A szervezeteket ért ransomware támadások sikere szerte a világon egyre több új támadót késztet arra, hogy beszálljon a játékba. Az egyik ilyen új játékos egy ProLock ransomware-t használó csoport. 2020 márciusában jelent meg a PwndLocker program utódjaként, amely 2019 végén kezdte meg működését. A ProLock ransomware támadások elsősorban a pénzügyi és egészségügyi szervezeteket, kormányzati szerveket és a kiskereskedelmi szektort célozzák. A közelmúltban a ProLock üzemeltetői sikeresen megtámadták az egyik legnagyobb ATM-gyártót, a Diebold Nixdorfot.
Ebben a bejegyzésben Oleg Skulkin, az IB Csoport Számítógépes Forensics Laboratóriumának vezető szakembere, lefedi a ProLock operátorok által használt alapvető taktikákat, technikákat és eljárásokat (TTP). A cikk a MITER ATT&CK Matrixhoz való összehasonlítással zárul, amely egy nyilvános adatbázis, amely különböző kiberbűnözői csoportok által használt célzott támadási taktikákat állít össze.
Kezdeti hozzáférés megszerzése
A ProLock operátorok az elsődleges kompromisszum két fő vektorát használják: a QakBot (Qbot) trójai programot és a nem védett RDP-kiszolgálókat gyenge jelszavakkal.
A külsőleg elérhető RDP-szerveren keresztüli kompromisszum rendkívül népszerű a ransomware-üzemeltetők körében. A támadók jellemzően harmadik féltől vásárolnak hozzáférést egy feltört szerverhez, de azt a csoport tagjai maguk is megszerezhetik.
Az elsődleges kompromisszum érdekesebb vektora a QakBot kártevő. Korábban ez a trójai egy másik zsarolóvírus-családhoz, a MegaCortexhez kapcsolódott. Most azonban a ProLock operátorok használják.
A QakBot rendszerint adathalász kampányokon keresztül kerül terjesztésre. Az adathalász e-mail tartalmazhat csatolt Microsoft Office-dokumentumot vagy hivatkozást egy felhőalapú tárolási szolgáltatásban, például a Microsoft OneDrive-ban található fájlra.
Ismertek olyan esetek is, amikor a QakBot-ot egy másik trójaival, az Emotettel töltötték fel, amely széles körben ismert a Ryuk ransomware-t terjesztő kampányokban való részvételéről.
végrehajtás
A fertőzött dokumentum letöltése és megnyitása után a felhasználónak engedélyeznie kell a makrók futtatását. Sikeres esetben elindul a PowerShell, amely lehetővé teszi a QakBot rakomány letöltését és futtatását a parancs- és vezérlőkiszolgálóról.
Fontos megjegyezni, hogy ugyanez vonatkozik a ProLockra is: a rakomány kivonatolása a fájlból történik BMP vagy JPG és PowerShell segítségével betöltjük a memóriába. Egyes esetekben ütemezett feladatot használnak a PowerShell elindításához.
A ProLockot futtató kötegelt szkript a feladatütemezőn keresztül:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonszolidáció a rendszerben
Ha lehetséges az RDP-kiszolgáló veszélyeztetése és hozzáférés, akkor a rendszer érvényes fiókokat használ a hálózathoz való hozzáféréshez. A QakBot-ot sokféle rögzítési mechanizmus jellemzi. Ez a trójai leggyakrabban a Run registry kulcsot használja, és feladatokat hoz létre az ütemezőben:
A Qakbot rögzítése a rendszerhez a Run registry kulcs használatával
Bizonyos esetekben indítási mappákat is használnak: ott egy parancsikont helyeznek el, amely a rendszertöltőre mutat.
Bypass védelem
A QakBot a parancs- és vezérlőszerverrel kommunikálva időnként megpróbálja frissíteni magát, így az észlelés elkerülése érdekében a kártevő lecserélheti saját jelenlegi verzióját egy újra. A végrehajtható fájlok feltört vagy hamisított aláírással vannak aláírva. A PowerShell által betöltött kezdeti hasznos adat a C&C-kiszolgálón tárolódik a bővítménnyel PNG. Ezenkívül a végrehajtás után a rendszer egy legitim fájlra cseréli calc.exe.
Ezenkívül a rosszindulatú tevékenységek elrejtésére a QakBot azt a technikát használja, hogy kódot fecskendez be a folyamatokba, és használja explorer.exe.
Mint már említettük, a ProLock rakomány a fájl belsejében van elrejtve BMP vagy JPG. Ez a védelem megkerülésének módszerének is tekinthető.
Hitelesítési adatok beszerzése
A QakBot rendelkezik keylogger funkcióval. Ezenkívül további szkripteket is letölthet és futtathat, például az Invoke-Mimikatz-t, a híres Mimikatz segédprogram PowerShell-változatát. Az ilyen szkripteket a támadók használhatják hitelesítő adatok kiíratására.
hálózati intelligencia
A kiváltságos fiókokhoz való hozzáférést követően a ProLock üzemeltetői hálózatfelderítést hajtanak végre, amely magában foglalhatja a portellenőrzést és az Active Directory környezet elemzését. A különböző szkriptek mellett a támadók a zsarolóvírus-csoportok körében népszerű AdFind-et használják az Active Directoryról való információgyűjtésre.
Hálózati promóció
Hagyományosan a hálózati promóció egyik legnépszerűbb módszere a Remote Desktop Protocol. A ProLock sem volt kivétel. A támadóknak még szkriptek is vannak az arzenáljukban, hogy távoli hozzáférést kapjanak az RDP-n keresztül a gazdagépek megcélzásához.
