Ko te angitu o nga whakaeke ransomware i runga i nga whakahaere huri noa i te ao e akiaki ana i te maha atu o nga kaiwhaiwhai hou ki te uru ki te keemu. Ko tetahi o enei kaitakaro hou he roopu e whakamahi ana i te ProLock ransomware. I puta mai i te Maehe 2020 hei whakakapi mo te kaupapa PwndLocker, i timata te mahi i te mutunga o 2019. Ko nga whakaeke a ProLock ransomware e aro nui ana ki nga whakahaere putea me te hauora, nga tari kawanatanga, me te waahanga hokohoko. I tata nei, i angitu nga kaiwhakatere ProLock ki te whakaeke i tetahi o nga kaihanga ATM nui rawa atu, a Diebold Nixdorf.
I tenei pou Oleg Skulkin, te tohunga matua o te Roopu-IB Roopu Rorohiko Taiwhanga Taonga, ka kapi i nga tikanga, tikanga me nga tikanga (TTP) e whakamahia ana e nga kaiwhakahaere ProLock. Ka mutu te tuhinga me te whakataurite ki te MITRE ATT&CK Matrix, he papaa raraunga a te iwi e whakahiato ana i nga tikanga whakaeke e whakamahia ana e nga roopu mahi ipurangi.
Te urunga tuatahi
Ko nga kaiwhakahaere ProLock e whakamahi ana i nga waahanga matua e rua o te taupatupatu tuatahi: ko te QakBot (Qbot) Torotiana me nga tūmau RDP kore parenga me nga kupuhipa ngoikore.
Ko te whakararu ma te tūmau RDP e uru ana ki waho he tino rongonui i waenga i nga kaiwhakarato ransomware. I te nuinga o te wa, ka hokona e nga kaiwhaiwhai te uru ki tetahi tūmau kua taupatupatuhia mai i nga roopu tuatoru, engari ka taea ano e nga mema o te roopu te tiki ma ratou ake.
Ko te ahua o te whakaraerae tuatahi ko te QakBot malware. I mua, i hono tenei Torotiana ki tetahi atu whanau o te ransomware - MegaCortex. Heoi, kei te whakamahia inaianei e nga kaiwhakahaere ProLock.
Ko te tikanga, ka tohatohahia a QakBot ma nga kaupapa hītinihanga. Kei roto pea i te imeera hītinihanga he tuhinga Microsoft Office kua apitihia, he hono ranei ki tetahi konae kei roto i te ratonga rokiroki kapua, penei i a Microsoft OneDrive.
Kei te mohiotia ano nga keehi o QakBot e utaina ana me tetahi atu Torotiana, Emotet, e mohiotia ana mo tana whai waahi ki nga kaupapa i tohatoha i te Ryuk ransomware.
Mahi
I muri i te tikiake me te whakatuwhera i tetahi tuhinga kua pangia, ka akiakihia te kaiwhakamahi ki te tuku tonotono kia rere. Ki te angitu, ka whakarewahia a PowerShell, ka taea e koe te tango me te whakahaere i te utu utu QakBot mai i te tūmau whakahau me te mana whakahaere.
He mea nui kia mahara he pera ano ki te ProLock: ka tangohia te utu mai i te konae BMP ranei JPG ka utaina ki te mahara ma te whakamahi i te PowerShell. I etahi wa, ka whakamahia he mahi kua whakaritea hei tiimata i te PowerShell.
Ko nga tuhinga tuhi e whakahaere ana i te ProLock na roto i te kaihōtaka mahi:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batTe whakakotahi i roto i te punaha
Mena ka taea te whakararu i te tūmau RDP me te whai waahi, ka whakamahia nga kaute whaimana kia uru atu ki te whatunga. Ko te QakBot e tohuhia ana e nga momo taputapu taapiri. Ko te nuinga o nga wa, ka whakamahia e tenei Torotiana te taviri Rehita Whakahaere me te hanga i nga mahi i roto i te raarangi:
Te pine i te Qakbot ki te punaha ma te whakamahi i te taviri Rehita Whakahaere
I etahi wa, ka whakamahia ano nga kōpaki whakaoho: ka whakanohohia he pokatata ki reira e tohu ana ki te kaihoe.
