Աշխարհի կազմակերպությունների վրա փրկագին հարձակումների հաջողությունը ավելի ու ավելի շատ նոր հարձակվողների է դրդում մտնել խաղի մեջ: Այս նոր խաղացողներից մեկը ProLock փրկագին օգտագործող խումբ է: Այն հայտնվեց 2020 թվականի մարտին որպես PwndLocker ծրագրի իրավահաջորդ, որը սկսեց գործել 2019 թվականի վերջին։ ProLock ransomware հարձակումները հիմնականում ուղղված են ֆինանսական և առողջապահական կազմակերպություններին, պետական գործակալություններին և մանրածախ առևտրի ոլորտին: Վերջերս ProLock օպերատորները հաջողությամբ հարձակվեցին բանկոմատների խոշորագույն արտադրողներից մեկի՝ Diebold Nixdorf-ի վրա։
Այս գրառման մեջ Օլեգ Սկուլկին, Group-IB-ի համակարգչային դատաբժշկական փորձաքննության լաբորատորիայի առաջատար մասնագետ, ընդգրկում է ProLock օպերատորների կողմից օգտագործվող հիմնական մարտավարությունը, տեխնիկան և ընթացակարգերը (TTP): Հոդվածն ավարտվում է MITER ATT&CK Matrix-ի՝ հանրային տվյալների բազայի համեմատությամբ, որը կազմում է թիրախային հարձակման մարտավարությունը, որն օգտագործվում է տարբեր կիբերհանցագործական խմբերի կողմից:
Ստանալով նախնական մուտք
ProLock օպերատորներն օգտագործում են առաջնային փոխզիջման երկու հիմնական վեկտոր՝ QakBot (Qbot) տրոյան և թույլ գաղտնաբառերով անպաշտպան RDP սերվերներ:
Արտաքինից հասանելի RDP սերվերի միջոցով փոխզիջումը չափազանց տարածված է փրկագին օպերատորների շրջանում: Սովորաբար, հարձակվողները երրորդ կողմերից գնում են մուտք դեպի վտանգված սերվեր, սակայն այն կարող է ձեռք բերել նաև խմբի անդամները ինքնուրույն:
Առաջնային փոխզիջման ավելի հետաքրքիր վեկտորը QakBot չարամիտ ծրագիրն է: Նախկինում այս տրոյան կապված էր փրկագինների մեկ այլ ընտանիքի՝ MegaCortex-ի հետ: Այնուամենայնիվ, այն այժմ օգտագործվում է ProLock օպերատորների կողմից:
Որպես կանոն, QakBot-ը բաշխվում է ֆիշինգ արշավների միջոցով: Ֆիշինգի նամակը կարող է պարունակել կցված Microsoft Office փաստաթուղթ կամ հղում դեպի ֆայլ, որը գտնվում է ամպային պահեստավորման ծառայությունում, ինչպիսին է Microsoft OneDrive-ը:
Հայտնի են նաև դեպքեր, երբ QakBot-ը բեռնված է մեկ այլ տրոյանով՝ Emotet-ով, որը լայնորեն հայտնի է Ryuk փրկագին տարածող արշավներին իր մասնակցությամբ:
Իրականացում
Վարակված փաստաթուղթը ներբեռնելուց և բացելուց հետո օգտատիրոջը առաջարկվում է թույլ տալ մակրոների գործարկումը: Հաջողության դեպքում գործարկվում է PowerShell-ը, որը թույլ կտա Ձեզ ներբեռնել և գործարկել QakBot-ի օգտակար բեռը հրամանի և կառավարման սերվերից:
Կարևոր է նշել, որ նույնը վերաբերում է ProLock-ին. օգտակար բեռը հանվում է ֆայլից BMP կամ JPG և բեռնված հիշողության մեջ՝ օգտագործելով PowerShell: Որոշ դեպքերում PowerShell-ը գործարկելու համար օգտագործվում է պլանավորված առաջադրանք:
Խմբաքանակի սկրիպտը, որն աշխատում է ProLock-ով առաջադրանքների ժամանակացույցի միջոցով.
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batՀամակարգում համախմբում
Եթե հնարավոր է վտանգի ենթարկել RDP սերվերը և մուտք գործել, ապա ցանց մուտք գործելու համար օգտագործվում են վավեր հաշիվներ: QakBot-ը բնութագրվում է կցման մեխանիզմների բազմազանությամբ: Ամենից հաճախ այս տրոյան օգտագործում է Run ռեեստրի բանալին և առաջադրանքներ է ստեղծում ժամանակացույցում.
