ການເປີດ ProLock: ການວິເຄາະການກະທຳຂອງຜູ້ປະຕິບັດງານຂອງ ransomware ໃໝ່ໂດຍໃຊ້ MITER ATT&CK matrix

ຄວາມສໍາເລັດຂອງການໂຈມຕີ ransomware ຢູ່ໃນອົງການຈັດຕັ້ງຕ່າງໆໃນທົ່ວໂລກແມ່ນການກະຕຸ້ນໃຫ້ຜູ້ໂຈມຕີໃຫມ່ຫຼາຍຂື້ນເຂົ້າໄປໃນເກມ. ຫນຶ່ງໃນຜູ້ນໃຫມ່ເຫຼົ່ານີ້ແມ່ນກຸ່ມທີ່ໃຊ້ ProLock ransomware. ມັນປາກົດໃນເດືອນມີນາ 2020 ເປັນຜູ້ສືບທອດຂອງໂຄງການ PwndLocker, ເຊິ່ງໄດ້ເລີ່ມປະຕິບັດໃນທ້າຍປີ 2019. ການໂຈມຕີ ransomware ProLock ຕົ້ນຕໍແມ່ນແນໃສ່ອົງການການເງິນ ແລະການດູແລສຸຂະພາບ, ອົງການຂອງລັດຖະບານ, ແລະຂະແຫນງການຂາຍຍ່ອຍ. ບໍ່ດົນມານີ້, ຜູ້ປະກອບການ ProLock ໄດ້ປະສົບຜົນສໍາເລັດໂຈມຕີຫນຶ່ງໃນຜູ້ຜະລິດຕູ້ ATM ທີ່ໃຫຍ່ທີ່ສຸດ, Diebold Nixdorf.

ໃນໂພສນີ້ Oleg Skulkin, ຜູ້ຊ່ຽວຊານຊັ້ນນໍາຂອງຫ້ອງທົດລອງຄອມພິວເຕີ Forensics ຂອງ Group-IB, ກວມເອົາການມີສິດເທົ່າທຽມພື້ນຖານ, ເຕັກນິກແລະຂັ້ນຕອນ (TTPs) ທີ່ໃຊ້ໂດຍຜູ້ປະກອບການ ProLock. ບົດຄວາມສະຫຼຸບດ້ວຍການປຽບທຽບກັບ MITER ATT&CK Matrix, ຖານຂໍ້ມູນສາທາລະນະທີ່ລວບລວມຍຸດທະວິທີການໂຈມຕີເປົ້າໝາຍທີ່ໃຊ້ໂດຍກຸ່ມອາຊະຍາກຳທາງອິນເຕີເນັດຕ່າງໆ.

ໄດ້ຮັບການເຂົ້າເຖິງເບື້ອງຕົ້ນ

ຜູ້ປະກອບການ ProLock ໃຊ້ສອງ vectors ຂອງການປະນີປະນອມຕົ້ນຕໍ: QakBot (Qbot) Trojan ແລະເຄື່ອງແມ່ຂ່າຍ RDP ທີ່ບໍ່ມີການປ້ອງກັນທີ່ມີລະຫັດຜ່ານທີ່ອ່ອນແອ.

ການປະນີປະນອມຜ່ານເຊີບເວີ RDP ທີ່ສາມາດເຂົ້າເຖິງໄດ້ຈາກພາຍນອກແມ່ນມີຄວາມນິຍົມຫຼາຍໃນບັນດາຜູ້ປະກອບການ ransomware. ໂດຍປົກກະຕິ, ຜູ້ໂຈມຕີຊື້ການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍທີ່ຖືກທໍາລາຍຈາກພາກສ່ວນທີສາມ, ແຕ່ມັນຍັງສາມາດໄດ້ຮັບໂດຍສະມາຊິກກຸ່ມດ້ວຍຕົນເອງ.

vector ທີ່ຫນ້າສົນໃຈຫຼາຍຂອງການປະນີປະນອມຕົ້ນຕໍແມ່ນ QakBot malware. ກ່ອນຫນ້ານີ້, Trojan ນີ້ແມ່ນກ່ຽວຂ້ອງກັບຄອບຄົວອື່ນຂອງ ransomware - MegaCortex. ຢ່າງໃດກໍຕາມ, ມັນຖືກນໍາໃຊ້ໂດຍຜູ້ປະກອບການ ProLock.

ໂດຍປົກກະຕິ, QakBot ຖືກແຈກຢາຍຜ່ານແຄມເປນ phishing. ອີເມວຟິດຊິງອາດມີເອກະສານ Microsoft Office ທີ່ແນບມາ ຫຼືລິ້ງໄປຫາໄຟລ໌ທີ່ຢູ່ໃນບໍລິການເກັບຂໍ້ມູນຄລາວ ເຊັ່ນ: Microsoft OneDrive.

