ProLock atvēršana: jaunās izspiedējvīrusa operatoru darbību analīze, izmantojot MITER ATT&CK matricu

Izpirkuma programmatūras uzbrukumu panākumi organizācijām visā pasaulē mudina spēlē iesaistīties arvien vairāk jaunu uzbrucēju. Viens no šiem jaunajiem spēlētājiem ir grupa, kas izmanto ProLock ransomware. Tā parādījās 2020. gada martā kā PwndLocker programmas pēctece, kas sāka darboties 2019. gada beigās. ProLock izpirkuma programmatūras uzbrukumi galvenokārt ir vērsti uz finanšu un veselības aprūpes organizācijām, valsts aģentūrām un mazumtirdzniecības sektoru. Nesen ProLock operatori veiksmīgi uzbruka vienam no lielākajiem bankomātu ražotājiem Diebold Nixdorf.

Šajā amatā Oļegs Skuļkins, IB grupas Datoru kriminālistikas laboratorijas vadošais speciālists, aptver pamata taktiku, paņēmienus un procedūras (TTP), ko izmanto ProLock operatori. Raksta noslēgumā ir sniegts salīdzinājums ar MITER ATT&CK Matrix – publisku datu bāzi, kas apkopo dažādu kibernoziedznieku grupu mērķtiecīgu uzbrukumu taktikas.

Sākotnējās piekļuves iegūšana

ProLock operatori izmanto divus galvenos primārā kompromisa vektorus: Trojas zirgu QakBot (Qbot) un neaizsargātus RDP serverus ar vājām parolēm.

Kompromiss, izmantojot ārēji pieejamu RDP serveri, ir ļoti populārs izspiedējvīrusu operatoru vidū. Parasti uzbrucēji pērk piekļuvi apdraudētam serverim no trešajām pusēm, taču to var iegūt arī grupas dalībnieki paši.

Interesantāks primārā kompromisa vektors ir QakBot ļaunprogrammatūra. Iepriekš šis Trojas zirgs bija saistīts ar citu ransomware saimi – MegaCortex. Tomēr tagad to izmanto ProLock operatori.

Parasti QakBot tiek izplatīts, izmantojot pikšķerēšanas kampaņas. Pikšķerēšanas e-pastā var būt pievienots Microsoft Office dokuments vai saite uz failu, kas atrodas mākoņkrātuves pakalpojumā, piemēram, Microsoft OneDrive.

Ir arī zināmi gadījumi, kad QakBot tiek ielādēts ar citu Trojas zirgu Emotet, kas ir plaši pazīstams ar savu dalību kampaņās, kurās tika izplatīta Ryuk izpirkuma programmatūra.

Piepildījums

Pēc inficētā dokumenta lejupielādes un atvēršanas lietotājam tiek piedāvāts atļaut makro palaišanu. Ja tas izdodas, tiek palaists PowerShell, kas ļaus lejupielādēt un palaist QakBot lietderīgo slodzi no komandu un vadības servera.

Ir svarīgi atzīmēt, ka tas pats attiecas uz ProLock: lietderīgā slodze tiek iegūta no faila BMP vai JPG un ielādēts atmiņā, izmantojot PowerShell. Dažos gadījumos PowerShell startēšanai tiek izmantots ieplānots uzdevums.

Pakešu skripts, kurā darbojas ProLock, izmantojot uzdevumu plānotāju:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Konsolidācija sistēmā

Ja ir iespējams kompromitēt RDP serveri un iegūt piekļuvi, tad, lai piekļūtu tīklam, tiek izmantoti derīgi konti. QakBot raksturo dažādi piestiprināšanas mehānismi. Visbiežāk šis Trojas zirgs izmanto reģistra atslēgu Palaist un plānotājā izveido uzdevumus:

Qakbot piespraušana sistēmai, izmantojot Palaist reģistra atslēgu

Dažos gadījumos tiek izmantotas arī starta mapes: tur tiek ievietota saīsne, kas norāda uz sāknēšanas ielādētāju.

