ProLock を開く: MITRE ATT&CK マトリックスを使用した新しいランサムウェアのオペレーターの行動の分析

世界中の組織に対するランサムウェア攻撃の成功により、ますます多くの新たな攻撃者がゲームに参加するようになっています。 これらの新しいプレーヤーの 2020 つは、ProLock ランサムウェアを使用するグループです。 2019年末に運用を開始したPwndLockerプログラムの後継としてXNUMX年XNUMX月に登場した。 ProLock ランサムウェア攻撃は、主に金融機関、医療機関、政府機関、小売業界を標的としています。 最近、ProLock オペレーターは最大手の ATM メーカーの XNUMX つである Diebold Nixdorf への攻撃に成功しました。

この投稿では オレグ・スカルキン氏、グループ IB コンピューターフォレンジック研究所の主任スペシャリストでは、ProLock オペレーターが使用する基本的な戦術、テクニック、手順 (TTP) について説明します。 この記事は、さまざまなサイバー犯罪グループが使用する標的型攻撃戦術をまとめた公開データベースである MITRE ATT&CK Matrix との比較で締めくくられています。

初期アクセスの取得

ProLock オペレーターは、主な侵害の XNUMX つの主なベクトル、つまり QakBot (Qbot) トロイの木馬と、弱いパスワードを持つ保護されていない RDP サーバーを使用します。

外部からアクセス可能な RDP サーバーを介した侵害は、ランサムウェア オペレーターの間で非常に一般的です。 通常、攻撃者は侵害されたサーバーへのアクセスをサードパーティから購入しますが、グループのメンバーが独自にアクセスを取得することもできます。

一次侵害のさらに興味深いベクトルは、QakBot マルウェアです。 以前は、このトロイの木馬は別のランサムウェア ファミリである MegaCortex に関連付けられていました。 ただし、現在は ProLock オペレーターによって使用されています。

通常、QakBot はフィッシング キャンペーンを通じて配布されます。 フィッシングメールには、Microsoft Office ドキュメントが添付されているか、Microsoft OneDrive などのクラウド ストレージ サービスにあるファイルへのリンクが含まれている場合があります。

QakBot に、Ryuk ランサムウェアを配布するキャンペーンに参加したことで広く知られている別のトロイの木馬である Emotet が読み込まれているケースも知られています。

実行

感染したドキュメントをダウンロードして開くと、マクロの実行を許可するように求められます。 成功すると、PowerShell が起動し、コマンド アンド コントロール サーバーから QakBot ペイロードをダウンロードして実行できるようになります。

ProLock にも同じことが当てはまります。ペイロードはファイルから抽出されることに注意することが重要です。 BMP または JPG PowerShell を使用してメモリにロードされます。 場合によっては、PowerShell を起動するためにスケジュールされたタスクが使用されます。

タスク スケジューラを通じて ProLock を実行するバッチ スクリプト:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

システム内での統合

RDP サーバーを侵害してアクセスを取得できる場合は、有効なアカウントを使用してネットワークにアクセスします。 QakBot は、さまざまな接続メカニズムが特徴です。 ほとんどの場合、このトロイの木馬は Run レジストリ キーを使用し、スケジューラにタスクを作成します。

Run レジストリ キーを使用して Qakbot をシステムに固定する

場合によっては、スタートアップ フォルダーも使用されます。ブートローダーを指すショートカットがそこに配置されます。

バイパス保護

QakBot はコマンド アンド コントロール サーバーと通信することで定期的に自身の更新を試みるため、マルウェアは検出を避けるために自身の現在のバージョンを新しいバージョンに置き換えることができます。 実行可能ファイルは、侵害された署名または偽造された署名で署名されています。 PowerShell によってロードされた初期ペイロードは、拡張子付きで C&C サーバーに保存されます。 PNG。 また、実行後は正規のファイルに置き換えられます CALC.EXE.

また、悪意のあるアクティビティを隠すために、QakBot はプロセスにコードを挿入する手法を使用します。 explorer.exeの.

前述したように、ProLock ペイロードはファイル内に隠されています。 BMP または JPG。 これは、保護を回避する方法としても考えられます。

資格情報の取得

QakBot にはキーロガー機能があります。 さらに、有名な Mimikatz ユーティリティの PowerShell バージョンである Invoke-Mimikatz などの追加のスクリプトをダウンロードして実行できます。 このようなスクリプトは、攻撃者が資格情報をダンプするために使用される可能性があります。

ネットワークインテリジェンス

ProLock オペレーターは、特権アカウントへのアクセスを取得した後、ポート スキャンや Active Directory 環境の分析などのネットワーク偵察を実行します。 攻撃者は、さまざまなスクリプトに加えて、ランサムウェア グループの間で人気のある別のツールである AdFind を使用して、Active Directory に関する情報を収集します。

ネットワークプロモーション

従来、ネットワーク プロモーションの最も一般的な方法の XNUMX つはリモート デスクトップ プロトコルです。 プロロックも例外ではありませんでした。 攻撃者は、RDP 経由でターゲット ホストへのリモート アクセスを取得するためのスクリプトも保有しています。

