Siksè atak ransomware sou òganizasyon atravè mond lan ap pouse pi plis ak plis nouvo atakè antre nan jwèt la. Youn nan nouvo jwè sa yo se yon gwoup k ap itilize ransomware ProLock. Li te parèt nan mwa mas 2020 kòm siksesè nan pwogram PwndLocker, ki te kòmanse opere nan fen 2019. Atak ransomware ProLock vize prensipalman òganizasyon finansye ak swen sante, ajans gouvènman yo, ak sektè an detay. Dènyèman, operatè ProLock te atake avèk siksè youn nan pi gwo manifaktirè ATM yo, Diebold Nixdorf.
Nan pòs sa a Oleg Skulkin, dirijan espesyalis nan laboratwa legal òdinatè nan Gwoup-IB, kouvri taktik debaz yo, teknik ak pwosedi (TTPs) itilize pa operatè ProLock. Atik la fini ak yon konparezon ak MITRE ATT&CK Matrix, yon baz done piblik ki konpile taktik atak vize yo itilize pa divès gwoup cybercriminal.
Jwenn aksè inisyal
Operatè ProLock yo itilize de vektè prensipal konpwomi prensipal yo: Trojan QakBot (Qbot) ak sèvè RDP san pwoteksyon ak modpas fèb.
Konpwomi atravè yon sèvè RDP aksesib deyò se trè popilè nan mitan operatè ransomware. Tipikman, atakè achte aksè nan yon sèvè konpwomèt nan men twazyèm pati, men li kapab tou jwenn pa manm gwoup poukont yo.
Yon vektè pi enteresan nan konpwomi prensipal se malveyan QakBot la. Précédemment, Trojan sa a te asosye ak yon lòt fanmi ransomware - MegaCortex. Sepandan, li se kounye a itilize pa operatè ProLock.
Tipikman, QakBot distribye atravè kanpay èskrokri. Yon imèl èskrokri ka genyen yon dokiman Microsoft Office ki tache oswa yon lyen ki mennen nan yon dosye ki sitiye nan yon sèvis depo nwaj, tankou Microsoft OneDrive.
Genyen tou li te ye ka nan QakBot yo te chaje ak yon lòt Trojan, Emotet, ki se lajman li te ye pou patisipasyon li nan kanpay ki distribye Ryuk ransomware la.
Akonplisman
Apre telechaje ak louvri yon dokiman ki enfekte, itilizatè a mande pou pèmèt makro yo kouri. Si gen siksè, PowerShell lanse, ki pral pèmèt ou telechaje epi kouri chaj QakBot la soti nan sèvè lòd ak kontwòl.
Li enpòtan sonje ke menm bagay la tou aplike nan ProLock: se chaj la extrait nan dosye a BMP oswa JPG epi chaje nan memwa lè l sèvi avèk PowerShell. Nan kèk ka, yo itilize yon travay pwograme pou kòmanse PowerShell.
Pakèt script kouri ProLock atravè pwogramè travay la:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidasyon nan sistèm nan
Si li posib pou konpwomi sèvè RDP a ak jwenn aksè, Lè sa a, kont valab yo itilize pou jwenn aksè nan rezo a. QakBot karakterize pa yon varyete de mekanis atachman. Pi souvan, Trojan sa a sèvi ak kle nan rejis Run epi kreye travay nan pwogramè a:
Mete Qakbot nan sistèm lan lè l sèvi avèk kle rejis Run
Nan kèk ka, dosye demaraj yo itilize tou: yo mete yon chemen kout la ki montre bootloader la.
Bypass pwoteksyon
Lè QakBot kominike ak sèvè a kòmand ak kontwòl, detanzantan eseye mete ajou tèt li, kidonk yo nan lòd pou fè pou evite deteksyon, malveyan an ka ranplase pwòp vèsyon aktyèl li yo ak yon nouvo. Fichye ègzekutabl yo siyen ak yon siyati konpwomèt oswa fòje. Chaj inisyal ki chaje pa PowerShell estoke sou sèvè C&C ak ekstansyon an PNG. Anplis de sa, apre ekzekisyon li ranplase ak yon dosye lejitim calc.exe.
Epitou, pou kache aktivite move, QakBot sèvi ak teknik la nan enjekte kòd nan pwosesis, lè l sèvi avèk explorer.exe.
Kòm mansyone, chaj la ProLock kache andedan fichye a BMP oswa JPG. Sa a kapab tou konsidere kòm yon metòd pou kontoune pwoteksyon.
Jwenn kalifikasyon yo
QakBot gen fonksyon kelodje. Anplis de sa, li ka telechaje epi kouri script adisyonèl, pou egzanp, Invoke-Mimikatz, yon vèsyon PowerShell nan pi popilè sèvis piblik Mimikatz la. Scripts sa yo ka itilize pa atakè yo jete kalifikasyon.
Rezo entèlijans
Apre yo fin jwenn aksè nan kont privilejye, operatè ProLock fè rekonesans rezo a, ki ka gen ladan optik pò ak analiz anviwònman an Anyè Aktif. Anplis de divès kalite scripts, atakè yo itilize AdFind, yon lòt zouti popilè nan mitan gwoup ransomware, pou rasanble enfòmasyon sou Active Directory.
Pwomosyon rezo
Tradisyonèlman, youn nan metòd ki pi popilè pou pwomosyon rezo a se Pwotokòl Remote Desktop. ProLock pa t 'eksepsyon. Atakè yo menm gen scripts nan asenal yo pou jwenn aksè aleka atravè RDP pou sib lame yo.
