ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK

Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK

Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK

Sukses serangan ransomware ing organisasi ing saindenging jagad iki nyebabake luwih akeh penyerang anyar kanggo mlebu ing game kasebut. Salah sijine pemain anyar iki yaiku grup sing nggunakake ransomware ProLock. Muncul ing Maret 2020 minangka penerus program PwndLocker, sing wiwit operasi ing pungkasan taun 2019. Serangan ransomware ProLock utamane ngarahake organisasi finansial lan kesehatan, lembaga pemerintah, lan sektor ritel. Bubar, operator ProLock kasil nyerang salah sawijining pabrikan ATM paling gedhe, Diebold Nixdorf.

Ing kirim iki Oleg Skulkin, spesialis terkemuka Laboratorium Forensik Komputer Group-IB, nyakup taktik dhasar, teknik lan prosedur (TTP) sing digunakake dening operator ProLock. Artikel kasebut rampung kanthi mbandhingake karo MITRE ATT&CK Matrix, basis data umum sing nyusun taktik serangan sing ditarget sing digunakake dening macem-macem kelompok kriminal cyber.

Njupuk akses dhisikan

Operator ProLock nggunakake rong vektor utama kompromi utama: Trojan QakBot (Qbot) lan server RDP sing ora dilindhungi kanthi sandhi sing lemah.

Kompromi liwat server RDP sing bisa diakses sacara eksternal misuwur banget ing antarane operator ransomware. Biasane, panyerang tuku akses menyang server sing dikompromi saka pihak katelu, nanging uga bisa diduweni dening anggota grup dhewe.

Vektor kompromi utama sing luwih menarik yaiku malware QakBot. Sadurunge, Trojan iki digandhengake karo kulawarga ransomware liyane - MegaCortex. Nanging, saiki digunakake dening operator ProLock.

Biasane, QakBot disebarake liwat kampanye phishing. Email phishing bisa uga ngemot dokumen Microsoft Office utawa link menyang file sing ana ing layanan panyimpenan maya, kayata Microsoft OneDrive.

Ana uga kasus QakBot sing diiseni karo Trojan liyane, Emotet, sing misuwur amarga partisipasi ing kampanye sing nyebarake ransomware Ryuk.

Kinerja

Sawise ngundhuh lan mbukak dokumen sing kena infeksi, pangguna dijaluk supaya makro bisa mlaku. Yen sukses, PowerShell diluncurake, sing ngidini sampeyan ndownload lan mbukak muatan QakBot saka server printah lan kontrol.

Penting kanggo dicathet yen padha ditrapake kanggo ProLock: muatan kasebut diekstrak saka file kasebut BMP utawa JPG lan dimuat menyang memori nggunakake PowerShell. Ing sawetara kasus, tugas sing dijadwal digunakake kanggo miwiti PowerShell.

Skrip batch mlaku ProLock liwat panjadwal tugas:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Konsolidasi ing sistem

Yen bisa kompromi server RDP lan entuk akses, banjur akun sing bener digunakake kanggo entuk akses menyang jaringan. QakBot ditondoi dening macem-macem mekanisme lampiran. Paling asring, Trojan iki nggunakake tombol registri Run lan nggawe tugas ing panjadwal:

Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK
Pinning Qakbot menyang sistem nggunakake tombol registri Run

Ing sawetara kasus, folder wiwitan uga digunakake: trabasan diselehake ing kana sing nuduhake bootloader.

pangayoman bypass

Kanthi sesambungan karo server printah lan kontrol, QakBot kanthi periodik nyoba nganyari dhewe, supaya supaya ora deteksi, malware bisa ngganti versi saiki dhewe karo sing anyar. File eksekusi ditandatangani kanthi teken sing dikompromi utawa palsu. Muatan awal sing dimuat dening PowerShell disimpen ing server C&C kanthi ekstensi PNG. Kajaba iku, sawise eksekusi diganti karo file sing sah calc.exe.

Uga, kanggo ndhelikake kegiatan angkoro, QakBot nggunakake teknik nyuntikake kode menyang proses, nggunakake explorer.exe.

Kaya sing wis kasebut, muatan ProLock didhelikake ing file kasebut BMP utawa JPG. Iki uga bisa dianggep minangka cara kanggo nglindhungi pangayoman.

Entuk kredensial

QakBot nduweni fungsi keylogger. Kajaba iku, bisa ndownload lan mbukak skrip tambahan, contone, Invoke-Mimikatz, versi PowerShell saka utilitas Mimikatz sing misuwur. Skrip kasebut bisa digunakake dening panyerang kanggo mbucal kredensial.

intelijen jaringan

Sawise entuk akses menyang akun sing duwe hak istimewa, operator ProLock nindakake pengintaian jaringan, sing bisa uga kalebu pemindaian port lan analisis lingkungan Active Directory. Saliyane macem-macem skrip, panyerang nggunakake AdFind, alat liyane sing populer ing antarane grup ransomware, kanggo ngumpulake informasi babagan Active Directory.

promosi jaringan

Cara tradisional, salah sawijining cara promosi jaringan sing paling populer yaiku Remote Desktop Protocol. ProLock ora ana sing istimΓ©wa. Penyerang malah duwe skrip ing arsenal kanggo entuk akses remot liwat RDP kanggo target host.

