Дүние жүзіндегі ұйымдарға төлемдік бағдарламалық қамтамасыз ету шабуылдарының жетістігі ойынға көбірек жаңа шабуылдаушыларды итермелейді. Осы жаңа ойыншылардың бірі - ProLock төлем бағдарламалық құралын пайдаланатын топ. Ол 2020 жылдың наурыз айында 2019 жылдың соңында жұмыс істей бастаған PwndLocker бағдарламасының мұрагері ретінде пайда болды. ProLock төлемдік бағдарламасының шабуылдары негізінен қаржы және денсаулық сақтау ұйымдарына, мемлекеттік мекемелерге және бөлшек сауда секторына бағытталған. Жақында ProLock операторлары ең ірі банкомат өндірушілерінің бірі Диболд Никсдорфқа сәтті шабуыл жасады.
Бұл постта Олег Скулкин, Group-IB компьютерлік сот сараптамасы зертханасының жетекші маманы, ProLock операторлары пайдаланатын негізгі тактикаларды, әдістерді және процедураларды (ТТП) қамтиды. Мақала әр түрлі киберқылмыстық топтар пайдаланатын мақсатты шабуыл тактикасын құрастыратын MITER ATT&CK Matrix-пен салыстырумен аяқталады.
Бастапқы рұқсат алу
ProLock операторлары негізгі компромисстің екі негізгі векторын пайдаланады: QakBot (Qbot) троян және әлсіз құпия сөздері бар қорғалмаған RDP серверлері.
Сырттан қол жетімді RDP сервері арқылы ымыраға келу төлем бағдарламалық қамтамасыз ету операторлары арасында өте танымал. Әдетте, шабуылдаушылар бұзылған серверге кіруді үшінші тараптардан сатып алады, бірақ оны топ мүшелері де өз бетінше ала алады.
Бастапқы компромисстің қызықты векторы - QakBot зиянды бағдарламасы. Бұрын бұл троян басқа төлемдік бағдарламалық қамтамасыз ету тобымен - MegaCortex-пен байланысты болды. Дегенмен, оны қазір ProLock операторлары пайдаланады.
Әдетте, QakBot фишингтік науқандар арқылы таратылады. Фишингтік электрондық поштада тіркелген Microsoft Office құжаты немесе Microsoft OneDrive сияқты бұлтты сақтау қызметінде орналасқан файлға сілтеме болуы мүмкін.
Сондай-ақ, QakBot-қа Ryuk төлем бағдарламалық құралын тарататын науқандарға қатысуы үшін кеңінен танымал Emotet троянымен жүктелген белгілі жағдайлар бар.
Орындау
Вирус жұққан құжатты жүктеп алып, ашқаннан кейін пайдаланушыдан макростарды іске қосуға рұқсат беру ұсынылады. Сәтті болса, PowerShell іске қосылады, ол командалық және басқару серверінен QakBot пайдалы жүктемесін жүктеп алуға және іске қосуға мүмкіндік береді.
Бұл ProLock-қа да қатысты екенін ескеру маңызды: пайдалы жүктеме файлдан шығарылады BMP немесе JPG және PowerShell көмегімен жадқа жүктеледі. Кейбір жағдайларда жоспарланған тапсырма PowerShell бағдарламасын іске қосу үшін пайдаланылады.
Тапсырма жоспарлаушы арқылы ProLock іске қосылған пакеттік сценарий:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batЖүйедегі консолидация
Егер RDP серверін бұзып, рұқсат алу мүмкін болса, желіге кіру үшін жарамды тіркелгілер пайдаланылады. QakBot әр түрлі бекіту механизмдерімен сипатталады. Көбінесе бұл троян Run тізілім кілтін пайдаланады және жоспарлаушыда тапсырмаларды жасайды:
Run тізілім кілті арқылы Qakbot жүйесін жүйеге бекіту
Кейбір жағдайларда іске қосу қалталары да пайдаланылады: ол жерде жүктеушіге нұсқайтын таңбаша орналастырылған.
