ProHoster > Blog > uprava > Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice

Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice

Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice

Uspjeh ransomware napada na organizacije diljem svijeta potiče sve više i više novih napadača da se uključe u igru. Jedan od ovih novih igrača je grupa koja koristi ransomware ProLock. Pojavio se u ožujku 2020. godine kao nasljednik programa PwndLocker koji je s radom počeo krajem 2019. godine. ProLock ransomware napadi prvenstveno ciljaju financijske i zdravstvene organizacije, vladine agencije i maloprodajni sektor. Nedavno su ProLock operateri uspješno napali jednog od najvećih proizvođača bankomata Diebold Nixdorf.

U ovom postu Oleg Skulkin, vodeći stručnjak Laboratorija za računalnu forenziku Grupe-IB, pokriva osnovne taktike, tehnike i procedure (TTP) koje koriste ProLock operateri. Članak završava usporedbom s MITER ATT&CK Matrixom, javnom bazom podataka koja prikuplja ciljane taktike napada koje koriste različite skupine kibernetičkog kriminala.

Dobivanje početnog pristupa

ProLock operateri koriste dva glavna vektora primarne kompromitacije: trojanac QakBot (Qbot) i nezaštićene RDP poslužitelje sa slabim lozinkama.

Kompromitiranje putem vanjskog dostupnog RDP poslužitelja iznimno je popularno među operaterima ransomwarea. Obično napadači kupuju pristup kompromitiranom poslužitelju od trećih strana, ali ga mogu dobiti i članovi grupe sami.

Zanimljiviji vektor primarne kompromitacije je malware QakBot. Prethodno je ovaj trojanac bio povezan s drugom obitelji ransomwarea - MegaCortex. Međutim, sada ga koriste ProLock operateri.

QakBot se obično distribuira kroz phishing kampanje. Krađa e-pošte može sadržavati priloženi Microsoft Office dokument ili poveznicu na datoteku koja se nalazi u usluzi za pohranu u oblaku, kao što je Microsoft OneDrive.

Poznati su i slučajevi u kojima je QakBot bio učitan s drugim trojancem, Emotet, koji je nadaleko poznat po svom sudjelovanju u kampanjama distribucije Ryuk ransomwarea.

izvršenje

Nakon preuzimanja i otvaranja zaraženog dokumenta, od korisnika se traži da dopusti pokretanje makronaredbi. Ako bude uspješno, pokreće se PowerShell, koji će vam omogućiti preuzimanje i pokretanje QakBot korisnog opterećenja s poslužitelja za naredbe i kontrolu.

Važno je napomenuti da se isto odnosi i na ProLock: sadržaj se izdvaja iz datoteke BMP ili JPG i učitava u memoriju pomoću PowerShell-a. U nekim slučajevima za pokretanje PowerShell-a koristi se planirani zadatak.

Skupna skripta koja pokreće ProLock kroz planer zadataka:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Konsolidacija u sustavu

Ako je moguće kompromitirati RDP poslužitelj i dobiti pristup, onda se valjani računi koriste za dobivanje pristupa mreži. QakBot karakteriziraju različiti mehanizmi za pričvršćivanje. Ovaj trojanac najčešće koristi ključ registra Run i stvara zadatke u planeru:

Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice
Prikvačivanje Qakbota na sustav pomoću ključa registra Run

U nekim se slučajevima također koriste mape za pokretanje: tamo se postavlja prečac koji upućuje na bootloader.

Sigurnosna premosnica

Komunicirajući s naredbeno-kontrolnim poslužiteljem, QakBot se povremeno pokušava ažurirati, pa kako bi izbjegao otkrivanje, zlonamjerni softver može zamijeniti vlastitu trenutnu verziju novom. Izvršne datoteke potpisane su ugroženim ili krivotvorenim potpisom. Početni korisni teret koji učitava PowerShell pohranjuje se na C&C poslužitelju s proširenjem PNG. Osim toga, nakon izvršenja zamjenjuje se legitimnom datotekom calc.exe.

Također, kako bi sakrio zlonamjernu aktivnost, QakBot koristi tehniku ​​ubacivanja koda u procese, koristeći explorer.exe.

Kao što je spomenuto, ProLock korisni teret skriven je unutar datoteke BMP ili JPG. Ovo se također može smatrati metodom zaobilaženja zaštite.

Dobivanje vjerodajnica

QakBot ima funkciju keyloggera. Osim toga, može preuzeti i pokrenuti dodatne skripte, na primjer, Invoke-Mimikatz, PowerShell verziju poznatog uslužnog programa Mimikatz. Takve skripte napadači mogu koristiti za izbacivanje vjerodajnica.

Mrežna inteligencija

Nakon dobivanja pristupa privilegiranim računima, ProLock operateri provode izviđanje mreže, što može uključivati ​​skeniranje priključaka i analizu okruženja Active Directory. Osim raznih skripti, napadači koriste AdFind, još jedan alat popularan među grupama ransomwarea, za prikupljanje informacija o Active Directoryju.

Mrežna promocija

Tradicionalno, jedna od najpopularnijih metoda mrežne promocije je Remote Desktop Protocol. ProLock nije bio iznimka. Napadači čak imaju skripte u svom arsenalu za dobivanje udaljenog pristupa putem RDP-a do ciljanih računala.

