प्रोलॉक उघडणे: MITER ATT आणि CK मॅट्रिक्स वापरून नवीन रॅन्समवेअरच्या ऑपरेटरच्या क्रियांचे विश्लेषण

जगभरातील संघटनांवरील रॅन्समवेअर हल्ल्यांचे यश अधिकाधिक नवीन हल्लेखोरांना गेममध्ये येण्यास प्रवृत्त करत आहे. या नवीन खेळाडूंपैकी एक प्रोलॉक रॅन्समवेअर वापरणारा गट आहे. हे मार्च 2020 मध्ये PwndLocker प्रोग्रामचे उत्तराधिकारी म्हणून दिसले, जे 2019 च्या शेवटी कार्य करण्यास सुरुवात झाली. ProLock ransomware हल्ले प्रामुख्याने आर्थिक आणि आरोग्य सेवा संस्था, सरकारी संस्था आणि किरकोळ क्षेत्राला लक्ष्य करतात. अलीकडे, प्रोलॉक ऑपरेटर्सनी सर्वात मोठ्या एटीएम उत्पादकांपैकी एक, डायबोल्ड निक्सडॉर्फवर यशस्वीरित्या हल्ला केला.

या पोस्टमध्ये ओलेग स्कुलकिन, ग्रुप-आयबीच्या संगणक न्यायवैद्यक प्रयोगशाळेचे प्रमुख विशेषज्ञ, प्रोलॉक ऑपरेटरद्वारे वापरल्या जाणार्‍या मूलभूत रणनीती, तंत्र आणि कार्यपद्धती (TTPs) समाविष्ट करते. विविध सायबर गुन्हेगारी गटांद्वारे वापरल्या जाणार्‍या लक्ष्यित हल्ल्याच्या युक्त्या संकलित करणारा सार्वजनिक डेटाबेस MITER ATT&CK मॅट्रिक्सशी तुलना करून लेखाचा समारोप होतो.

प्रारंभिक प्रवेश मिळत आहे

ProLock ऑपरेटर प्राथमिक तडजोडीचे दोन मुख्य वेक्टर वापरतात: QakBot (Qbot) ट्रोजन आणि कमकुवत पासवर्डसह असुरक्षित RDP सर्व्हर.

रॅन्समवेअर ऑपरेटर्समध्ये बाह्यरित्या प्रवेश करण्यायोग्य RDP सर्व्हरद्वारे तडजोड अत्यंत लोकप्रिय आहे. सामान्यतः, आक्रमणकर्ते तृतीय पक्षांकडून तडजोड केलेल्या सर्व्हरमध्ये प्रवेश विकत घेतात, परंतु ते गट सदस्यांद्वारे देखील प्राप्त केले जाऊ शकतात.

प्राथमिक तडजोडीचा अधिक मनोरंजक वेक्टर म्हणजे QakBot मालवेअर. पूर्वी, हे ट्रोजन रॅन्समवेअरच्या दुसर्या कुटुंबाशी संबंधित होते - मेगाकॉर्टेक्स. तथापि, ते आता प्रोलॉक ऑपरेटरद्वारे वापरले जाते.

सामान्यतः, QakBot फिशिंग मोहिमेद्वारे वितरित केले जाते. फिशिंग ईमेलमध्ये संलग्न Microsoft Office दस्तऐवज किंवा Microsoft OneDrive सारख्या क्लाउड स्टोरेज सेवेमध्ये असलेल्या फाइलची लिंक असू शकते.

ककबॉट दुसर्‍या ट्रोजन, इमोटेटसह लोड केल्याची प्रकरणे देखील ज्ञात आहेत, जी Ryuk रॅन्समवेअर वितरीत करणार्‍या मोहिमांमध्ये सहभागी होण्यासाठी प्रसिद्ध आहे.

परिपूर्ती

संक्रमित दस्तऐवज डाउनलोड केल्यानंतर आणि उघडल्यानंतर, वापरकर्त्यास मॅक्रो चालवण्यास अनुमती देण्यास सूचित केले जाते. यशस्वी झाल्यास, PowerShell लाँच केले जाते, जे तुम्हाला कमांड आणि कंट्रोल सर्व्हरवरून QakBot पेलोड डाउनलोड आणि चालवण्यास अनुमती देईल.

