ProHoster > Blog > Stjórnsýsla > Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið

Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið

Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið

Árangur lausnarhugbúnaðarárása á stofnanir um allan heim hvetur sífellt fleiri nýja árásarmenn til að komast inn í leikinn. Einn af þessum nýju leikmönnum er hópur sem notar ProLock lausnarhugbúnaðinn. Það birtist í mars 2020 sem arftaki PwndLocker forritsins, sem tók til starfa í lok árs 2019. ProLock lausnarhugbúnaðarárásir beinast fyrst og fremst að fjármála- og heilbrigðisstofnunum, ríkisstofnunum og smásölugeiranum. Nýlega réðust ProLock rekstraraðilar með góðum árangri á einn af stærstu hraðbankaframleiðendum, Diebold Nixdorf.

Í þessari færslu Oleg Skulkin, leiðandi sérfræðingur tölvuréttarrannsóknarstofu Group-IB, nær yfir grunnaðferðir, tækni og verklagsreglur (TTP) sem ProLock rekstraraðilar nota. Greininni lýkur með samanburði við MITER ATT&CK Matrix, opinberan gagnagrunn sem tekur saman markvissar árásaraðferðir sem notaðar eru af ýmsum netglæpahópum.

Að fá upphafsaðgang

ProLock rekstraraðilar nota tvo megin vektora fyrir aðal málamiðlun: QakBot (Qbot) Trójuverið og óvarða RDP netþjóna með veik lykilorð.

Málamiðlun með utanaðkomandi RDP netþjóni er afar vinsælt meðal rekstraraðila lausnarhugbúnaðar. Venjulega kaupa árásarmenn aðgang að netþjóni sem er í hættu af þriðja aðila, en hópmeðlimir geta einnig fengið hann á eigin spýtur.

Áhugaverðari vektor fyrir aðal málamiðlun er QakBot spilliforritið. Áður var þetta Tróverji tengdur annarri lausnarhugbúnaðarfjölskyldu - MegaCortex. Hins vegar er það nú notað af ProLock rekstraraðilum.

Venjulega er QakBot dreift með vefveiðaherferðum. Vefveiðatölvupóstur gæti innihaldið meðfylgjandi Microsoft Office skjal eða tengil á skrá sem staðsett er í skýjageymsluþjónustu, eins og Microsoft OneDrive.

Það eru líka þekkt tilvik um að QakBot hafi verið hlaðið öðrum Tróju, Emotet, sem er víða þekkt fyrir þátttöku sína í herferðum sem dreifðu Ryuk lausnarhugbúnaðinum.

Frammistaða

Eftir að hafa hlaðið niður og opnað sýkt skjal er notandinn beðinn um að leyfa fjölvi að keyra. Ef vel tekst til er PowerShell hleypt af stokkunum, sem gerir þér kleift að hlaða niður og keyra QakBot hleðsluna frá stjórn- og stjórnunarþjóninum.

Það er mikilvægt að hafa í huga að það sama á við um ProLock: farmurinn er dreginn út úr skránni BMP eða JPG og hlaðið inn í minni með PowerShell. Í sumum tilfellum er áætlað verkefni notað til að ræsa PowerShell.

Hópforskrift sem keyrir ProLock í gegnum verkefnaáætlunina:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Samþjöppun í kerfinu

Ef það er hægt að skerða RDP netþjóninn og fá aðgang, þá eru gildir reikningar notaðir til að fá aðgang að netinu. QakBot einkennist af ýmsum viðhengibúnaði. Oftast notar þetta Tróverji Run skrásetningarlykilinn og býr til verkefni í tímaáætluninni:

Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið
Festir Qakbot við kerfið með því að nota Run skrásetningarlykilinn

Í sumum tilfellum eru ræsingarmöppur einnig notaðar: þar er settur flýtileið sem vísar á ræsiforritið.

Hjáveituvörn

Með því að hafa samskipti við stjórn- og stjórnunarþjóninn reynir QakBot reglulega að uppfæra sjálfan sig, svo til að forðast uppgötvun getur spilliforritið skipt út sinni eigin núverandi útgáfu fyrir nýja. Keyranlegar skrár eru undirritaðar með málamiðlun eða fölsuð undirskrift. Upphaflega hlaðið sem PowerShell hleður er geymt á C&C þjóninum með viðbótinni PNG. Að auki, eftir framkvæmd er henni skipt út fyrir lögmæta skrá calc.exe.

Einnig, til að fela illgjarn virkni, notar QakBot tæknina við að dæla kóða inn í ferla, með því að nota explorer.exe.

Eins og getið er, er ProLock farmurinn falinn inni í skránni BMP eða JPG. Þetta má líka líta á sem aðferð til að komast framhjá vernd.

Að fá skilríki

QakBot hefur keylogger virkni. Að auki getur það hlaðið niður og keyrt viðbótarforskriftir, til dæmis Invoke-Mimikatz, PowerShell útgáfa af hinu fræga Mimikatz tóli. Slík forskrift geta verið notuð af árásarmönnum til að henda skilríkjum.

Netgreind

Eftir að hafa fengið aðgang að forréttindareikningum framkvæma ProLock rekstraraðilar netkönnun, sem getur falið í sér skönnun á höfnum og greiningu á Active Directory umhverfinu. Auk ýmissa forskrifta nota árásarmenn AdFind, annað tól sem er vinsælt meðal lausnarhugbúnaðarhópa, til að safna upplýsingum um Active Directory.

Kynning á neti

Hefð er fyrir því að ein vinsælasta aðferðin við kynningu á neti er Remote Desktop Protocol. ProLock var engin undantekning. Árásarmenn eru jafnvel með forskriftir í vopnabúrinu sínu til að fá fjaraðgang í gegnum RDP til að miða á gestgjafa.