BAT skripta za pristup putem RDP protokola:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Za daljinsko izvršavanje skripti, ProLock operateri koriste još jedan popularan alat, uslužni program PsExec iz paketa Sysinternals Suite.

ProLock radi na hostovima koristeći WMIC, koji je sučelje naredbenog retka za rad s podsustavom Windows Management Instrumentation. Ovaj alat također postaje sve popularniji među operaterima ransomwarea.

Prikupljanje podataka

Kao i mnogi drugi operateri ransomwarea, grupa koja koristi ProLock prikuplja podatke s ugrožene mreže kako bi povećala svoje šanse za dobivanje otkupnine. Prije eksfiltracije, prikupljeni podaci se arhiviraju pomoću uslužnog programa 7Zip.

Eksfiltracija

Za učitavanje podataka ProLock operateri koriste Rclone, alat naredbenog retka dizajniran za sinkronizaciju datoteka s raznim servisima za pohranu u oblaku kao što su OneDrive, Google Drive, Mega, itd. Napadači uvijek preimenuju izvršnu datoteku kako bi izgledala kao legitimne sistemske datoteke.

Za razliku od svojih kolega, ProLock operateri još uvijek nemaju vlastitu web stranicu za objavljivanje ukradenih podataka tvrtki koje su odbile platiti otkupninu.

Postizanje konačnog cilja

Nakon što se podaci eksfiltriraju, tim implementira ProLock u cijeloj mreži poduzeća. Binarna datoteka izdvaja se iz datoteke s ekstenzijom PNG ili JPG koristeći PowerShell i umetnuto u memoriju:

Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice
Prije svega, ProLock prekida procese navedene na ugrađenom popisu (zanimljivo je da koristi samo šest slova naziva procesa, kao što je "winwor") i prekida usluge, uključujući one povezane sa sigurnošću, kao što je CSFalconService ( CrowdStrike Falcon).koristeći naredbu neto zaustavljanje.

Zatim, kao i kod mnogih drugih obitelji ransomwarea, napadači koriste vssadmin za brisanje kopija u sjeni sustava Windows i ograničavanje njihove veličine tako da se ne stvaraju nove kopije:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock dodaje proširenje .proLock, .pr0Zaključaj ili .proL0ck svakoj šifriranoj datoteci i postavlja datoteku [KAKO OPORAVITI DATOTEKE].TXT svakoj mapi. Ova datoteka sadrži upute o tome kako dekriptirati datoteke, uključujući poveznicu na web mjesto gdje žrtva mora unijeti jedinstveni ID i primiti podatke o plaćanju:

Otvaranje ProLocka: analiza radnji operatera novog ransomwarea pomoću MITER ATT&CK matrice
Svaka instanca ProLocka sadrži podatke o iznosu otkupnine - u ovom slučaju 35 bitcoina, što je otprilike 312 USD.

Zaključak

Mnogi operateri ransomwarea koriste slične metode za postizanje svojih ciljeva. U isto vrijeme, neke tehnike su jedinstvene za svaku skupinu. Trenutačno postoji sve veći broj kibernetičkih kriminalnih skupina koje koriste ransomware u svojim kampanjama. U nekim slučajevima, isti operateri mogu biti uključeni u napade koristeći različite obitelji ransomwarea, tako da ćemo sve više vidjeti preklapanje u taktikama, tehnikama i procedurama koje se koriste.

Mapiranje s MITER ATT&CK Mapiranjem

taktiku
Tehnika

Početni pristup (TA0001)
Vanjske udaljene usluge (T1133), prilog za lažno predstavljanje (T1193), veza za lažno predstavljanje (T1192)

Izvršenje (TA0002)
Powershell (T1086), skriptiranje (T1064), korisničko izvršavanje (T1204), instrumentacija za upravljanje sustavom Windows (T1047)

Postojanost (TA0003)
Ključevi za pokretanje registra / mapa za pokretanje (T1060), planirani zadatak (T1053), valjani računi (T1078)

Izbjegavanje obrane (TA0005)
Potpisivanje koda (T1116), demaskiranje/dekodiranje datoteka ili informacija (T1140), onemogućavanje sigurnosnih alata (T1089), brisanje datoteke (T1107), maskiranje (T1036), ubacivanje procesa (T1055)

Pristup vjerodajnicama (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)

Otkriće (TA0007)
Otkrivanje računa (T1087), otkrivanje povjerenja domene (T1482), otkrivanje datoteka i imenika (T1083), skeniranje mrežnih usluga (T1046), otkrivanje dijeljenja mreže (T1135), otkrivanje udaljenog sustava (T1018)

Bočno pomicanje (TA0008)
Protokol udaljene radne površine (T1076), daljinsko kopiranje datoteke (T1105), Windows administratorska dijeljenja (T1077)

Zbirka (TA0009)
Podaci iz lokalnog sustava (T1005), podaci s mrežnog dijeljenog pogona (T1039), podaci u fazama (T1074)

Zapovijedanje i kontrola (TA0011)
Često korišteni priključak (T1043), web usluga (T1102)

Eksfiltracija (TA0010)
Komprimirani podaci (T1002), prijenos podataka na račun u oblaku (T1537)

Udar (TA0040)
Podaci šifrirani za udar (T1486), zabrana oporavka sustava (T1490)

Izvor: www.habr.com

Dodajte komentar