हे लक्षात घेणे महत्त्वाचे आहे की हेच ProLock ला लागू होते: पेलोड फाइलमधून काढला जातो BMP किंवा जेपीजी आणि PowerShell वापरून मेमरीमध्ये लोड केले. काही प्रकरणांमध्ये, पॉवरशेल सुरू करण्यासाठी शेड्यूल केलेले कार्य वापरले जाते.

कार्य शेड्यूलरद्वारे प्रोलॉक चालवणारी बॅच स्क्रिप्ट:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

प्रणाली मध्ये एकत्रीकरण

RDP सर्व्हरशी तडजोड करणे आणि प्रवेश मिळवणे शक्य असल्यास, नेटवर्कमध्ये प्रवेश मिळविण्यासाठी वैध खाती वापरली जातात. QakBot विविध संलग्नक यंत्रणेद्वारे वैशिष्ट्यीकृत आहे. बहुतेकदा, हा ट्रोजन रन रेजिस्ट्री की वापरतो आणि शेड्यूलरमध्ये कार्ये तयार करतो:

रन रेजिस्ट्री की वापरून सिस्टीमवर Qakbot पिन करणे

काही प्रकरणांमध्ये, स्टार्टअप फोल्डर देखील वापरले जातात: तेथे एक शॉर्टकट ठेवला जातो जो बूटलोडरकडे निर्देशित करतो.

बायपास संरक्षण

कमांड आणि कंट्रोल सर्व्हरशी संवाद साधून, QakBot वेळोवेळी स्वतःला अपडेट करण्याचा प्रयत्न करते, त्यामुळे शोध टाळण्यासाठी, मालवेअर स्वतःची वर्तमान आवृत्ती नवीनसह बदलू शकतो. एक्झिक्युटेबल फाइल्स तडजोड केलेल्या किंवा बनावट स्वाक्षरीने स्वाक्षरी केल्या जातात. पॉवरशेल द्वारे लोड केलेला प्रारंभिक पेलोड विस्तारासह C&C सर्व्हरवर संग्रहित केला जातो PNG. याव्यतिरिक्त, अंमलबजावणीनंतर ते कायदेशीर फाइलसह पुनर्स्थित केले जाते कॅल्क.एक्स.

तसेच, दुर्भावनायुक्त क्रियाकलाप लपविण्यासाठी, QakBot वापरून प्रक्रियांमध्ये कोड इंजेक्ट करण्याचे तंत्र वापरते explorer.exe.

नमूद केल्याप्रमाणे, प्रोलॉक पेलोड फाइलमध्ये लपलेले आहे BMP किंवा जेपीजी. हे बायपास संरक्षणाची पद्धत म्हणून देखील मानले जाऊ शकते.

क्रेडेन्शियल मिळवणे

QakBot मध्ये keylogger कार्यक्षमता आहे. याव्यतिरिक्त, ते अतिरिक्त स्क्रिप्ट डाउनलोड आणि चालवू शकते, उदाहरणार्थ, Invoke-Mimikatz, प्रसिद्ध Mimikatz युटिलिटीची PowerShell आवृत्ती. अशा स्क्रिप्टचा वापर आक्रमणकर्ते क्रेडेन्शियल डंप करण्यासाठी करू शकतात.

नेटवर्क बुद्धिमत्ता

विशेषाधिकार प्राप्त खात्यांमध्ये प्रवेश प्राप्त केल्यानंतर, ProLock ऑपरेटर नेटवर्क रीकॉनिसन्स करतात, ज्यामध्ये पोर्ट स्कॅनिंग आणि सक्रिय निर्देशिका वातावरणाचे विश्लेषण समाविष्ट असू शकते. विविध स्क्रिप्ट्स व्यतिरिक्त, अॅक्‍टिव्ह डिरेक्‍ट्रीबद्दल माहिती गोळा करण्‍यासाठी आक्रमणकर्ते AdFind, ransomware गटांमध्ये लोकप्रिय असलेले दुसरे साधन वापरतात.