BAT forskrift til að fá aðgang í gegnum RDP samskiptareglur:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Til að keyra smáforskriftir nota ProLock rekstraraðilar annað vinsælt tól, PsExec tólið úr Sysinternals Suite.

ProLock keyrir á vélum sem nota WMIC, sem er skipanalínuviðmót til að vinna með Windows Management Instrumentation undirkerfi. Þetta tól er einnig að verða sífellt vinsælli meðal rekstraraðila lausnarhugbúnaðar.

Gagnasafn

Eins og margir aðrir rekstraraðilar lausnarhugbúnaðar safnar hópurinn sem notar ProLock gögnum frá netkerfi sem er í hættu til að auka líkurnar á að fá lausnargjald. Fyrir úthreinsun eru safnað gögn geymd í geymslu með 7Zip tólinu.

Úthreinsun

Til að hlaða upp gögnum nota ProLock rekstraraðilar Rclone, skipanalínuverkfæri sem er hannað til að samstilla skrár við ýmsar skýgeymsluþjónustur eins og OneDrive, Google Drive, Mega o.s.frv. Árásarmenn endurnefna alltaf keyrsluskrána til að láta hana líta út eins og lögmætar kerfisskrár.

Ólíkt jafnöldrum þeirra hafa ProLock rekstraraðilar enn ekki sína eigin vefsíðu til að birta stolin gögn sem tilheyra fyrirtækjum sem neituðu að greiða lausnargjaldið.

Að ná lokamarkmiðinu

Þegar gögnin hafa verið fjarlægð, setur teymið ProLock í notkun um allt fyrirtækjanetið. Tvíundarskráin er dregin út úr skrá með endingunni PNG eða JPG með PowerShell og sprautað í minni:

Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið
Í fyrsta lagi lokar ProLock ferlunum sem tilgreind eru í innbyggða listanum (athyglisvert er að það notar aðeins sex stafi ferlisheitisins, svo sem "winwor"), og lokar þjónustu, þar með talið þeim sem tengjast öryggi, eins og CSFalconService ( CrowdStrike Falcon). með því að nota skipunina nettó stöðva.

Síðan, eins og með margar aðrar lausnarhugbúnaðarfjölskyldur, nota árásarmenn vssadmin til að eyða Windows skuggaafritum og takmarka stærð þeirra þannig að ný eintök verði ekki til:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock bætir við framlengingu .proLock, .pr0Lock eða .proL0ck við hverja dulkóðaða skrá og setur skrána [HVERNIG Á AÐ ENDURBAKA SKRÁAR].TXT í hverja möppu. Þessi skrá inniheldur leiðbeiningar um hvernig á að afkóða skrárnar, þar á meðal tengil á síðu þar sem fórnarlambið verður að slá inn einstakt auðkenni og fá greiðsluupplýsingar:

Opnun ProLock: greining á aðgerðum rekstraraðila nýja lausnarhugbúnaðarins með því að nota MITER ATT&CK fylkið
Hvert tilvik af ProLock inniheldur upplýsingar um lausnargjaldið - í þessu tilviki, 35 bitcoins, sem er um það bil $312.

Ályktun

Margir ransomware rekstraraðilar nota svipaðar aðferðir til að ná markmiðum sínum. Á sama tíma eru sumar aðferðir einstakar fyrir hvern hóp. Eins og er, er vaxandi fjöldi netglæpahópa sem nota lausnarhugbúnað í herferðum sínum. Í sumum tilfellum geta sömu rekstraraðilar tekið þátt í árásum með mismunandi fjölskyldum lausnarhugbúnaðar, þannig að við munum í auknum mæli sjá skörun í aðferðum, aðferðum og aðferðum sem notuð eru.

Kortlagning með MITER ATT&CK kortlagningu

Taktík
Tækni

Upphaflegur aðgangur (TA0001)
Ytri fjarþjónusta (T1133), Spearphishing viðhengi (T1193), Spearphishing Link (T1192)

Framkvæmd (TA0002)
Powershell (T1086), Scripting (T1064), Notendaframkvæmd (T1204), Windows stjórnunartæki (T1047)

Þrautseigja (TA0003)
Registry Run Keys / Startup Mappa (T1060), Áætlað verkefni (T1053), Gildir reikningar (T1078)

Defense Evasion (TA0005)
Kóðaundirskrift (T1116), Afmugga/afkóða skrár eða upplýsingar (T1140), Slökkva á öryggisverkfærum (T1089), Eyða skrá (T1107), Masquerading (T1036), Process Injection (T1055)

Skilríkisaðgangur (TA0006)
Skilríkislosun (T1003), Brute Force (T1110), Input Capture (T1056)

Discovery (TA0007)
Reikningsuppgötvun (T1087), Uppgötvun lénstrausts (T1482), Uppgötvun skráa og skráa (T1083), Netþjónustuskönnun (T1046), Uppgötvun nethlutdeildar (T1135), fjarkerfisuppgötvun (T1018)

Hliðarhreyfing (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

Safn (TA0009)
Gögn frá staðbundnu kerfi (T1005), Gögn frá samnýttu netdrifi (T1039), gagnasviðsett (T1074)

Stjórn og stjórn (TA0011)
Algengt notað port (T1043), vefþjónusta (T1102)

Úthreinsun (TA0010)
Gögn þjappuð (T1002), flytja gögn á skýjareikning (T1537)

Áhrif (TA0040)
Gögn dulkóðuð fyrir áhrif (T1486), hindra kerfisendurheimt (T1490)

Heimild: www.habr.com

Bæta við athugasemd