Kejayaan serangan perisian tebusan ke atas organisasi di seluruh dunia mendorong semakin ramai penyerang baharu untuk masuk ke dalam permainan. Salah satu pemain baharu ini ialah kumpulan yang menggunakan perisian tebusan ProLock. Ia muncul pada Mac 2020 sebagai pengganti kepada program PwndLocker, yang mula beroperasi pada penghujung 2019. Serangan perisian tebusan ProLock menyasarkan terutamanya organisasi kewangan dan penjagaan kesihatan, agensi kerajaan dan sektor runcit. Baru-baru ini, pengendali ProLock berjaya menyerang salah satu pengeluar ATM terbesar, Diebold Nixdorf.
Dalam jawatan ini Oleg Skulkin, pakar terkemuka Makmal Forensik Komputer Kumpulan-IB, meliputi taktik, teknik dan prosedur asas (TTP) yang digunakan oleh pengendali ProLock. Artikel itu diakhiri dengan perbandingan dengan MITRE ATT&CK Matrix, pangkalan data awam yang menyusun taktik serangan disasarkan yang digunakan oleh pelbagai kumpulan penjenayah siber.
Mendapat akses awal
Pengendali ProLock menggunakan dua vektor utama kompromi utama: Trojan QakBot (Qbot) dan pelayan RDP yang tidak dilindungi dengan kata laluan yang lemah.
Kompromi melalui pelayan RDP yang boleh diakses secara luaran sangat popular di kalangan pengendali perisian tebusan. Biasanya, penyerang membeli akses kepada pelayan yang terjejas daripada pihak ketiga, tetapi ia juga boleh diperolehi oleh ahli kumpulan sendiri.
Vektor kompromi utama yang lebih menarik ialah perisian hasad QakBot. Sebelum ini, Trojan ini dikaitkan dengan keluarga perisian tebusan yang lain - MegaCortex. Walau bagaimanapun, ia kini digunakan oleh pengendali ProLock.
Biasanya, QakBot diedarkan melalui kempen pancingan data. E-mel pancingan data mungkin mengandungi dokumen Microsoft Office yang dilampirkan atau pautan ke fail yang terletak dalam perkhidmatan storan awan, seperti Microsoft OneDrive.
Terdapat juga kes yang diketahui bahawa QakBot dimuatkan dengan Trojan lain, Emotet, yang terkenal dengan penyertaannya dalam kempen yang mengedarkan perisian tebusan Ryuk.
pelaksanaan
Selepas memuat turun dan membuka dokumen yang dijangkiti, pengguna digesa untuk membenarkan makro dijalankan. Jika berjaya, PowerShell dilancarkan, yang akan membolehkan anda memuat turun dan menjalankan muatan QakBot daripada pelayan arahan dan kawalan.
Adalah penting untuk ambil perhatian bahawa perkara yang sama berlaku untuk ProLock: muatan diekstrak daripada fail BMP atau JPG dan dimuatkan ke dalam memori menggunakan PowerShell. Dalam sesetengah kes, tugas berjadual digunakan untuk memulakan PowerShell.
Skrip kelompok menjalankan ProLock melalui penjadual tugas:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batPenyatuan dalam sistem
Jika mungkin untuk menjejaskan pelayan RDP dan mendapatkan akses, maka akaun yang sah digunakan untuk mendapatkan akses kepada rangkaian. QakBot dicirikan oleh pelbagai mekanisme lampiran. Selalunya, Trojan ini menggunakan kunci pendaftaran Jalankan dan mencipta tugas dalam penjadual:
Menyematkan Qakbot ke sistem menggunakan kekunci pendaftaran Jalankan
Dalam sesetengah kes, folder permulaan juga digunakan: pintasan diletakkan di sana yang menghala ke pemuat but.
Perlindungan pintasan
Dengan berkomunikasi dengan pelayan arahan dan kawalan, QakBot cuba mengemas kini dirinya secara berkala, jadi untuk mengelakkan pengesanan, perisian hasad boleh menggantikan versi semasanya sendiri dengan yang baharu. Fail boleh laku ditandatangani dengan tandatangan yang dikompromi atau dipalsukan. Muatan awal yang dimuatkan oleh PowerShell disimpan pada pelayan C&C dengan sambungan PNG. Di samping itu, selepas pelaksanaan ia digantikan dengan fail yang sah calc.exe.
Selain itu, untuk menyembunyikan aktiviti berniat jahat, QakBot menggunakan teknik menyuntik kod ke dalam proses, menggunakan explorer.exe.
Seperti yang dinyatakan, muatan ProLock tersembunyi di dalam fail BMP atau JPG. Ini juga boleh dianggap sebagai kaedah memintas perlindungan.
Mendapatkan kelayakan
QakBot mempunyai fungsi keylogger. Selain itu, ia boleh memuat turun dan menjalankan skrip tambahan, contohnya, Invoke-Mimikatz, versi PowerShell utiliti Mimikatz yang terkenal. Skrip sedemikian boleh digunakan oleh penyerang untuk membuang bukti kelayakan.
Kepintaran rangkaian
Selepas mendapat akses kepada akaun istimewa, pengendali ProLock melakukan peninjauan rangkaian, yang mungkin termasuk pengimbasan port dan analisis persekitaran Active Directory. Selain pelbagai skrip, penyerang menggunakan AdFind, alat lain yang popular di kalangan kumpulan perisian tebusan, untuk mengumpulkan maklumat tentang Active Directory.
Promosi rangkaian
Secara tradisinya, salah satu kaedah promosi rangkaian yang paling popular ialah Protokol Desktop Jauh. ProLock tidak terkecuali. Penyerang juga mempunyai skrip dalam senjata mereka untuk mendapatkan akses jauh melalui RDP untuk menyasarkan hos.
