Serkeftina êrîşên ransomware yên li ser rêxistinên li çaraliyê cîhanê her ku diçe bêtir êrişkerên nû dihêle ku têkevin lîstikê. Yek ji van lîstikvanên nû komek e ku ransomware ProLock bikar tîne. Ew di Adara 2020-an de wekî cîgirê bernameya PwndLocker, ku di dawiya 2019-an de dest bi xebatê kir, xuya bû. Êrîşên ransomware yên ProLock di serî de rêxistinên darayî û lênihêrîna tenduristî, saziyên hukûmetê, û sektora firotanê dikin armanc. Di van demên dawî de, operatorên ProLock bi serfirazî êrîşî yek ji mezintirîn hilberînerên ATM, Diebold Nixdorf kirin.
Di vê postê de Oleg Skulkin, pisporê sereke yê Laboratoriya Dadwerî ya Computer ya Group-IB, taktîk, teknîk û prosedurên bingehîn (TTP) ku ji hêla operatorên ProLock ve têne bikar anîn vedihewîne. Gotar bi danberhevek bi MITER ATT&CK Matrix re, databasek giştî ya ku taktîkên êrîşa armanckirî ku ji hêla komên cûrbecûr sûcdarên sîber ve têne bikar anîn berhev dike, bi dawî dibe.
Gihîştina destpêkê
Operatorên ProLock du vektorên sereke yên lihevhatina seretayî bikar tînin: QakBot (Qbot) Trojan û serverên RDP yên neparastî yên bi şîfreyên qels.
Lihevhatina bi riya serverek RDP ya ku ji derve ve tê gihîştin di nav operatorên ransomware de pir populer e. Bi gelemperî, êrîşkar gihîştina serverek lihevhatî ji aliyên sêyemîn bikirin, lê ew dikare ji hêla endamên komê ve bi serê xwe jî were bidestxistin.
Vektorek balkêştir a lihevhatina bingehîn malware QakBot e. Berê, ev Trojan bi malbatek din a ransomware - MegaCortex re têkildar bû. Lêbelê, ew nuha ji hêla operatorên ProLock ve tê bikar anîn.
Bi gelemperî, QakBot bi kampanyayên phishing ve tê belav kirin. Dibe ku e-nameyek phishing belgeyek Microsoft Office-a pêvekirî an girêdanek pelek ku di karûbarek hilanînê ewr de ye, wek Microsoft OneDrive, hebe.
Di heman demê de bûyerên naskirî hene ku QakBot bi Trojanek din, Emotet, ku bi tevlêbûna xwe ya di kampanyayên ku ransomware-ya Ryuk belav dike de bi berfirehî tê zanîn, tê zanîn.
Têrbûn
Piştî dakêşandin û vekirina belgeyek vegirtî, ji bikarhêner tê xwestin ku destûrê bide ku makro bimeşîne. Ger serketî be, PowerShell tê destpêkirin, ku dê bihêle hûn barkirina QakBot ji servera ferman û kontrolê dakêşin û bimeşînin.
Girîng e ku bala xwe bidinê ku heman tişt ji bo ProLock jî derbas dibe: bargiran ji pelê tê derxistin BMP an JPG û bi karanîna PowerShell-ê di bîranînê de hate barkirin. Di hin rewşan de, ji bo destpêkirina PowerShell peywirek plansazkirî tê bikar anîn.
Skrîpta berhevokê ku ProLock-ê bi nexşerêya peywirê dimeşîne:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batDi sîstemê de yekbûn
Ger gengaz be ku servera RDP-ê tawîz bike û bigihîje, wê hingê hesabên derbasdar têne bikar anîn da ku bigihîjin torê. QakBot ji hêla cûrbecûr mekanîzmayên pêvekirinê ve tête diyar kirin. Pir caran, ev Trojan mifteya qeydê Run bikar tîne û di plansazker de peywiran diafirîne:
Qakbot bi pergalê ve bi karanîna mifteya qeydkirinê vekin
Di hin rewşan de, peldankên destpêkê jî têne bikar anîn: kurtebirek li wir tê danîn ku ji bootloader destnîşan dike.
