Отворање ProLock: анализа на дејствата на операторите на новиот ransomware користејќи ја матрицата MITER ATT&CK

Успехот на нападите со откупни софтвери врз организации ширум светот поттикнува се повеќе и повеќе нови напаѓачи да влезат во играта. Еден од овие нови играчи е група која користи ProLock откуп. Се појави во март 2020 година како наследник на програмата PwndLocker, која започна да работи на крајот на 2019 година. Нападите на ProLock за откуп првенствено се насочени кон финансиските и здравствените организации, владините агенции и малопродажниот сектор. Неодамна, операторите ProLock успешно го нападнаа еден од најголемите производители на банкомати, Diebold Nixdorf.

Во овој пост Олег Скулкин, водечки специјалист на Лабораторијата за компјутерска форензика на Group-IB, ги опфаќа основните тактики, техники и процедури (TTP) што ги користат ProLock операторите. Написот завршува со споредба со MITER ATT&CK Matrix, јавна база на податоци што собира тактики за насочен напад што ги користат различни сајбер-криминални групи.

Добивање првичен пристап

Операторите ProLock користат два главни вектори на примарен компромис: тројанец QakBot (Qbot) и незаштитени RDP сервери со слаби лозинки.

Компромисот преку надворешно достапен RDP сервер е исклучително популарен меѓу операторите на откупни софтвери. Вообичаено, напаѓачите купуваат пристап до компромитиран сервер од трети страни, но тој може да го добијат и членовите на групата сами.

Поинтересен вектор на примарен компромис е малициозен софтвер QakBot. Претходно, овој тројанец беше поврзан со друго семејство на откупни софтвери - MegaCortex. Сепак, сега се користи од операторите ProLock.

Обично, QakBot се дистрибуира преку кампањи за фишинг. Фишинг-пошта може да содржи приложен документ на Microsoft Office или врска до датотека лоцирана во услуга за складирање облак, како што е Microsoft OneDrive.

Исто така, познати се случаи на вчитување на QakBot со друг тројанец, Emotet, кој е нашироко познат по своето учество во кампањи што го дистрибуираа Ryuk откупниот софтвер.

Исполнување

По преземањето и отворањето на заразениот документ, од корисникот се бара да дозволи макроа да работат. Ако е успешна, се стартува PowerShell, што ќе ви овозможи да го преземете и стартувате товарот на QakBot од серверот за команди и контрола.

Важно е да се забележи дека истото важи и за ProLock: товарот се извлекува од датотеката BMP или JPG и се вчита во меморијата користејќи PowerShell. Во некои случаи, се користи закажана задача за стартување на PowerShell.

Сериска скрипта што работи ProLock преку распоредувачот на задачи:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Консолидација во системот

Ако е можно да се компромитира серверот RDP и да се добие пристап, тогаш се користат валидни сметки за да се добие пристап до мрежата. QakBot се карактеризира со различни механизми за прицврстување. Најчесто, овој тројанец го користи клучот за регистар Run и создава задачи во распоредувачот:

Закачување на Qakbot на системот користејќи го клучот за регистар Стартувај

Во некои случаи, се користат и папки за стартување: таму е поставена кратенка што укажува на подигнувачот.

Заштита од бајпас

Со комуникација со серверот за команди и контрола, QakBot периодично се обидува да се ажурира, па за да избегне откривање, малициозниот софтвер може да ја замени сопствената моментална верзија со нова. Извршните датотеки се потпишани со компромитиран или фалсификуван потпис. Почетниот товар вчитан од PowerShell се складира на серверот C&C со наставката PNG. Покрај тоа, по извршувањето се заменува со легитимна датотека calc.exe.

Исто така, за да се скрие злонамерната активност, QakBot ја користи техниката на инјектирање код во процесите, користејќи explorer.exe.

Како што споменавме, товарот на ProLock е скриен во датотеката BMP или JPG. Ова може да се смета и како метод за заобиколување на заштитата.

Добивање акредитиви

QakBot има функционалност на тастатурата. Дополнително, може да презема и стартува дополнителни скрипти, на пример, Invoke-Mimikatz, верзија на PowerShell на познатата алатка Mimikatz. Таквите скрипти може да ги користат напаѓачите за да ги отфрлат ингеренциите.

Мрежна интелигенција

Откако ќе добијат пристап до привилегирани сметки, операторите на ProLock вршат мрежно извидување, што може да вклучи скенирање на портите и анализа на околината на Active Directory. Покрај различните скрипти, напаѓачите користат AdFind, друга алатка популарна меѓу групите за откупни софтвери, за да соберат информации за Active Directory.

Мрежна промоција

Традиционално, еден од најпопуларните методи за мрежна промоција е протоколот за далечинска работна површина. ProLock не беше исклучок. Напаѓачите имаат дури и скрипти во нивниот арсенал за да добијат далечински пристап преку RDP за да ги таргетираат домаќините.

