Izpirkuma programmatÅ«ras uzbrukumu panÄkumi organizÄcijÄm visÄ pasaulÄ mudina spÄlÄ iesaistÄ«ties arvien vairÄk jaunu uzbrucÄju. Viens no Å”iem jaunajiem spÄlÄtÄjiem ir grupa, kas izmanto ProLock ransomware. TÄ parÄdÄ«jÄs 2020. gada martÄ kÄ PwndLocker programmas pÄctece, kas sÄka darboties 2019. gada beigÄs. ProLock izpirkuma programmatÅ«ras uzbrukumi galvenokÄrt ir vÄrsti uz finanÅ”u un veselÄ«bas aprÅ«pes organizÄcijÄm, valsts aÄ£entÅ«rÄm un mazumtirdzniecÄ«bas sektoru. Nesen ProLock operatori veiksmÄ«gi uzbruka vienam no lielÄkajiem bankomÄtu ražotÄjiem Diebold Nixdorf.
Å ajÄ amatÄ Oļegs Skuļkins, IB grupas Datoru kriminÄlistikas laboratorijas vadoÅ”ais speciÄlists, aptver pamata taktiku, paÅÄmienus un procedÅ«ras (TTP), ko izmanto ProLock operatori. Raksta noslÄgumÄ ir sniegts salÄ«dzinÄjums ar MITER ATT&CK Matrix ā publisku datu bÄzi, kas apkopo dažÄdu kibernoziedznieku grupu mÄrÄ·tiecÄ«gu uzbrukumu taktikas.
SÄkotnÄjÄs piekļuves iegÅ«Å”ana
ProLock operatori izmanto divus galvenos primÄrÄ kompromisa vektorus: Trojas zirgu QakBot (Qbot) un neaizsargÄtus RDP serverus ar vÄjÄm parolÄm.
Kompromiss, izmantojot ÄrÄji pieejamu RDP serveri, ir ļoti populÄrs izspiedÄjvÄ«rusu operatoru vidÅ«. Parasti uzbrucÄji pÄrk piekļuvi apdraudÄtam serverim no treÅ”ajÄm pusÄm, taÄu to var iegÅ«t arÄ« grupas dalÄ«bnieki paÅ”i.
InteresantÄks primÄrÄ kompromisa vektors ir QakBot ļaunprogrammatÅ«ra. IepriekÅ” Å”is Trojas zirgs bija saistÄ«ts ar citu ransomware saimi ā MegaCortex. TomÄr tagad to izmanto ProLock operatori.
Parasti QakBot tiek izplatÄ«ts, izmantojot pikŔķerÄÅ”anas kampaÅas. PikŔķerÄÅ”anas e-pastÄ var bÅ«t pievienots Microsoft Office dokuments vai saite uz failu, kas atrodas mÄkoÅkrÄtuves pakalpojumÄ, piemÄram, Microsoft OneDrive.
Ir arÄ« zinÄmi gadÄ«jumi, kad QakBot tiek ielÄdÄts ar citu Trojas zirgu Emotet, kas ir plaÅ”i pazÄ«stams ar savu dalÄ«bu kampaÅÄs, kurÄs tika izplatÄ«ta Ryuk izpirkuma programmatÅ«ra.
Piepildījums
PÄc inficÄtÄ dokumenta lejupielÄdes un atvÄrÅ”anas lietotÄjam tiek piedÄvÄts atļaut makro palaiÅ”anu. Ja tas izdodas, tiek palaists PowerShell, kas ļaus lejupielÄdÄt un palaist QakBot lietderÄ«go slodzi no komandu un vadÄ«bas servera.
Ir svarÄ«gi atzÄ«mÄt, ka tas pats attiecas uz ProLock: lietderÄ«gÄ slodze tiek iegÅ«ta no faila BMP vai JPG un ielÄdÄts atmiÅÄ, izmantojot PowerShell. Dažos gadÄ«jumos PowerShell startÄÅ”anai tiek izmantots ieplÄnots uzdevums.
PakeÅ”u skripts, kurÄ darbojas ProLock, izmantojot uzdevumu plÄnotÄju:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat
KonsolidÄcija sistÄmÄ
Ja ir iespÄjams kompromitÄt RDP serveri un iegÅ«t piekļuvi, tad, lai piekļūtu tÄ«klam, tiek izmantoti derÄ«gi konti. QakBot raksturo dažÄdi piestiprinÄÅ”anas mehÄnismi. VisbiežÄk Å”is Trojas zirgs izmanto reÄ£istra atslÄgu Palaist un plÄnotÄjÄ izveido uzdevumus:
Qakbot piesprauÅ”ana sistÄmai, izmantojot Palaist reÄ£istra atslÄgu
Dažos gadÄ«jumos tiek izmantotas arÄ« starta mapes: tur tiek ievietota saÄ«sne, kas norÄda uz sÄknÄÅ”anas ielÄdÄtÄju.
