ProLock-ის გახსნა: ახალი გამოსასყიდის ოპერატორების მოქმედებების ანალიზი MITER ATT&CK მატრიცის გამოყენებით

მთელ მსოფლიოში ორგანიზაციებზე გამოსასყიდი პროგრამების თავდასხმების წარმატება სულ უფრო მეტ ახალ თავდამსხმელს უბიძგებს თამაშში შესვლას. ერთ-ერთი ახალი მოთამაშე არის ჯგუფი, რომელიც იყენებს ProLock გამოსასყიდ პროგრამას. იგი გამოჩნდა 2020 წლის მარტში, როგორც PwndLocker პროგრამის მემკვიდრე, რომელმაც ფუნქციონირება დაიწყო 2019 წლის ბოლოს. ProLock ransomware თავდასხმები უპირველეს ყოვლისა მიზნად ისახავს ფინანსურ და ჯანდაცვის ორგანიზაციებს, სამთავრობო უწყებებს და საცალო ვაჭრობის სექტორს. ცოტა ხნის წინ, ProLock ოპერატორებმა წარმატებით შეუტიეს ბანკომატების ერთ-ერთ უმსხვილეს მწარმოებელს Diebold Nixdorf-ს.

ამ პოსტში ოლეგ სკულკინი, Group-IB-ის კომპიუტერული სასამართლო ექსპერტიზის ლაბორატორიის წამყვანი სპეციალისტი, მოიცავს ძირითად ტაქტიკას, ტექნიკას და პროცედურებს (TTP), რომლებსაც იყენებენ ProLock ოპერატორები. სტატია მთავრდება MITER ATT&CK Matrix-ის შედარებით, საჯარო მონაცემთა ბაზა, რომელიც აგროვებს მიზანმიმართული თავდასხმის ტაქტიკას, რომელსაც იყენებენ სხვადასხვა კიბერდანაშაულებრივი ჯგუფები.

პირველადი წვდომის მიღება

ProLock ოპერატორები იყენებენ პირველადი კომპრომისის ორ მთავარ ვექტორს: QakBot (Qbot) ტროას და დაუცველ RDP სერვერებს სუსტი პაროლებით.

გარედან ხელმისაწვდომი RDP სერვერის მეშვეობით კომპრომისი ძალიან პოპულარულია გამოსასყიდის ოპერატორებში. როგორც წესი, თავდამსხმელები ყიდულობენ წვდომას კომპრომეტირებულ სერვერზე მესამე მხარისგან, მაგრამ მისი მიღება ასევე შეუძლიათ ჯგუფის წევრებს დამოუკიდებლად.

პირველადი კომპრომისის უფრო საინტერესო ვექტორი არის QakBot მავნე პროგრამა. ადრე, ეს ტროიანი ასოცირებული იყო გამოსასყიდის სხვა ოჯახთან - MegaCortex. თუმცა, ახლა მას იყენებენ ProLock ოპერატორები.

როგორც წესი, QakBot ნაწილდება ფიშინგ კამპანიების საშუალებით. ფიშინგის ელფოსტა შეიძლება შეიცავდეს მიმაგრებულ Microsoft Office დოკუმენტს ან ფაილის ბმულს, რომელიც მდებარეობს ღრუბლოვან საცავის სერვისში, როგორიცაა Microsoft OneDrive.

ასევე ცნობილია QakBot-ის სხვა ტროიანთან, Emotet-ით ჩატვირთვის შემთხვევები, რომელიც ფართოდ არის ცნობილი Ryuk-ის გამოსასყიდის გავრცელებულ კამპანიებში მონაწილეობით.

შესრულება

ინფიცირებული დოკუმენტის ჩამოტვირთვისა და გახსნის შემდეგ, მომხმარებელს სთხოვს დაუშვას მაკროების გაშვება. წარმატების შემთხვევაში, PowerShell ამოქმედდება, რომელიც საშუალებას მოგცემთ ჩამოტვირთოთ და გაუშვათ QakBot payload ბრძანებისა და მართვის სერვერიდან.

