
Se é posible comprometer o servidor RDP e obter acceso, utilízanse contas válidas para acceder á rede. QakBot caracterízase por unha variedade de mecanismos de conexión. Na maioría das veces, este troiano usa a clave de rexistro Executar e crea tarefas no planificador:
Fixar Qakbot ao sistema mediante a clave de rexistro Executar
Nalgúns casos, tamén se utilizan cartafoles de inicio: colócase alí un atallo que apunta ao cargador de arranque.
Protección de derivación
Ao comunicarse co servidor de comando e control, QakBot tenta actualizarse periodicamente, polo que para evitar a detección, o malware pode substituír a súa propia versión actual por outra nova. Os ficheiros executables están asinados cunha sinatura comprometida ou falsificada. A carga útil inicial cargada por PowerShell almacénase no servidor C&C coa extensión PNG. Ademais, despois da execución substitúese por un ficheiro lexítimo calc.exe.
Ademais, para ocultar actividade maliciosa, QakBot usa a técnica de inxectar código nos procesos, usando explorer.exe.
Como se mencionou, a carga útil de ProLock está oculta dentro do ficheiro BMP ou JPG. Isto tamén se pode considerar como un método de evitar a protección.
Obtención de credenciais
QakBot ten función de keylogger. Ademais, pode descargar e executar scripts adicionais, por exemplo, Invoke-Mimikatz, unha versión de PowerShell da famosa utilidade Mimikatz. Estes scripts poden ser usados polos atacantes para volcar as credenciais.
Intelixencia de rede
Despois de ter acceso ás contas privilexiadas, os operadores de ProLock realizan un recoñecemento da rede, que pode incluír a exploración de portos e a análise do ambiente de Active Directory. Ademais de varios scripts, os atacantes usan AdFind, outra ferramenta popular entre os grupos de ransomware, para recompilar información sobre Active Directory.
Promoción da rede
Tradicionalmente, un dos métodos máis populares de promoción da rede é o protocolo de escritorio remoto. ProLock non foi unha excepción. Os atacantes incluso teñen scripts no seu arsenal para obter acceso remoto a través de RDP para dirixir hosts.
Script BAT para acceder a través do protocolo RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Para executar scripts de forma remota, os operadores de ProLock usan outra ferramenta popular, a utilidade PsExec da Suite Sysinternals.
ProLock execútase en hosts usando WMIC, que é unha interface de liña de comandos para traballar co subsistema de Instrumentación de Xestión de Windows. Esta ferramenta tamén se está facendo cada vez máis popular entre os operadores de ransomware.
Recollida de datos
Como moitos outros operadores de ransomware, o grupo que usa ProLock recolle datos dunha rede comprometida para aumentar as súas posibilidades de recibir un rescate. Antes da exfiltración, os datos recollidos arquivanse mediante a utilidade 7Zip.
Exfiltración
Para cargar datos, os operadores de ProLock usan Rclone, unha ferramenta de liña de comandos deseñada para sincronizar ficheiros con varios servizos de almacenamento na nube como OneDrive, Google Drive, Mega, etc. Os atacantes sempre renomean o ficheiro executable para que pareza lexítimos ficheiros do sistema.
A diferenza dos seus compañeiros, os operadores de ProLock aínda non teñen o seu propio sitio web para publicar datos roubados pertencentes a empresas que se negaron a pagar o rescate.
Acadando o obxectivo final
Unha vez que se exfiltran os datos, o equipo implanta ProLock en toda a rede empresarial. O ficheiro binario extráese dun ficheiro coa extensión PNG ou JPG usando PowerShell e inxectado na memoria:
En primeiro lugar, ProLock remata os procesos especificados na lista integrada (curiosamente, só usa as seis letras do nome do proceso, como "winwor"), e finaliza os servizos, incluídos os relacionados coa seguridade, como CSFalconService ( CrowdStrike Falcon). usando o comando parada neta.
Entón, como ocorre con moitas outras familias de ransomware, os atacantes usan vsadmin para eliminar as instantáneas de Windows e limitar o seu tamaño para que non se creen novas copias:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock engade extensión .proLock, .pr0Bloqueo ou .proL0ck a cada ficheiro cifrado e coloca o ficheiro [COMO RECUPERAR ARQUIVOS].TXT a cada cartafol. Este ficheiro contén instrucións sobre como descifrar os ficheiros, incluíndo unha ligazón a un sitio onde a vítima debe introducir un ID único e recibir información de pago:
Cada instancia de ProLock contén información sobre o importe do rescate: neste caso, 35 bitcoins, o que supón aproximadamente 312 dólares.
Conclusión
Moitos operadores de ransomware usan métodos similares para acadar os seus obxectivos. Ao mesmo tempo, algunhas técnicas son únicas para cada grupo. Actualmente, hai un número crecente de grupos cibercriminales que utilizan ransomware nas súas campañas. Nalgúns casos, os mesmos operadores poden estar implicados en ataques utilizando diferentes familias de ransomware, polo que veremos cada vez máis solapamento nas tácticas, técnicas e procedementos empregados.
Mapeo con cartografía MITRE ATT&CK
Táctica
Técnica
Acceso inicial (TA0001)
Servizos remotos externos (T1133), Anexo de Spearphishing (T1193), Enlace de Spearphishing (T1192)
Execución (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistencia (TA0003)
Claves de execución do rexistro/Carpeta de inicio (T1060), Tarefa programada (T1053), Contas válidas (T1078)
Evasión de defensa (TA0005)
Sinatura de código (T1116), Desofuscación/descodificación de ficheiros ou información (T1140), Desactivación de ferramentas de seguranza (T1089), Eliminación de ficheiros (T1107), Enmascarado (T1036), Inxección de procesos (T1055)
Acceso de credenciais (TA0006)
Descarga de credenciais (T1003), forza bruta (T1110), captura de entrada (T1056)
Descubrimento (TA0007)
Descubrimento de contas (T1087), Descubrimento de confianza de dominios (T1482), Descubrimento de ficheiros e directorios (T1083), Exploración de servizos de rede (T1046), Descubrimento de recursos compartidos de rede (T1135), Descubrimento do sistema remoto (T1018)
Movemento Lateral (TA0008)
Protocolo de escritorio remoto (T1076), copia remota de ficheiros (T1105), recursos compartidos de administración de Windows (T1077)
Colección (TA0009)
Datos do sistema local (T1005), datos da unidade compartida de rede (T1039), datos por etapas (T1074)
Comando e control (TA0011)
Porto de uso habitual (T1043), servizo web (T1102)
Exfiltración (TA0010)
Datos comprimidos (T1002), transferir datos á conta na nube (T1537)
Impacto (TA0040)
Datos cifrados para impacto (T1486), inhibición da recuperación do sistema (T1490)
Fonte: www.habr.com