ការបើក ProLock៖ ការវិភាគសកម្មភាពរបស់ប្រតិបត្តិករនៃ ransomware ថ្មីដោយប្រើម៉ាទ្រីស MITER ATT&CK

ភាពជោគជ័យនៃការវាយប្រហារ ransomware លើស្ថាប័នជុំវិញពិភពលោកកំពុងជំរុញឱ្យអ្នកវាយប្រហារថ្មីៗកាន់តែច្រើនឡើងចូលទៅក្នុងហ្គេមនេះ។ អ្នកលេងថ្មីមួយក្នុងចំណោមអ្នកលេងថ្មីទាំងនេះគឺជាក្រុមដែលប្រើ ProLock ransomware ។ វាបានបង្ហាញខ្លួននៅក្នុងខែមីនា ឆ្នាំ 2020 ជាអ្នកស្នងតំណែងរបស់កម្មវិធី PwndLocker ដែលបានចាប់ផ្តើមដំណើរការនៅចុងឆ្នាំ 2019 ។ ការវាយប្រហារ ransomware ProLock ផ្តោតជាចម្បងទៅលើស្ថាប័នហិរញ្ញវត្ថុ និងថែទាំសុខភាព ភ្នាក់ងាររដ្ឋាភិបាល និងផ្នែកលក់រាយ។ ថ្មីៗនេះ ប្រតិបត្តិករ ProLock បានវាយប្រហារដោយជោគជ័យនូវក្រុមហ៊ុនផលិត ATM ដ៏ធំបំផុតមួយគឺ Diebold Nixdorf។

នៅក្នុងប្រកាសនេះ។ Oleg Skulkin អ្នកឯកទេសឈានមុខគេនៃមន្ទីរពិសោធន៍កោសល្យវិច្ច័យកុំព្យូទ័រនៃ Group-IBគ្របដណ្តប់លើយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីមូលដ្ឋាន (TTPs) ដែលប្រើដោយប្រតិបត្តិករ ProLock ។ អត្ថបទនេះបញ្ចប់ដោយការប្រៀបធៀបទៅនឹង MITER ATT&CK Matrix ដែលជាមូលដ្ឋានទិន្នន័យសាធារណៈដែលចងក្រងយុទ្ធសាស្ត្រវាយប្រហារគោលដៅដែលត្រូវបានប្រើប្រាស់ដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងៗ។

ទទួលបានសិទ្ធិចូលដំណើរការដំបូង

ប្រតិបត្តិករ ProLock ប្រើវ៉ិចទ័រសំខាន់ពីរនៃការសម្របសម្រួលបឋម៖ QakBot (Qbot) Trojan និងម៉ាស៊ីនមេ RDP ដែលមិនបានការពារដែលមានពាក្យសម្ងាត់ខ្សោយ។

ការសម្របសម្រួលតាមរយៈម៉ាស៊ីនមេ RDP ដែលអាចចូលប្រើខាងក្រៅបានគឺមានប្រជាប្រិយភាពខ្លាំងក្នុងចំណោមប្រតិបត្តិករ ransomware ។ ជាធម្មតា អ្នកវាយប្រហារទិញសិទ្ធិចូលប្រើម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួលពីភាគីទីបី ប៉ុន្តែវាក៏អាចទទួលបានដោយសមាជិកក្រុមដោយខ្លួនឯងផងដែរ។

វ៉ិចទ័រគួរឱ្យចាប់អារម្មណ៍បន្ថែមទៀតនៃការសម្របសម្រួលបឋមគឺមេរោគ QakBot ។ ពីមុន Trojan នេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងគ្រួសារមួយផ្សេងទៀតនៃ ransomware - MegaCortex ។ ទោះយ៉ាងណាក៏ដោយឥឡូវនេះវាត្រូវបានប្រើដោយប្រតិបត្តិករ ProLock ។

