Il successo degli attacchi ransomware contro le organizzazioni di tutto il mondo sta spingendo sempre più nuovi aggressori a mettersi in gioco. Uno di questi nuovi giocatori è un gruppo che utilizza il ransomware ProLock. È apparso nel marzo 2020 come successore del programma PwndLocker, entrato in funzione alla fine del 2019. Gli attacchi ransomware ProLock prendono di mira principalmente organizzazioni finanziarie e sanitarie, agenzie governative e il settore della vendita al dettaglio. Recentemente, gli operatori ProLock hanno attaccato con successo uno dei maggiori produttori di bancomat, Diebold Nixdorf.
In questo post Oleg Skulkin, specialista leader del Laboratorio di Informatica Forense del Gruppo-IB, copre le tattiche, le tecniche e le procedure di base (TTP) utilizzate dagli operatori ProLock. L'articolo si conclude con un confronto con MITRE ATT&CK Matrix, un database pubblico che raccoglie tattiche di attacco mirato utilizzate da vari gruppi di criminali informatici.
Ottenere l'accesso iniziale
Gli operatori ProLock utilizzano due principali vettori di compromissione primaria: il trojan QakBot (Qbot) e server RDP non protetti con password deboli.
La compromissione tramite un server RDP accessibile dall'esterno è estremamente popolare tra gli operatori di ransomware. Solitamente gli aggressori acquistano l'accesso a un server compromesso da terzi, ma possono anche ottenerlo da soli i membri del gruppo.
Un vettore di compromissione primaria più interessante è il malware QakBot. In precedenza, questo trojan era associato a un'altra famiglia di ransomware: MegaCortex. Tuttavia, ora viene utilizzato dagli operatori ProLock.
In genere, QakBot viene distribuito tramite campagne di phishing. Un'e-mail di phishing può contenere un documento di Microsoft Office allegato o un collegamento a un file situato in un servizio di archiviazione cloud, come Microsoft OneDrive.
Sono noti anche casi in cui QakBot è stato caricato con un altro trojan, Emotet, ampiamente noto per la sua partecipazione a campagne di distribuzione del ransomware Ryuk.
esecuzione
Dopo aver scaricato e aperto un documento infetto, all'utente viene richiesto di consentire l'esecuzione delle macro. In caso di successo, viene avviato PowerShell, che consentirà di scaricare ed eseguire il payload QakBot dal server di comando e controllo.
È importante notare che lo stesso vale per ProLock: il carico utile viene estratto dal file BMP o JPG e caricato in memoria utilizzando PowerShell. In alcuni casi, per avviare PowerShell viene utilizzata un'attività pianificata.
Script batch che esegue ProLock tramite l'utilità di pianificazione:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batConsolidamento nel sistema
Se è possibile compromettere il server RDP e ottenere l'accesso, vengono utilizzati account validi per ottenere l'accesso alla rete. QakBot è caratterizzato da una varietà di meccanismi di attaccamento. Molto spesso, questo Trojan utilizza la chiave di registro Esegui e crea attività nello scheduler:
Bloccare Qakbot sul sistema utilizzando la chiave di registro Esegui
In alcuni casi vengono utilizzate anche le cartelle di avvio: lì viene inserito un collegamento che punta al bootloader.
Protezione bypass
Comunicando con il server di comando e controllo, QakBot tenta periodicamente di aggiornarsi, quindi per evitare di essere rilevato, il malware può sostituire la propria versione attuale con una nuova. I file eseguibili vengono firmati con una firma compromessa o contraffatta. Il payload iniziale caricato da PowerShell viene archiviato sul server C&C con l'estensione PNG. Inoltre, dopo l'esecuzione viene sostituito con un file legittimo calc.exe.
Inoltre, per nascondere attività dannose, QakBot utilizza la tecnica di inserire codice nei processi, utilizzando explorer.exe.
Come accennato, il payload ProLock è nascosto all'interno del file BMP o JPG. Questo può anche essere considerato un metodo per aggirare la protezione.
Ottenimento delle credenziali
QakBot ha funzionalità keylogger. Inoltre, può scaricare ed eseguire script aggiuntivi, ad esempio Invoke-Mimikatz, una versione PowerShell della famosa utility Mimikatz. Tali script possono essere utilizzati dagli aggressori per scaricare le credenziali.
Network intelligence
Dopo aver ottenuto l'accesso agli account privilegiati, gli operatori ProLock eseguono la ricognizione della rete, che può includere la scansione delle porte e l'analisi dell'ambiente Active Directory. Oltre a vari script, gli aggressori utilizzano AdFind, un altro strumento popolare tra i gruppi di ransomware, per raccogliere informazioni su Active Directory.
Promozione della rete
Tradizionalmente, uno dei metodi più popolari di promozione della rete è il protocollo Desktop remoto. ProLock non ha fatto eccezione. Gli aggressori dispongono anche di script nel loro arsenale per ottenere l'accesso remoto tramite RDP agli host presi di mira.
