Den Erfolleg vu Ransomware Attacken op Organisatiounen ronderëm d'Welt freet ëmmer méi nei Ugräifer an d'Spill ze kommen. Ee vun dësen neie Spiller ass eng Grupp déi d'ProLock Ransomware benotzt. Et erschéngt am Mäerz 2020 als Nofolger vum PwndLocker Programm, deen um Enn vum 2019 ugefaang huet. ProLock Ransomware Attacke zielen haaptsächlech op Finanz- a Gesondheetsorganisatiounen, Regierungsagenturen an den Handel. Viru kuerzem attackéiert ProLock Opérateuren erfollegräich ee vun de gréisste Geldautomaten Hiersteller, Diebold Nixdorf.
An dësem Post Oleg Skulkin, féierende Spezialist vum Computer Forensics Laboratory vu Group-IB, deckt d'Basis Taktiken, Techniken a Prozeduren (TTPs) déi vun ProLock Bedreiwer benotzt ginn. Den Artikel schléisst mat engem Verglach mat der MITER ATT&CK Matrix, eng ëffentlech Datebank, déi geziilt Attacke Taktiken zesummestellt, déi vu verschiddene Cyberkriminelle Gruppen benotzt ginn.
Éischt Zougang kréien
ProLock Bedreiwer benotzen zwee Haaptvektore vu primäre Kompromiss: de QakBot (Qbot) Trojaner an ongeschützte RDP Server mat schwaache Passwierder.
Kompromiss iwwer en extern zougänglechen RDP Server ass extrem populär bei Ransomware Betreiber. Typesch kafen Ugräifer Zougang zu engem kompromittéierte Server vun Drëttpersounen, awer et kann och vu Gruppememberen eleng kritt ginn.
E méi interessant Vektor vu primäre Kompromiss ass de QakBot Malware. Virdru war dësen Trojaner mat enger anerer Famill vu Ransomware verbonnen - MegaCortex. Wéi och ëmmer, et gëtt elo vu ProLock Bedreiwer benotzt.
Typesch gëtt QakBot duerch Phishing Kampagnen verdeelt. Eng Phishing-E-Mail kann en ugeschlossene Microsoft Office-Dokument oder e Link op e Fichier enthalen, deen an engem Cloud Storage-Service, wéi Microsoft OneDrive, läit.
Et ginn och bekannte Fäll vu QakBot gelueden mat engem aneren Trojaner, Emotet, dee wäit bekannt ass fir seng Participatioun u Kampagnen déi d'Ryuk Ransomware verdeelt hunn.
Leeschtung
Nodeems Dir en infizéiert Dokument erofgelueden an opgemaach huet, gëtt de Benotzer gefrot fir Makroen ze lafen. Wann et erfollegräich ass, gëtt PowerShell gestart, wat Iech erlaabt d'QakBot Notzlaascht vum Kommando- a Kontrollserver erofzelueden an auszeféieren.
Et ass wichteg ze bemierken datt datselwecht fir ProLock gëllt: d'Notzlaascht gëtt aus der Datei extrahéiert Bmp oder JPG an an d'Erënnerung gelueden mat PowerShell. A verschiddene Fäll gëtt eng geplangte Aufgab benotzt fir PowerShell ze starten.
Batch Skript Lafen ProLock duerch den Task Scheduler:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidéierung am System
Wann et méiglech ass den RDP Server ze kompromittéieren an Zougang ze kréien, da gi valabel Konte benotzt fir Zougang zum Netz ze kréien. QakBot ass charakteriséiert duerch eng Vielfalt vun Uschlossmechanismus. Meeschtens benotzt dësen Trojaner de Run Registry Schlëssel a erstellt Aufgaben am Scheduler:
Pinning Qakbot op de System mam Run Registry Schlëssel
A verschiddene Fäll ginn och Startup-Ordner benotzt: eng Ofkiirzung gëtt do plazéiert, déi op de Bootloader weist.
Bypass Schutz
Andeems Dir mam Kommando- a Kontrollserver kommunizéiert, probéiert QakBot periodesch sech selwer ze aktualiséieren, sou datt fir Detektioun ze vermeiden, kann d'Malware seng eege aktuell Versioun duerch eng nei ersetzen. Ausféierbar Dateie gi mat enger kompromittéierter oder gefälschter Ënnerschrëft ënnerschriwwen. Déi initial Notzlaascht gelueden vu PowerShell gëtt um C&C Server mat der Extensioun gespäichert PNG. Zousätzlech, no der Ausféierung gëtt se duerch eng legitim Datei ersat calc.exe.
Och, fir béiswëlleg Aktivitéit ze verstoppen, benotzt QakBot d'Technik fir Code a Prozesser ze sprëtzen, mat explorer.exe.
Wéi scho gesot, ass d'ProLock Notzlaascht an der Datei verstoppt Bmp oder JPG. Dëst kann och als Method vun Contournement Schutz considéréiert ginn.
Erhalen Umeldungsinformatiounen
QakBot huet Keylogger Funktionalitéit. Zousätzlech kann et zousätzlech Scripten eroflueden a lafen, zum Beispill Invoke-Mimikatz, eng PowerShell Versioun vum berühmten Mimikatz Utility. Esou Scripte kënne vun Ugräifer benotzt ginn fir Umeldungsinformatiounen ze dumpen.