ជាធម្មតា QakBot ត្រូវបានចែកចាយតាមរយៈយុទ្ធនាការបន្លំ។ អ៊ីមែលបន្លំអាចមានឯកសារ Microsoft Office ដែលភ្ជាប់មកជាមួយ ឬតំណទៅកាន់ឯកសារដែលមានទីតាំងក្នុងសេវាកម្មផ្ទុកពពក ដូចជា Microsoft OneDrive ជាដើម។

មានករណីដែលគេស្គាល់ផងដែរនៃ QakBot ត្រូវបានផ្ទុកជាមួយនឹង Trojan មួយផ្សេងទៀត Emotet ដែលត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយសម្រាប់ការចូលរួមក្នុងយុទ្ធនាការដែលបានចែកចាយ Ryuk ransomware ។

ការសម្តែង

បន្ទាប់ពីទាញយក និងបើកឯកសារដែលមានមេរោគ អ្នកប្រើប្រាស់ត្រូវបានសួរឱ្យអនុញ្ញាតឱ្យម៉ាក្រូដំណើរការ។ ប្រសិនបើជោគជ័យ PowerShell ត្រូវបានបើកដំណើរការ ដែលនឹងអនុញ្ញាតឱ្យអ្នកទាញយក និងដំណើរការបន្ទុក QakBot ពីម៉ាស៊ីនមេបញ្ជា និងបញ្ជា។

វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថាអនុវត្តដូចគ្នាចំពោះ ProLock: បន្ទុកត្រូវបានស្រង់ចេញពីឯកសារ BMP ឬ JPG ហើយបញ្ចូលទៅក្នុងអង្គចងចាំដោយប្រើ PowerShell ។ ក្នុងករណីខ្លះ កិច្ចការដែលបានកំណត់ពេលត្រូវបានប្រើដើម្បីចាប់ផ្តើម PowerShell ។

Batch script ដំណើរការ ProLock តាមរយៈកម្មវិធីកំណត់ពេលភារកិច្ច៖

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

ការជួសជុលនៅក្នុងប្រព័ន្ធ

ប្រសិនបើវាអាចធ្វើទៅបានដើម្បីសម្របសម្រួលម៉ាស៊ីនមេ RDP និងទទួលបានការចូលប្រើ នោះគណនីត្រឹមត្រូវត្រូវបានប្រើដើម្បីទទួលបានការចូលប្រើបណ្តាញ។ QakBot ត្រូវបានកំណត់លក្ខណៈដោយភាពខុសគ្នានៃយន្តការភ្ជាប់។ ភាគច្រើនជាញឹកញាប់ Trojan នេះប្រើ Run registry key និងបង្កើតភារកិច្ចនៅក្នុងកម្មវិធីកំណត់ពេល៖

ការខ្ទាស់ Qakbot ទៅកាន់ប្រព័ន្ធដោយប្រើគ្រាប់ចុចចុះបញ្ជីរត់

ក្នុងករណីខ្លះ ថតចាប់ផ្ដើមក៏ត្រូវបានប្រើផងដែរ៖ ផ្លូវកាត់ត្រូវបានដាក់នៅទីនោះ ដែលចង្អុលទៅកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធ។

ឆ្លងកាត់ការការពារ

តាមរយៈការទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រង QakBot ព្យាយាមធ្វើបច្ចុប្បន្នភាពខ្លួនវាជាទៀងទាត់ ដូច្នេះដើម្បីជៀសវាងការរកឃើញ មេរោគអាចជំនួសកំណែបច្ចុប្បន្នរបស់វាជាមួយនឹងកំណែថ្មី។ ឯកសារដែលអាចប្រតិបត្តិបានត្រូវបានចុះហត្ថលេខាដោយហត្ថលេខាសម្របសម្រួល ឬក្លែងបន្លំ។ បន្ទុកដំបូងដែលផ្ទុកដោយ PowerShell ត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេ C&C ជាមួយនឹងផ្នែកបន្ថែម PNG & ‧;. លើសពីនេះទៀតបន្ទាប់ពីការប្រតិបត្តិវាត្រូវបានជំនួសដោយឯកសារស្របច្បាប់ calc.exe.

