Дэлхий даяарх байгууллагууд руу чиглэсэн ransomware халдлагын амжилт нь улам олон шинэ халдагчдыг тоглоомд оруулахад түлхэц болж байна. Эдгээр шинэ тоглогчдын нэг нь ProLock ransomware ашигладаг бүлэг юм. Энэ нь 2020 оны сүүлээр ажиллаж эхэлсэн PwndLocker програмын залгамжлагч болж 2019 оны XNUMX-р сард гарч ирсэн. ProLock ransomware халдлага нь санхүүгийн болон эрүүл мэндийн байгууллагууд, төрийн байгууллагууд, жижиглэн худалдааны салбарт голчлон чиглэгддэг. Саяхан ProLock операторууд АТМ үйлдвэрлэгчдийн нэг болох Диболд Никсдорф руу амжилттай довтолсон.
Энэ нийтлэлд Олег Скулкин, Групп-IB-ийн Компьютерийн криминалистикийн лабораторийн ахлах мэргэжилтэн, ProLock операторуудын ашигладаг үндсэн тактик, техник, процедурыг (TTP) багтаасан болно. Өгүүллийн төгсгөлд янз бүрийн кибер гэмт хэргийн бүлэглэлийн ашигладаг зорилтот халдлагын тактикийг нэгтгэсэн олон нийтийн мэдээллийн сан болох MITER ATT&CK Matrix-тай харьцуулсан болно.
Анхны хандалт авч байна
ProLock операторууд анхдагч эвдрэлийн хоёр үндсэн векторыг ашигладаг: QakBot (Qbot) Trojan болон хамгаалалтгүй RDP серверүүд сул нууц үгтэй.
Гадны хандалттай RDP серверээр дамжих нь ransomware операторуудын дунд маш их алдартай байдаг. Ихэвчлэн халдагчид гуравдагч этгээдээс халдсан серверт нэвтрэх эрхийг худалдаж авдаг ч үүнийг бүлгийн гишүүд өөрсдөө олж авч болно.
Анхдагч буулт хийх илүү сонирхолтой вектор бол QakBot хортой програм юм. Өмнө нь энэ троян нь өөр нэг ransomware гэр бүл болох MegaCortex-тэй холбоотой байсан. Гэхдээ одоо ProLock операторууд үүнийг ашиглаж байна.
Ер нь, QakBot нь фишинг кампанит ажлаар тараагддаг. Фишинг имэйл нь хавсаргасан Microsoft Office баримт бичиг эсвэл Microsoft OneDrive зэрэг үүлэн хадгалах үйлчилгээнд байрлах файлын холбоосыг агуулж болно.
Мөн Ryuk ransomware-г тараасан кампанит ажилд оролцдогоороо алдартай Emotet хэмээх өөр троянаар QakBot-д ачаалагдсан тохиолдол байдаг.
Гүйцэтгэл
Халдвар авсан баримт бичгийг татаж аваад нээсний дараа хэрэглэгчээс макро ажиллуулахыг хүсэх болно. Амжилттай бол PowerShell-ийг эхлүүлсэн бөгөөд энэ нь танд команд болон удирдлагын серверээс QakBot ачааллыг татаж аваад ажиллуулах боломжийг олгоно.
ProLock-д мөн адил хамаарна гэдгийг анхаарах нь чухал: ачааллыг файлаас гаргаж авдаг BMP буюу JPG PowerShell ашиглан санах ойд ачаалагдсан. Зарим тохиолдолд PowerShell-ийг эхлүүлэхийн тулд төлөвлөсөн ажлыг ашигладаг.
Даалгавар хуваарилагчаар дамжуулан ProLock-ийг ажиллуулж буй багц скрипт:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batСистем дэх нэгтгэх
Хэрэв RDP серверийг эвдэж, нэвтрэх боломжтой бол сүлжээнд нэвтрэхийн тулд хүчинтэй дансуудыг ашигладаг. QakBot нь янз бүрийн бэхэлгээний механизмаар тодорхойлогддог. Ихэнхдээ энэ троян нь Run бүртгэлийн түлхүүрийг ашигладаг бөгөөд төлөвлөгч дээр даалгавруудыг үүсгэдэг.
Run бүртгэлийн түлхүүрийг ашиглан Qakbot-г системд бэхлэх
Зарим тохиолдолд эхлүүлэх хавтсыг бас ашигладаг: ачаалагч руу чиглэсэн товчлолыг тэнд байрлуулсан байна.
