Išpirkos reikalaujančių programų atakų prieš organizacijas visame pasaulyje sėkmė skatina vis daugiau naujų užpuolikų įsitraukti į žaidimą. Vienas iš šių naujų žaidėjų yra grupė, naudojanti „ProLock“ išpirkos programinę įrangą. Jis pasirodė 2020 m. kovo mėn. kaip PwndLocker programos, pradėjusios veikti 2019 m. pabaigoje, įpėdinis. „ProLock“ išpirkos reikalaujančios programinės įrangos atakos pirmiausia nukreiptos į finansų ir sveikatos priežiūros organizacijas, vyriausybines agentūras ir mažmeninės prekybos sektorių. Neseniai „ProLock“ operatoriai sėkmingai užpuolė vieną didžiausių bankomatų gamintojų „Diebold Nixdorf“.
Šiame įraše Olegas Skulkinas, IB grupės Kompiuterinės ekspertizės laboratorijos vadovaujantis specialistas, apima pagrindines ProLock operatorių naudojamas taktikas, metodus ir procedūras (TTP). Straipsnis baigiamas palyginimu su MITER ATT&CK Matrix – vieša duomenų baze, kaupiančia įvairių kibernetinių nusikaltėlių grupių taikomas tikslinių atakų taktikas.
Pradinės prieigos gavimas
„ProLock“ operatoriai naudoja du pagrindinius pirminio kompromiso vektorius: „QakBot“ („Qbot“) Trojos arklys ir neapsaugotus KPP serverius su silpnais slaptažodžiais.
Kompromisas per išoriškai prieinamą KPP serverį yra itin populiarus tarp išpirkos reikalaujančių programų operatorių. Paprastai užpuolikai perka prieigą prie pažeisto serverio iš trečiųjų šalių, tačiau ją gali gauti ir patys grupės nariai.
Įdomesnis pirminio kompromiso vektorius yra QakBot kenkėjiška programa. Anksčiau šis Trojos arklys buvo siejamas su kita ransomware šeima – MegaCortex. Tačiau dabar jį naudoja „ProLock“ operatoriai.
Paprastai „QakBot“ platinamas per sukčiavimo kampanijas. Sukčiavimo el. laiške gali būti pridėtas Microsoft Office dokumentas arba nuoroda į failą, esantį debesies saugyklos paslaugoje, pvz., Microsoft OneDrive.
Taip pat žinomi atvejai, kai QakBot buvo įkeltas kitu Trojos arkliu Emotet, kuris plačiai žinomas dėl savo dalyvavimo kampanijose, kurios platino Ryuk išpirkos reikalaujančią programinę įrangą.
Įvykdymas
Atsisiuntus ir atidarius užkrėstą dokumentą, vartotojas raginamas leisti paleisti makrokomandas. Jei pasiseks, paleidžiama „PowerShell“, kuri leis atsisiųsti ir paleisti „QakBot“ naudingą apkrovą iš komandų ir valdymo serverio.
Svarbu pažymėti, kad tas pats pasakytina ir apie ProLock: naudingoji apkrova ištraukiama iš failo BMP arba JPG ir įkeliamas į atmintį naudojant „PowerShell“. Kai kuriais atvejais „PowerShell“ paleisti naudojama suplanuota užduotis.
Paketinis scenarijus, kuriame veikia „ProLock“ per užduočių planavimo priemonę:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidacija sistemoje
Jei įmanoma pažeisti KPP serverį ir gauti prieigą, prieigai prie tinklo naudojamos galiojančios paskyros. QakBot pasižymi įvairiais tvirtinimo mechanizmais. Dažniausiai šis Trojos arklys naudoja Vykdyti registro raktą ir planuoklyje sukuria užduotis:
Qakbot prisegimas prie sistemos naudojant Vykdyti registro raktą
Kai kuriais atvejais taip pat naudojami paleisties aplankai: ten patalpintas spartusis klavišas, nukreipiantis į įkrovos įkroviklį.