नेटवर्क प्रमोशन

पारंपारिकपणे, नेटवर्क प्रमोशनच्या सर्वात लोकप्रिय पद्धतींपैकी एक रिमोट डेस्कटॉप प्रोटोकॉल आहे. प्रोलॉक अपवाद नव्हता. आक्रमणकर्त्यांकडे लक्ष्य यजमानांना RDP द्वारे दूरस्थ प्रवेश मिळविण्यासाठी त्यांच्या शस्त्रागारात स्क्रिप्ट देखील असतात.

RDP प्रोटोकॉलद्वारे प्रवेश मिळविण्यासाठी BAT स्क्रिप्ट:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

स्क्रिप्ट्स दूरस्थपणे कार्यान्वित करण्यासाठी, ProLock ऑपरेटर दुसरे लोकप्रिय साधन वापरतात, Sysinternals Suite मधील PsExec उपयुक्तता.

ProLock WMIC वापरून होस्टवर चालते, जे विंडोज मॅनेजमेंट इंस्ट्रुमेंटेशन सबसिस्टमसह काम करण्यासाठी कमांड लाइन इंटरफेस आहे. हे साधन रॅन्समवेअर ऑपरेटर्समध्ये देखील लोकप्रिय होत आहे.

माहिती संकलन

इतर अनेक ransomware ऑपरेटर्सप्रमाणे, ProLock वापरणारा गट खंडणी मिळण्याची शक्यता वाढवण्यासाठी तडजोड केलेल्या नेटवर्कवरून डेटा गोळा करतो. एक्सफिल्टेशन करण्यापूर्वी, गोळा केलेला डेटा 7Zip युटिलिटी वापरून संग्रहित केला जातो.

उत्सर्जन

डेटा अपलोड करण्यासाठी, ProLock ऑपरेटर Rclone, OneDrive, Google Drive, Mega, इ. सारख्या विविध क्लाउड स्टोरेज सेवांसह फायली सिंक्रोनाइझ करण्यासाठी डिझाइन केलेले कमांड लाइन टूल वापरतात. हल्लेखोर नेहमी एक्झिक्युटेबल फाइलचे नाव बदलून ती कायदेशीर सिस्टीम फाइल्ससारखी दिसण्यासाठी करतात.

त्यांच्या समवयस्कांच्या विपरीत, प्रोलॉक ऑपरेटरकडे खंडणी देण्यास नकार देणाऱ्या कंपन्यांशी संबंधित चोरीला गेलेला डेटा प्रकाशित करण्यासाठी अद्याप त्यांची स्वतःची वेबसाइट नाही.

अंतिम ध्येय गाठणे

एकदा डेटा एक्स्फिल्टेट झाल्यानंतर, टीम संपूर्ण एंटरप्राइझ नेटवर्कमध्ये प्रोलॉक तैनात करते. बायनरी फाइल एक्स्टेंशन असलेल्या फाइलमधून काढली जाते PNG किंवा जेपीजी पॉवरशेल वापरून आणि मेमरीमध्ये इंजेक्ट केले:

सर्व प्रथम, ProLock बिल्ट-इन सूचीमध्ये निर्दिष्ट केलेल्या प्रक्रियांना समाप्त करते (मजेची गोष्ट म्हणजे, ते प्रक्रियेच्या नावाची फक्त सहा अक्षरे वापरते, जसे की "winwor"), आणि सुरक्षेशी संबंधित असलेल्या सेवा समाप्त करते, जसे की CSFalconService ( CrowdStrike Falcon). कमांड वापरून नेट स्टॉप.