მნიშვნელოვანია აღინიშნოს, რომ იგივე ეხება ProLock-ს: დატვირთვა ამოღებულია ფაილიდან BMP ან JPG და ჩაიტვირთა მეხსიერებაში PowerShell-ის გამოყენებით. ზოგიერთ შემთხვევაში, დაგეგმილი დავალება გამოიყენება PowerShell-ის დასაწყებად.

სერიული სკრიპტი, რომელიც მუშაობს ProLock-ის დავალებების განრიგის მეშვეობით:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

სისტემაში კონსოლიდაცია

თუ შესაძლებელია RDP სერვერის კომპრომეტირება და წვდომა, მაშინ გამოიყენება მოქმედი ანგარიშები ქსელში წვდომის მისაღებად. QakBot ხასიათდება მიმაგრების მექანიზმების მრავალფეროვნებით. ყველაზე ხშირად, ეს ტროიანი იყენებს Run რეესტრის კლავიშს და ქმნის დავალებებს განრიგში:

Qakbot-ის ჩამაგრება სისტემაში Run რეესტრის გასაღების გამოყენებით

ზოგიერთ შემთხვევაში გამოიყენება გაშვების საქაღალდეებიც: იქ მოთავსებულია მალსახმობი, რომელიც მიუთითებს ჩამტვირთველზე.

შემოვლითი დაცვა

ბრძანებისა და კონტროლის სერვერთან კომუნიკაციით QakBot პერიოდულად ცდილობს საკუთარი თავის განახლებას, ასე რომ, აღმოჩენის თავიდან ასაცილებლად, მავნე პროგრამას შეუძლია შეცვალოს საკუთარი მიმდინარე ვერსია ახლით. შესრულებადი ფაილები ხელმოწერილია კომპრომეტირებული ან ყალბი ხელმოწერით. PowerShell-ის მიერ დატვირთული საწყისი დატვირთვა ინახება C&C სერვერზე გაფართოებით PNG. გარდა ამისა, შესრულების შემდეგ იგი იცვლება ლეგიტიმური ფაილით calc.exe.

ასევე, მავნე აქტივობის დასამალად, QakBot იყენებს პროცესებში კოდის ინექციის ტექნიკას, გამოყენებით explorer.exe.

როგორც აღვნიშნეთ, ProLock დატვირთვა იმალება ფაილის შიგნით BMP ან JPG. ეს ასევე შეიძლება ჩაითვალოს დაცვის გვერდის ავლით.

რწმუნებათა სიგელების მიღება

QakBot-ს აქვს keylogger ფუნქცია. გარდა ამისა, მას შეუძლია ჩამოტვირთოთ და გაუშვას დამატებითი სკრიპტები, მაგალითად, Invoke-Mimikatz, ცნობილი Mimikatz პროგრამის PowerShell-ის ვერსია. ასეთი სკრიპტები შეიძლება გამოიყენონ თავდამსხმელებმა რწმუნებათა სიგელების გადასაყრელად.

ქსელის ინტელექტი

პრივილეგირებულ ანგარიშებზე წვდომის შემდეგ, ProLock ოპერატორები ახორციელებენ ქსელის დაზვერვას, რაც შეიძლება მოიცავდეს პორტის სკანირებას და Active Directory გარემოს ანალიზს. სხვადასხვა სკრიპტების გარდა, თავდამსხმელები იყენებენ AdFind-ს, სხვა ხელსაწყოს, რომელიც პოპულარულია გამოსასყიდის პროგრამების ჯგუფებში, Active Directory-ის შესახებ ინფორმაციის მოსაგროვებლად.