Apsauga nuo aplinkkelio
Bendraudamas su komandų ir valdymo serveriu, QakBot periodiškai bando atnaujinti save, todėl, kad išvengtų aptikimo, kenkėjiška programa gali pakeisti savo dabartinę versiją nauja. Vykdomi failai pasirašomi pažeistu arba suklastotu parašu. Pradinė „PowerShell“ įkelta naudingoji apkrova saugoma C&C serveryje su plėtiniu PNG. Be to, po vykdymo jis pakeičiamas teisėtu failu calc.exe.
Be to, siekdamas paslėpti kenkėjišką veiklą, „QakBot“ naudoja kodo įterpimo į procesus techniką explorer.exe.
Kaip minėta, „ProLock“ naudingoji apkrova yra paslėpta failo viduje BMP arba JPG. Tai taip pat gali būti laikoma apsaugos apėjimo metodu.
Kredencialų gavimas
„QakBot“ turi „keylogger“ funkciją. Be to, jis gali atsisiųsti ir paleisti papildomus scenarijus, pavyzdžiui, „Invoke-Mimikatz“, garsiosios „Mimikatz“ programos „PowerShell“ versiją. Tokius scenarijus užpuolikai gali naudoti kredencialams išmesti.
Tinklo intelektas
Gavę prieigą prie privilegijuotų paskyrų, ProLock operatoriai atlieka tinklo žvalgybą, kuri gali apimti prievadų nuskaitymą ir Active Directory aplinkos analizę. Be įvairių scenarijų, užpuolikai, norėdami rinkti informaciją apie „Active Directory“, naudoja dar vieną išpirkos reikalaujančių programų grupių populiarų įrankį „AdFind“.
Tinklo reklama
Tradiciškai vienas iš populiariausių tinklo skatinimo būdų yra nuotolinio darbalaukio protokolas. ProLock nebuvo išimtis. Užpuolikai netgi turi scenarijus savo arsenale, kad gautų nuotolinę prieigą per KPP ir nukreiptų į pagrindinius kompiuterius.
BAT scenarijus prieigai per KPP protokolą gauti:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Norėdami nuotoliniu būdu vykdyti scenarijus, ProLock operatoriai naudoja kitą populiarų įrankį, PsExec įrankį iš Sysinternals Suite.
„ProLock“ veikia pagrindiniuose kompiuteriuose naudojant WMIC, kuris yra komandų eilutės sąsaja, skirta darbui su „Windows Management Instrumentation“ posistemiu. Šis įrankis taip pat tampa vis populiaresnis tarp išpirkos reikalaujančių programų operatorių.
Duomenų rinkimas
Kaip ir daugelis kitų išpirkos reikalaujančių programų operatorių, grupė, naudojanti „ProLock“, renka duomenis iš pažeisto tinklo, kad padidintų tikimybę gauti išpirką. Prieš išfiltruojant surinkti duomenys archyvuojami naudojant 7Zip įrankį.
Eksfiltracija
Duomenims įkelti „ProLock“ operatoriai naudoja „RClone“ – komandų eilutės įrankį, skirtą failams sinchronizuoti su įvairiomis debesų saugyklos paslaugomis, tokiomis kaip „OneDrive“, „Google“ diskas, „Mega“ ir kt. Užpuolikai visada pervadina vykdomąjį failą, kad jis atrodytų kaip teisėti sistemos failai.
Skirtingai nei jų bendraamžiai, „ProLock“ operatoriai vis dar neturi savo interneto svetainės, kurioje skelbtų pavogtus duomenis, priklausančius įmonėms, kurios atsisakė mokėti išpirką.
Galutinio tikslo pasiekimas
Kai duomenys išfiltruojami, komanda diegia „ProLock“ visame įmonės tinkle. Dvejetainis failas išgaunamas iš failo su plėtiniu PNG arba JPG naudojant „PowerShell“ ir įterptą į atmintį:
Visų pirma, „ProLock“ nutraukia procesus, nurodytus integruotame sąraše (įdomu, kad naudoja tik šešias proceso pavadinimo raides, pvz., „winwor“) ir nutraukia paslaugas, įskaitant susijusias su saugumu, pvz., CSFalconService ( CrowdStrike Falcon). neto sustojimas.