Skrip BAT untuk mendapatkan akses melalui protokol RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Untuk melaksanakan skrip dari jauh, pengendali ProLock menggunakan alat popular lain, utiliti PsExec daripada Sysinternals Suite.
ProLock berjalan pada hos menggunakan WMIC, yang merupakan antara muka baris arahan untuk bekerja dengan subsistem Instrumentasi Pengurusan Windows. Alat ini juga semakin popular di kalangan pengendali perisian tebusan.
Pengumpulan data
Seperti kebanyakan pengendali perisian tebusan lain, kumpulan yang menggunakan ProLock mengumpul data daripada rangkaian yang terjejas untuk meningkatkan peluang mereka menerima wang tebusan. Sebelum exfiltration, data yang dikumpul diarkibkan menggunakan utiliti 7Zip.
Exfiltration
Untuk memuat naik data, pengendali ProLock menggunakan Rclone, alat baris arahan yang direka untuk menyegerakkan fail dengan pelbagai perkhidmatan storan awan seperti OneDrive, Google Drive, Mega, dll. Penyerang sentiasa menamakan semula fail boleh laku untuk menjadikannya kelihatan seperti fail sistem yang sah.
Tidak seperti rakan sebaya mereka, pengendali ProLock masih tidak mempunyai laman web mereka sendiri untuk menerbitkan data yang dicuri milik syarikat yang enggan membayar wang tebusan.
Mencapai matlamat akhir
Setelah data dikeluarkan, pasukan menggunakan ProLock di seluruh rangkaian perusahaan. Fail binari diekstrak daripada fail dengan sambungan PNG atau JPG menggunakan PowerShell dan disuntik ke dalam memori:
Pertama sekali, ProLock menamatkan proses yang dinyatakan dalam senarai terbina dalam (menariknya, ia hanya menggunakan enam huruf nama proses, seperti "winwor"), dan menamatkan perkhidmatan, termasuk yang berkaitan dengan keselamatan, seperti CSFalconService ( CrowdStrike Falcon). menggunakan arahan henti bersih.
Kemudian, seperti kebanyakan keluarga ransomware lain, penyerang menggunakan vssadmin untuk memadam salinan bayangan Windows dan mengehadkan saiznya supaya salinan baharu tidak dibuat:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock menambah sambungan .proLock, .pr0Kunci atau .proL0ck ke setiap fail yang disulitkan dan meletakkan fail tersebut [CARA MEMULIH FAIL].TXT ke setiap folder. Fail ini mengandungi arahan tentang cara menyahsulit fail, termasuk pautan ke tapak yang mangsa mesti memasukkan ID unik dan menerima maklumat pembayaran:
Setiap contoh ProLock mengandungi maklumat tentang jumlah tebusan - dalam kes ini, 35 bitcoin, iaitu lebih kurang $312.
Kesimpulan
Banyak pengendali perisian tebusan menggunakan kaedah yang sama untuk mencapai matlamat mereka. Pada masa yang sama, beberapa teknik adalah unik untuk setiap kumpulan. Pada masa ini, terdapat semakin banyak kumpulan penjenayah siber yang menggunakan perisian tebusan dalam kempen mereka. Dalam sesetengah kes, pengendali yang sama mungkin terlibat dalam serangan menggunakan keluarga perisian tebusan yang berbeza, jadi kami akan semakin melihat pertindihan dalam taktik, teknik dan prosedur yang digunakan.
Pemetaan dengan Pemetaan MITRE ATT&CK
Taktik
Teknik
Akses Awal (TA0001)
Perkhidmatan Jauh Luaran (T1133), Lampiran Spearphishing (T1193), Pautan Spearphishing (T1192)
Pelaksanaan (TA0002)
Powershell (T1086), Skrip (T1064), Pelaksanaan Pengguna (T1204), Instrumentasi Pengurusan Windows (T1047)
Kegigihan (TA0003)
Kekunci Jalankan Pendaftaran / Folder Permulaan (T1060), Tugas Berjadual (T1053), Akaun Sah (T1078)
Pengelakan Pertahanan (TA0005)
Penandatanganan Kod (T1116), Nyahkeliru/Nyahkod Fail atau Maklumat (T1140), Melumpuhkan Alat Keselamatan (T1089), Pemadaman Fail (T1107), Menyamar (T1036), Suntikan Proses (T1055)
Akses Tauliah (TA0006)
Lambakan Bukti kelayakan (T1003), Brute Force (T1110), Tangkapan Input (T1056)
Penemuan (TA0007)
Penemuan Akaun (T1087), Penemuan Amanah Domain (T1482), Penemuan Fail dan Direktori (T1083), Pengimbasan Perkhidmatan Rangkaian (T1046), Penemuan Kongsi Rangkaian (T1135), Penemuan Sistem Jauh (T1018)
Pergerakan Sisi (TA0008)
Protokol Desktop Jauh (T1076), Salinan Fail Jauh (T1105), Kongsi Pentadbir Windows (T1077)
Koleksi (TA0009)
Data daripada Sistem Setempat (T1005), Data daripada Pemacu Dikongsi Rangkaian (T1039), Data Berperingkat (T1074)
Perintah dan Kawalan (TA0011)
Port yang Biasa Digunakan (T1043), Perkhidmatan Web (T1102)
Penapisan (TA0010)
Data Mampat (T1002), Pindahkan Data ke Akaun Awan (T1537)
Kesan (TA0040)
Data Disulitkan untuk Kesan (T1486), Menghalang Pemulihan Sistem (T1490)
Sumber: www.habr.com