ProHoster > Π‘Π»ΠΎΠ³ > administratio > Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK

Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK

Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK

Successus redemptionis oppugnationum in Institutis circum orbem terrarum magis magisque novos oppugnatores ad ludum ingrediendum excitat. Una ex his lusoribus lusoribus coetus est utens ProLock pretium redemptionis. Visum est mense Martio 2020 successorem programmatis PwndLocker, qui in fine MMXIX operari incepit. ProLock pretium redemptionis imprimis oppugnat oeconomicos et sanitatis Instituta, administrationes regiminis, et sectorem scrutarium. Nuper ProLock operariorum unum ex maximis machinatoribus fabricantibus Diebold Nixdorf feliciter aggressi sunt.

In hoc post Oleg Skulkin, artifex ducens in Laboratorio Forensico Computer Group-IBfundamentales rationes, artes et rationes (TTPs) ab operariis ProLock utitur. Articulus cum comparatione MITER ATT&CK Matrix concluditur, database publici, qui iaculis oppugnationem machinarum a variis cybercriminalibus coetibus adhibitas componit.

Questus initialis accessum

ProLock operarii duo vectores principales compromissi utuntur: scilicet QakBot (Qbot) Troiani et nucultati RDP servientibus infirmis passwords.

Compromissum per modum servientis externe adiri RDP valde populare est inter operatores redemptariorum. De more oppugnatores aditus ad servo compromisso e tribus partibus emunt, sed etiam a sodalibus sodalibus suis obtineri potest.

Magis interesting vector compromissi primariae est QakBot malware. Antea hic Troianus cum alia familia redemptionis - MegaCortex sociatus est. Sed nunc ab operariis ProLock adhibitum est.

Typice QakBot distribuitur per expeditiones hamatas. Inscriptio hamatae continere potest documentum Microsoft Officii adnexum vel nexum cum fasciculo sito in nube muneris repono, ut Microsoft OneDrive.

Notae sunt casus QakBot cum onerato alio Troiano, Emotet, quod divulgatum est propter participationem expeditionum quae pretium redemptionis Ryuk distribuerunt.

supplicium

Post demptionem et documentum infectam aperiens, usor impellitur ut utentes currerent. Si prospere, PowerShell emittitur, quod permittet te download et currere QakBot payload ex iussu et potestate servo.

Gravis notare proLock similiter: payload extrahitur ex tabella BMP aut PNG et onerata in memoriam utens PowerShell. In quibusdam casibus scheduled munus committitur PowerShell.

Batch scriptor cursus ProLock per negotium scheduler:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Consolatio in systemate

Si fieri potest ut servo RDP compromissum et accessum recipias, rationes validae adhibentur ut aditus ad ornatum retis adhibeantur. QakBot machinationes affectum variis notatur. Saepissime hic Troianus clavem subcriptio Curri utitur et munera in schedulis creat:

Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK
Fibulae Qakbot ad systema utendi currite subcriptio key

In nonnullis casibus satum folders etiam adhibentur: brevis illic posita est quae ad bootloader demonstrat.

bypass praesidium

Communicando cum mandato ac potestate servo, QakBot periodice conatur se renovare, ut ad vitandam detectionem, malware suam emendationem novam cum novo substituere potest. Documenta exsecutoria signantur cum subscriptione aut aedilis aut fictis. Prima payload onusta PowerShell reponitur in C&C servo cum extensione PNG. Insuper, post executionem, reponitur cum file legitimo calc.exe.

Etiam, ut malignam celet actionem, QakBot utitur artificio codicem in processus injiciendi, utendo explorer.exe.

Ut dictum, ProLock payload intra tabella occultatur BMP aut PNG. Hoc etiam considerari potest ut modus custodiae praeteriens.

obtinendae documentorum

QakBot has keylogger functionality. Adde potest et trahere scripta additamenta, exempli gratia, Invoke-Mimikatz, versionem PowerShell celeberrimi Mimikatz utilitatem. Haec scripta ab oppugnatoribus ad TUBER documentorum adhiberi possunt.

Intellegentia Network

Postquam accessum ad rationes privilegiatas adeptus est, ProLock operarii speculandi retis operantur, quae portum comprehendere possunt et analysim activum Directory environment. Praeter varia scripta, oppugnatores AdFind utuntur, aliud instrumentum populare in coetibus empticii, ut informationes de Active Directory colligant.

Promotio Network

Traditionally, unus ex popularibus methodis promotionis retis est Remota Desktop Protocollum. ProLock nulla exceptio fuit. Impugnatores etiam scripta habent in armamentario suo ad remotum accessum per RDP ad exercitum oppugnandum.