Qakbot-ը ամրացնելով համակարգին՝ օգտագործելով «Գործարկել» ռեեստրի ստեղնը
Որոշ դեպքերում օգտագործվում են նաև գործարկման թղթապանակներ. այնտեղ տեղադրվում է դյուրանցում, որը մատնանշում է բեռնիչը:
Շրջանցման պաշտպանություն
Շփվելով հրամանի և կառավարման սերվերի հետ՝ QakBot-ը պարբերաբար փորձում է թարմացնել ինքն իրեն, ուստի հայտնաբերումից խուսափելու համար չարամիտ ծրագիրը կարող է փոխարինել իր ներկայիս տարբերակը նորով։ Գործարկվող ֆայլերը ստորագրվում են վնասված կամ կեղծված ստորագրությամբ: PowerShell-ի կողմից բեռնված սկզբնական ծանրաբեռնվածությունը պահվում է C&C սերվերում՝ ընդլայնմամբ PNG. Բացի այդ, կատարումից հետո այն փոխարինվում է օրինական ֆայլով calc.exe- ն.
Բացի այդ, վնասակար գործունեությունը թաքցնելու համար QakBot-ն օգտագործում է պրոցեսների մեջ ծածկագիրը ներարկելու տեխնիկան՝ օգտագործելով explorer.exe- ն.
Ինչպես նշվեց, ProLock ծանրաբեռնվածությունը թաքնված է ֆայլի ներսում BMP կամ JPG. Սա նույնպես կարելի է դիտարկել որպես պաշտպանությունը շրջանցելու մեթոդ։
Հավատարմագրերի ձեռքբերում
QakBot-ն ունի keylogger ֆունկցիոնալություն: Բացի այդ, այն կարող է ներբեռնել և գործարկել լրացուցիչ սկրիպտներ, օրինակ՝ Invoke-Mimikatz, հայտնի Mimikatz կոմունալ ծրագրի PowerShell տարբերակը: Նման սցենարները կարող են օգտագործվել հարձակվողների կողմից՝ հավատարմագրերը թափելու համար:
Ցանցային հետախուզություն
Արտոնյալ հաշիվներին հասանելիություն ստանալուց հետո ProLock օպերատորները կատարում են ցանցի հետախուզություն, որը կարող է ներառել նավահանգիստների սկանավորում և Active Directory միջավայրի վերլուծություն: Բացի տարբեր սկրիպտներից, հարձակվողներն օգտագործում են AdFind-ը՝ փրկագին ծրագրերի խմբերում տարածված մեկ այլ գործիք, Active Directory-ի մասին տեղեկատվություն հավաքելու համար:
Ցանցի առաջխաղացում
Ավանդաբար, ցանցի առաջխաղացման ամենահայտնի մեթոդներից մեկը Remote Desktop Protocol-ն է: ProLock-ը բացառություն չէր: Հարձակվողները նույնիսկ իրենց զինանոցում ունեն սկրիպտներ՝ RDP-ի միջոցով հեռակա հասանելիություն ձեռք բերելու համար՝ ուղղված հյուրընկալողներին:
BAT սկրիպտ՝ RDP արձանագրության միջոցով մուտք ստանալու համար.
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Սկրիպտները հեռակա կարգով գործարկելու համար ProLock օպերատորներն օգտագործում են մեկ այլ հանրաճանաչ գործիք՝ PsExec կոմունալը Sysinternals Suite-ից:
ProLock-ն աշխատում է հոսթինգների վրա՝ օգտագործելով WMIC, որը հրամանի տող է Windows Management Instrumentation ենթահամակարգի հետ աշխատելու համար: Այս գործիքը նույնպես ավելի ու ավելի տարածված է դառնում փրկագին ծրագրերի օպերատորների շրջանում:
Տվյալների հավաքագրումը
Ինչպես շատ այլ փրկագին օպերատորներ, ProLock օգտագործող խումբը տվյալներ է հավաքում վտանգված ցանցից՝ մեծացնելու փրկագին ստանալու իրենց հնարավորությունները: Նախքան էքզֆիլտրացիան, հավաքագրված տվյալները արխիվացվում են՝ օգտագործելով 7Zip կոմունալ ծրագիրը:
Էքզֆիլտրացիա
Տվյալներ վերբեռնելու համար ProLock օպերատորներն օգտագործում են Rclone՝ հրամանի տող գործիք, որը նախատեսված է ֆայլերը համաժամեցնելու տարբեր ամպային պահպանման ծառայությունների հետ, ինչպիսիք են OneDrive-ը, Google Drive-ը, Mega-ն և այլն: Հարձակվողները միշտ վերանվանում են գործարկվող ֆայլը՝ այն նմանեցնելու օրինական համակարգի ֆայլերին:
Ի տարբերություն իրենց հասակակիցների, ProLock օպերատորները դեռևս չունեն իրենց սեփական վեբկայքը՝ հրապարակելու այն ընկերություններին պատկանող գողացված տվյալները, որոնք հրաժարվել են վճարել փրկագինը:
Վերջնական նպատակին հասնելը
Տվյալների արտազատումից հետո թիմը ProLock-ը տեղակայում է ձեռնարկությունների ցանցում: Երկուական ֆայլը հանվում է ընդլայնումով ֆայլից PNG կամ JPG օգտագործելով PowerShell և ներարկվել հիշողության մեջ.