Apvedceļa aizsardzība

Sazinoties ar komandu un vadības serveri, QakBot periodiski mēģina sevi atjaunināt, tāpēc, lai izvairītos no atklāšanas, ļaunprogrammatūra var aizstāt savu pašreizējo versiju ar jaunu. Izpildāmie faili ir parakstīti ar apdraudētu vai viltotu parakstu. Sākotnējā PowerShell ielādētā krava tiek glabāta C&C serverī ar paplašinājumu PNG. Turklāt pēc izpildes tas tiek aizstāts ar likumīgu failu calc.exe.

Tāpat, lai slēptu ļaunprātīgu darbību, QakBot izmanto koda ievadīšanas paņēmienu procesos, izmantojot explorer.exe.

Kā minēts, ProLock lietderīgā slodze ir paslēpta failā BMP vai JPG. To var uzskatīt arī par aizsardzības apiešanas metodi.

Akreditācijas datu iegūšana

QakBot ir keylogger funkcionalitāte. Turklāt tā var lejupielādēt un palaist papildu skriptus, piemēram, Invoke-Mimikatz, slavenās Mimikatz utilīta PowerShell versiju. Šādus skriptus uzbrucēji var izmantot, lai izmestu akreditācijas datus.

Tīkla izlūkošana

Pēc piekļuves priviliģētiem kontiem ProLock operatori veic tīkla izpēti, kas var ietvert portu skenēšanu un Active Directory vides analīzi. Papildus dažādiem skriptiem uzbrucēji informācijas vākšanai par Active Directory izmanto vēl vienu rīku AdFind, kas ir populārs izspiedējvīrusu grupu vidū.

Tīkla veicināšana

Tradicionāli viena no populārākajām tīkla veicināšanas metodēm ir attālās darbvirsmas protokols. ProLock nebija izņēmums. Uzbrucēju arsenālā pat ir skripti, lai iegūtu attālo piekļuvi, izmantojot RDP, lai mērķētu uz saimniekiem.

BAT skripts piekļuves iegūšanai, izmantojot LAP protokolu:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Lai attālināti izpildītu skriptus, ProLock operatori izmanto citu populāru rīku, utilītu PsExec no Sysinternals Suite.

ProLock darbojas resursdatoros, izmantojot WMIC, kas ir komandrindas saskarne darbam ar Windows Management Instrumentation apakšsistēmu. Šis rīks kļūst arvien populārāks arī ransomware operatoru vidū.

Datu vākšana

Tāpat kā daudzi citi izpirkuma programmatūras operatori, grupa, kas izmanto ProLock, apkopo datus no apdraudēta tīkla, lai palielinātu iespējas saņemt izpirkuma maksu. Pirms eksfiltrācijas savāktie dati tiek arhivēti, izmantojot utilītu 7Zip.

Eksfiltrācija

Lai augšupielādētu datus, ProLock operatori izmanto Rclone — komandrindas rīku, kas paredzēts failu sinhronizēšanai ar dažādiem mākoņa krātuves pakalpojumiem, piemēram, OneDrive, Google Drive, Mega u.c. Uzbrucēji vienmēr pārdēvē izpildāmo failu, lai tas izskatītos kā likumīgi sistēmas faili.

Atšķirībā no saviem vienaudžiem, ProLock operatoriem joprojām nav savas tīmekļa vietnes, kur publicēt nozagtus datus, kas pieder uzņēmumiem, kuri atteicās maksāt izpirkuma maksu.

