ProHoster > Blog > fitantanan-draharaha > Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK

Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK

Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK

Ny fahombiazan'ny fanafihana ransomware amin'ny fikambanana manerana izao tontolo izao dia manosika ireo mpanafika vaovao bebe kokoa hiditra amin'ny lalao. Ny iray amin'ireo mpilalao vaovao ireo dia vondrona mampiasa ny ransomware ProLock. Niseho tamin'ny martsa 2020 ho mpandimby ny programa PwndLocker, izay nanomboka niasa tamin'ny faran'ny taona 2019. Ny fanafihan'ny ransomware ProLock dia mikendry indrindra ny fikambanana ara-bola sy ara-pahasalamana, sampan-draharaham-panjakana ary ny sehatry ny varotra. Vao haingana, ny mpandraharaha ProLock dia nahomby tamin'ny fanafihana iray amin'ireo mpanamboatra ATM lehibe indrindra, Diebold Nixdorf.

Amin'ity lahatsoratra ity Oleg Skulkin, manam-pahaizana manokana amin'ny laboratoara informatika forensika ao amin'ny Group-IB, dia mirakitra ny tetika, teknika ary fomba fiasa (TTP) ampiasain'ny mpandraharaha ProLock. Ny lahatsoratra dia mifarana amin'ny fampitahana amin'ny MITRE ATT&CK Matrix, angon-drakitra ho an'ny daholobe izay manangona tetika fanafihana kinendry ampiasain'ny vondrona mpanao heloka bevava an-tserasera isan-karazany.

Mahazo fidirana voalohany

Ny mpandraharaha ProLock dia mampiasa vector lehibe roa amin'ny marimaritra iraisana: ny QakBot (Qbot) Trojan sy ny mpizara RDP tsy voaaro miaraka amin'ny tenimiafina malemy.

Ny marimaritra iraisana amin'ny alΓ lan'ny mpizara RDP azo idirana ivelany dia malaza be amin'ireo mpandraharaha ransomware. Amin'ny ankapobeny, ny mpanafika dia mividy ny fidirana amin'ny mpizara simba amin'ny antoko fahatelo, saingy azon'ny mpikambana ao amin'ny vondrona ihany koa izany.

Ny vector mahaliana kokoa amin'ny marimaritra iraisana dia ny malware QakBot. Talohan'izay, io Trojan io dia mifandray amin'ny fianakaviana ransomware hafa - MegaCortex. Na izany aza, ampiasain'ny mpandraharaha ProLock izao.

Amin'ny ankapobeny, ny QakBot dia zaraina amin'ny alΓ lan'ny fanentanana phishing. Ny mailaka phishing dia mety ahitana antontan-taratasy Microsoft Office na rohy mankany amin'ny rakitra iray hita ao amin'ny serivisy fitahirizana rahona, toy ny Microsoft OneDrive.

Misy ihany koa ny tranga fantatra momba ny QakBot feno Trojan hafa, Emotet, izay malaza amin'ny fandraisany anjara amin'ny fampielezan-kevitra izay mizara ny ransomware Ryuk.

famonoana

Aorian'ny fampidinana sy fanokafana antontan-taratasy voan'ny aretina, ny mpampiasa dia asaina mamela ny macros handeha. Raha mahomby dia atomboka ny PowerShell, izay ahafahanao misintona sy mampandeha ny entana QakBot avy amin'ny mpizara baiko sy fanaraha-maso.

Zava-dehibe ny manamarika fa mitovy amin'izany koa ny ProLock: ny entana dia alaina avy amin'ny rakitra BMP na JPG ary ampidirina ao anaty fitadidiana mampiasa PowerShell. Amin'ny toe-javatra sasany, asa voalahatra no ampiasaina hanombohana PowerShell.

Batch script mihazakazaka ProLock amin'ny alΓ lan'ny mpandrindra asa:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Consolidation ao amin'ny rafitra

Raha azo atao ny mampandefitra ny mpizara RDP ary mahazo fidirana, dia ampiasaina ny kaonty manan-kery hahazoana fidirana amin'ny tambajotra. Ny QakBot dia miavaka amin'ny mekanika fametahana isan-karazany. Matetika, io Trojan io dia mampiasa ny fanalahidin'ny fisoratana anarana Run ary mamorona asa ao amin'ny fandaharam-potoana:

Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK
Fametrahana Qakbot amin'ny rafitra mampiasa ny fanalahidin'ny rejisitra Run

Amin'ny tranga sasany dia ampiasaina ihany koa ny lahatahiry fanombohana: misy hitsin-dΓ lana apetraka eo izay manondro ny bootloader.

