ProHoster > blog > administrasi > Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK

Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK

Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK

Keberhasilan serangan ransomware terhadap organisasi di seluruh dunia mendorong semakin banyak penyerang baru yang ikut serta. Salah satu pemain baru ini adalah kelompok yang menggunakan ransomware ProLock. Muncul pada Maret 2020 sebagai penerus program PwndLocker yang mulai beroperasi pada akhir tahun 2019. Serangan ransomware ProLock terutama menargetkan organisasi keuangan dan layanan kesehatan, lembaga pemerintah, dan sektor ritel. Baru-baru ini, operator ProLock berhasil menyerang salah satu produsen ATM terbesar, Diebold Nixdorf.

Di postingan ini Oleg Skulkin, spesialis terkemuka di Laboratorium Forensik Komputer Group-IB, mencakup taktik, teknik, dan prosedur dasar (TTP) yang digunakan oleh operator ProLock. Artikel ini diakhiri dengan perbandingan dengan MITRE ATT&CK Matrix, sebuah database publik yang mengumpulkan taktik serangan bertarget yang digunakan oleh berbagai kelompok penjahat dunia maya.

Mendapatkan akses awal

Operator ProLock menggunakan dua vektor utama kompromi utama: Trojan QakBot (Qbot) dan server RDP yang tidak dilindungi dengan kata sandi yang lemah.

Kompromi melalui server RDP yang dapat diakses secara eksternal sangat populer di kalangan operator ransomware. Biasanya, penyerang membeli akses ke server yang disusupi dari pihak ketiga, tetapi akses tersebut juga dapat diperoleh sendiri oleh anggota grup.

Vektor kompromi utama yang lebih menarik adalah malware QakBot. Sebelumnya, Trojan ini dikaitkan dengan keluarga ransomware lain - MegaCortex. Namun, sekarang sudah digunakan oleh operator ProLock.

Biasanya, QakBot didistribusikan melalui kampanye phishing. Email phishing mungkin berisi lampiran dokumen Microsoft Office atau tautan ke file yang terletak di layanan penyimpanan cloud, seperti Microsoft OneDrive.

Ada juga kasus QakBot yang dimuat dengan Trojan lain, Emotet, yang dikenal luas karena partisipasinya dalam kampanye yang mendistribusikan ransomware Ryuk.

Eksekusi

Setelah mengunduh dan membuka dokumen yang terinfeksi, pengguna diminta untuk mengizinkan makro dijalankan. Jika berhasil, PowerShell diluncurkan, yang memungkinkan Anda mengunduh dan menjalankan muatan QakBot dari server perintah dan kontrol.

Penting untuk dicatat bahwa hal yang sama berlaku untuk ProLock: payload diekstraksi dari file BMP ΠΈΠ»ΠΈ JPG dan dimuat ke memori menggunakan PowerShell. Dalam beberapa kasus, tugas terjadwal digunakan untuk memulai PowerShell.

Skrip batch yang menjalankan ProLock melalui penjadwal tugas:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Konsolidasi dalam sistem

Jika memungkinkan untuk mengkompromikan server RDP dan mendapatkan akses, maka akun yang valid digunakan untuk mendapatkan akses ke jaringan. QakBot dicirikan oleh berbagai mekanisme lampiran. Paling sering, Trojan ini menggunakan kunci registri Run dan membuat tugas di penjadwal:

Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK
Menyematkan Qakbot ke sistem menggunakan kunci registri Jalankan

Dalam beberapa kasus, folder startup juga digunakan: ada pintasan yang menunjuk ke bootloader.

Lewati perlindungan

Dengan berkomunikasi dengan server perintah dan kontrol, QakBot secara berkala mencoba memperbarui dirinya sendiri, sehingga untuk menghindari deteksi, malware dapat mengganti versinya saat ini dengan yang baru. File yang dapat dieksekusi ditandatangani dengan tanda tangan yang disusupi atau dipalsukan. Payload awal yang dimuat oleh PowerShell disimpan di server C&C dengan ekstensi PNG. Selain itu, setelah dieksekusi, file tersebut diganti dengan file yang sah calc.exe.

Selain itu, untuk menyembunyikan aktivitas jahat, QakBot menggunakan teknik memasukkan kode ke dalam proses, menggunakan explorer.exe.

Seperti disebutkan, muatan ProLock disembunyikan di dalam file BMP ΠΈΠ»ΠΈ JPG. Ini juga dapat dianggap sebagai metode untuk melewati perlindungan.

Mendapatkan kredensial

QakBot memiliki fungsi keylogger. Selain itu, ia dapat mengunduh dan menjalankan skrip tambahan, misalnya, Invoke-Mimikatz, versi PowerShell dari utilitas Mimikatz yang terkenal. Skrip tersebut dapat digunakan oleh penyerang untuk membuang kredensial.

kecerdasan jaringan

Setelah mendapatkan akses ke akun istimewa, operator ProLock melakukan pengintaian jaringan, yang mungkin mencakup pemindaian port dan analisis lingkungan Direktori Aktif. Selain berbagai skrip, penyerang menggunakan AdFind, alat lain yang populer di kalangan kelompok ransomware, untuk mengumpulkan informasi tentang Active Directory.

Promosi jaringan

Secara tradisional, salah satu metode promosi jaringan yang paling populer adalah Remote Desktop Protocol. ProLock tidak terkecuali. Penyerang bahkan memiliki skrip untuk mendapatkan akses jarak jauh melalui RDP ke host target.