Apvedceļa aizsardzība
Sazinoties ar komandu un vadÄ«bas serveri, QakBot periodiski mÄÄ£ina sevi atjauninÄt, tÄpÄc, lai izvairÄ«tos no atklÄÅ”anas, ļaunprogrammatÅ«ra var aizstÄt savu paÅ”reizÄjo versiju ar jaunu. IzpildÄmie faili ir parakstÄ«ti ar apdraudÄtu vai viltotu parakstu. SÄkotnÄjÄ PowerShell ielÄdÄtÄ krava tiek glabÄta C&C serverÄ« ar paplaÅ”inÄjumu PNG. TurklÄt pÄc izpildes tas tiek aizstÄts ar likumÄ«gu failu calc.exe.
TÄpat, lai slÄptu ļaunprÄtÄ«gu darbÄ«bu, QakBot izmanto koda ievadÄ«Å”anas paÅÄmienu procesos, izmantojot explorer.exe.
KÄ minÄts, ProLock lietderÄ«gÄ slodze ir paslÄpta failÄ BMP vai JPG. To var uzskatÄ«t arÄ« par aizsardzÄ«bas apieÅ”anas metodi.
AkreditÄcijas datu iegÅ«Å”ana
QakBot ir keylogger funkcionalitÄte. TurklÄt tÄ var lejupielÄdÄt un palaist papildu skriptus, piemÄram, Invoke-Mimikatz, slavenÄs Mimikatz utilÄ«ta PowerShell versiju. Å Ädus skriptus uzbrucÄji var izmantot, lai izmestu akreditÄcijas datus.
Tīkla izlūkoŔana
PÄc piekļuves priviliÄ£Ätiem kontiem ProLock operatori veic tÄ«kla izpÄti, kas var ietvert portu skenÄÅ”anu un Active Directory vides analÄ«zi. Papildus dažÄdiem skriptiem uzbrucÄji informÄcijas vÄkÅ”anai par Active Directory izmanto vÄl vienu rÄ«ku AdFind, kas ir populÄrs izspiedÄjvÄ«rusu grupu vidÅ«.
TÄ«kla veicinÄÅ”ana
TradicionÄli viena no populÄrÄkajÄm tÄ«kla veicinÄÅ”anas metodÄm ir attÄlÄs darbvirsmas protokols. ProLock nebija izÅÄmums. UzbrucÄju arsenÄlÄ pat ir skripti, lai iegÅ«tu attÄlo piekļuvi, izmantojot RDP, lai mÄrÄ·Ätu uz saimniekiem.
BAT skripts piekļuves iegūŔanai, izmantojot LAP protokolu:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Lai attÄlinÄti izpildÄ«tu skriptus, ProLock operatori izmanto citu populÄru rÄ«ku, utilÄ«tu PsExec no Sysinternals Suite.
ProLock darbojas resursdatoros, izmantojot WMIC, kas ir komandrindas saskarne darbam ar Windows Management Instrumentation apakÅ”sistÄmu. Å is rÄ«ks kļūst arvien populÄrÄks arÄ« ransomware operatoru vidÅ«.
Datu vÄkÅ”ana
TÄpat kÄ daudzi citi izpirkuma programmatÅ«ras operatori, grupa, kas izmanto ProLock, apkopo datus no apdraudÄta tÄ«kla, lai palielinÄtu iespÄjas saÅemt izpirkuma maksu. Pirms eksfiltrÄcijas savÄktie dati tiek arhivÄti, izmantojot utilÄ«tu 7Zip.
EksfiltrÄcija
Lai augÅ”upielÄdÄtu datus, ProLock operatori izmanto Rclone ā komandrindas rÄ«ku, kas paredzÄts failu sinhronizÄÅ”anai ar dažÄdiem mÄkoÅa krÄtuves pakalpojumiem, piemÄram, OneDrive, Google Drive, Mega u.c. UzbrucÄji vienmÄr pÄrdÄvÄ izpildÄmo failu, lai tas izskatÄ«tos kÄ likumÄ«gi sistÄmas faili.
AtŔķirÄ«bÄ no saviem vienaudžiem, ProLock operatoriem joprojÄm nav savas tÄ«mekļa vietnes, kur publicÄt nozagtus datus, kas pieder uzÅÄmumiem, kuri atteicÄs maksÄt izpirkuma maksu.
GalÄ«gÄ mÄrÄ·a sasniegÅ”ana
Kad dati ir izfiltrÄti, komanda izvieto ProLock visÄ uzÅÄmuma tÄ«klÄ. BinÄrais fails tiek izvilkts no faila ar paplaÅ”inÄjumu PNG vai JPG izmantojot PowerShell un ievadÄ«ts atmiÅÄ:
PirmkÄrt, ProLock pÄrtrauc iebÅ«vÄtajÄ sarakstÄ norÄdÄ«tos procesus (interesanti, ka izmanto tikai procesa nosaukuma seÅ”us burtus, piemÄram, "winwor") un pÄrtrauc pakalpojumus, tostarp tos, kas saistÄ«ti ar droŔību, piemÄram, CSFalconService ( CrowdStrike Falcon). izmantojot komandu neto pietura.