BAT scriptum est aditus per RDP protocollum:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Ut scripta remotius exequantur, operarii ProLock alio instrumento populari utuntur, PsExec utilitas e Sysinternis Suite.

ProLock incurrit in Exercituum WMIC utens, quod est mandatum interface ad operandum cum subsystem Windows Management Instrumentation. Hoc instrumentum magis magisque populare fit inter operatores pretiosorum.

Notitia collectio

Sicut plures alii mercenarii operarii, coetus ProLock utens notitias colligit ex retis aedilis ad augendos casus sui redemptionis recipiendi. Antequam exfiltration est, notitia collecta in archivum utilitatis 7Zip utens est.

Exfiltration

Ad upload data, ProLock operarii Rclone uti, mandatum lineae instrumenti ad fasciculos synchronizandos cum variis nubis repositionis servitiis ordinandis ut OneDrive, Google Coegi, Mega, etc. Impugnatores semper renominant documentum exsecutabile ut illud videant sicut tabulae legitimae systematis.

Dissimilis pares, ProLock operarii adhuc suum locum non habent ad notitias furtivas divulgandas pertinentibus societatibus quae pretium solvere noluerunt.

Ad extremum metam

Postquam notitia exfiltrata est, manipulus ProLock per inceptum ornatum explicat. Scapus binarius extractus est e lima cum extensione PNG aut PNG PowerShell utens et memoriae infusum;

Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK
Imprimis, ProLock terminat processus in structo-in indice (interesting, tantum utitur sex litteris processus nominis, ut "winwor"), et officia terminat, iis ad securitatem relatis, ut CSFalconService (ut CSFalconService" CrowdStrike Falcon). per imperium rete subsisto.

Deinde, cum multae aliae familiae redemptionis, oppugnatores utebantur vssadmin Fenestras umbram delere et eorum magnitudinem limitare ut nova exemplaria non creentur;

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock adiungit extensionem .proLock, .pr0Lock aut .proL0ck unicuique encrypted lima ac locat tabella [Quam ad files recuperet] .TXT unicuique folder. Hic fasciculus instructiones continet quomodo tabellas minuendas, inter nexum cum situ ubi victima ID singularem inire debet et informationem mercedem accipere:

Aperitio ProLock: analysis actionum operariorum novae redemptionis uti matricis MITTER ATT&CK
Singulae instantiae ProLock informationes circa pretium redemptionis habent - hoc in casu, 35 bit denarios, qui proxime $312 est.

conclusio,

Multi operarii redemptorii similes methodis ad suas fines assequendas utuntur. Eodem tempore, nonnullae artes singulares singulis sodalitatibus sunt. Nunc, numerus coetus cybercriminalium crescente numero redemptionis in suis stipendiis utens est. In quibusdam casibus, iidem operarii possunt implicari in oppugnationibus utentes varias familias redemptionis, ita magis magisque videbimus in artibus, technicis et agendis adhibitis.

Mapping cum MATER ATT&CK Mapping

artibus
technique

Initial Access (TA0001)
Externi Remota Services (T1133), adscriptionis Spearphishing (T1193), Link Spearphishing (T1192)

Executio (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

Perseverantia (TA0003)
Subcriptio Curre Claves / Satus Folder (T1060), Negotium Scheduled (T1053), Rationes validae (T1078)

Defensio Evasion (TA0005)
Code Signing (T1116), Deobfuscate/Decode Tabulariorum seu Informationum (T1140), Instrumentorum Securitatis Inactivare (T1089), Tabularii Delitionis (T1107), Masquerading (T1036), Processus Iniectio (T1055)

Credential Access (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Captura (T1056)

Inventio (TA0007)
Ratio Inventionis (T1087), Domain Trust Inventionis (T1482), File and Directory Discovery (T1083), Network Service ENARRATIO (T1046), Network Share Inventio (T1135), Ratio Inventionis Remota (T1018)

Motus lateralis (TA0008)
Longinquus Desktop Protocol (T1076), Longinquus Exemplar Tabularii (T1105), Windows Admin Shares (T1077)

Collectio (TA0009)
Data ex Systemate locali (T1005), Data ex Coegi Network Shared (T1039), Data Staged (T1074)

Imperium et imperium (TA0011)
Communiter Portus (T1043), Service Web (T1102)

Exfiltration (TA0010)
Data Cogo (T1002), data Cloud Ratio transferre (T1537)

Impact (TA0040)
Data Encrypted pro Impact (T1486), Inhibe System Recuperatio (T1490)

Source: www.habr.com