ដូចគ្នានេះផងដែរដើម្បីលាក់សកម្មភាពព្យាបាទ QakBot ប្រើបច្ចេកទេសនៃការបញ្ចូលកូដទៅក្នុងដំណើរការដោយប្រើ explorer.exe.

ដូចដែលបានរៀបរាប់រួច បន្ទុក ProLock ត្រូវបានលាក់នៅខាងក្នុងឯកសារ BMP ឬ JPG. នេះ​ក៏​អាច​ត្រូវ​បាន​ចាត់​ទុក​ថា​ជា​វិធី​សាស្រ្ដ​នៃ​ការ​ឆ្លង​កាត់​ការ​ការពារ។

ការទទួលបានលិខិតសម្គាល់

QakBot មានមុខងារ keylogger ។ លើសពីនេះទៀត វាអាចទាញយក និងដំណើរការស្គ្រីបបន្ថែម ឧទាហរណ៍ Invoke-Mimikatz ដែលជាកំណែ PowerShell នៃឧបករណ៍ប្រើប្រាស់ Mimikatz ដ៏ល្បីល្បាញ។ ស្គ្រីបបែបនេះអាចត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារដើម្បីបោះចោលព័ត៌មានសម្ងាត់។

ភាពវៃឆ្លាតបណ្តាញ

បន្ទាប់ពីទទួលបានសិទ្ធិចូលប្រើគណនីដែលមានសិទ្ធិ ប្រតិបត្តិករ ProLock ធ្វើការត្រួតពិនិត្យបណ្តាញ ដែលអាចរួមបញ្ចូលការស្កេនច្រក និងការវិភាគនៃបរិស្ថាន Active Directory ។ បន្ថែមពីលើស្គ្រីបផ្សេងៗ អ្នកវាយប្រហារប្រើ AdFind ដែលជាឧបករណ៍មួយផ្សេងទៀតដែលពេញនិយមក្នុងចំណោមក្រុម ransomware ដើម្បីប្រមូលព័ត៌មានអំពី Active Directory ។

ការផ្សព្វផ្សាយបណ្តាញ

ជាប្រពៃណី វិធីសាស្រ្តដ៏ពេញនិយមបំផុតមួយនៃការផ្សព្វផ្សាយបណ្តាញគឺ Remote Desktop Protocol។ ProLock មិនមានករណីលើកលែងនោះទេ។ អ្នកវាយប្រហារថែមទាំងមានស្គ្រីបនៅក្នុងឃ្លាំងរបស់ពួកគេដើម្បីទទួលបានការចូលប្រើពីចម្ងាយតាមរយៈ RDP ដើម្បីកំណត់គោលដៅម៉ាស៊ីន។

ស្គ្រីប BAT សម្រាប់ការចូលប្រើតាមរយៈពិធីការ RDP៖

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

ដើម្បីប្រតិបត្តិស្គ្រីបពីចម្ងាយ ប្រតិបត្តិករ ProLock ប្រើឧបករណ៍ដ៏ពេញនិយមមួយផ្សេងទៀត ឧបករណ៍ប្រើប្រាស់ PsExec ពី Sysinternals Suite ។

ProLock ដំណើរការលើម៉ាស៊ីនដោយប្រើ WMIC ដែលជាចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជាសម្រាប់ធ្វើការជាមួយប្រព័ន្ធរងរបស់ Windows Management Instrumentation ។ ឧបករណ៍នេះក៏កំពុងមានប្រជាប្រិយភាពកាន់តែខ្លាំងឡើងក្នុងចំណោមប្រតិបត្តិករ ransomware ។

ការ​ប្រមូល​ទិន្នន័យ

ដូចប្រតិបត្តិករ ransomware ជាច្រើនផ្សេងទៀត ក្រុមដែលប្រើ ProLock ប្រមូលទិន្នន័យពីបណ្តាញដែលត្រូវបានសម្របសម្រួលដើម្បីបង្កើនឱកាសរបស់ពួកគេក្នុងការទទួលបានតម្លៃលោះ។ មុនពេលការបណ្តេញចេញ ទិន្នន័យដែលប្រមូលបានត្រូវបានរក្សាទុកក្នុងប័ណ្ណសារដោយប្រើឧបករណ៍ប្រើប្រាស់ 7Zip ។