Parastina dorpêçê
Bi danûstendina bi servera ferman û kontrolê re, QakBot dem bi dem hewl dide ku xwe nûve bike, ji ber vê yekê ji bo ku ji tespîtê dûr nekevin, malware dikare guhertoya xweya heyî bi guhertoyek nû biguhezîne. Pelên îcrakar bi îmzeyek lihevhatî an sexte têne îmze kirin. Barkirina destpêkê ya ku ji hêla PowerShell ve hatî barkirin li ser servera C&C bi dirêjkirinê tê hilanîn PNG. Wekî din, piştî darvekirinê ew bi pelek rewa tê guhertin calc.exe.
Di heman demê de, ji bo veşartina çalakiya xirab, QakBot teknîka derzîlêdana kodê di pêvajoyan de, bikar tîne explorer.exe.
Wekî ku hate gotin, barkirina ProLock di hundurê pelê de veşartî ye BMP an JPG. Ev jî dikare wekî rêbazek dûrxistina parastinê were hesibandin.
Bidestxistina pêbaweriyan
QakBot fonksiyona keylogger heye. Wekî din, ew dikare nivîsarên din dakêşîne û bimeşîne, mînakî, Invoke-Mimikatz, guhertoyek PowerShell ya amûra navdar a Mimikatz. Nivîsarên weha dikarin ji hêla êrîşkaran ve werin bikar anîn da ku pêbaweriyan bavêjin.
îstîxbarata torê
Piştî ku bigihîjin hesabên îmtiyaz, operatorên ProLock keşfkirina torê pêk tînin, ku dibe ku şopandina portê û analîzkirina hawîrdora Active Directory pêk bîne. Digel nivîsarên cihêreng, êrîşkar AdFind, amûrek din a ku di nav komên ransomware de populer e, bikar tînin da ku agahdariya li ser Active Directory berhev bikin.
pêşvebirina torê
Bi kevneşopî, yek ji awayên herî populer ên pêşvebirina torê Protokola Sermaseya Dûr e. ProLock ne îstîsna bû. Êrîşker di nav cebilxaneya xwe de jî nivîsar hene da ku bi RDP ve ji dûr ve bigihîjin mêvandaran.
Nivîsara BAT ji bo gihîştina bi protokola RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Ji bo pêkanîna nivîsan ji dûr ve, operatorên ProLock amûrek din a populer bikar tînin, amûra PsExec ji Sysinternals Suite.
ProLock li ser mêvandaran bi karanîna WMIC-ê dimeşîne, ku navgînek rêzika fermanê ye ji bo xebata bi bine-pergala Amûrên Rêvebiriya Windows-ê. Ev amûr di nav operatorên ransomware de jî her ku diçe populer dibe.
Komkirina daneyan
Mîna gelek operatorên din ên ransomware, koma ku ProLock bikar tîne daneyan ji torgilokek lihevhatî berhev dike da ku şansên xwe yên wergirtina fîdyeyê zêde bike. Berî derxistinê, daneyên berhevkirî bi karanîna karûbar 7Zip têne arşîv kirin.
Exfiltration
Ji bo barkirina daneyan, operatorên ProLock Rclone bikar tînin, amûrek rêza fermanê ku ji bo hevdengkirina pelan bi karûbarên hilanîna ewr ên cihêreng ên wekî OneDrive, Google Drive, Mega, hwd re hatiye çêkirin. Êrîşker her gav navê pelê îcrakar biguherînin da ku ew wekî pelên pergalê yên rewa xuya bike.
Berevajî hevalên xwe, operatorên ProLock hîn jî ne xwediyê malpera xwe ne ku daneyên dizî yên aîdê pargîdaniyên ku dayîna fîdyeyê red kirine biweşînin.
Gihîştina armanca dawî
Dema ku dane têne derxistin, tîmê ProLock li seranserê tora pargîdaniyê bicîh dike. Pelê binary ji pelek bi dirêjkirinê tê derxistin PNG an JPG PowerShell bikar tîne û di bîranînê de tê derzî kirin:
Berî her tiştî, ProLock pêvajoyên ku di navnîşa çêkirî de hatine destnîşan kirin diqedîne (balkêş e, ew tenê şeş tîpên navê pêvajoyê, wek "winwor" bikar tîne), û karûbaran bi dawî dike, tevî yên ku bi ewlehiyê ve girêdayî ne, wek CSFalconService ( CrowdStrike Falcon). fermanê bi kar tînin rawestandina nêt.