Fiarovana bypass

Amin'ny alΓ lan'ny fifandraisana amin'ny mpizara baiko sy fanaraha-maso, QakBot dia manandrana manavao ny tenany tsindraindray, mba hisorohana ny fisavana, ny malware dia afaka manolo ny kinovany ankehitriny amin'ny iray vaovao. Ny rakitra azo tanterahana dia sonia miaraka amin'ny sonia voasoloky na hosoka. Ny enta-mavesatra voalohany entin'ny PowerShell dia voatahiry ao amin'ny mpizara C&C miaraka amin'ny fanitarana PNG. Ankoatra izany, aorian'ny famonoana dia soloina amin'ny rakitra ara-dalΓ na calc.exe.

Ary koa, mba hanafenana ny asa ratsy, QakBot dia mampiasa ny teknika manindrona kaody amin'ny dingana, mampiasa explorer.exe.

Araka ny voalaza dia miafina ao anaty rakitra ny entana ProLock BMP na JPG. Izany koa dia azo heverina ho fomba fiatrehana ny fiarovana.

Mahazo fahazoan-dΓ lana

QakBot dia manana fiasa keylogger. Ankoatra izany, afaka misintona sy mampandeha script fanampiny izy, ohatra, Invoke-Mimikatz, dikan-teny PowerShell an'ny fitaovana malaza Mimikatz. Ny script toy izany dia azon'ny mpanafika hanary ny fahazoan-dΓ lana.

Network intelligence

Taorian'ny nahazoany fidirana amin'ny kaonty manana tombontsoa, ​​ny mpandraharaha ProLock dia manao fanaraha-maso ny tambajotra, izay mety ahitana ny fisavana seranan-tsambo sy ny famakafakana ny tontolo Active Directory. Ho fanampin'ny script isan-karazany, mampiasa AdFind, fitaovana hafa malaza amin'ny vondrona ransomware, ny mpanafika, mba hanangonana vaovao momba ny Active Directory.

Fampiroboroboana ny tambajotra

Amin'ny fomba mahazatra, ny iray amin'ireo fomba malaza indrindra amin'ny fampiroboroboana ny tambajotra dia ny Remote Desktop Protocol. Ny ProLock dia tsy naningana. Ny mpanafika aza dia manana sora-baventy ao amin'ny fitaovam-piadiany mba hahazoana fidirana lavitra amin'ny alΓ lan'ny RDP ho an'ny mpampiantrano kendrena.

script BAT hahazoana fidirana amin'ny protocol RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Mba hanatanterahana script lavitra, mampiasa fitaovana malaza hafa ny mpandraharaha ProLock, ny PsExec utility avy amin'ny Sysinternals Suite.

ProLock dia mandeha amin'ny mpampiantrano mampiasa WMIC, izay interface tsara andalana hiasa amin'ny subsystem Windows Management Instrumentation. Ity fitaovana ity koa dia lasa malaza amin'ny mpandraharaha ransomware.

Fanangonana angona

Tahaka ireo mpandraharaha ransomware maro hafa, ny vondrona mampiasa ProLock dia manangona angon-drakitra avy amin'ny tamba-jotra simba mba hampitomboana ny vintana hahazoany vidim-panavotana. Alohan'ny exfiltration, ny angon-drakitra voaangona dia voatahiry amin'ny fampiasana ny 7Zip utility.

Exfiltration

Mba hampakatra angona dia mampiasa Rclone ny mpandraharaha ProLock, fitaovana andalana iray natao hampifanaraka ny rakitra amin'ny serivisy fitahirizana rahona isan-karazany toy ny OneDrive, Google Drive, Mega, sns. Ny mpanafika dia manova anarana foana ny rakitra azo tanterahana mba hahatonga azy ho toy ny rakitra rafitra ara-dalΓ na.

Tsy toy ny namany, ny mpandraharaha ProLock dia mbola tsy manana tranokalany manokana hamoahana angon-drakitra halatra an'ny orinasa tsy nety nandoa ny vidim-panavotana.