Айналып өтуден қорғау
Командалық және басқару серверімен байланысу арқылы QakBot мезгіл-мезгіл өзін жаңартуға тырысады, сондықтан анықталмас үшін зиянды бағдарлама өзінің ағымдағы нұсқасын жаңасымен ауыстыра алады. Орындалатын файлдар бұзылған немесе жалған қолтаңбамен қол қойылған. PowerShell жүктеген бастапқы пайдалы жүктеме кеңейтімі бар C&C серверінде сақталады PNG. Сонымен қатар, орындағаннан кейін ол заңды файлмен ауыстырылады calc.exe.
Сондай-ақ, зиянды әрекетті жасыру үшін QakBot кодты процестерге енгізу әдісін пайдаланады explorer.exe.
Жоғарыда айтылғандай, ProLock пайдалы жүктемесі файлдың ішінде жасырылған BMP немесе JPG. Мұны қорғауды айналып өту әдісі ретінде де қарастыруға болады.
Тіркелгі деректерін алу
QakBot-та клавиатура функциясы бар. Бұған қоса, ол қосымша сценарийлерді жүктеп алып, іске қоса алады, мысалы, атақты Mimikatz утилитасының PowerShell нұсқасы Invoke-Mimikatz. Мұндай сценарийлерді шабуылдаушылар тіркелгі деректерін тастау үшін пайдалана алады.
Желілік интеллект
Артықшылықты тіркелгілерге қол жеткізгеннен кейін ProLock операторлары желіні барлауды жүзеге асырады, ол портты сканерлеуді және Active Directory ортасын талдауды қамтуы мүмкін. Түрлі сценарийлерге қоса, шабуылдаушылар Active Directory туралы ақпаратты жинау үшін төлемді бағдарламалық қамтамасыз ету топтары арасында танымал басқа құрал AdFind пайдаланады.
Желіні жылжыту
Дәстүрлі түрде желіні жылжытудың ең танымал әдістерінің бірі қашықтағы жұмыс үстелінің протоколы болып табылады. ProLock да ерекшелік емес еді. Шабуылшылардың тіпті арсеналында мақсатты хосттарға RDP арқылы қашықтан қол жеткізу үшін сценарийлері бар.
RDP протоколы арқылы қол жеткізуге арналған BAT сценарийі:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Сценарийлерді қашықтан орындау үшін ProLock операторлары басқа танымал құралды, Sysinternals Suite ұсынған PsExec утилитасын пайдаланады.
ProLock Windows басқару құралдарының ішкі жүйесімен жұмыс істеуге арналған пәрмен жолы интерфейсі болып табылатын WMIC көмегімен хосттарда жұмыс істейді. Бұл құрал төлемдік бағдарлама операторлары арасында да танымал болып келеді.
Деректер жинау
Көптеген басқа төлемдік бағдарламалық қамтамасыз ету операторлары сияқты, ProLock қолданатын топ төлемді алу мүмкіндігін арттыру үшін бұзылған желіден деректерді жинайды. Эксфильтрация алдында жиналған деректер 7Zip утилитасының көмегімен мұрағатталады.
Эксфильтрация
Деректерді жүктеп салу үшін ProLock операторлары файлдарды OneDrive, Google Drive, Mega, т.б. сияқты әртүрлі бұлттық сақтау қызметтерімен синхрондауға арналған пәрмен жолы құралы Rclone пайдаланады. Шабуылдаушылар орындалатын файлды заңды жүйелік файлдарға ұқсату үшін әрқашан оның атын өзгертеді.
Өз әріптестерінен айырмашылығы, ProLock операторларының төлемді төлеуден бас тартқан компанияларға тиесілі ұрланған деректерді жариялау үшін әлі де жеке веб-сайттары жоқ.
Соңғы мақсатқа жету
Деректер эксфильтрацияланғаннан кейін, команда бүкіл кәсіпорын желісінде ProLock қолданады. Екілік файл кеңейтімі бар файлдан шығарылады PNG немесе JPG PowerShell көмегімен және жадқа енгізілді:
Ең алдымен, ProLock кірістірілген тізімде көрсетілген процестерді тоқтатады (бір қызығы, ол тек «winwor» сияқты процесс атауының алты әріпін пайдаланады) және CSFalconService ( сияқты қауіпсіздікке қатысты қызметтерді қоса) қызметтерді тоқтатады. CrowdStrike Falcon). пәрменін қолдану арқылы таза аялдама.