Dûv re, wekî gelek malbatên din ên ransomware, êrîşkar bikar tînin vssadmin ji bo jêbirina kopiyên siya Windows-ê û bisînorkirina mezinahiya wan da ku kopiyên nû neyên afirandin:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock dirêjkirinê zêde dike .proLock, .pr0Lock an .proL0ck ji bo her pelê şîfrekirî û pelê cîh dike [ÇAWA PÊŞIYAN DIKIN].TXT ji bo her peldankê. Di vê pelê de rêwerzên li ser çawaniya deşîfrekirina pelan vedihewîne, tevî lînka malperek ku divê mexdûr nasnameyek yekta bikeve û agahdariya dravdanê bistîne:
Her mînakek ProLock di derheqê mîqdara fîdyeyê de agahdarî dihewîne - di vê rewşê de, 35 bitcoin, ku bi qasî 312 $ ye.
encamê
Gelek operatorên ransomware rêbazên wekhev bikar tînin ku bigihîjin armancên xwe. Di heman demê de, hin teknîk ji bo her komê yekta ne. Heya nuha, hejmarek mezin a komên sûcdarên sîber hene ku di kampanyayên xwe de ransomware bikar tînin. Di hin rewşan de, dibe ku heman operator beşdarî êrîşan bibin ku malbatên cûda yên ransomware bikar tînin, ji ber vê yekê em ê her ku diçe di taktîk, teknîk û prosedurên têne bikar anîn de hevûdu bibînin.
Nexşekirin bi MITER ATT&CK Nexşe
Taktîk
Teknîk
Gihîştina Destpêkê (TA0001)
Xizmetên Dûr ên Derve (T1133), Pêveka Hêjdarkirinê (T1193), Girêdana Spearphishing (T1192)
Darvekirin (TA0002)
Powershell (T1086), Nivîsandin (T1064), Bikarhêner Bikarhêner (T1204), Amûrên Rêvebiriya Windows (T1047)
Persistence (TA0003)
Bişkojkên Karkirina Qeydê / Peldanka Destpêkê (T1060), Karê Bername (T1053), Hesabên Derbasdar (T1078)
Parastina Parastinê (TA0005)
Îmzekirina Kodê (T1116), Pelên an Agahdariyê Deobfuscate/Dekodkirin (T1140), Astengkirina Amûrên Ewlekariyê (T1089), Jêbirina Pelê (T1107), Masquerading (T1036), Derzkirina Pêvajoyê (T1055)
Gihîştina pêbaweriyê (TA0006)
Hilweşîna pêbaweriyê (T1003), Hêza Birîn (T1110), Girtina Ketinê (T1056)
Vedîtin (TA0007)
Vedîtina Hesab (T1087), Vedîtina Baweriya Domainê (T1482), Vedîtina Pelê û Rêvebirê (T1083), Keşifkirina Karûbarê Torê (T1046), Vedîtina Parvekirina Torê (T1135), Vedîtina Pergala Dûr (T1018)
Tevgera Lateral (TA0008)
Protokola Sermaseya Dûr (T1076), Kopîkirina Pelê Dûr (T1105), Parvekirinên Rêvebirê Windows (T1077)
Berhevkirin (TA0009)
Daneyên ji Pergala Herêmî (T1005), Daneyên ji Ajokara Parvekirî ya Tora (T1039), Daneyên Qonaxkirî (T1074)
Ferman û Kontrol (TA0011)
Porta Bi gelemperî tête bikar anîn (T1043), Karûbarê Webê (T1102)
Exfiltration (TA0010)
Daneyên Tevlihevkirî (T1002), Daneyên Veguhezînin Hesabê Cloud (T1537)
Bandor (TA0040)
Daneyên ji bo Bandora şîfrekirî (T1486), Vegerandina Pergalê Astengkirin (T1490)
Source: www.habr.com