ការបណ្តេញចេញ

ដើម្បីបង្ហោះទិន្នន័យ ប្រតិបត្តិករ ProLock ប្រើ Rclone ដែលជាឧបករណ៍បន្ទាត់ពាក្យបញ្ជាដែលត្រូវបានរចនាឡើងដើម្បីធ្វើសមកាលកម្មឯកសារជាមួយសេវាកម្មផ្ទុកពពកផ្សេងៗដូចជា OneDrive, Google Drive, Mega ជាដើម។ អ្នកវាយប្រហារតែងតែប្តូរឈ្មោះឯកសារដែលអាចប្រតិបត្តិបានដើម្បីធ្វើឱ្យវាមើលទៅដូចជាឯកសារប្រព័ន្ធស្របច្បាប់។

មិនដូចមិត្តភក្ដិរបស់ពួកគេទេ ប្រតិបត្តិករ ProLock នៅតែមិនមានគេហទំព័រផ្ទាល់ខ្លួនដើម្បីផ្សព្វផ្សាយទិន្នន័យលួចដែលជាកម្មសិទ្ធិរបស់ក្រុមហ៊ុនដែលបដិសេធមិនបង់ថ្លៃលោះ។

ការសម្រេចបាននូវគោលដៅចុងក្រោយ

នៅពេលដែលទិន្នន័យត្រូវបានស្រង់ចេញ ក្រុមការងារនឹងដាក់ពង្រាយ ProLock នៅទូទាំងបណ្តាញសហគ្រាស។ ឯកសារគោលពីរត្រូវបានស្រង់ចេញពីឯកសារដែលមានផ្នែកបន្ថែម PNG & ‧; ឬ JPG ដោយប្រើ PowerShell ហើយបញ្ចូលទៅក្នុងអង្គចងចាំ៖

ជាដំបូង ProLock បញ្ចប់ដំណើរការដែលបានបញ្ជាក់នៅក្នុងបញ្ជីដែលភ្ជាប់មកជាមួយ (គួរឱ្យចាប់អារម្មណ៍វាប្រើតែអក្សរប្រាំមួយនៃឈ្មោះដំណើរការដូចជា "winwor") និងបញ្ចប់សេវាកម្ម រួមទាំងសេវាកម្មដែលទាក់ទងនឹងសុវត្ថិភាព ដូចជា CSFalconService ( CrowdStrike Falcon) ដោយប្រើពាក្យបញ្ជា បញ្ឈប់សុទ្ធ.

បន្ទាប់មក ដូចទៅនឹងគ្រួសារ ransomware ជាច្រើនទៀតដែរ អ្នកវាយប្រហារប្រើ វីសាមីន ដើម្បីលុបច្បាប់ចម្លងស្រមោលរបស់វីនដូ និងកំណត់ទំហំរបស់វា ដូច្នេះមិនត្រូវបង្កើតច្បាប់ចម្លងថ្មីទេ៖

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock បន្ថែមផ្នែកបន្ថែម .proLock, .pr0 ចាក់សោ ឬ .proL0ck ទៅឯកសារដែលបានអ៊ិនគ្រីបនីមួយៗ ហើយដាក់ឯកសារ [របៀបយកឯកសារមកវិញ].TXT ទៅថតនីមួយៗ។ ឯកសារនេះមានការណែនាំអំពីរបៀបឌិគ្រីបឯកសារ រួមទាំងតំណភ្ជាប់ទៅកាន់គេហទំព័រដែលជនរងគ្រោះត្រូវបញ្ចូលលេខសម្គាល់តែមួយគត់ និងទទួលបានព័ត៌មានការទូទាត់៖

ឧទាហរណ៍នីមួយៗនៃ ProLock មានព័ត៌មានអំពីចំនួនលោះ - ក្នុងករណីនេះ 35 bitcoins ដែលមានតម្លៃប្រហែល $312 ។

