ProLock 열기: MITRE ATT&CK 매트릭스를 사용하여 새로운 랜섬웨어 운영자의 활동 분석

전 세계 조직에 대한 랜섬웨어 공격의 성공으로 인해 점점 더 많은 새로운 공격자가 게임에 뛰어들고 있습니다. 이러한 새로운 플레이어 중 하나는 ProLock 랜섬웨어를 사용하는 그룹입니다. 2020년 말에 운영을 시작한 PwndLocker 프로그램의 후속 프로그램으로 2019년 XNUMX월에 등장했습니다. ProLock 랜섬웨어 공격은 주로 금융 및 의료 기관, 정부 기관, 소매 부문을 대상으로 합니다. 최근 ProLock 운영자는 최대 ATM 제조업체 중 하나인 Diebold Nixdorf를 성공적으로 공격했습니다.

이 게시물에서 Group-IB 컴퓨터 법의학 연구소의 수석 전문가인 Oleg Skulkin에서는 ProLock 운영자가 사용하는 기본 전술, 기술 및 절차(TTP)를 다룹니다. 이 기사는 다양한 사이버 범죄 그룹이 사용하는 표적 공격 전술을 종합한 공개 데이터베이스인 MITRE ATT&CK Matrix와의 비교로 마무리됩니다.

초기 액세스 얻기

ProLock 운영자는 QakBot(Qbot) 트로이 목마와 취약한 비밀번호를 사용하는 보호되지 않은 RDP 서버라는 두 가지 주요 침해 벡터를 사용합니다.

외부에서 액세스 가능한 RDP 서버를 통한 손상은 랜섬웨어 운영자들 사이에서 매우 인기가 높습니다. 일반적으로 공격자는 제XNUMX자로부터 손상된 서버에 대한 액세스 권한을 구매하지만 그룹 구성원이 스스로 액세스 권한을 얻을 수도 있습니다.

더욱 흥미로운 XNUMX차 침해 벡터는 QakBot 악성코드입니다. 이전에 이 트로이 목마는 다른 랜섬웨어 계열인 MegaCortex와 관련이 있었습니다. 그러나 이제는 ProLock 운영자가 사용합니다.

일반적으로 QakBot은 피싱 캠페인을 통해 배포됩니다. 피싱 이메일에는 첨부된 Microsoft Office 문서나 Microsoft OneDrive와 같은 클라우드 저장소 서비스에 있는 파일에 대한 링크가 포함될 수 있습니다.

Ryuk 랜섬웨어를 배포하는 캠페인에 참여한 것으로 널리 알려진 Emotet이라는 또 다른 트로이 목마가 QakBot에 로드된 사례도 알려져 있습니다.

실행

감염된 문서를 다운로드하고 열면 사용자에게 매크로 실행을 허용하라는 메시지가 표시됩니다. 성공하면 명령 및 제어 서버에서 QakBot 페이로드를 다운로드하고 실행할 수 있는 PowerShell이 ​​시작됩니다.

ProLock에도 동일하게 적용된다는 점에 유의하는 것이 중요합니다. 페이로드는 파일에서 추출됩니다. BMP 또는 JPG PowerShell을 사용하여 메모리에 로드됩니다. 경우에 따라 예약된 작업을 사용하여 PowerShell을 시작합니다.

작업 스케줄러를 통해 ProLock을 실행하는 배치 스크립트:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

시스템 통합

RDP 서버를 손상시키고 액세스 권한을 얻을 수 있는 경우 유효한 계정을 사용하여 네트워크에 액세스합니다. QakBot은 다양한 부착 메커니즘이 특징입니다. 대부분 이 트로이 목마는 Run 레지스트리 키를 사용하고 스케줄러에 작업을 생성합니다.

Run 레지스트리 키를 사용하여 Qakbot을 시스템에 고정

어떤 경우에는 시작 폴더도 사용됩니다. 부트로더를 가리키는 바로가기가 여기에 배치됩니다.

우회 보호

QakBot은 명령 및 제어 서버와 통신하여 주기적으로 자체 업데이트를 시도하므로 탐지를 피하기 위해 악성 코드는 현재 버전을 새 버전으로 교체할 수 있습니다. 실행 파일은 손상되거나 위조된 서명으로 서명됩니다. PowerShell에서 로드된 초기 페이로드는 확장명을 사용하여 C&C 서버에 저장됩니다. PNG. 또한, 실행 후에는 합법적인 파일로 교체됩니다. CALC.EXE.

또한 악의적인 활동을 숨기기 위해 QakBot은 다음을 사용하여 프로세스에 코드를 주입하는 기술을 사용합니다. Explorer.exe에서.

앞서 언급했듯이 ProLock 페이로드는 파일 내부에 숨겨져 있습니다. BMP 또는 JPG. 이는 보호를 우회하는 방법으로도 간주될 수 있습니다.

자격 증명 얻기

QakBot에는 키로거 기능이 있습니다. 또한 유명한 Mimikatz 유틸리티의 PowerShell 버전인 Invoke-Mimikatz와 같은 추가 스크립트를 다운로드하고 실행할 수 있습니다. 이러한 스크립트는 공격자가 자격 증명을 덤프하는 데 사용될 수 있습니다.

네트워크 인텔리전스

ProLock 운영자는 권한 있는 계정에 대한 액세스 권한을 얻은 후 포트 검색 및 Active Directory 환경 분석을 포함할 수 있는 네트워크 정찰을 수행합니다. 공격자는 다양한 스크립트 외에도 랜섬웨어 그룹에서 널리 사용되는 또 다른 도구인 AdFind를 사용하여 Active Directory에 대한 정보를 수집합니다.