Նախևառաջ, ProLock-ը դադարեցնում է ներկառուցված ցանկում նշված գործընթացները (հետաքրքիր է, որ այն օգտագործում է միայն գործընթացի անվանման վեց տառերը, օրինակ՝ «winwor»), և դադարեցնում է ծառայությունները, այդ թվում՝ անվտանգության հետ կապված, օրինակ՝ CSFalconService ( CrowdStrike Falcon): օգտագործելով հրամանը ցանցի կանգառ.
Այնուհետև, ինչպես շատ այլ փրկագինների ընտանիքների դեպքում, հարձակվողներն օգտագործում են vssadmin Windows-ի ստվերային պատճենները ջնջելու և դրանց չափը սահմանափակելու համար, որպեսզի նոր պատճեններ չստեղծվեն.
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock-ն ավելացնում է ընդլայնում .proLock, .pr0Lock կամ .proL0ck յուրաքանչյուր կոդավորված ֆայլի վրա և տեղադրում է ֆայլը [ԻՆՉՊԵՍ ՎԵՐԱԿԱՆԳՆԵԼ ՖԱՅԼԵՐԸ].TXT յուրաքանչյուր թղթապանակին: Այս ֆայլը պարունակում է հրահանգներ, թե ինչպես վերծանել ֆայլերը, ներառյալ հղումը դեպի կայք, որտեղ տուժողը պետք է մուտքագրի եզակի ID և ստանա վճարման մասին տեղեկատվություն.
ProLock-ի յուրաքանչյուր օրինակ պարունակում է տեղեկատվություն փրկագնի գումարի մասին՝ այս դեպքում՝ 35 բիթքոյն, որը մոտավորապես կազմում է $312:
Ամփոփում
Փրկագին ծրագրերի շատ օպերատորներ օգտագործում են նմանատիպ մեթոդներ իրենց նպատակներին հասնելու համար: Միևնույն ժամանակ, որոշ տեխնիկա յուրահատուկ է յուրաքանչյուր խմբի համար: Ներկայումս աճում է կիբերհանցագործ խմբերի թիվը, որոնք օգտագործում են փրկագին իրենց արշավներում: Որոշ դեպքերում, նույն օպերատորները կարող են ներգրավված լինել փրկագինների տարբեր ընտանիքների օգտագործմամբ հարձակումներում, ուստի մենք ավելի ու ավելի շատ կտեսնենք կիրառվող մարտավարության, տեխնիկայի և ընթացակարգերի համընկնումը:
Քարտեզագրում MITER ATT&CK քարտեզագրմամբ
Մարտավարություն
Տեխնիկա
Սկզբնական մուտք (TA0001)
Արտաքին հեռակառավարման ծառայություններ (T1133), սպիրֆիշինգի կցորդ (T1193), նիզակային կապ (T1192)
Կատարում (TA0002)
Powershell (T1086), սցենարի ստեղծում (T1064), Օգտագործողի կատարում (T1204), Windows կառավարման գործիքավորում (T1047)
Համառություն (TA0003)
Ռեեստրի գործարկման բանալիներ / գործարկման թղթապանակ (T1060), պլանավորված առաջադրանք (T1053), վավեր հաշիվներ (T1078)
Պաշտպանությունից խուսափելը (TA0005)
Կոդի ստորագրում (T1116), Ֆայլերի կամ տեղեկատվության ապաբուսականացում/վերծանում (T1140), Անվտանգության գործիքների անջատում (T1089), ֆայլերի ջնջում (T1107), դիմակահանում (T1036), գործընթացի ներարկում (T1055)
Հավատարմագրերի մուտք (TA0006)
Հավատարմագրերի հեռացում (T1003), կոպիտ ուժ (T1110), մուտքագրում (T1056)
Discovery (TA0007)
Հաշվի հայտնաբերում (T1087), տիրույթի վստահության հայտնաբերում (T1482), ֆայլերի և գրացուցակների հայտնաբերում (T1083), ցանցային ծառայության սկանավորում (T1046), ցանցի բաժնետոմսերի հայտնաբերում (T1135), համակարգի հեռավոր հայտնաբերում (T1018)
Կողմնակի շարժում (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Հավաքածու (TA0009)
Տվյալներ տեղական համակարգից (T1005), տվյալներ ցանցի ընդհանուր դրայվից (T1039), տվյալների փուլային (T1074)
Հրաման և վերահսկում (TA0011)
Սովորաբար օգտագործվող նավահանգիստ (T1043), վեբ ծառայություն (T1102)
Էքզֆիլտրացիա (TA0010)
Տվյալների սեղմված (T1002), Տվյալների փոխանցում ամպային հաշիվ (T1537)
Ազդեցություն (TA0040)
Տվյալները կոդավորված են ազդեցության համար (T1486), արգելակել համակարգի վերականգնումը (T1490)
Source: www.habr.com