🥇חשוף ProLock: ניתוח הפעולות של מפעילי תוכנת הכופר החדשה באמצעות מטריצת MITER ATT&CK

הצלחתן של התקפות כופר על ארגונים ברחבי העולם גורמת ליותר ויותר תוקפים חדשים להיכנס למשחק. אחד השחקנים החדשים הללו הוא קבוצה המשתמשת בתוכנת הכופר של ProLock. היא הופיעה במרץ 2020 כיורשת של תוכנית PwndLocker, שהחלה לפעול בסוף 2019. התקפות כופר של ProLock מכוונות בעיקר לארגונים פיננסיים ובריאותיים, לסוכנויות ממשלתיות ולמגזר הקמעונאי. לאחרונה, מפעילי ProLock תקפו בהצלחה את אחד מיצרני הכספומטים הגדולים ביותר, Diebold Nixdorf.

בפוסט הזה אולג סקולקין, מומחה מוביל של המעבדה לזיהוי פלילי מחשבים של Group-IB, מכסה את הטקטיקות, הטכניקות והנהלים הבסיסיים (TTPs) המשמשים את מפעילי ProLock. המאמר מסתיים בהשוואה ל-MITER ATT&CK Matrix, מסד נתונים ציבורי המרכז טקטיקות תקיפה ממוקדות המשמשות קבוצות פושעי סייבר שונות.

קבלת גישה ראשונית

מפעילי ProLock משתמשים בשני וקטורים עיקריים של פשרה ראשונית: הטרויאני QakBot (Qbot) ושרתי RDP לא מוגנים עם סיסמאות חלשות.

פשרה באמצעות שרת RDP נגיש חיצונית פופולרית ביותר בקרב מפעילי תוכנות כופר. בדרך כלל, תוקפים קונים גישה לשרת שנפרץ מצדדים שלישיים, אך חברי הקבוצה יכולים להשיג אותה גם בעצמם.

וקטור מעניין יותר של פשרה ראשונית הוא תוכנת זדונית QakBot. בעבר, הטרויאני הזה היה קשור למשפחה אחרת של תוכנות כופר - MegaCortex. עם זאת, הוא נמצא כעת בשימוש על ידי מפעילי ProLock.

בדרך כלל, QakBot מופץ באמצעות מסעות פרסום דיוג. הודעת דיוג עשויה להכיל מסמך מצורף של Microsoft Office או קישור לקובץ שנמצא בשירות אחסון בענן, כגון Microsoft OneDrive.

ידועים גם מקרים של טעינת QakBot עם טרויאני אחר, Emotet, הידוע בהשתתפותו בקמפיינים שהפיצו את תוכנת הכופר Ryuk.

הגשמה

לאחר הורדה ופתיחת מסמך נגוע, המשתמש מתבקש לאפשר פקודות מאקרו לפעול. אם זה מצליח, PowerShell מופעלת, שתאפשר לך להוריד ולהפעיל את מטען QakBot משרת הפקודה והבקרה.

חשוב לציין שאותו הדבר חל על ProLock: המטען נמשך מהקובץ BMP או JPG ונטען לזיכרון באמצעות PowerShell. במקרים מסוימים, נעשה שימוש במשימה מתוזמנת כדי להפעיל את PowerShell.

סקריפט אצווה המריץ את ProLock דרך מתזמן המשימות:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

קונסולידציה במערכת

אם אפשר לסכן את שרת RDP ולקבל גישה, אז נעשה שימוש בחשבונות חוקיים כדי לקבל גישה לרשת. QakBot מאופיין במגוון מנגנוני התקשרות. לרוב, טרויאני זה משתמש במפתח הרישום Run ויוצר משימות במתזמן:

הצמדת Qakbot למערכת באמצעות מפתח הרישום הפעל

במקרים מסוימים, נעשה שימוש גם בתיקיות אתחול: שם מוצב קיצור דרך שמצביע על טוען האתחול.