RDP プロトコル経由でアクセスを取得するための BAT スクリプト:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

スクリプトをリモートで実行するために、ProLock オペレーターは別の一般的なツールである Sysinternals Suite の PsExec ユーティリティを使用します。

ProLock は、Windows Management Instrumentation サブシステムを操作するためのコマンド ライン インターフェイスである WMIC を使用するホスト上で実行されます。 このツールはランサムウェア運営者の間でも人気が高まっています。

データ収集

他の多くのランサムウェア オペレーターと同様に、ProLock を使用するグループは、侵害されたネットワークからデータを収集して、身代金を受け取る可能性を高めます。 抽出前に、収集されたデータは 7Zip ユーティリティを使用してアーカイブされます。

窃盗

データをアップロードするために、ProLock オペレーターは、OneDrive、Google Drive、Mega などのさまざまなクラウド ストレージ サービスとファイルを同期するように設計されたコマンド ライン ツールである Rclone を使用します。攻撃者は常に実行可能ファイルの名前を変更して、正規のシステム ファイルのように見せます。

同業者とは異なり、ProLock オペレーターは身代金の支払いを拒否した企業の盗まれたデータを公開する独自の Web サイトをまだ持っていません。

最終目標の達成

データが抽出されると、チームは企業ネットワーク全体に ProLock を導入します。 バイナリ ファイルは拡張子が付いているファイルから抽出されます。 PNG または JPG PowerShell を使用してメモリに挿入します。

まず、ProLock は組み込みリストで指定されたプロセスを終了し (興味深いことに、プロセス名には「winwor」などの XNUMX 文字のみが使用されます)、CSFalconService などのセキュリティ関連のサービスを含むサービスを終了します ( CrowdStrike Falcon) コマンドを使用する ネットストップ.

その後、他の多くのランサムウェア ファミリと同様に、攻撃者は VSSADMIN Windows シャドウ コピーを削除し、新しいコピーが作成されないようにサイズを制限するには、次のようにします。

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock は拡張機能を追加します .proLock, .pr0ロック または .proL0ck 各暗号化ファイルにファイルを配置します [ファイルの復元方法].TXT 各フォルダに。 このファイルには、被害者が一意の ID を入力して支払い情報を受け取る必要があるサイトへのリンクを含む、ファイルを復号する方法に関する手順が含まれています。

ProLock の各インスタンスには、身代金の額に関する情報が含まれています。この場合、35 ビットコイン、つまり約 312 ドルです。

まとめ

多くのランサムウェアオペレータは、同様の手法を使用して目的を達成しています。 同時に、各グループに固有のテクニックもいくつかあります。 現在、ランサムウェアをキャンペーンに使用するサイバー犯罪グループの数が増加しています。 場合によっては、同じオペレーターが異なるランサムウェア ファミリを使用した攻撃に関与している可能性があるため、使用される戦術、技術、手順の重複がますます見られるようになります。

MITRE ATT&CK マッピングによるマッピング

戦術
技術

初期アクセス (TA0001)
外部リモート サービス (T1133)、スピアフィッシング アタッチメント (T1193)、スピアフィッシング リンク (T1192)

実行(TA0002)
Powershell (T1086)、スクリプティング (T1064)、ユーザー実行 (T1204)、Windows Management Instrumentation (T1047)

永続性 (TA0003)
レジストリ実行キー / スタートアップ フォルダー (T1060)、スケジュールされたタスク (T1053)、有効なアカウント (T1078)

防御回避(TA0005)
コード署名 (T1116)、ファイルまたは情報の難読化解除/デコード (T1140)、セキュリティ ツールの無効化 (T1089)、ファイル削除 (T1107)、マスカレード (T1036)、プロセス インジェクション (T1055)

資格情報へのアクセス (TA0006)
資格情報ダンピング (T1003)、ブルート フォース (T1110)、入力キャプチャ (T1056)

ディスカバリー (TA0007)
アカウント検出 (T1087)、ドメイン信頼検出 (T1482)、ファイルおよびディレクトリ検出 (T1083)、ネットワーク サービス スキャン (T1046)、ネットワーク共有検出 (T1135)、リモート システム検出 (T1018)

横移動(TA0008)
リモート デスクトップ プロトコル (T1076)、リモート ファイル コピー (T1105)、Windows 管理共有 (T1077)

コレクション (TA0009)
ローカル システムからのデータ (T1005)、ネットワーク共有ドライブからのデータ (T1039)、ステージングされたデータ (T1074)

コマンドアンドコントロール (TA0011)
よく使用されるポート (T1043)、Web サービス (T1102)

窃盗 (TA0010)
データ圧縮 (T1002)、データをクラウド アカウントに転送 (T1537)

インパクト(TA0040)
影響を与えるためにデータを暗号化 (T1486)、システム回復を禁止 (T1490)

出所： habr.com