Skrip BAT kanggo entuk akses liwat protokol RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Kanggo nglakokake skrip saka jarak jauh, operator ProLock nggunakake alat populer liyane, utilitas PsExec saka Sysinternals Suite.

ProLock mlaku ing host nggunakake WMIC, yaiku antarmuka baris perintah kanggo nggarap subsistem Instrumentasi Manajemen Windows. Alat iki uga dadi populer ing antarane operator ransomware.

Pangumpulan data

Kaya operator ransomware liyane, grup sing nggunakake ProLock ngumpulake data saka jaringan sing dikompromi kanggo nambah kemungkinan nampa tebusan. Sadurunge exfiltrasi, data sing diklumpukake diarsipake nggunakake utilitas 7Zip.

Exfiltration

Kanggo ngunggah data, operator ProLock nggunakake Rclone, alat baris perintah sing dirancang kanggo nyinkronake file karo macem-macem layanan panyimpenan maya kayata OneDrive, Google Drive, Mega, lsp. Penyerang tansah ngganti jeneng file sing bisa dieksekusi supaya katon kaya file sistem sing sah.

Ora kaya kanca-kancane, operator ProLock isih ora duwe situs web dhewe kanggo nerbitake data sing dicolong saka perusahaan sing ora gelem mbayar tebusan.

Nggayuh gol pungkasan

Sawise data dieksfiltrasi, tim nyebarake ProLock ing jaringan perusahaan. File binar diekstrak saka file kanthi ekstensi PNG utawa JPG nggunakake PowerShell lan disuntikake menyang memori:

Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK
Kaping pisanan, ProLock mungkasi proses sing wis ditemtokake ing dhaptar sing dibangun (sing menarik, mung nggunakake enem huruf saka jeneng proses, kayata "winwor"), lan mungkasi layanan, kalebu sing ana hubungane karo keamanan, kayata CSFalconService ( CrowdStrike Falcon). nggunakake printah net mandeg.

Banjur, kaya akeh kulawarga ransomware liyane, panyerang nggunakake vssadmin kanggo mbusak salinan bayangan Windows lan mbatesi ukurane supaya salinan anyar ora digawe:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock nambah ekstensi .proLock, .pr0Kunci utawa .proL0ck menyang saben file sing dienkripsi lan nyelehake file kasebut [CARA RECOVER FILES].TXT menyang saben folder. Berkas iki ngemot instruksi babagan carane dekripsi file, kalebu link menyang situs sing korban kudu ngetik ID unik lan nampa informasi pembayaran:

Mbukak ProLock: analisis tumindak operator ransomware anyar nggunakake matriks MITER ATT&CK
Saben conto ProLock ngemot informasi babagan jumlah tebusan - ing kasus iki, 35 bitcoins, yaiku kira-kira $312.

kesimpulan

Akeh operator ransomware nggunakake cara sing padha kanggo nggayuh tujuane. Ing wektu sing padha, sawetara teknik unik kanggo saben klompok. Saiki, ana akeh klompok cybercriminal sing nggunakake ransomware ing kampanye. Ing sawetara kasus, operator sing padha bisa uga melu serangan nggunakake kulawarga ransomware sing beda-beda, mula kita bakal weruh tumpang tindih ing taktik, teknik lan prosedur sing digunakake.

Pemetaan nganggo MITRE ATT&CK Mapping

Taktik
technique

Akses Awal (TA0001)
Layanan Jarak Jauh Eksternal (T1133), Lampiran Spearphishing (T1193), Tautan Spearphishing (T1192)

Eksekusi (TA0002)
Powershell (T1086), Scripting (T1064), Eksekusi Pengguna (T1204), Instrumentasi Manajemen Windows (T1047)

Ketekunan (TA0003)
Registry Run Keys / Startup Folder (T1060), Tugas Terjadwal (T1053), Akun Valid (T1078)

Defence Evasion (TA0005)
Tandha Kode (T1116), Deobfuscate / Decode File utawa Informasi (T1140), Mateni Piranti Keamanan (T1089), Pambusakan File (T1107), Masquerading (T1036), Injeksi Proses (T1055)

Akses Kredensial (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)

Penemuan (TA0007)
Penemuan Akun (T1087), Penemuan Kepercayaan Domain (T1482), Penemuan File lan Direktori (T1083), Pemindaian Layanan Jaringan (T1046), Penemuan Nuduhake Jaringan (T1135), Penemuan Sistem Jarak Jauh (T1018)

Gerakan Lateral (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

Koleksi (TA0009)
Data saka Sistem Lokal (T1005), Data saka Network Shared Drive (T1039), Data Staged (T1074)

Komando lan Kontrol (TA0011)
Port sing Umum Digunakake (T1043), Layanan Web (T1102)

Eksfiltrasi (TA0010)
Data Dikompres (T1002), Transfer Data menyang Akun Cloud (T1537)

Dampak (TA0040)
Data Encrypted for Impact (T1486), Inhibiting System Recovery (T1490)

Source: www.habr.com

Add a comment