הגנה עוקפת

על ידי תקשורת עם שרת הפיקוד והבקרה, QakBot מנסה מעת לעת לעדכן את עצמו, כך שכדי להימנע מזיהוי, התוכנה הזדונית יכולה להחליף את הגרסה הנוכחית שלה בגרסה חדשה. קבצים הניתנים להפעלה נחתמים בחתימה שנפרצה או מזויפת. המטען הראשוני שנטען על ידי PowerShell מאוחסן בשרת C&C עם ההרחבה PNG. בנוסף, לאחר הביצוע הוא מוחלף בקובץ לגיטימי Calc.exe.

כמו כן, כדי להסתיר פעילות זדונית, QakBot משתמש בטכניקה של הזרקת קוד לתהליכים, באמצעות explorer.exe.

כאמור, המטען של ProLock מוסתר בתוך הקובץ BMP או JPG. זה יכול להיחשב גם כשיטה של עקיפת הגנה.

השגת אישורים

ל-QakBot יש פונקציונליות של keylogger. בנוסף, הוא יכול להוריד ולהריץ סקריפטים נוספים, למשל, Invoke-Mimikatz, גרסת PowerShell של כלי השירות המפורסם Mimikatz. סקריפטים כאלה יכולים לשמש תוקפים כדי לזרוק אישורים.

מודיעין רשת

לאחר קבלת גישה לחשבונות מועדפים, מפעילי ProLock מבצעים סיור רשת, שעשוי לכלול סריקת יציאות וניתוח של סביבת Active Directory. בנוסף לסקריפטים שונים, התוקפים משתמשים ב-AdFind, כלי נוסף הפופולרי בקרב קבוצות תוכנות כופר, כדי לאסוף מידע על Active Directory.

קידום רשת

באופן מסורתי, אחת השיטות הפופולריות ביותר לקידום רשת היא פרוטוקול שולחן העבודה המרוחק. ProLock לא היה יוצא דופן. לתוקפים אפילו יש סקריפטים בארסנל שלהם כדי לקבל גישה מרחוק דרך RDP למקד מארחים.

סקריפט BAT לקבלת גישה באמצעות פרוטוקול RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

כדי לבצע סקריפטים מרחוק, מפעילי ProLock משתמשים בכלי פופולרי אחר, כלי השירות PsExec מ- Sysinternals Suite.

ProLock פועל על מארחים באמצעות WMIC, שהוא ממשק שורת פקודה לעבודה עם מערכת המשנה של Windows Management Instrumentation. כלי זה הופך גם יותר ויותר פופולרי בקרב מפעילי תוכנות כופר.

איסוף נתונים

כמו מפעילי תוכנות כופר רבים אחרים, הקבוצה המשתמשת ב-ProLock אוספת נתונים מרשת שנפרצה כדי להגדיל את הסיכויים שלהם לקבל כופר. לפני הגלישה, הנתונים שנאספו נשמרים בארכיון באמצעות כלי השירות 7Zip.

הסתננות

כדי להעלות נתונים, מפעילי ProLock משתמשים ב-Rclone, כלי שורת פקודה שנועד לסנכרן קבצים עם שירותי אחסון בענן שונים כגון OneDrive, Google Drive, Mega וכו'. התוקפים תמיד משנים את שם קובץ ההפעלה כדי שייראה כמו קבצי מערכת לגיטימיים.

בניגוד לעמיתיהם, למפעילי ProLock עדיין אין אתר אינטרנט משלהם לפרסם נתונים גנובים השייכים לחברות שסירבו לשלם את הכופר.

השגת המטרה הסופית

לאחר חילוץ הנתונים, הצוות פורס את ProLock בכל הרשת הארגונית. הקובץ הבינארי חולץ מקובץ עם הסיומת PNG או JPG באמצעות PowerShell ומוזרקת לזיכרון:

קודם כל, ProLock מפסיקה את התהליכים המצוינים ברשימה המובנית (מעניין, היא משתמשת רק בשש האותיות של שם התהליך, כגון "winwor"), ומפסיקה שירותים, כולל אלה הקשורים לאבטחה, כגון CSFalconService ( CrowdStrike Falcon). באמצעות הפקודה עצירה נטו.