Netzwierk Intelligenz
Nodeems Dir Zougang zu privilegiéierte Konten kritt, maachen ProLock Bedreiwer Netzwierker Reconnaissance, déi Port Scannen an Analyse vum Active Directory Ëmfeld enthalen. Zousätzlech zu verschiddene Scripten, benotzen Ugräifer AdFind, en anert Tool dat populär bei Ransomwaregruppen ass, fir Informatiounen iwwer Active Directory ze sammelen.
Network Promotioun
Traditionell ass eng vun de populäersten Methoden fir Netzwierkpromotioun de Remote Desktop Protocol. ProLock war keng Ausnahm. Ugräifer hu souguer Scripten an hirem Arsenal fir Remote Zougang iwwer RDP op Zilhosten ze kréien.
BAT Skript fir Zougang iwwer RDP Protokoll ze kréien:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Fir Scripten op afstand auszeféieren, benotzen ProLock Betreiber en anert populär Tool, de PsExec Utility vun der Sysinternals Suite.
ProLock leeft op Hosten mat WMIC, dat ass eng Kommandozeil-Interface fir mat dem Windows Management Instrumentation Subsystem ze schaffen. Dëst Tool gëtt och ëmmer méi populär bei Ransomware Betreiber.
Datensammlung
Wéi vill aner Ransomware Betreiber, sammelt d'Grupp déi ProLock benotzt Daten aus engem kompromittéierten Netzwierk fir hir Chancen ze erhéijen fir e Léisegeld ze kréien. Virun der Exfiltratioun ginn déi gesammelten Donnéeën mat dem 7Zip Utility archivéiert.
Exfiltratioun
Fir Daten eropzelueden, benotzen d'ProLock Betreiber Rclone, e Kommandozeil-Tool fir Dateien mat verschiddene Cloud Storage-Servicer ze synchroniséieren wéi OneDrive, Google Drive, Mega, etc.
Am Géigesaz zu hire Kollegen, ProLock Bedreiwer hunn nach ëmmer keng eege Websäit fir geklauten Donnéeën ze publizéieren déi zu Firmen gehéieren, déi refuséiert hunn de Léisegeld ze bezuelen.
Erreechen vun der Finale Zil
Wann d'Donnéeën exfiltréiert sinn, deployéiert d'Team ProLock am ganze Entreprisenetz. D'binär Datei gëtt aus enger Datei mat der Extensioun extrahéiert PNG oder JPG PowerShell benotzt an an d'Erënnerung injizéiert:
Als éischt terminéiert ProLock d'Prozesser, déi an der agebauter Lëscht spezifizéiert sinn (interessant, et benotzt nëmmen déi sechs Buschtawen vum Prozessnumm, sou wéi "winwor"), a terminéiert Servicer, och déi mat Sécherheet, wéi CSFalconService ( CrowdStrike Falcon). mam Kommando benotzt Netzstopp.
Dann, wéi mat villen anere Ransomware Famillen, Ugräifer benotzen vssadmin fir Windows Schattenkopien ze läschen an hir Gréisst ze limitéieren sou datt nei Kopien net erstallt ginn:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock füügt Extensioun .proLock, .pr0 Spär oder .proL0ck op all verschlësselte Fichier a Plazen d'Datei [WÉI FILE RECOVER].TXT op all Dossier. Dëse Fichier enthält Instruktioune wéi d'Dateien entschlësselen, dorënner e Link op e Site wou d'Affer eng eenzegaarteg ID muss aginn an d'Bezuelinformatioun kréien:
All Instanz vu ProLock enthält Informatiounen iwwer de Léisegeld - an dësem Fall 35 Bitcoins, wat ongeféier $ 312 ass.
Konklusioun
Vill Ransomware Betreiber benotzen ähnlech Methoden fir hir Ziler z'erreechen. Zur selwechter Zäit sinn e puer Techniken eenzegaarteg fir all Grupp. De Moment gëtt et eng wuessend Zuel vu Cyberkriminelle Gruppen déi Ransomware an hire Kampagnen benotzen. A verschiddene Fäll kënnen déiselwecht Bedreiwer un Attacke involvéiert sinn mat verschiddene Ransomwarefamilljen, sou datt mir ëmmer méi Iwwerlappung an der Taktik, Techniken a Prozedure gesinn.
Mapping mat MITER ATT&CK Mapping
Taktesch
Technik
Initial Access (TA0001)
Extern Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Ausféierung (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistenz (TA0003)
Registry Run Keys / Startup Dossier (T1060), Geplangte Aufgab (T1053), Gülteg Konten (T1078)
Defense Evasion (TA0005)
Code Ënnerschrëft (T1116), Deobfuscate / Decode Dateien oder Informatioun (T1140), Desaktivéiere Sécherheetsinstrumenter (T1089), Datei Läschen (T1107), Masquerading (T1036), Prozessinjektioun (T1055)
Umeldungszougang (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Sammlung (TA0009)
Daten vum Lokale System (T1005), Daten vum Network Shared Drive (T1039), Daten inszenéiert (T1074)
Kommando a Kontroll (TA0011)
Allgemeng benotzt Port (T1043), Web Service (T1102)
Exfiltratioun (TA0010)
Daten kompriméiert (T1002), Transfert Daten op Cloud Kont (T1537)
Impakt (TA0040)
Date verschlësselte fir Impakt (T1486), System Erhuelung blockéieren (T1490)
Source: will.com