Script BAT per accedere tramite protocollo RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Per eseguire script in remoto, gli operatori ProLock utilizzano un altro strumento popolare, l'utilità PsExec della suite Sysinternals.
ProLock viene eseguito su host utilizzando WMIC, un'interfaccia a riga di comando per l'utilizzo del sottosistema Strumentazione gestione Windows. Lo strumento sta diventando sempre più popolare anche tra gli operatori di ransomware.
Raccolta dati
Come molti altri operatori di ransomware, il gruppo che utilizza ProLock raccoglie dati da una rete compromessa per aumentare le possibilità di ricevere un riscatto. Prima dell'esfiltrazione, i dati raccolti vengono archiviati utilizzando l'utilità 7Zip.
Esfiltrazione
Per caricare i dati, gli operatori ProLock utilizzano Rclone, uno strumento da riga di comando progettato per sincronizzare i file con vari servizi di archiviazione cloud come OneDrive, Google Drive, Mega, ecc. Gli aggressori rinominano sempre il file eseguibile per farlo sembrare file di sistema legittimi.
A differenza dei loro colleghi, gli operatori ProLock non dispongono ancora di un proprio sito web per pubblicare i dati rubati appartenenti ad aziende che si sono rifiutate di pagare il riscatto.
Raggiungere l'obiettivo finale
Una volta esfiltrati i dati, il team distribuisce ProLock in tutta la rete aziendale. Il file binario viene estratto da un file con estensione PNG o JPG utilizzando PowerShell e inserito in memoria:
Prima di tutto, ProLock termina i processi specificati nell'elenco integrato (è interessante notare che utilizza solo le sei lettere del nome del processo, come "winwor") e termina i servizi, compresi quelli relativi alla sicurezza, come CSFalconService ( CrowdStrike Falcon) utilizzando il comando fermata netta.
Quindi, come con molte altre famiglie di ransomware, gli aggressori utilizzano vssadmin per eliminare le copie shadow di Windows e limitarne le dimensioni in modo che non vengano create nuove copie:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock aggiunge estensione .proLock, .pr0Lock o .proL0ck a ciascun file crittografato e inserisce il file [COME RECUPERARE I FILE].TXT a ciascuna cartella. Questo file contiene istruzioni su come decrittografare i file, incluso un collegamento a un sito in cui la vittima deve inserire un ID univoco e ricevere informazioni di pagamento:
Ogni istanza di ProLock contiene informazioni sull'importo del riscatto, in questo caso 35 bitcoin, ovvero circa 312 dollari.
conclusione
Molti operatori di ransomware utilizzano metodi simili per raggiungere i propri obiettivi. Allo stesso tempo, alcune tecniche sono uniche per ciascun gruppo. Attualmente, c’è un numero crescente di gruppi criminali informatici che utilizzano ransomware nelle loro campagne. In alcuni casi, gli stessi operatori potrebbero essere coinvolti in attacchi che utilizzano diverse famiglie di ransomware, quindi assisteremo sempre più a sovrapposizioni nelle tattiche, nelle tecniche e nelle procedure utilizzate.
Mappatura con mappatura MITRE ATT&CK
tattica
Tecnica
Accesso iniziale (TA0001)
Servizi remoti esterni (T1133), Allegato spearphishing (T1193), Collegamento spearphishing (T1192)
Esecuzione (TA0002)
Powershell (T1086), Scripting (T1064), Esecuzione utente (T1204), Strumentazione gestione Windows (T1047)
Persistenza (TA0003)
Chiavi di esecuzione del registro/cartella di avvio (T1060), attività pianificata (T1053), account validi (T1078)
Evasione della Difesa (TA0005)
Firma codice (T1116), Deoffuscamento/Decodifica file o informazioni (T1140), Disattivazione strumenti di sicurezza (T1089), Eliminazione file (T1107), Mascheramento (T1036), Inserimento processi (T1055)
Accesso credenziali (TA0006)
Dumping credenziali (T1003), Forza bruta (T1110), Acquisizione input (T1056)
Scoperta (TA0007)
Individuazione account (T1087), Individuazione trust di dominio (T1482), Individuazione file e directory (T1083), Scansione servizio di rete (T1046), Individuazione condivisione di rete (T1135), Individuazione sistema remoto (T1018)
Movimento laterale (TA0008)
Protocollo Desktop remoto (T1076), Copia file remota (T1105), Condivisioni amministratore Windows (T1077)
Collezione (TA0009)
Dati dal sistema locale (T1005), Dati dall'unità di rete condivisa (T1039), Dati organizzati (T1074)
Comando e controllo (TA0011)
Porta comunemente utilizzata (T1043), Servizio Web (T1102)
Esfiltrazione (TA0010)
Dati compressi (T1002), Trasferimento dati su account cloud (T1537)
Impatto (TA0040)
Dati crittografati per Impact (T1486), Inibisci ripristino del sistema (T1490)
Fonte: habr.com