Skrip BAT untuk mendapatkan akses melalui protokol RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Untuk mengeksekusi skrip dari jarak jauh, operator ProLock menggunakan alat populer lainnya, utilitas PsExec dari Sysinternals Suite.

ProLock berjalan pada host yang menggunakan WMIC, yang merupakan antarmuka baris perintah untuk bekerja dengan subsistem Instrumentasi Manajemen Windows. Alat ini juga menjadi semakin populer di kalangan operator ransomware.

Pengumpulan data

Seperti banyak operator ransomware lainnya, grup yang menggunakan ProLock mengumpulkan data dari jaringan yang disusupi untuk meningkatkan peluang mereka menerima uang tebusan. Sebelum eksfiltrasi, data yang dikumpulkan diarsipkan menggunakan utilitas 7Zip.

Eksfiltrasi

Untuk mengunggah data, operator ProLock menggunakan Rclone, alat baris perintah yang dirancang untuk menyinkronkan file dengan berbagai layanan penyimpanan cloud seperti OneDrive, Google Drive, Mega, dll. Penyerang selalu mengganti nama file yang dapat dieksekusi agar terlihat seperti file sistem yang sah.

Berbeda dengan operator sejenisnya, operator ProLock masih belum memiliki situs web sendiri untuk mempublikasikan data curian milik perusahaan yang menolak membayar uang tebusan.

Mencapai tujuan akhir

Setelah data dieksfiltrasi, tim menyebarkan ProLock ke seluruh jaringan perusahaan. File biner diekstraksi dari file dengan ekstensi PNG ΠΈΠ»ΠΈ JPG menggunakan PowerShell dan disuntikkan ke memori:

Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK
Pertama-tama, ProLock menghentikan proses yang ditentukan dalam daftar bawaan (menariknya, ProLock hanya menggunakan enam huruf dari nama proses, seperti "winwor"), dan menghentikan layanan, termasuk yang terkait dengan keamanan, seperti CSFalconService ( CrowdStrike Falcon) menggunakan perintah berhenti bersih.

Kemudian, seperti banyak keluarga ransomware lainnya, penyerang menggunakannya vssadmin untuk menghapus salinan bayangan Windows dan membatasi ukurannya sehingga salinan baru tidak dibuat:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock menambahkan ekstensi .proLock, .pr0Kunci ΠΈΠ»ΠΈ .proL0ck ke setiap file terenkripsi dan menempatkan file tersebut [CARA MEMULIHKAN FILE].TXT ke setiap folder. File ini berisi instruksi bagaimana mendekripsi file, termasuk link ke situs dimana korban harus memasukkan ID unik dan menerima informasi pembayaran:

Membuka ProLock: analisis tindakan operator ransomware baru menggunakan matriks MITRE ATT&CK
Setiap contoh ProLock berisi informasi tentang jumlah tebusan - dalam hal ini, 35 bitcoin, yaitu sekitar $312.

Kesimpulan

Banyak operator ransomware menggunakan metode serupa untuk mencapai tujuan mereka. Pada saat yang sama, beberapa teknik bersifat unik untuk setiap kelompok. Saat ini, semakin banyak kelompok penjahat dunia maya yang menggunakan ransomware dalam kampanyenya. Dalam beberapa kasus, operator yang sama mungkin terlibat dalam serangan menggunakan jenis ransomware yang berbeda, sehingga kita akan semakin sering melihat tumpang tindih dalam taktik, teknik, dan prosedur yang digunakan.

Pemetaan dengan Pemetaan MITRE ATT&CK

Taktik
Teknik

Akses Awal (TA0001)
Layanan Jarak Jauh Eksternal (T1133), Lampiran Spearphishing (T1193), Tautan Spearphishing (T1192)

Eksekusi (TA0002)
Powershell (T1086), Scripting (T1064), Eksekusi Pengguna (T1204), Instrumentasi Manajemen Windows (T1047)

Kegigihan (TA0003)
Kunci Jalankan Registri / Folder Startup (T1060), Tugas Terjadwal (T1053), Akun Valid (T1078)

Penghindaran Pertahanan (TA0005)
Penandatanganan Kode (T1116), Deobfuscate/Decode File atau Informasi (T1140), Menonaktifkan Alat Keamanan (T1089), Penghapusan File (T1107), Penyamaran (T1036), Proses Injeksi (T1055)

Akses Kredensial (TA0006)
Pembuangan Kredensial (T1003), Brute Force (T1110), Pengambilan Input (T1056)

Penemuan (TA0007)
Penemuan Akun (T1087), Penemuan Kepercayaan Domain (T1482), Penemuan File dan Direktori (T1083), Pemindaian Layanan Jaringan (T1046), Penemuan Berbagi Jaringan (T1135), Penemuan Sistem Jarak Jauh (T1018)

Gerakan Menyamping (TA0008)
Protokol Desktop Jarak Jauh (T1076), Salinan File Jarak Jauh (T1105), Berbagi Admin Windows (T1077)

Koleksi (TA0009)
Data dari Sistem Lokal (T1005), Data dari Drive Bersama Jaringan (T1039), Data Bertahap (T1074)

Komando dan Kontrol (TA0011)
Port yang Biasa Digunakan (T1043), Layanan Web (T1102)

Eksfiltrasi (TA0010)
Data Terkompresi (T1002), Transfer Data ke Akun Cloud (T1537)

Dampak (TA0040)
Data Dienkripsi untuk Dampak (T1486), Menghambat Pemulihan Sistem (T1490)

Sumber: www.habr.com

Tambah komentar