Fanatrarana ny tanjona farany

Raha vantany vao nesorina ny angon-drakitra, dia mametraka ProLock manerana ny tambajotra orinasa ny ekipa. Ny rakitra binary dia nalaina avy amin'ny rakitra misy ny fanitarana PNG na JPG mampiasa PowerShell ary ampidirina ao anaty fitadidiana:

Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK
Voalohany indrindra, ny ProLock dia mamarana ireo dingana voalaza ao amin'ny lisitra naorina (mahaliana fa mampiasa litera enina amin'ny anaran'ny dingana, toy ny "winwor"), ary manafoana ny serivisy, anisan'izany ireo mifandraika amin'ny fiarovana, toy ny CSFalconService ( CrowdStrike Falcon). mampiasa ny baiko fijanonana net.

Avy eo, toy ny fianakaviana ransomware maro hafa, ny mpanafika dia mampiasa vssadmin hamafa ny Windows shadow copies ary mametra ny habeny mba tsy hamoronana kopia vaovao:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock dia manampy fanitarana .proLock, .pr0Lock na .proL0ck ho an'ny rakitra voafefy tsirairay ary apetraho ny rakitra [Ahoana ny fomba hamerenana ny rakitra].TXT amin'ny lahatahiry tsirairay. Ity rakitra ity dia misy toromarika momba ny fomba famongorana ireo rakitra, ao anatin'izany ny rohy mankany amin'ny tranonkala iray izay tsy maintsy ampidiran'ilay niharam-boina karapanondro tokana sy handraisana fampahalalana momba ny fandoavam-bola:

Fanokafana ProLock: famakafakana ny fihetsiky ny mpandraharaha amin'ny ransomware vaovao amin'ny alΓ lan'ny matrix MITER ATT&CK
Ny tranga tsirairay amin'ny ProLock dia misy fampahalalana momba ny vidin'ny vidim-panavotana - amin'ity tranga ity, bitcoins 35, izay manodidina ny $312.

famaranana

Mpampiasa ransomware maro no mampiasa fomba mitovy amin'izany mba hanatratrarana ny tanjony. Mandritra izany fotoana izany, ny teknika sasany dia miavaka amin'ny vondrona tsirairay. Amin'izao fotoana izao, mitombo isa ny vondrona cybercriminal mampiasa ransomware amin'ny fampielezan-keviny. Amin'ny toe-javatra sasany, ny mpandraharaha iray ihany dia mety ho tafiditra amin'ny fanafihana mampiasa fianakaviana ransomware samihafa, noho izany dia ho hitantsika bebe kokoa ny fifandimbiasan'ny tetika, teknika ary fomba fiasa ampiasaina.

Mapping miaraka amin'ny MITRE ATT&CK Mapping

tetika
Technique

Fidirana voalohany (TA0001)
Serivisy lavitra ivelany (T1133), Attachment Spearphishing (T1193), Rohy Spearphishing (T1192)

Famonoana (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

faharetana (TA0003)
Registry Run Keys / Startup Folder (T1060), Asa voalahatra (T1053), kaonty manan-kery (T1078)

Fiarovana fiarovana (TA0005)
Fanasoniavana kaody (T1116), Deobfuscate/Decode ny fisie na fampahalalana (T1140), ny fanafoanana ny fitaovana fiarovana (T1089), ny famafana ny rakitra (T1107), ny masquerading (T1036), ny tsindrona dingana (T1055)

Fahazoan-dΓ lana (TA0006)
Fanariana fanomezan-toky (T1003), Brute Force (T1110), Fampidirana (T1056)

Discovery (TA0007)
Kaonty Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)

Hetsika an-tongotra (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

Fanangonana (TA0009)
Data avy amin'ny Rafitra eo an-toerana (T1005), Data avy amin'ny Network Shared Drive (T1039), Data Staged (T1074)

baiko sy fanaraha-maso (TA0011)
Seranana fampiasa mahazatra (T1043), Serivisy Internet (T1102)

Exfiltration (TA0010)
Data Compressed (T1002), Mamindra angona amin'ny Kaonty Cloud (T1537)

Fiantraikany (TA0040)
Angon-drakitra voatahiry noho ny fiantraikany (T1486), manakana ny fanarenana ny rafitra (T1490)

Source: www.habr.com

Add a comment