BAT szkript az RDP protokollon keresztüli hozzáféréshez:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
A szkriptek távoli végrehajtásához a ProLock operátorok egy másik népszerű eszközt, a Sysinternals Suite PsExec segédprogramját használják.
A ProLock a WMIC-et használó gazdagépeken fut, amely egy parancssori felület a Windows Management Instrumentation alrendszerrel való együttműködéshez. Ez az eszköz egyre népszerűbb a zsarolóvírus-kezelők körében is.
Adatgyűjtés
Sok más zsarolóprogram-üzemeltetőhöz hasonlóan a ProLockot használó csoport adatokat gyűjt egy feltört hálózatról, hogy növelje a váltságdíj elnyerésének esélyét. A kiszűrés előtt az összegyűjtött adatokat a 7Zip segédprogrammal archiváljuk.
Kiszűrés
Az adatok feltöltéséhez a ProLock operátorok az Rclone parancssori eszközt használják, amelyet arra terveztek, hogy szinkronizálja a fájlokat különböző felhőalapú tárolási szolgáltatásokkal, mint például a OneDrive, Google Drive, Mega stb. A támadók mindig átnevezik a végrehajtható fájlt, hogy az legitim rendszerfájloknak tűnjön.
Társaiktól eltérően a ProLock üzemeltetői továbbra sem rendelkeznek saját weboldallal, ahol közzétehetik a váltságdíjat megtagadó cégek ellopott adatait.
A végső cél elérése
Az adatok kiszűrése után a csapat a ProLockot a teljes vállalati hálózaton telepíti. A bináris fájl egy kiterjesztésű fájlból kerül kicsomagolásra PNG vagy JPG PowerShell használatával és a memóriába injektálva:
A ProLock mindenekelőtt leállítja a beépített listában megadott folyamatokat (érdekes, hogy csak a folyamat nevének hat betűjét használja, pl. "winwor"), és megszünteti a szolgáltatásokat, beleértve a biztonsággal kapcsolatosakat is, mint például a CSFalconService ( CrowdStrike Falcon). net stop.
Ezután, mint sok más zsarolóprogram-család esetében, a támadók is használják vssadmin a Windows árnyékmásolatok törléséhez és méretük korlátozásához, hogy ne jöjjön létre új másolat:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedA ProLock kiterjesztést ad hozzá .proLock, .pr0Lock vagy .proL0ck minden titkosított fájlhoz, és elhelyezi a fájlt [HOGYAN KELL VISSZAÁLLÍTNI FÁJLOKAT].TXT minden mappához. Ez a fájl utasításokat tartalmaz a fájlok visszafejtésére vonatkozóan, beleértve egy hivatkozást egy webhelyre, ahol az áldozatnak egyedi azonosítót kell megadnia, és fizetési információkat kell kapnia:
A ProLock minden példánya információkat tartalmaz a váltságdíj összegéről – ebben az esetben 35 bitcoin, ami körülbelül 312 000 dollár.
Következtetés
Sok zsarolóprogram-üzemeltető hasonló módszereket használ céljai elérése érdekében. Ugyanakkor egyes technikák mindegyik csoportban egyediek. Jelenleg egyre több kiberbűnözői csoport használ ransomware-t kampányaikban. Egyes esetekben ugyanazok az operátorok lehetnek érintettek a zsarolóvírusok különböző családját használó támadásokban, így egyre inkább átfedéseket fogunk látni az alkalmazott taktikákban, technikákban és eljárásokban.
Térképezés a MITER ATT&CK Mapping segítségével
taktika
Technika
Kezdeti hozzáférés (TA0001)
Külső távoli szolgáltatások (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Végrehajtás (TA0002)
Powershell (T1086), Scripting (T1064), felhasználói végrehajtás (T1204), Windows Management Instrumentation (T1047)
Kitartás (TA0003)
Rendszerleíró adatbázis futtatási kulcsai / Indítómappa (T1060), Ütemezett feladat (T1053), Érvényes fiókok (T1078)
Defense Evasion (TA0005)
Kód aláírás (T1116), fájlok vagy információk deobfuszkálása/dekódolása (T1140), biztonsági eszközök letiltása (T1089), fájltörlés (T1107), maszkolás (T1036), folyamatinjektálás (T1055)
Hitelesítési adatok hozzáférése (TA0006)
Hitelesítés-dömping (T1003), Brute Force (T1110), Bemenetrögzítés (T1056)
Discovery (TA0007)
Fiókfelderítés (T1087), Tartománymegbízhatóság-felderítés (T1482), Fájl- és címtárfelderítés (T1083), Hálózati szolgáltatás-ellenőrzés (T1046), Hálózati megosztás-felderítés (T1135), Távoli rendszerfelderítés (T1018)
Oldalirányú mozgás (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Gyűjtemény (TA0009)
Adatok a helyi rendszerről (T1005), adatok a hálózati meghajtóról (T1039), az adatok fokozatos (T1074)
Parancs és vezérlés (TA0011)
Gyakran használt port (T1043), webszolgáltatás (T1102)
Kiszűrés (TA0010)
Adatok tömörítve (T1002), adatok átvitele felhőfiókba (T1537)
Impact (TA0040)
Adatok titkosítva az ütés miatt (T1486), a rendszer-helyreállítás tiltása (T1490)
Forrás: will.com