ຍັງມີກໍລະນີທີ່ຮູ້ຈັກຂອງ QakBot ຖືກໂຫລດດ້ວຍ Trojan ອື່ນ, Emotet, ເຊິ່ງເປັນທີ່ຮູ້ຈັກຢ່າງກວ້າງຂວາງສໍາລັບການມີສ່ວນຮ່ວມໃນແຄມເປນທີ່ແຈກຢາຍ Ryuk ransomware.

ການປະຕິບັດ

ຫຼັງ​ຈາກ​ການ​ດາວ​ໂຫຼດ​ແລະ​ເປີດ​ເອ​ກະ​ສານ​ຕິດ​ເຊື້ອ​, ຜູ້​ໃຊ້​ໄດ້​ຮັບ​ການ​ກະ​ຕຸ້ນ​ໃຫ້​ອະ​ນຸ​ຍາດ​ໃຫ້​ມາ​ໂຄ​ດໍາ​ເນີນ​ການ​. ຖ້າສຳເລັດ, PowerShell ຖືກເປີດໃຊ້, ເຊິ່ງຈະເຮັດໃຫ້ທ່ານສາມາດດາວໂຫຼດ ແລະ ເປີດໃຊ້ການໂຫຼດ QakBot ຈາກເຊີບເວີຄຳສັ່ງ ແລະ ຄວບຄຸມ.

ມັນເປັນສິ່ງສໍາຄັນທີ່ຈະສັງເກດວ່າດຽວກັນໃຊ້ກັບ ProLock: payload ຖືກສະກັດອອກຈາກໄຟລ໌ BMP ຫຼື JPG ແລະຖືກໂຫລດໃສ່ໜ່ວຍຄວາມຈຳໂດຍໃຊ້ PowerShell. ໃນບາງກໍລະນີ, ວຽກທີ່ກຳນົດເວລາໄວ້ແມ່ນໃຊ້ເພື່ອເລີ່ມ PowerShell.

Batch script ແລ່ນ ProLock ຜ່ານຕົວກໍານົດເວລາວຽກ:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

ການລວມຕົວຢູ່ໃນລະບົບ

ຖ້າມັນເປັນໄປໄດ້ທີ່ຈະປະນີປະນອມເຄື່ອງແມ່ຂ່າຍ RDP ແລະເຂົ້າເຖິງ, ຫຼັງຈາກນັ້ນບັນຊີທີ່ຖືກຕ້ອງຖືກນໍາໃຊ້ເພື່ອເຂົ້າເຖິງເຄືອຂ່າຍ. QakBot ມີລັກສະນະທີ່ຫຼາກຫຼາຍຂອງກົນໄກການຕິດຄັດ. ສ່ວນຫຼາຍມັກ, Trojan ນີ້ໃຊ້ລະຫັດ Run registry ແລະສ້າງວຽກງານໃນຕົວກໍານົດເວລາ:

ການປັກໝຸດ Qakbot ກັບລະບົບໂດຍໃຊ້ປຸ່ມການລົງທະບຽນ Run

ໃນບາງກໍລະນີ, ໂຟນເດີເລີ່ມຕົ້ນຍັງຖືກນໍາໃຊ້: ທາງລັດຖືກວາງໄວ້ຢູ່ທີ່ນັ້ນທີ່ຊີ້ໃຫ້ເຫັນເຖິງ bootloader.

ປ້ອງກັນຂ້າມ

ໂດຍການສື່ສານກັບເຄື່ອງແມ່ຂ່າຍຂອງຄໍາສັ່ງແລະການຄວບຄຸມ, QakBot ພະຍາຍາມປັບປຸງຕົວມັນເອງເປັນໄລຍະ, ດັ່ງນັ້ນເພື່ອຫຼີກເວັ້ນການກວດພົບ, malware ສາມາດທົດແທນສະບັບປະຈຸບັນຂອງຕົນເອງດ້ວຍໃຫມ່. ໄຟລ໌ທີ່ປະຕິບັດໄດ້ແມ່ນເຊັນດ້ວຍລາຍເຊັນທີ່ຖືກລະເມີດ ຫຼືປອມແປງ. ຄ່າເລີ່ມຕົ້ນທີ່ໂຫລດໂດຍ PowerShell ຖືກເກັບໄວ້ໃນເຊີບເວີ C&C ດ້ວຍການຂະຫຍາຍ PNG. ນອກຈາກນັ້ນ, ຫຼັງຈາກການປະຕິບັດມັນຈະຖືກແທນທີ່ດ້ວຍໄຟລ໌ທີ່ຖືກຕ້ອງ calcexe.