BAT скрипта за добивање пристап преку протоколот RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

За далечинско извршување на скрипти, операторите ProLock користат друга популарна алатка, алатката PsExec од Sysinternals Suite.

ProLock работи на хостови користејќи WMIC, што е интерфејс на командната линија за работа со подсистемот Windows Management Instrumentation. Оваа алатка, исто така, станува сè попопуларна меѓу операторите на откупни софтвери.

Собирање на податоци

Како и многу други оператори за откуп, групата што користи ProLock собира податоци од компромитирана мрежа за да ги зголеми своите шанси да добие откуп. Пред ексфилтрација, собраните податоци се архивираат со помош на алатката 7Zip.

Ексфилтрација

За поставување податоци, операторите на ProLock користат Rclone, алатка за командна линија дизајнирана да синхронизира датотеки со различни услуги за складирање облак како што се OneDrive, Google Drive, Mega итн. Напаѓачите секогаш ја преименуваат извршната датотека за да изгледа како легитимни системски датотеки.

За разлика од нивните врсници, операторите ProLock сè уште немаат сопствена веб-страница за објавување украдени податоци што им припаѓаат на компании кои одбиле да го платат откупот.

Постигнување на конечната цел

Откако податоците се ексфилтрирани, тимот го распоредува ProLock низ целата мрежа на претпријатието. Бинарната датотека се извлекува од датотека со наставката PNG или JPG користејќи PowerShell и се вбризгува во меморијата:

Прво, ProLock ги прекинува процесите наведени во вградената листа (интересно е што ги користи само шесте букви од името на процесот, како што е „winwor“) и ги прекинува услугите, вклучително и оние поврзани со безбедноста, како што е CSFalconService ( CrowdStrike Falcon).со користење на командата нето стоп.

Потоа, како и со многу други семејства за откупни софтвери, напаѓачите користат всадмин да ги избришете копии во сенка на Windows и да ја ограничите нивната големина за да не се создаваат нови копии:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock додава екстензија .proLock, .pr0Заклучи или .proL0ck на секоја шифрирана датотека и ја поставува датотеката [КАКО ДА ВРАЌАТЕ ДАТОТЕКИ].TXT до секоја папка. Оваа датотека содржи инструкции за тоа како да се дешифрираат датотеките, вклучително и врска до локација каде што жртвата мора да внесе единствена лична карта и да добие информации за плаќање:

Секој примерок на ProLock содржи информации за износот на откупот - во овој случај, 35 биткоини, што е приближно 312 долари.

Заклучок

Многу оператори за откуп користат слични методи за да ги постигнат своите цели. Во исто време, некои техники се уникатни за секоја група. Во моментов, има се поголем број на сајбер-криминални групи кои користат откупен софтвер во нивните кампањи. Во некои случаи, истите оператори може да бидат вклучени во напади со користење на различни фамилии на откупни софтвери, така што сè почесто ќе гледаме преклопување во користените тактики, техники и процедури.

Мапирање со MITER ATT&CK Mapping

Тактика
Техника

Почетен пристап (TA0001)
Надворешни далечински услуги (T1133), Додаток за ловење копје (T1193), Врска за ловење копје (T1192)

Извршување (TA0002)
Powershell (T1086), Скриптирање (T1064), Извршување на корисникот (T1204), Инструментација за управување со Windows (T1047)

Упорност (TA0003)
Регистарски клучеви / папка за стартување (T1060), закажана задача (T1053), валидни сметки (T1078)

Одбранбена евазија (TA0005)
Потпишување код (T1116), деобфускација/декодирање датотеки или информации (T1140), оневозможување на безбедносни алатки (T1089), бришење датотеки (T1107), маскирање (T1036), процесно вбризгување (T1055)

Пристап до акредитиви (TA0006)
Исфрлање акредитиви (T1003), брутална сила (T1110), апсење на влез (T1056)

Discovery (TA0007)
Откривање сметка (T1087), Откривање на доверба на домен (T1482), откривање датотеки и директориуми (T1083), скенирање на мрежни услуги (T1046), откривање на мрежни споделувања (T1135), откривање на далечински систем (T1018)

Латерално движење (TA0008)
Протокол за далечинска работна површина (T1076), копирање на далечинска датотека (T1105), споделувања на администратор на Windows (T1077)

Колекција (TA0009)
Податоци од локален систем (T1005), податоци од мрежен споделен диск (T1039), податоци во фаза (T1074)

Команда и контрола (TA0011)
Најчесто користена порта (T1043), веб-услуга (T1102)

Ексфилтрација (TA0010)
Компресирани податоци (T1002), пренос на податоци на сметката во Cloud (T1537)

Влијание (TA0040)
Податоци шифрирани за влијание (T1486), инхибиција на обновување на системот (T1490)

Извор: www.habr.com