त्यानंतर, इतर अनेक रॅन्समवेअर कुटुंबांप्रमाणे, हल्लेखोर वापरतात vssadmin विंडोजच्या छाया प्रती हटवण्यासाठी आणि त्यांचा आकार मर्यादित करण्यासाठी जेणेकरून नवीन प्रती तयार होणार नाहीत:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock विस्तार जोडते .prolock, .pr0 लॉक किंवा .proL0ck प्रत्येक एनक्रिप्टेड फाइलवर आणि फाइल ठेवते [फाईल्स कसे पुनर्प्राप्त करावे].TXT प्रत्येक फोल्डरमध्ये. या फाईलमध्ये फायली कशा डिक्रिप्ट करायच्या यावरील सूचना आहेत, ज्यात पीडित व्यक्तीने एक अद्वितीय आयडी प्रविष्ट करणे आणि देयक माहिती प्राप्त करणे आवश्यक आहे अशा साइटच्या लिंकसह:

ProLock च्या प्रत्येक उदाहरणामध्ये खंडणीच्या रकमेबद्दल माहिती असते - या प्रकरणात, 35 बिटकॉइन्स, जे अंदाजे $312 आहे.

निष्कर्ष

अनेक ransomware ऑपरेटर त्यांचे ध्येय साध्य करण्यासाठी समान पद्धती वापरतात. त्याच वेळी, काही तंत्रे प्रत्येक गटासाठी अद्वितीय आहेत. सध्या, त्यांच्या मोहिमांमध्ये रॅन्समवेअर वापरणाऱ्या सायबर गुन्हेगारी गटांची संख्या वाढत आहे. काही प्रकरणांमध्ये, समान ऑपरेटर रॅन्समवेअरच्या भिन्न कुटुंबांचा वापर करून हल्ल्यांमध्ये सामील असू शकतात, म्हणून आम्ही वापरलेल्या रणनीती, तंत्रे आणि कार्यपद्धतींमध्ये वाढत्या प्रमाणात आच्छादित होणार आहोत.

MITER ATT आणि CK मॅपिंगसह मॅपिंग

युक्ती
तंत्र

प्रारंभिक प्रवेश (TA0001)
बाह्य रिमोट सर्व्हिसेस (T1133), स्पियरफिशिंग अटॅचमेंट (T1193), स्पियरफिशिंग लिंक (T1192)

अंमलबजावणी (TA0002)
पॉवरशेल (T1086), स्क्रिप्टिंग (T1064), वापरकर्ता अंमलबजावणी (T1204), विंडोज मॅनेजमेंट इंस्ट्रुमेंटेशन (T1047)

चिकाटी (TA0003)
रेजिस्ट्री रन की/स्टार्टअप फोल्डर (T1060), शेड्यूल्ड टास्क (T1053), वैध खाती (T1078)

संरक्षण चोरी (TA0005)
कोड साइनिंग (T1116), Deobfuscate/Decode फाइल्स किंवा माहिती (T1140), सुरक्षा साधने अक्षम करणे (T1089), फाइल हटवणे (T1107), मास्करेडिंग (T1036), प्रक्रिया इंजेक्शन (T1055)

क्रेडेन्शियल ऍक्सेस (TA0006)
क्रेडेन्शियल डंपिंग (T1003), ब्रूट फोर्स (T1110), इनपुट कॅप्चर (T1056)

डिस्कव्हरी (TA0007)
खाते शोध (T1087), डोमेन ट्रस्ट डिस्कव्हरी (T1482), फाइल आणि निर्देशिका शोध (T1083), नेटवर्क सर्व्हिस स्कॅनिंग (T1046), नेटवर्क शेअर डिस्कव्हरी (T1135), रिमोट सिस्टम डिस्कव्हरी (T1018)

लॅटरल मूव्हमेंट (TA0008)
रिमोट डेस्कटॉप प्रोटोकॉल (T1076), रिमोट फाइल कॉपी (T1105), Windows Admin Shares (T1077)

संकलन (TA0009)
स्थानिक प्रणाली (T1005) मधील डेटा, नेटवर्क शेअर्ड ड्राइव्ह (T1039), डेटा स्टेज्ड (T1074) मधील डेटा

कमांड आणि कंट्रोल (TA0011)
सामान्यतः वापरलेले पोर्ट (T1043), वेब सेवा (T1102)

उत्सर्जन (TA0010)
डेटा संकुचित (T1002), क्लाउड खात्यात डेटा हस्तांतरित करा (T1537)

प्रभाव (TA0040)
इम्पॅक्ट (T1486), इनहिबिट सिस्टम रिकव्हरी (T1490) साठी डेटा एन्क्रिप्टेड

स्त्रोत: www.habr.com