ນອກຈາກນີ້, ເພື່ອຊ່ອນກິດຈະກໍາທີ່ເປັນອັນຕະລາຍ, QakBot ໃຊ້ເຕັກນິກການໃສ່ລະຫັດເຂົ້າໄປໃນຂະບວນການ, ການນໍາໃຊ້ explorer.exe.

ດັ່ງທີ່ໄດ້ກ່າວມາ, ການໂຫຼດ ProLock ຖືກເຊື່ອງໄວ້ພາຍໃນໄຟລ໌ BMP ຫຼື JPG. ນີ້ຍັງສາມາດຖືກພິຈາລະນາເປັນວິທີການປ້ອງກັນ bypassing.

ການໄດ້ຮັບຂໍ້ມູນປະຈໍາຕົວ

QakBot ມີການເຮັດວຽກຂອງ keylogger. ນອກຈາກນັ້ນ, ມັນສາມາດດາວໂຫຼດ ແລະແລ່ນສະຄຣິບເພີ່ມເຕີມໄດ້, ຕົວຢ່າງ, Invoke-Mimikatz, ເວີຊັນ PowerShell ຂອງ Mimikatz utility ທີ່ມີຊື່ສຽງ. ສະຄຣິບດັ່ງກ່າວສາມາດໃຊ້ໂດຍຜູ້ໂຈມຕີເພື່ອຖິ້ມຂໍ້ມູນປະຈໍາຕົວ.

ປັນຍາເຄືອຂ່າຍ

ຫຼັງຈາກການເຂົ້າເຖິງບັນຊີທີ່ໄດ້ຮັບສິດທິພິເສດ, ຜູ້ປະກອບການ ProLock ດໍາເນີນການຕິດຕາມເຄືອຂ່າຍ, ເຊິ່ງອາດຈະປະກອບມີການສະແກນພອດແລະການວິເຄາະສະພາບແວດລ້ອມ Active Directory. ນອກເຫນືອຈາກສະຄິບຕ່າງໆ, ຜູ້ໂຈມຕີໃຊ້ AdFind, ເຄື່ອງມືອື່ນທີ່ນິຍົມໃນກຸ່ມ ransomware, ເພື່ອລວບລວມຂໍ້ມູນກ່ຽວກັບ Active Directory.

ການສົ່ງເສີມເຄືອຂ່າຍ

ຕາມປະເພນີ, ຫນຶ່ງໃນວິທີທີ່ນິຍົມທີ່ສຸດຂອງການສົ່ງເສີມເຄືອຂ່າຍແມ່ນ Remote Desktop Protocol. ProLock ບໍ່ມີຂໍ້ຍົກເວັ້ນ. ຜູ້ໂຈມຕີມີສະຄຣິບຢູ່ໃນສານຫນູຂອງພວກເຂົາເພື່ອເຂົ້າຫາທາງໄກຜ່ານ RDP ເພື່ອເປົ້າຫມາຍເຈົ້າພາບ.

BAT script ສໍາລັບການເຂົ້າເຖິງໂດຍຜ່ານ RDP protocol:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

ເພື່ອປະຕິບັດ scripts ຫ່າງໄກສອກຫຼີກ, ຕົວປະຕິບັດການ ProLock ໃຊ້ເຄື່ອງມືທີ່ນິຍົມອື່ນ, ຜົນປະໂຫຍດ PsExec ຈາກ Sysinternals Suite.

ProLock ເຮັດວຽກຢູ່ໃນໂຮດໂດຍໃຊ້ WMIC, ເຊິ່ງເປັນຕົວຕິດຕໍ່ເສັ້ນຄໍາສັ່ງສໍາລັບການເຮັດວຽກກັບລະບົບຍ່ອຍຂອງ Windows Management Instrumentation. ເຄື່ອງ​ມື​ນີ້​ຍັງ​ໄດ້​ກາຍ​ເປັນ​ທີ່​ນິ​ຍົມ​ເພີ່ມ​ຂຶ້ນ​ໃນ​ບັນ​ດາ​ປະ​ຕິ​ບັດ​ການ ransomware​.