Parenga karo
Ma te whakawhitiwhiti korero ki te kaimau whakahau me te mana whakahaere, ka ngana a QakBot ki te whakahou i a ia ano, na kia kore ai e kitea, ka taea e te malware te whakakapi i tana ake putanga o naianei me tetahi mea hou. Ko nga konae ka taea te hainatia me te hainatanga kua taupatupatuhia ranei. Ko te utu utu tuatahi i utaina e PowerShell ka penapena ki te tūmau C&C me te toronga teitei. I tua atu, i muri i te mahi ka whakakapihia ki te konae tika calc.exe.
Ano, ki te huna i nga mahi kino, ka whakamahia e QakBot te tikanga o te wero i te waehere ki roto i nga tukanga, te whakamahi explorer.exe.
Ka rite ki te korero, kei te hunahia te utu utu ProLock i roto i te konae BMP ranei JPG. Ka taea hoki te whakaaro he tikanga mo te aukati i te whakamarumaru.
Te whiwhi tohu
QakBot he keylogger taumahinga. I tua atu, ka taea e ia te tango me te whakahaere tuhinga taapiri, hei tauira, Invoke-Mimikatz, he putanga PowerShell o te taputapu rongonui Mimikatz. Ka taea e nga kaiwhaiwhai te whakamahi i enei tuhinga ki te tuku i nga tohu.
Te matauranga whatunga
Whai muri i te whai waahi ki nga kaute whaimana, ka mahia e nga kaiwhakahaere ProLock te tirotiro whatunga, ka uru pea ki te matawai tauranga me te tātaritanga o te taiao Active Directory. I tua atu i nga momo tuhinga, ka whakamahia e nga kaiwhaiwhai AdFind, tetahi atu taputapu rongonui i waenga i nga roopu ransomware, ki te kohikohi korero mo Active Directory.
Whakatairanga whatunga
I nga wa o mua, ko tetahi o nga tikanga rongonui mo te whakatairanga whatunga ko te Kawa Papamahi Mamao. Ko ProLock he mea rereke. He tuhinga tuhi kei roto i o raatau taonga a nga Kaipatu kia uru atu ma te RDP ki te whai i nga kaihautu.
Ko te tuhinga BAT mo te uru atu ma te kawa RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Hei mahi i nga tuhinga tuhi, ka whakamahi nga kaiwhakahaere ProLock i tetahi atu taputapu rongonui, ko te taputapu PsExec mai i te Sysinternals Suite.
Ka rere a ProLock i runga i nga kaihautu ma te whakamahi i te WMIC, he atanga raina whakahau mo te mahi tahi me te punaha-a-roto Whakahaere Windows. Kei te piki haere te rongonui o tenei taputapu i waenga i nga kaiwhakarato ransomware.
Te kohinga raraunga
Pērā i te maha atu o nga kaiwhakarato ransomware, ko te roopu e whakamahi ana i te ProLock ka kohia nga raraunga mai i te whatunga kua taupatupatu hei whakanui ake i o raatau tupono ki te whiwhi utu. I mua i te tangohanga, ka penapenahia nga raraunga kua kohia ma te whakamahi i te taputapu 7Zip.
Te tangohanga
Hei tuku raraunga, ka whakamahi nga kaiwhakahaere ProLock i te Rclone, he taputapu raina whakahau i hangaia hei tukutahi i nga konae me nga momo ratonga rokiroki kapua penei i OneDrive, Google Drive, Mega, me era atu. Ka whakaingoatia tonutia e te hunga whakaeke te konae whakahaere kia rite ki nga konae punaha tika.
Kaore i rite ki o raatau hoa, ko nga kaiwhakahaere ProLock kaore ano i a raatau ake paetukutuku ki te whakaputa i nga raraunga tahae na nga kamupene kaore i whakaae ki te utu i te utu.