សេចក្តីសន្និដ្ឋាន

ប្រតិបត្តិករ ransomware ជាច្រើនប្រើវិធីសាស្រ្តស្រដៀងគ្នាដើម្បីសម្រេចបាននូវគោលដៅរបស់ពួកគេ។ ទន្ទឹមនឹងនេះ បច្ចេកទេសខ្លះមានលក្ខណៈប្លែកពីក្រុមនីមួយៗ។ បច្ចុប្បន្ននេះ មានការកើនឡើងនៃក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលប្រើប្រាស់ ransomware នៅក្នុងយុទ្ធនាការរបស់ពួកគេ។ ក្នុងករណីខ្លះ ប្រតិបត្តិករដូចគ្នាអាចជាប់ពាក់ព័ន្ធក្នុងការវាយប្រហារដោយប្រើ ransomware ក្រុមគ្រួសារផ្សេងគ្នា ដូច្នេះយើងនឹងឃើញការត្រួតស៊ីគ្នាកាន់តែខ្លាំងនៅក្នុងយុទ្ធសាស្ត្រ បច្ចេកទេស និងនីតិវិធីដែលបានប្រើ។

ការធ្វើផែនទីជាមួយ MITER ATT&CK Mapping

ល្បិច
បច្ចេកទេស

ការចូលប្រើដំបូង (TA0001)
សេវាពីចម្ងាយខាងក្រៅ (T1133), ឯកសារភ្ជាប់ Spearphishing (T1193), Spearphishing Link (T1192)

ការប្រតិបត្តិ (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

ការតស៊ូ (TA0003)
ការចុះឈ្មោះដំណើរការកូនសោ / ថតចាប់ផ្តើម (T1060), កិច្ចការដែលបានគ្រោងទុក (T1053), គណនីមានសុពលភាព (T1078)

ការគេចចេញពីការការពារ (TA0005)
ការចុះហត្ថលេខាលើកូដ (T1116), Deobfuscate/Decode ឯកសារ ឬព័ត៌មាន (T1140), ការបិទឧបករណ៍សុវត្ថិភាព (T1089), ការលុបឯកសារ (T1107), Masquerading (T1036), ការចាក់ដំណើរការ (T1055)

ការចូលប្រើព័ត៌មានសម្ងាត់ (TA0006)
ការបោះចោលព័ត៌មានសម្ងាត់ (T1003), កម្លាំងមនុស្សអាក្រក់ (T1110), ការចាប់យកធាតុបញ្ចូល (T1056)

ការរកឃើញ (TA0007)
ការរកឃើញគណនី (T1087) ការរកឃើញការជឿទុកចិត្តលើដែន (T1482) ការរកឃើញឯកសារ និងថតឯកសារ (T1083) ការស្កេនសេវាបណ្តាញ (T1046) ការរកឃើញការចែករំលែកបណ្តាញ (T1135) ការរកឃើញប្រព័ន្ធពីចម្ងាយ (T1018)

ចលនាចំហៀង (TA0008)
ពិធីការផ្ទៃតុពីចម្ងាយ (T1076) ការចម្លងឯកសារពីចម្ងាយ (T1105) ការចែករំលែកអ្នកគ្រប់គ្រងវីនដូ (T1077)

ការប្រមូល (TA0009)
ទិន្នន័យពីប្រព័ន្ធមូលដ្ឋាន (T1005) ទិន្នន័យពីបណ្តាញចែករំលែក Drive (T1039) ទិន្នន័យដំណាក់កាល (T1074)

ពាក្យបញ្ជា និងការគ្រប់គ្រង (TA0011)
ច្រកដែលប្រើជាទូទៅ (T1043), សេវាបណ្តាញ (T1102)

ការចម្រាញ់ (TA0010)
ទិន្នន័យដែលបានបង្ហាប់ (T1002) ផ្ទេរទិន្នន័យទៅគណនីពពក (T1537)

ផលប៉ះពាល់ (TA0040)
ទិន្នន័យត្រូវបានអ៊ិនគ្រីបសម្រាប់ផលប៉ះពាល់ (T1486), រារាំងការស្តារប្រព័ន្ធឡើងវិញ (T1490)

ប្រភព: www.habr.com