Тойрох хамгаалалт
Команд болон хяналтын сервертэй холбогдож, QakBot нь үе үе өөрийгөө шинэчлэхийг оролддог тул илрүүлэхээс зайлсхийхийн тулд хортой програм нь одоогийн хувилбараа шинэ хувилбараар сольж болно. Гүйцэтгэх боломжтой файлууд нь эвдэрсэн эсвэл хуурамч гарын үсгээр гарын үсэг зурсан байдаг. PowerShell-ээр ачаалагдсан анхны ачааллыг өргөтгөлтэй C&C сервер дээр хадгалдаг PNG. Үүнээс гадна, гүйцэтгэлийн дараа үүнийг хууль ёсны файлаар солино calc.exe.
Мөн хорлонтой үйл ажиллагааг нуухын тулд QakBot нь процесст код оруулах аргыг ашигладаг explorer.exe.
Өмнө дурьдсанчлан ProLock-ийн ачаалал файл дотор нуугдаж байна BMP буюу JPG. Үүнийг мөн хамгаалалтыг тойрч гарах арга гэж үзэж болно.
Итгэмжлэх жуух бичгээ авах
QakBot нь keylogger функцтэй. Нэмж дурдахад, энэ нь нэмэлт скриптүүдийг татаж авч ажиллуулж болно, жишээлбэл, алдарт Mimikatz хэрэгслийн PowerShell хувилбар болох Invoke-Mimikatz. Ийм скриптийг халдагчид итгэмжлэлээ хаяхад ашиглаж болно.
Сүлжээний тагнуул
ProLock операторууд давуу эрхтэй акаунтууд руу нэвтрэх эрх авсны дараа порт скан хийх, Active Directory орчны шинжилгээ зэргийг багтаасан сүлжээний судалгааг хийдэг. Халдагчид янз бүрийн скриптүүдээс гадна ransomware бүлгүүдийн дунд түгээмэл хэрэглэгддэг өөр нэг хэрэгсэл болох AdFind-ийг ашиглан Active Directory-ийн талаарх мэдээллийг цуглуулдаг.
Сүлжээний сурталчилгаа
Уламжлал ёсоор сүлжээг сурталчлах хамгийн түгээмэл аргуудын нэг бол Remote Desktop Protocol юм. ProLock ч үл хамаарах зүйл биш байв. Халдагчид RDP-ээр дамжуулан зорилтот хостууд руу алсаас нэвтрэхийн тулд өөрсдийн зэвсэглэлд скриптүүдтэй байдаг.
RDP протоколоор нэвтрэх эрх авах BAT скрипт:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Скриптүүдийг алсаас ажиллуулахын тулд ProLock операторууд өөр нэг алдартай хэрэгсэл болох Sysinternals Suite-ийн PsExec хэрэгслийг ашигладаг.
ProLock нь Windows Management Instrumentation дэд системтэй ажиллах командын мөрийн интерфейс болох WMIC ашиглан хостууд дээр ажилладаг. Энэ хэрэгсэл нь ransomware операторуудын дунд улам бүр түгээмэл болж байна.
Өгөгдөл цуглуулах
Бусад олон ransomware операторуудын нэгэн адил ProLock ашигладаг бүлэг нь золиос авах боломжийг нэмэгдүүлэхийн тулд эвдэрсэн сүлжээнээс мэдээлэл цуглуулдаг. Шүүлтүүрээс өмнө цуглуулсан өгөгдлийг 7Zip хэрэгслийг ашиглан архивлана.
Шүүрэлт
ProLock операторууд өгөгдөл байршуулахын тулд OneDrive, Google Drive, Mega гэх мэт төрөл бүрийн үүлэн хадгалах үйлчилгээнүүдтэй файлуудыг синхрончлоход зориулагдсан тушаалын мөрийн хэрэгсэл болох Rclone-г ашигладаг. Халдагчид гүйцэтгэгдэх файлыг хууль ёсны системийн файл шиг харагдуулахын тулд үргэлж нэрийг нь өөрчилдөг.
Үе тэнгийнхнээсээ ялгаатай нь ProLock операторууд золиос төлөхөөс татгалзсан компаниудын хулгайлагдсан мэдээллийг нийтлэх вэбсайтгүй хэвээр байна.