ქსელის პოპულარიზაცია

ტრადიციულად, ქსელის პოპულარიზაციის ერთ-ერთი ყველაზე პოპულარული მეთოდია დისტანციური დესკტოპის პროტოკოლი. გამონაკლისი არც ProLock იყო. თავდამსხმელებს თავიანთ არსენალში აქვთ სკრიპტებიც კი, რომ მიიღონ დისტანციური წვდომა RDP-ის საშუალებით ჰოსტებზე.

BAT სკრიპტი RDP პროტოკოლით წვდომის მოსაპოვებლად:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

სკრიპტების დისტანციურად შესასრულებლად, ProLock ოპერატორები იყენებენ სხვა პოპულარულ ინსტრუმენტს, PsExec პროგრამას Sysinternals Suite-დან.

ProLock მუშაობს ჰოსტებზე WMIC-ის გამოყენებით, რომელიც არის ბრძანების ხაზის ინტერფეისი Windows Management Instrumentation ქვესისტემასთან მუშაობისთვის. ეს ინსტრუმენტი ასევე სულ უფრო პოპულარული ხდება გამოსასყიდის ოპერატორებში.

მონაცემთა შეგროვება

მრავალი სხვა გამოსასყიდის ოპერატორის მსგავსად, ჯგუფი, რომელიც იყენებს ProLock-ს, აგროვებს მონაცემებს კომპრომეტირებული ქსელიდან, რათა გაზარდოს გამოსასყიდის მიღების შანსები. ექსფილტრაციამდე, შეგროვებული მონაცემები არქივდება 7Zip უტილიტის გამოყენებით.

ექსფილტრაცია

მონაცემების ასატვირთად ProLock ოპერატორები იყენებენ Rclone-ს, ბრძანების ხაზის ხელსაწყოს, რომელიც შექმნილია ფაილების სინქრონიზაციისთვის სხვადასხვა ღრუბლოვან საცავის სერვისებთან, როგორიცაა OneDrive, Google Drive, Mega და ა.შ. თავდამსხმელები ყოველთვის ასახელებენ შესრულებად ფაილს, რათა გამოიყურებოდეს ლეგიტიმური სისტემის ფაილებად.

მათი თანატოლებისგან განსხვავებით, ProLock ოპერატორებს ჯერ კიდევ არ აქვთ საკუთარი ვებსაიტი, რომ გამოაქვეყნონ მოპარული მონაცემები, რომლებიც ეკუთვნის კომპანიებს, რომლებმაც უარი განაცხადეს გამოსასყიდის გადახდაზე.

საბოლოო მიზნის მიღწევა

მონაცემების ექსფილტრაციის შემდეგ, გუნდი განათავსებს ProLock-ს საწარმოს ქსელში. ბინარული ფაილი ამოღებულია ფაილიდან გაფართოებით PNG ან JPG PowerShell-ის გამოყენებით და მეხსიერებაში შეყვანილი:

უპირველეს ყოვლისა, ProLock წყვეტს ჩაშენებულ სიაში მითითებულ პროცესებს (საინტერესოა, რომ ის იყენებს მხოლოდ პროცესის სახელის ექვს ასოს, როგორიცაა "winwor") და წყვეტს სერვისებს, მათ შორის უსაფრთხოებასთან დაკავშირებულს, როგორიცაა CSFalconService ( CrowdStrike Falcon) ბრძანების გამოყენებით წმინდა გაჩერება.

შემდეგ, როგორც მრავალი სხვა გამოსასყიდი პროგრამის შემთხვევაში, თავდამსხმელები იყენებენ ვსადმინი Windows-ის ჩრდილოვანი ასლების წაშლა და მათი ზომის შეზღუდვა ისე, რომ ახალი ასლები არ შეიქმნას:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock ამატებს გაფართოებას .პროლოკი, .pr0Lock ან .proL0ck თითოეულ დაშიფრულ ფაილზე და ათავსებს ფაილს [როგორ აღვადგინოთ ფაილები].TXT თითოეულ საქაღალდეში. ეს ფაილი შეიცავს ინსტრუქციებს ფაილების გაშიფვრის შესახებ, მათ შორის ბმულს იმ საიტისკენ, სადაც დაზარალებულმა უნდა შეიყვანოს უნიკალური ID და მიიღოს გადახდის ინფორმაცია:

ProLock-ის თითოეული ინსტანცია შეიცავს ინფორმაციას გამოსასყიდის თანხის შესახებ - ამ შემთხვევაში, 35 ბიტკოინი, რაც დაახლოებით $312 შეადგენს.