לאחר מכן, כמו במשפחות רבות אחרות של תוכנות כופר, תוקפים משתמשים vssadmin כדי למחוק עותקי צל של Windows ולהגביל את גודלם כך שלא ייווצרו עותקים חדשים:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock מוסיף הרחבה .proLock, ‎.pr0Lock או .proL0ck לכל קובץ מוצפן וממקם את הקובץ [כיצד לשחזר קבצים].TXT לכל תיקיה. קובץ זה מכיל הוראות כיצד לפענח את הקבצים, כולל קישור לאתר שבו על הנפגע להזין תעודה מזהה ייחודית ולקבל פרטי תשלום:

כל מופע של ProLock מכיל מידע על סכום הכופר - במקרה זה, 35 ביטקוין, שהם כ-312 דולר.

מסקנה

מפעילי תוכנות כופר רבים משתמשים בשיטות דומות כדי להשיג את מטרותיהם. יחד עם זאת, כמה טכניקות ייחודיות לכל קבוצה. נכון לעכשיו, יש מספר גדל והולך של קבוצות פושעי סייבר המשתמשות בתוכנת כופר בקמפיינים שלהן. במקרים מסוימים, אותם מפעילים עשויים להיות מעורבים בהתקפות באמצעות משפחות שונות של תוכנות כופר, כך שנראה יותר ויותר חפיפה בטקטיקות, בטכניקות ובנהלים שבהם נעשה שימוש.

מיפוי באמצעות מיפוי MITER ATT&CK

טקטיקה
טכניקה

גישה ראשונית (TA0001)
שירותים מרוחקים חיצוניים (T1133), חיבור Spearphishing (T1193), Spearphishing Link (T1192)

ביצוע (TA0002)
Powershell (T1086), Scripting (T1064), הפעלת משתמש (T1204), מכשור לניהול Windows (T1047)

התמדה (TA0003)
מפתחות הפעלה של הרישום / תיקיית הפעלה (T1060), משימה מתוזמנת (T1053), חשבונות חוקיים (T1078)

התחמקות מהגנה (TA0005)
חתימת קוד (T1116), פיענוח/פענוח קבצים או מידע (T1140), השבתת כלי אבטחה (T1089), מחיקת קבצים (T1107), מסווה (T1036), הזרקת תהליך (T1055)

גישה לאישורים (TA0006)
השלכת אישורים (T1003), Brute Force (T1110), לכידת קלט (T1056)

דיסקברי (TA0007)
גילוי חשבון (T1087), גילוי אמון בדומיין (T1482), גילוי קבצים וספריות (T1083), סריקת שירותי רשת (T1046), גילוי שיתוף ברשת (T1135), גילוי מערכת מרחוק (T1018)

תנועה לרוחב (TA0008)
פרוטוקול שולחן עבודה מרוחק (T1076), העתקת קבצים מרוחק (T1105), שיתופי מנהל מערכת של Windows (T1077)

אוסף (TA0009)
נתונים ממערכת מקומית (T1005), נתונים מכונן שיתופי ברשת (T1039), נתונים בשלבים (T1074)

פיקוד ובקרה (TA0011)
יציאה נפוצה (T1043), שירות אינטרנט (T1102)

Exfiltration (TA0010)
נתונים דחוסים (T1002), העברת נתונים לחשבון ענן (T1537)

השפעה (TA0040)
נתונים מוצפנים להשפעה (T1486), מעכב שחזור מערכת (T1490)

מקור: www.habr.com

פתיחת ProLock: ניתוח הפעולות של מפעילי תוכנת הכופר החדשה באמצעות מטריצת MITER ATT&CK