Galīgā mērķa sasniegšana

Kad dati ir izfiltrēti, komanda izvieto ProLock visā uzņēmuma tīklā. Binārais fails tiek izvilkts no faila ar paplašinājumu PNG vai JPG izmantojot PowerShell un ievadīts atmiņā:

Pirmkārt, ProLock pārtrauc iebūvētajā sarakstā norādītos procesus (interesanti, ka izmanto tikai procesa nosaukuma sešus burtus, piemēram, "winwor") un pārtrauc pakalpojumus, tostarp tos, kas saistīti ar drošību, piemēram, CSFalconService ( CrowdStrike Falcon). izmantojot komandu neto pietura.

Pēc tam, tāpat kā daudzās citās izspiedējvīrusu ģimenēs, uzbrucēji izmanto vssadmin lai dzēstu Windows ēnu kopijas un ierobežotu to lielumu, lai netiktu izveidotas jaunas kopijas:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock pievieno paplašinājumu .proLock, .pr0Lock vai .proL0ck katram šifrētajam failam un ievieto failu [KĀ ATGŪT FAILU].TXT uz katru mapi. Šajā failā ir norādījumi par failu atšifrēšanu, tostarp saite uz vietni, kurā cietušajam jāievada unikāls ID un jāsaņem maksājuma informācija:

Katrs ProLock gadījums satur informāciju par izpirkuma summu - šajā gadījumā 35 bitkoinus, kas ir aptuveni 312 000 USD.

Secinājums

Daudzi ransomware operatori izmanto līdzīgas metodes, lai sasniegtu savus mērķus. Tajā pašā laikā dažas metodes katrai grupai ir unikālas. Pašlaik pieaug kibernoziedznieku grupu skaits, kas savās kampaņās izmanto izpirkuma programmatūru. Dažos gadījumos vieni un tie paši operatori var būt iesaistīti uzbrukumos, izmantojot dažādas izspiedējvīrusu grupas, tāpēc mēs arvien biežāk redzēsim izmantoto taktiku, paņēmienu un procedūru pārklāšanos.

Kartēšana ar MITER ATT&CK kartēšanu

Taktika
Tehnika

Sākotnējā piekļuve (TA0001)
Ārējie attālie pakalpojumi (T1133), šļūteņpikšķerēšanas pielikums (T1193), šļūteņpikšķerēšanas saite (T1192)

Izpilde (TA0002)
Powershell (T1086), skriptēšana (T1064), lietotāja izpilde (T1204), Windows pārvaldības instrumenti (T1047)

Noturība (TA0003)
Reģistra palaišanas atslēgas / startēšanas mape (T1060), ieplānotais uzdevums (T1053), derīgi konti (T1078)

Izvairīšanās no aizsardzības (TA0005)
Koda parakstīšana (T1116), failu vai informācijas atšifrēšana/dekodēšana (T1140), drošības rīku atspējošana (T1089), failu dzēšana (T1107), maskēšana (T1036), procesa ievadīšana (T1055)

Piekļuve akreditācijas datiem (TA0006)
Akreditācijas datu izvadīšana (T1003), Brute Force (T1110), ievades tveršana (T1056)

Discovery (TA0007)
Konta noteikšana (T1087), domēna uzticamības noteikšana (T1482), failu un direktoriju noteikšana (T1083), tīkla pakalpojumu skenēšana (T1046), tīkla koplietošanas noteikšana (T1135), attālās sistēmas noteikšana (T1018)

Sānu kustība (TA0008)
Attālās darbvirsmas protokols (T1076), attālā faila kopēšana (T1105), Windows administratora kopīgošana (T1077)

Kolekcija (TA0009)
Dati no vietējās sistēmas (T1005), dati no tīkla koplietojamā diska (T1039), dati pakāpeniski (T1074)

Komandēšana un kontrole (TA0011)
Bieži izmantotais ports (T1043), tīmekļa pakalpojums (T1102)

Eksfiltrācija (TA0010)
Dati saspiesti (T1002), pārsūtīt datus uz mākoņa kontu (T1537)

Ietekme (TA0040)
Dati šifrēti ietekmei (T1486), kavē sistēmas atkopšanu (T1490)

Avots: www.habr.com