PÄc tam, tÄpat kÄ daudzÄs citÄs izspiedÄjvÄ«rusu Ä£imenÄs, uzbrucÄji izmanto vssadmin lai dzÄstu Windows Änu kopijas un ierobežotu to lielumu, lai netiktu izveidotas jaunas kopijas:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock pievieno paplaÅ”inÄjumu .proLock, .pr0Lock vai .proL0ck katram Å”ifrÄtajam failam un ievieto failu [KÄ ATGÅŖT FAILU].TXT uz katru mapi. Å ajÄ failÄ ir norÄdÄ«jumi par failu atÅ”ifrÄÅ”anu, tostarp saite uz vietni, kurÄ cietuÅ”ajam jÄievada unikÄls ID un jÄsaÅem maksÄjuma informÄcija:
Katrs ProLock gadÄ«jums satur informÄciju par izpirkuma summu - Å”ajÄ gadÄ«jumÄ 35 bitkoinus, kas ir aptuveni 312 000 USD.
SecinÄjums
Daudzi ransomware operatori izmanto lÄ«dzÄ«gas metodes, lai sasniegtu savus mÄrÄ·us. TajÄ paÅ”Ä laikÄ dažas metodes katrai grupai ir unikÄlas. PaÅ”laik pieaug kibernoziedznieku grupu skaits, kas savÄs kampaÅÄs izmanto izpirkuma programmatÅ«ru. Dažos gadÄ«jumos vieni un tie paÅ”i operatori var bÅ«t iesaistÄ«ti uzbrukumos, izmantojot dažÄdas izspiedÄjvÄ«rusu grupas, tÄpÄc mÄs arvien biežÄk redzÄsim izmantoto taktiku, paÅÄmienu un procedÅ«ru pÄrklÄÅ”anos.
KartÄÅ”ana ar MITER ATT&CK kartÄÅ”anu
Taktika
Tehnika
SÄkotnÄjÄ piekļuve (TA0001)
ÄrÄjie attÄlie pakalpojumi (T1133), ŔļūteÅpikŔķerÄÅ”anas pielikums (T1193), ŔļūteÅpikŔķerÄÅ”anas saite (T1192)
Izpilde (TA0002)
Powershell (T1086), skriptÄÅ”ana (T1064), lietotÄja izpilde (T1204), Windows pÄrvaldÄ«bas instrumenti (T1047)
Noturība (TA0003)
ReÄ£istra palaiÅ”anas atslÄgas / startÄÅ”anas mape (T1060), ieplÄnotais uzdevums (T1053), derÄ«gi konti (T1078)
IzvairÄ«Å”anÄs no aizsardzÄ«bas (TA0005)
Koda parakstÄ«Å”ana (T1116), failu vai informÄcijas atÅ”ifrÄÅ”ana/dekodÄÅ”ana (T1140), droŔības rÄ«ku atspÄjoÅ”ana (T1089), failu dzÄÅ”ana (T1107), maskÄÅ”ana (T1036), procesa ievadÄ«Å”ana (T1055)
Piekļuve akreditÄcijas datiem (TA0006)
AkreditÄcijas datu izvadÄ«Å”ana (T1003), Brute Force (T1110), ievades tverÅ”ana (T1056)
Discovery (TA0007)
Konta noteikÅ”ana (T1087), domÄna uzticamÄ«bas noteikÅ”ana (T1482), failu un direktoriju noteikÅ”ana (T1083), tÄ«kla pakalpojumu skenÄÅ”ana (T1046), tÄ«kla koplietoÅ”anas noteikÅ”ana (T1135), attÄlÄs sistÄmas noteikÅ”ana (T1018)
SÄnu kustÄ«ba (TA0008)
AttÄlÄs darbvirsmas protokols (T1076), attÄlÄ faila kopÄÅ”ana (T1105), Windows administratora kopÄ«goÅ”ana (T1077)
Kolekcija (TA0009)
Dati no vietÄjÄs sistÄmas (T1005), dati no tÄ«kla koplietojamÄ diska (T1039), dati pakÄpeniski (T1074)
KomandÄÅ”ana un kontrole (TA0011)
Bieži izmantotais ports (T1043), tīmekļa pakalpojums (T1102)
EksfiltrÄcija (TA0010)
Dati saspiesti (T1002), pÄrsÅ«tÄ«t datus uz mÄkoÅa kontu (T1537)
Ietekme (TA0040)
Dati Å”ifrÄti ietekmei (T1486), kavÄ sistÄmas atkopÅ”anu (T1490)
Avots: www.habr.com