Te whakatutuki i te whainga whakamutunga
Ka tukuna nga raraunga, ka tukuna e te roopu ProLock puta noa i te whatunga hinonga. Ka tangohia te konae rua mai i te konae me te toronga teitei ranei JPG te whakamahi i te PowerShell ka werohia ki te mahara:
Ko te tuatahi, ka whakamutua e ProLock nga mahi kua tohua i roto i te raarangi kua hangaia (he mea whakamiharo, ka whakamahia noa e ia nga reta e ono o te ingoa o te tukanga, penei i te "winwor"), ka mutu nga ratonga, tae atu ki nga mea e pa ana ki te haumarutanga, penei i te CSFalconService ( CrowdStrike Falcon). ma te whakamahi i te whakahau mutu kupenga.
Na, pera me era atu whanau ransomware, ka whakamahia e nga kaiwhaiwhai Tuhinga o mua ki te muku i nga kape atarangi Windows me te whakawhāiti i te rahi kia kore ai e hanga he kape hou:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedKa taapirihia e ProLock te toronga .proLock, .pr0Makati ranei .proL0ck ki ia kōnae whakamunatia me te whakatakoto i te konae [PEHEA KI TE WHAKAHOKI KUPUNA].TXT ki ia kōpaki. Kei roto i tenei konae nga tohutohu me pehea te wetewete i nga konae, tae atu ki te hono ki tetahi waahi me uru te tangata patunga ki tetahi ID ahurei ka whiwhi korero utu:
Kei ia tauira o ProLock nga korero mo te moni utu - i tenei keehi, 35 bitcoins, he $312 pea.
mutunga
He maha nga kaiwhakarato ransomware e whakamahi ana i nga tikanga rite ki te whakatutuki i o raatau whaainga. I te wa ano, he ahurei etahi tikanga mo ia roopu. I tenei wa, kei te tipu haere te maha o nga roopu mahi ipurangi e whakamahi ana i te ransomware i roto i a raatau kaupapa. I etahi wa, ka uru mai ano nga kaiwhakahaere ki nga whakaeke ma te whakamahi i nga whanau rereke o te ransomware, no reira ka kite tatou i te inaki i roto i nga tikanga, tikanga me nga tikanga e whakamahia ana.
Mahere me te Mahere MITRE ATT&CK
Ngahau
technique
Uru Tuatahi (TA0001)
Ratonga Mamao Wawaho (T1133), Taupiringa Taonga (T1193), Hononga Taonga (T1192)
Mahi (TA0002)
Powershell (T1086), Tuhituhi (T1064), Mahi Kaiwhakamahi (T1204), Taputapu Whakahaere Windows (T1047)
Tonu (TA0003)
Rēhita Whakahaere Kī / Kōpaki Whakaoho (T1060), Tūmahi Kua Whakaritea (T1053), Pūkete Whaimana (T1078)
Kore Whakaruruhau (TA0005)
Waitohu Waehere (T1116), Whakakorehia/Whakawaeherehia nga konae, nga korero ranei (T1140), te whakakore i nga Utauta Haumarutanga (T1089), te Mukunga Kōnae (T1107), te Masquerading (T1036), te Tukatuka Tukatuka (T1055)
Uru Whaimana (TA0006)
Tukunga Whaimana (T1003), Brute Force (T1110), Hopu Whakauru (T1056)
Te kitenga (TA0007)
Discovery Account (T1087), Discovery Trust Domain (T1482), Discovery File and Directory (T1083), Matawai Ratonga Whatunga (T1046), Discovery Tiri Whatunga (T1135), Discovery System Mamao (T1018)
Nekehanga Taha (TA0008)
Kawa Papamahi Mamao (T1076), Tārua Kōnae Mamao (T1105), Tiri Whakahaere Windows (T1077)
Kohinga (TA0009)
Raraunga mai i te Pūnaha Paetata (T1005), Raraunga mai i te Puku Tiri Whatunga (T1039), Raraunga Whakatairanga (T1074)
Whakahau me te Mana (TA0011)
Tauranga e whakamahia ana (T1043), Ratonga Tukutuku (T1102)
Tangohanga (TA0010)
Raraunga Kua Kopeke (T1002), Whakawhiti Raraunga ki te Kaute Kapua (T1537)
Pānga (TA0040)
Raraunga Whakamuna mo te Paanga (T1486), Aukati i te Whakaora Pūnaha (T1490)
Source: will.com