ການ​ເກັບ​ກໍາ​ຂໍ້​ມູນ​

ເຊັ່ນດຽວກັນກັບຜູ້ປະກອບການ ransomware ອື່ນໆຈໍານວນຫຼາຍ, ກຸ່ມທີ່ໃຊ້ ProLock ເກັບຂໍ້ມູນຈາກເຄືອຂ່າຍທີ່ຖືກທໍາລາຍເພື່ອເພີ່ມໂອກາດຂອງພວກເຂົາທີ່ຈະໄດ້ຮັບຄ່າໄຖ່. ກ່ອນທີ່ຈະ exfiltration, ຂໍ້ມູນທີ່ເກັບກໍາໄດ້ຖືກເກັບໄວ້ໂດຍໃຊ້ 7Zip utility.

Exfiltration

ເພື່ອອັບໂຫລດຂໍ້ມູນ, ຜູ້ປະຕິບັດການ ProLock ໃຊ້ Rclone, ເຄື່ອງມືບັນທັດຄໍາສັ່ງທີ່ຖືກອອກແບບມາເພື່ອ synchronize ໄຟລ໌ກັບການບໍລິການເກັບຮັກສາຟັງຕ່າງໆເຊັ່ນ OneDrive, Google Drive, Mega, ແລະອື່ນໆ. ຜູ້ໂຈມຕີສະເຫມີປ່ຽນຊື່ໄຟລ໌ທີ່ປະຕິບັດໄດ້ເພື່ອເຮັດໃຫ້ມັນຄ້າຍຄືໄຟລ໌ລະບົບທີ່ຖືກຕ້ອງ.

ບໍ່ເຫມືອນກັບມິດສະຫາຍຂອງພວກເຂົາ, ຜູ້ປະກອບການ ProLock ຍັງບໍ່ມີເວັບໄຊທ໌ຂອງຕົນເອງເພື່ອເຜີຍແຜ່ຂໍ້ມູນທີ່ຖືກລັກເປັນຂອງບໍລິສັດທີ່ປະຕິເສດການຈ່າຍຄ່າໄຖ່.

ການບັນລຸເປົ້າຫມາຍສຸດທ້າຍ

ເມື່ອຂໍ້ມູນຖືກສະກັດອອກ, ທີມງານໄດ້ນໍາໃຊ້ ProLock ໃນທົ່ວເຄືອຂ່າຍວິສາຫະກິດ. ໄຟລ໌ໄບນາຣີຖືກສະກັດອອກຈາກໄຟລ໌ທີ່ມີນາມສະກຸນ PNG ຫຼື JPG ການ​ນໍາ​ໃຊ້ PowerShell ແລະ​ສັກ​ເຂົ້າ​ໄປ​ໃນ​ຫນ່ວຍ​ຄວາມ​ຈໍາ​:

ກ່ອນອື່ນ ໝົດ, ProLock ຢຸດຂະບວນການທີ່ລະບຸໄວ້ໃນບັນຊີລາຍຊື່ທີ່ສ້າງມາ (ຫນ້າສົນໃຈ, ມັນໃຊ້ພຽງແຕ່ຫົກຕົວອັກສອນຂອງຊື່ຂະບວນການເຊັ່ນ "winwor"), ແລະຢຸດການບໍລິການ, ລວມທັງສິ່ງທີ່ກ່ຽວຂ້ອງກັບຄວາມປອດໄພເຊັ່ນ CSFalconService ( CrowdStrike Falcon) ໂດຍໃຊ້ຄໍາສັ່ງ ຢຸດສຸດທິ.

ຫຼັງຈາກນັ້ນ, ເຊັ່ນດຽວກັນກັບຄອບຄົວ ransomware ອື່ນໆຈໍານວນຫຼາຍ, ຜູ້ໂຈມຕີໃຊ້ vssadmin ເພື່ອລຶບສໍາເນົາເງົາຂອງ Windows ແລະຈໍາກັດຂະຫນາດຂອງພວກເຂົາເພື່ອບໍ່ໃຫ້ສໍາເນົາໃຫມ່:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock ເພີ່ມການຂະຫຍາຍ .proLock, .pr0Lock ຫຼື .proL0ck ໄປຫາແຕ່ລະໄຟລ໌ທີ່ຖືກເຂົ້າລະຫັດແລະວາງໄຟລ໌ [ວິທີກູ້ໄຟລ໌].TXT ໄປຫາແຕ່ລະໂຟນເດີ. ໄຟລ໌ນີ້ມີຄໍາແນະນໍາກ່ຽວກັບວິທີການຖອດລະຫັດໄຟລ໌, ລວມທັງການເຊື່ອມຕໍ່ໄປຫາເວັບໄຊທ໌ທີ່ຜູ້ຖືກເຄາະຮ້າຍຕ້ອງໃສ່ ID ທີ່ເປັນເອກະລັກແລະໄດ້ຮັບຂໍ້ມູນການຈ່າຍເງິນ:

ແຕ່ລະຕົວຢ່າງຂອງ ProLock ມີຂໍ້ມູນກ່ຽວກັບຈໍານວນຄ່າໄຖ່ - ໃນກໍລະນີນີ້, 35 bitcoins, ເຊິ່ງປະມານ $ 312.