Script BAT pou jwenn aksè atravè pwotokòl RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Pou egzekite scripts adistans, operatè ProLock sèvi ak yon lòt zouti popilè, sèvis piblik PsExec ki soti nan Sysinternals Suite.
ProLock kouri sou lame lè l sèvi avèk WMIC, ki se yon koòdone liy lòd pou travay ak subsistèm Windows Management Instrumentation. Zouti sa a ap vin de pli zan pli popilè tou nan mitan operatè ransomware.
Koleksyon done
Tankou anpil lòt operatè ransomware, gwoup la k ap itilize ProLock kolekte done ki sòti nan yon rezo konpwomèt pou ogmante chans pou yo resevwa yon ranson. Anvan eksfiltrasyon, done yo kolekte yo achiv lè l sèvi avèk sèvis piblik 7Zip la.
Eksfiltrasyon
Pou telechaje done, operatè ProLock yo itilize Rclone, yon zouti liy kòmand ki fèt pou senkronize dosye ak divès kalite sèvis depo nwaj tankou OneDrive, Google Drive, Mega, elatriye. Atakè yo toujou chanje non dosye ègzèkutabl la pou fè li sanble ak dosye sistèm lejitim.
Kontrèman ak kamarad yo, operatè ProLock toujou pa gen pwòp sit entènèt yo pou pibliye done yo vòlè ki fè pati konpayi ki refize peye ranson an.
Atenn objektif final la
Yon fwa done yo eksfiltre, ekip la deplwaye ProLock nan tout rezo antrepriz la. Fichye binè a ekstrè soti nan yon dosye ki gen ekstansyon an PNG oswa JPG lè l sèvi avèk PowerShell ak enjekte nan memwa:
Premye a tout, ProLock mete fen nan pwosesis yo espesifye nan lis entegre a (enteresan, li sèlman itilize sis lèt yo nan non pwosesis la, tankou "winwor"), epi mete fen nan sèvis, ki gen ladan sa ki gen rapò ak sekirite, tankou CSFalconService ( CrowdStrike Falcon) lè l sèvi avèk kòmandman an nèt sispann.
Lè sa a, menm jan ak anpil lòt fanmi ransomware, atakè yo itilize vsadmin pou efase kopi lonbraj Windows epi limite gwosè yo pou yo pa kreye nouvo kopi:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock ajoute ekstansyon .proLock, .pr0Lock oswa .proL0ck nan chak fichye chiffres epi mete fichye a [KOUMAN POU RETIRE FICHIYÈ].TXT nan chak katab. Fichye sa a gen enstriksyon sou fason pou dechifre dosye yo, tankou yon lyen ki mennen nan yon sit kote viktim nan dwe antre yon ID inik epi resevwa enfòmasyon sou peman:
Chak egzanp ProLock gen enfòmasyon sou kantite lajan ranson an - nan ka sa a, 35 bitcoins, ki se apeprè $ 312.
Konklizyon
Anpil operatè ransomware itilize metòd menm jan an pou reyalize objektif yo. An menm tan an, kèk teknik yo inik nan chak gwoup. Kounye a, gen yon nimewo k ap grandi nan gwoup sibèrkriminèl ki itilize ransomware nan kanpay yo. Nan kèk ka, menm operatè yo ka patisipe nan atak lè l sèvi avèk diferan fanmi ransomware, kidonk nou pral de pli zan pli wè sipèpoze nan taktik, teknik ak pwosedi yo itilize.
Map ak kat MITRE ATT&CK
Taktik
Technique
Aksè Inisyal (TA0001)
Sèvis Ekstèn Remote (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Egzekisyon (TA0002)
Powershell (T1086), Scripting (T1064), Egzekisyon itilizatè (T1204), Windows Management Instrumentation (T1047)
Pèsistans (TA0003)
Kle kouri rejis / Dosye demaraj (T1060), Travay ki pwograme (T1053), Kont Valab (T1078)
Evasyon defans (TA0005)
Siyen Kòd (T1116), Deobfuscate/Dekode Fichye oswa Enfòmasyon (T1140), Enfimite Zouti Sekirite (T1089), Efase Fichye (T1107), Masquerading (T1036), Piki Pwosesis (T1055)
Aksè kalifikasyon (TA0006)
Depoulman Credential (T1003), Brute Force (T1110), Antre Capture (T1056)
Dekouvèt (TA0007)
Dekouvèt Kont (T1087), Dekouvèt Trust Domèn (T1482), Dekouvèt Fichye ak Anyè (T1083), Dekouvèt Sèvis Rezo (T1046), Dekouvèt Pataje Rezo (T1135), Dekouvèt Sistèm Remote (T1018)
Mouvman Lateral (TA0008)
Pwotokòl Remote Desktop (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Koleksyon (TA0009)
Done ki soti nan Sistèm lokal (T1005), Done ki soti nan Rezo Kondwi pataje (T1039), Done Etap (T1074)
Kòmand ak kontwòl (TA0011)
Pò ki itilize souvan (T1043), Sèvis Entènèt (T1102)
Eksfiltrasyon (TA0010)
Done konprese (T1002), transfere done sou kont Cloud (T1537)
Enpak (TA0040)
Done ankripte pou enpak (T1486), anpeche sistèm rekiperasyon (T1490)
Sous: www.habr.com