Эцсийн зорилгодоо хүрэх
Өгөгдлийг гадагшлуулсны дараа баг нь ProLock-ийг бүх байгууллагын сүлжээнд байрлуулна. Хоёртын файлыг өргөтгөлтэй файлаас гаргаж авдаг PNG буюу JPG PowerShell ашиглан санах ойд оруулсан:
Юуны өмнө ProLock нь суулгасан жагсаалтад заасан процессуудыг (сонирхолтой нь зөвхөн "winwor" гэх мэт процессын нэрний зургаан үсгийг ашигладаг), CSFalconService ( гэх мэт аюулгүй байдалтай холбоотой үйлчилгээгээ зогсоодог. CrowdStrike Falcon). командыг ашиглан цэвэр цэг.
Дараа нь бусад олон ransomware гэр бүлүүдийн нэгэн адил халдагчид ашигладаг вссадмин Windows-ийн сүүдрийн хуулбарыг устгаж, шинэ хуулбар үүсгэхгүйн тулд хэмжээг нь хязгаарлахын тулд:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock өргөтгөл нэмдэг .proLock, .pr0Lock буюу .proL0ck шифрлэгдсэн файл болгонд байршуулж файлыг байрлуулна [ФАЙЛЫГ ХЭРХЭН СЭРГЭЭХ ВЭ].TXT хавтас бүрт. Энэ файл нь файлуудын шифрийг тайлах заавар, тухайлбал хохирогч өвөрмөц ID оруулж, төлбөрийн мэдээллийг хүлээн авах ёстой сайтын холбоосыг агуулдаг.
ProLock-ийн тохиолдол бүр нь золиосны үнийн талаархи мэдээллийг агуулдаг - энэ тохиолдолд 35 биткойн, ойролцоогоор 312 доллар болно.
дүгнэлт
Олон ransomware операторууд зорилгодоо хүрэхийн тулд ижил төстэй аргыг ашигладаг. Үүний зэрэгцээ, зарим техник нь бүлэг бүрт өвөрмөц байдаг. Одоогийн байдлаар кампанит ажилдаа ransomware ашигладаг кибер гэмт хэргийн бүлэглэлүүдийн тоо нэмэгдэж байна. Зарим тохиолдолд ижил операторууд өөр өөр гэр бүлийн ransomware ашиглан халдлагад өртөж болзошгүй тул ашигласан тактик, техник, процедурын давхцлыг бид улам бүр харах болно.
MITER ATT&CK Mapping ашиглан зураглал хийх
Тактикийн
Техник
Анхны хандалт (TA0001)
Гадаад алсын удирдлага (T1133), Спэрфишингийн хавсралт (T1193), Спирфишингийн холбоос (T1192)
Гүйцэтгэл (TA0002)
Powershell (T1086), Скрипт бичих (T1064), Хэрэглэгчийн гүйцэтгэл (T1204), Windows удирдлагын хэрэгсэл (T1047)
Тогтвортой байдал (TA0003)
Бүртгэлийн ажиллуулах түлхүүрүүд / эхлүүлэх хавтас (T1060), хуваарьт даалгавар (T1053), хүчинтэй бүртгэлүүд (T1078)
Хамгаалалтаас зайлсхийх (TA0005)
Код гарын үсэг зурах (T1116), Файл эсвэл мэдээллийг задлах/тайлах (T1140), Аюулгүй байдлын хэрэгслийг идэвхгүй болгох (T1089), Файл устгах (T1107), Хувцаслалт (T1036), Процесс шахах (T1055)
Итгэмжлэх эрхийн хандалт (TA0006)
Итгэмжлэлийг хаях (T1003), Харгис хүч (T1110), Оролтын хураалт (T1056)
Нээлт (TA0007)
Бүртгэл илрүүлэх (T1087), Домэйн итгэмжлэлийг илрүүлэх (T1482), Файл болон лавлах илрүүлэх (T1083), Сүлжээний үйлчилгээг хайх (T1046), Сүлжээний хуваалцах илрүүлэлт (T1135), Системийг алсаас илрүүлэх (T1018)
Хажуугийн хөдөлгөөн (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Цуглуулга (TA0009)
Орон нутгийн системийн өгөгдөл (T1005), сүлжээний дундын драйвын өгөгдөл (T1039), өгөгдөл шаталсан (T1074)
Тушаал ба хяналт (TA0011)
Түгээмэл хэрэглэгддэг порт (T1043), вэб үйлчилгээ (T1102)
Шүүлтүүр (TA0010)
Шахсан өгөгдөл (T1002), үүлэн данс руу өгөгдөл дамжуулах (T1537)
Нөлөөллийн (TA0040)
Нөлөөлөлд зориулж шифрлэгдсэн өгөгдөл (T1486), Системийг сэргээхийг хориглох (T1490)
Эх сурвалж: www.habr.com