ສະຫລຸບ

ຜູ້ປະກອບການ ransomware ຫຼາຍຄົນໃຊ້ວິທີການທີ່ຄ້າຍຄືກັນເພື່ອບັນລຸເປົ້າຫມາຍຂອງພວກເຂົາ. ໃນເວລາດຽວກັນ, ບາງເຕັກນິກແມ່ນເປັນເອກະລັກຂອງແຕ່ລະກຸ່ມ. ໃນປັດຈຸບັນ, ມີຈໍານວນກຸ່ມອາຊະຍາກໍາທາງອິນເຕີເນັດທີ່ເພີ່ມຂຶ້ນໂດຍນໍາໃຊ້ ransomware ໃນແຄມເປນຂອງພວກເຂົາ. ໃນບາງກໍລະນີ, ຜູ້ປະຕິບັດການດຽວກັນອາດຈະມີສ່ວນຮ່ວມໃນການໂຈມຕີໂດຍໃຊ້ ransomware ຄອບຄົວທີ່ແຕກຕ່າງກັນ, ດັ່ງນັ້ນພວກເຮົາຈະເຫັນການຊ້ອນກັນຫຼາຍຂຶ້ນໃນກົນລະຍຸດ, ເຕັກນິກແລະຂັ້ນຕອນທີ່ໃຊ້.

ການສ້າງແຜນທີ່ດ້ວຍ MITER ATT&CK Mapping

ມີສິດເທົ່າທຽມ
ເທກນິກ

ການເຂົ້າເຖິງເບື້ອງຕົ້ນ (TA0001)
ບໍລິການທາງໄກພາຍນອກ (T1133), ໄຟລ໌ແນບ Spearphishing (T1193), Spearphishing Link (T1192)

ການປະຕິບັດ (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

ຄວາມຄົງທົນ (TA0003)
Registry Run Keys / Startup Folder (T1060), ວຽກທີ່ກຳນົດເວລາ (T1053), ບັນຊີທີ່ຖືກຕ້ອງ (T1078)

ການຫຼີກລ່ຽງປ້ອງກັນ (TA0005)
ການເຊັນລະຫັດ (T1116), Deobfuscate/ຖອດລະຫັດໄຟລ໌ ຫຼືຂໍ້ມູນ (T1140), ການປິດການນຳໃຊ້ເຄື່ອງມືຄວາມປອດໄພ (T1089), ການລຶບໄຟລ໌ (T1107), Masquerading (T1036), ການສີດຂະບວນການ (T1055)

ການເຂົ້າເຖິງຂໍ້ມູນປະຈໍາຕົວ (TA0006)
ການຖິ້ມຂໍ້ມູນການຮັບຮອງ (T1003), Brute Force (T1110), Input Capture (T1056)

ການຄົ້ນພົບ (TA0007)
ການຄົ້ນພົບບັນຊີ (T1087), Domain Trust Discovery (T1482), ການຄົ້ນພົບໄຟລ໌ ແລະໄດເລກະທໍລີ (T1083), ການສະແກນບໍລິການເຄືອຂ່າຍ (T1046), ການຄົ້ນພົບການແບ່ງປັນເຄືອຂ່າຍ (T1135), ການຄົ້ນພົບລະບົບທາງໄກ (T1018)

ການເຄື່ອນໄຫວທາງຂ້າງ (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

ຄໍເລັກຊັນ (TA0009)
ຂໍ້ມູນຈາກລະບົບທ້ອງຖິ່ນ (T1005), ຂໍ້ມູນຈາກ Network Shared Drive (T1039), Data Staged (T1074)

ຄຳສັ່ງ ແລະການຄວບຄຸມ (TA0011)
ພອດທີ່ໃຊ້ທົ່ວໄປ (T1043), ບໍລິການເວັບ (T1102)

ການສະກັດເອົາ (TA0010)
ບີບອັດຂໍ້ມູນ (T1002), ໂອນຂໍ້ມູນໄປຍັງບັນຊີຄລາວ (T1537)

ຜົນກະທົບ (TA0040)
ເຂົ້າລະຫັດຂໍ້ມູນເພື່ອຜົນກະທົບ (T1486), ຍັບຍັ້ງການຟື້ນຕົວຂອງລະບົບ (T1490)

ແຫຼ່ງຂໍ້ມູນ: www.habr.com