네트워크 프로모션

전통적으로 가장 널리 사용되는 네트워크 승격 방법 중 하나는 원격 데스크톱 프로토콜입니다. ProLock도 예외는 아니었습니다. 공격자는 RDP를 통해 대상 호스트에 원격 액세스할 수 있는 스크립트를 보유하고 있습니다.

RDP 프로토콜을 통해 액세스를 얻기 위한 BAT 스크립트:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

스크립트를 원격으로 실행하기 위해 ProLock 운영자는 또 다른 인기 있는 도구인 Sysinternals Suite의 PsExec 유틸리티를 사용합니다.

ProLock은 Windows Management Instrumentation 하위 시스템 작업을 위한 명령줄 인터페이스인 WMIC를 사용하여 호스트에서 실행됩니다. 이 도구는 랜섬웨어 운영자들 사이에서도 점점 인기를 얻고 있습니다.

데이터 수집

다른 많은 랜섬웨어 운영자와 마찬가지로 ProLock을 사용하는 그룹은 랜섬머니를 받을 가능성을 높이기 위해 손상된 네트워크에서 데이터를 수집합니다. 추출되기 전에 수집된 데이터는 7Zip 유틸리티를 사용하여 보관됩니다.

유출

데이터를 업로드하기 위해 ProLock 운영자는 OneDrive, Google Drive, Mega 등과 같은 다양한 클라우드 스토리지 서비스와 파일을 동기화하도록 설계된 명령줄 도구인 Rclone을 사용합니다. 공격자는 항상 실행 파일의 이름을 변경하여 합법적인 시스템 파일처럼 보이도록 합니다.

동료와 달리 ProLock 운영자는 몸값 지불을 거부한 회사의 훔친 데이터를 게시할 수 있는 자체 웹사이트를 아직 갖고 있지 않습니다.

최종 목표 달성

데이터가 유출되면 팀은 기업 네트워크 전체에 ProLock을 배포합니다. 바이너리 파일은 확장자를 가진 파일에서 추출됩니다. PNG 또는 JPG PowerShell을 사용하여 메모리에 삽입합니다.

우선 ProLock은 내장 목록에 지정된 프로세스를 종료하고(흥미롭게도 "winwor"와 같은 프로세스 이름의 XNUMX글자만 사용함) CSFalconService와 같은 보안 관련 서비스를 포함한 서비스를 종료합니다. CrowdStrike Falcon) 명령 사용 그물 정류장.

그런 다음 다른 많은 랜섬웨어 계열과 마찬가지로 공격자는 다음을 사용합니다. 관리 vssadmin Windows 섀도 복사본을 삭제하고 새 복사본이 생성되지 않도록 크기를 제한하려면:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock에 확장 기능 추가 .proLock, .pr0Lock 또는 .proL0ck 각 암호화된 파일에 복사하여 해당 파일을 배치합니다. [파일 복구 방법].TXT 각 폴더에. 이 파일에는 피해자가 고유 ID를 입력하고 결제 정보를 받아야 하는 사이트에 대한 링크를 포함하여 파일을 해독하는 방법에 대한 지침이 포함되어 있습니다.

ProLock의 각 인스턴스에는 몸값 금액에 대한 정보가 포함되어 있습니다. 이 경우에는 35비트코인으로 약 $312입니다.

결론

많은 랜섬웨어 운영자는 목표를 달성하기 위해 유사한 방법을 사용합니다. 동시에 일부 기술은 각 그룹마다 고유합니다. 현재 캠페인에 랜섬웨어를 사용하는 사이버 범죄 그룹의 수가 점점 늘어나고 있습니다. 경우에 따라 동일한 운영자가 다양한 랜섬웨어 계열을 사용하는 공격에 연루될 수 있으므로 사용되는 전술, 기술 및 절차가 점점 더 중복되는 것을 보게 될 것입니다.

MITRE ATT&CK 매핑을 사용한 매핑

술책
기술

초기 액세스(TA0001)
외부 원격 서비스(T1133), 스피어피싱 첨부 파일(T1193), 스피어피싱 링크(T1192)

실행(TA0002)
Powershell(T1086), 스크립팅(T1064), 사용자 실행(T1204), Windows Management Instrumentation(T1047)

지속성(TA0003)
레지스트리 실행 키/시작 폴더(T1060), 예약된 작업(T1053), 유효한 계정(T1078)

방어회피(TA0005)
코드 서명(T1116), 파일 또는 정보 난독화/디코딩(T1140), 보안 도구 비활성화(T1089), 파일 삭제(T1107), 가장(T1036), 프로세스 주입(T1055)

자격 증명 액세스(TA0006)
자격 증명 덤핑(T1003), 무차별 대입(T1110), 입력 캡처(T1056)

디스커버리(TA0007)
계정 검색(T1087), 도메인 신뢰 검색(T1482), 파일 및 디렉터리 검색(T1083), 네트워크 서비스 검색(T1046), 네트워크 공유 검색(T1135), 원격 시스템 검색(T1018)

측면 이동(TA0008)
원격 데스크톱 프로토콜(T1076), 원격 파일 복사(T1105), Windows 관리 공유(T1077)

컬렉션(TA0009)
로컬 시스템의 데이터(T1005), 네트워크 공유 드라이브의 데이터(T1039), 데이터 스테이지(T1074)

명령 및 제어(TA0011)
일반적으로 사용되는 포트(T1043), 웹 서비스(T1102)

유출(TA0010)
데이터 압축(T1002), 클라우드 계정으로 데이터 전송(T1537)

임팩트(TA0040)
영향을 미칠 수 있도록 데이터 암호화(T1486), 시스템 복구 금지(T1490)

출처 : habr.com