Содан кейін, көптеген басқа төлемдік бағдарламалар отбасылары сияқты, шабуылдаушылар пайдаланады vssadmin Windows көлеңкелі көшірмелерін жою және жаңа көшірмелер жасалмауы үшін олардың өлшемін шектеу үшін:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock кеңейтім қосады .proLock, .pr0Lock немесе .proL0ck әрбір шифрланған файлға және файлды орналастырады [ФАЙЛДАРДЫ ҚАЛПЫНА ҚАЛПАУ КЕРЕК].TXT әр қалтаға. Бұл файлда жәбірленуші бірегей идентификаторды енгізуі және төлем ақпаратын алуы қажет сайтқа сілтемені қоса, файлдардың шифрын ашу туралы нұсқаулар бар:
ProLock-тың әрбір данасы төлем сомасы туралы ақпаратты қамтиды - бұл жағдайда 35 биткоиндер, бұл шамамен $312 000 құрайды.
қорытынды
Көптеген ransomware операторлары мақсаттарына жету үшін ұқсас әдістерді пайдаланады. Сонымен қатар, кейбір әдістер әр топқа тән. Қазіргі уақытта өздерінің науқандарында төлемдік бағдарламаларды қолданатын киберқылмыстық топтардың саны артып келеді. Кейбір жағдайларда бірдей операторлар әртүрлі төлемдік бағдарламалық жасақтама тобын пайдаланатын шабуылдарға қатысуы мүмкін, сондықтан біз қолданылатын тактикалар, әдістер мен процедуралардағы сәйкестіктерді көбірек көреміз.
MITER ATT&CK картасымен салыстыру
Тактикалық
техника
Бастапқы қатынас (TA0001)
Сыртқы қашықтағы қызметтер (T1133), Spearphishing қосымшасы (T1193), Spearphishing сілтемесі (T1192)
Орындау (TA0002)
Powershell (T1086), сценарий жасау (T1064), пайдаланушының орындалуы (T1204), Windows басқару құралдары (T1047)
Табандылық (TA0003)
Тіркеудің іске қосу кілттері / іске қосу қалтасы (T1060), жоспарланған тапсырма (T1053), жарамды тіркелгілер (T1078)
қорғаныстан жалтару (TA0005)
Кодқа қол қою (T1116), файлдарды немесе ақпаратты жасыру/декодтау (T1140), қауіпсіздік құралдарын өшіру (T1089), файлдарды жою (T1107), маскарадтау (T1036), процесті енгізу (T1055)
Тіркелгі деректеріне кіру (TA0006)
Тіркелгі деректерін демпинг (T1003), Brute Force (T1110), Input Capture (T1056)
Ашу (TA0007)
Тіркелгіні табу (T1087), домен сенімділігін табу (T1482), файлдар мен каталогтарды табу (T1083), желі қызметін сканерлеу (T1046), желіні бөлісу (T1135), жүйені қашықтан табу (T1018)
Бүйірлік қозғалыс (TA0008)
Қашықтағы жұмыс үстелінің протоколы (T1076), файлды қашықтан көшіру (T1105), Windows әкімші бөлісулері (T1077)
Жинақ (TA0009)
Жергілікті жүйенің деректері (T1005), желілік ортақ дискінің деректері (T1039), кезеңдік деректер (T1074)
Команда және басқару (TA0011)
Жиі қолданылатын порт (T1043), веб-қызмет (T1102)
Эксфильтрация (TA0010)
Деректер қысылған (T1002), деректерді бұлт тіркелгісіне тасымалдау (T1537)
Әсер (TA0040)
Деректер әсер ету үшін шифрланған (T1486), жүйені қалпына келтіруді тежеу (T1490)
Ақпарат көзі: www.habr.com