Tada, kaip ir daugelyje kitų išpirkos reikalaujančių programų šeimų, užpuolikai naudojasi vssadmin Norėdami ištrinti šešėlines Windows kopijas ir apriboti jų dydį, kad nebūtų kuriamos naujos kopijos:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded„ProLock“ prideda plėtinį .proLock, .pr0Užrakinti arba .proL0ck prie kiekvieno šifruoto failo ir įdeda failą [KAIP ATSTATYTI FAILUS].TXT į kiekvieną aplanką. Šiame faile pateikiamos instrukcijos, kaip iššifruoti failus, įskaitant nuorodą į svetainę, kurioje auka turi įvesti unikalų ID ir gauti mokėjimo informaciją:
Kiekviename „ProLock“ egzemplioriuje yra informacija apie išpirkos sumą – šiuo atveju 35 bitkoinai, o tai yra maždaug 312 000 USD.
išvada
Daugelis išpirkos reikalaujančių programų operatorių naudoja panašius metodus savo tikslams pasiekti. Tuo pačiu metu kai kurie metodai yra unikalūs kiekvienai grupei. Šiuo metu daugėja kibernetinių nusikaltėlių grupių, savo kampanijose naudojančių išpirkos reikalaujančias programas. Kai kuriais atvejais tie patys operatoriai gali dalyvauti atakose, naudojant skirtingas išpirkos reikalaujančių programų šeimas, todėl vis dažniau pamatysime, kad taktika, metodai ir procedūros sutampa.
Žemėlapių sudarymas su MITER ATT&CK Mapping
Taktika
Technika
Pradinė prieiga (TA0001)
Išorinės nuotolinės paslaugos (T1133), „Spearphishing“ priedas (T1193), „Spearphishing“ nuoroda (T1192)
Vykdymas (TA0002)
„Powershell“ (T1086), scenarijus (T1064), naudotojo vykdymas (T1204), „Windows“ valdymo instrumentai (T1047)
Patvarumas (TA0003)
Registro paleidimo raktai / paleisties aplankas (T1060), suplanuota užduotis (T1053), galiojančios paskyros (T1078)
Defence Evasion (TA0005)
Kodo pasirašymas (T1116), failų ar informacijos panaikinimas / dekodavimas (T1140), saugos įrankių išjungimas (T1089), failų ištrynimas (T1107), maskavimas (T1036), proceso įterpimas (T1055)
Prieiga prie kredencialų (TA0006)
Kredencialų išmetimas (T1003), Brute Force (T1110), įvesties fiksavimas (T1056)
Atradimas (TA0007)
Paskyros aptikimas (T1087), domeno patikimumo aptikimas (T1482), failų ir katalogų aptikimas (T1083), tinklo paslaugų nuskaitymas (T1046), tinklo bendrinimo aptikimas (T1135), nuotolinis sistemos aptikimas (T1018)
Šoninis judėjimas (TA0008)
Nuotolinio darbalaukio protokolas (T1076), nuotolinio failo kopijavimas (T1105), „Windows Admin Shares“ (T1077)
Kolekcija (TA0009)
Duomenys iš vietinės sistemos (T1005), duomenys iš tinklo bendro disko (T1039), duomenų pakopos (T1074)
Komandos ir valdymas (TA0011)
Dažniausiai naudojamas prievadas (T1043), žiniatinklio paslauga (T1102)
Eksfiltracija (TA0010)
Duomenys suspausti (T1002), perkelti duomenis į debesies paskyrą (T1537)
Poveikis (TA0040)
Duomenys užšifruoti dėl poveikio (T1486), blokuoti sistemos atkūrimą (T1490)
Šaltinis: www.habr.com