დასკვნა

ბევრი გამოსასყიდი ოპერატორი იყენებს მსგავს მეთოდებს თავიანთი მიზნების მისაღწევად. ამავდროულად, ზოგიერთი ტექნიკა უნიკალურია თითოეული ჯგუფისთვის. ამჟამად, იზრდება კიბერდანაშაულებრივი ჯგუფები, რომლებიც იყენებენ გამოსასყიდ პროგრამას თავიანთ კამპანიებში. ზოგიერთ შემთხვევაში, ერთი და იგივე ოპერატორები შეიძლება ჩაერთონ თავდასხმებში გამოსასყიდის სხვადასხვა ოჯახების გამოყენებით, ასე რომ, ჩვენ უფრო მეტად დავინახავთ გადახურვას გამოყენებულ ტაქტიკაში, ტექნიკასა და პროცედურებში.

რუკა MITER ATT&CK Mapping-ით

ტაქტიკა
ტექნიკა

საწყისი წვდომა (TA0001)
გარე დისტანციური სერვისები (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)

შესრულება (TA0002)
Powershell (T1086), სკრიპტირება (T1064), მომხმარებლის შესრულება (T1204), Windows მართვის ინსტრუმენტაცია (T1047)

მდგრადობა (TA0003)
რეესტრის გაშვების გასაღებები / გაშვების საქაღალდე (T1060), დაგეგმილი დავალება (T1053), მოქმედი ანგარიშები (T1078)

თავდაცვის აცილება (TA0005)
კოდის ხელმოწერა (T1116), ფაილების ან ინფორმაციის გაშიფვრა/გაშიფვრა (T1140), უსაფრთხოების ინსტრუმენტების გამორთვა (T1089), ფაილის წაშლა (T1107), მასკარადირება (T1036), პროცესის ინექცია (T1055)

ავტორიზაციის წვდომა (TA0006)
სერთიფიკატების გადაყრა (T1003), უხეში ძალა (T1110), შეყვანის დაჭერა (T1056)

აღმოჩენა (TA0007)
ანგარიშის აღმოჩენა (T1087), დომენის ნდობის აღმოჩენა (T1482), ფაილების და დირექტორიების აღმოჩენა (T1083), ქსელის სერვისის სკანირება (T1046), ქსელის გაზიარების აღმოჩენა (T1135), დისტანციური სისტემის აღმოჩენა (T1018)

გვერდითი მოძრაობა (TA0008)
დისტანციური დესკტოპის პროტოკოლი (T1076), დისტანციური ფაილის ასლი (T1105), Windows ადმინისტრატორის გაზიარებები (T1077)

კოლექცია (TA0009)
მონაცემები ლოკალური სისტემიდან (T1005), მონაცემები ქსელის საერთო დისკიდან (T1039), მონაცემთა ეტაპობრივი (T1074)

ბრძანება და კონტროლი (TA0011)
ხშირად გამოყენებული პორტი (T1043), ვებ სერვისი (T1102)

ექსფილტრაცია (TA0010)
მონაცემთა შეკუმშვა (T1002), მონაცემთა გადაცემა Cloud ანგარიშზე (T1537)

ზემოქმედება (TA0040)
ზემოქმედებისთვის დაშიფრული მონაცემები (T1486), სისტემის აღდგენის დათრგუნვა (T1490)

წყარო: www.habr.com