Is-suċċess tal-attakki tar-ransomware fuq organizzazzjonijiet madwar id-dinja qed iwassal biex aktar u aktar attakkanti ġodda jidħlu fil-logħba. Wieħed minn dawn l-atturi l-ġodda huwa grupp li juża r-ransomware ProLock. Deher f'Marzu 2020 bħala s-suċċessur tal-programm PwndLocker, li beda jopera fl-aħħar tal-2019. L-attakki tar-ransomware ProLock jimmiraw primarjament lil organizzazzjonijiet finanzjarji u tal-kura tas-saħħa, aġenziji tal-gvern, u s-settur tal-bejgħ bl-imnut. Riċentement, l-operaturi ProLock attakkaw b'suċċess wieħed mill-akbar manifatturi tal-ATM, Diebold Nixdorf.
F'din il-kariga Oleg Skulkin, speċjalista ewlieni tal-Laboratorju tal-Forensika tal-Kompjuter tal-Grupp-IB, ikopri t-tattiċi, tekniki u proċeduri bażiċi (TTPs) użati mill-operaturi ProLock. L-artiklu jikkonkludi b'paragun mal-MITRE ATT&CK Matrix, database pubblika li tiġbor tattiċi ta' attakk immirati użati minn diversi gruppi ċiberkriminali.
Jkollna aċċess inizjali
L-operaturi ProLock jużaw żewġ vettori ewlenin ta 'kompromess primarju: it-Trojan QakBot (Qbot) u servers RDP mhux protetti b'passwords dgħajfa.
Il-kompromess permezz ta’ server RDP aċċessibbli esternament huwa popolari ħafna fost l-operaturi tar-ransomware. Tipikament, l-attakkanti jixtru aċċess għal server kompromess minn partijiet terzi, iżda jista 'jinkiseb ukoll minn membri tal-grupp waħedhom.
Vettur aktar interessanti ta 'kompromess primarju huwa l-malware QakBot. Preċedentement, dan it-Trojan kien assoċjat ma 'familja oħra ta' ransomware - MegaCortex. Madankollu, issa huwa użat mill-operaturi ProLock.
Tipikament, QakBot jitqassam permezz ta’ kampanji ta’ phishing. Email ta' phishing jista' jkun fiha dokument tal-Microsoft Office mehmuż jew link għal fajl li jinsab f'servizz ta' ħażna ta' cloud, bħal Microsoft OneDrive.
Hemm ukoll każijiet magħrufa ta 'QakBot mgħobbija bi Trojan ieħor, Emotet, li huwa magħruf ħafna għall-parteċipazzjoni tiegħu f'kampanji li qassmu r-ransomware Ryuk.
Prestazzjoni
Wara li jniżżel u jiftaħ dokument infettat, l-utent jiġi mħeġġeġ biex iħalli l-macros biex jaħdmu. Jekk jirnexxi, jitnieda PowerShell, li jippermettilek tniżżel u tħaddem it-tagħbija QakBot mis-server tal-kmand u l-kontroll.
Huwa importanti li wieħed jinnota li l-istess japplika għal ProLock: it-tagħbija hija estratta mill-fajl Bmp jew JPG u mgħobbija fil-memorja billi tuża PowerShell. F'xi każijiet, biċċa xogħol skedata tintuża biex tibda PowerShell.
Script tal-lott li jħaddem ProLock permezz tal-iskedar tal-kompiti:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidazzjoni fis-sistema
Jekk huwa possibbli li s-server RDP jiġi kompromess u jinkiseb aċċess, allura jintużaw kontijiet validi biex jiksbu aċċess għan-netwerk. QakBot huwa kkaratterizzat minn varjetà ta 'mekkaniżmi ta' twaħħil. Ħafna drabi, dan it-Trojan juża ċ-ċavetta tar-reġistru Run u joħloq kompiti fl-iskedar:
Pinning Qakbot mas-sistema billi tuża ċ-ċavetta tar-reġistru Run
F'xi każijiet, jintużaw ukoll folders tal-istartjar: hemm titqiegħed shortcut li jindika l-bootloader.
Protezzjoni tal-bypass
Billi jikkomunika mas-server tal-kmand u l-kontroll, QakBot perjodikament jipprova jaġġorna lilu nnifsu, u għalhekk sabiex jiġi evitat l-iskoperta, il-malware jista 'jissostitwixxi l-verżjoni attwali tiegħu stess b'waħda ġdida. Fajls eżegwibbli huma ffirmati b'firma kompromessa jew falsifikata. It-tagħbija inizjali mgħobbija minn PowerShell hija maħżuna fuq is-server C&C bl-estensjoni PNG. Barra minn hekk, wara l-eżekuzzjoni huwa sostitwit b'fajl leġittimu calc.exe.
Ukoll, biex jaħbi l-attività malizzjuża, QakBot juża t-teknika li jinjetta kodiċi fi proċessi, billi juża explorer.exe.
Kif imsemmi, it-tagħbija ProLock hija moħbija ġewwa l-fajl Bmp jew JPG. Dan jista 'jitqies ukoll bħala metodu ta' taqbeż il-protezzjoni.
Ksib ta' kredenzjali
QakBot għandu funzjonalità ta 'keylogger. Barra minn hekk, tista 'tniżżel u tmexxi skripts addizzjonali, pereżempju, Invoke-Mimikatz, verżjoni PowerShell tal-utilità famuża Mimikatz. Tali skripts jistgħu jintużaw minn attakkanti biex jarmu kredenzjali.
Intelliġenza tan-netwerk
Wara li jiksbu aċċess għal kontijiet privileġġjati, l-operaturi ProLock iwettqu tkixxif tan-netwerk, li jista 'jinkludi skanjar tal-port u analiżi tal-ambjent Active Directory. Minbarra diversi skripts, l-attakkanti jużaw AdFind, għodda oħra popolari fost il-gruppi tar-ransomware, biex jiġbru informazzjoni dwar l-Active Directory.
Promozzjoni tan-netwerk
Tradizzjonalment, wieħed mill-aktar metodi popolari ta 'promozzjoni tan-netwerk huwa l-Protokoll Remote Desktop. ProLock ma kienx eċċezzjoni. L-attakkanti saħansitra għandhom skripts fl-armament tagħhom biex jiksbu aċċess mill-bogħod permezz tal-RDP biex jimmiraw hosts.
Skript BAT biex jinkiseb aċċess permezz tal-protokoll RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Biex tesegwixxi skripts mill-bogħod, l-operaturi ProLock jużaw għodda popolari oħra, l-utilità PsExec mis-Sysinternals Suite.
ProLock jaħdem fuq hosts bl-użu ta 'WMIC, li hija interface tal-linja tal-kmand biex taħdem mas-subsistema tal-Istrumentazzjoni tal-Ġestjoni tal-Windows. Din l-għodda qed issir dejjem aktar popolari fost l-operaturi tar-ransomware.
Ġbir tad-dejta
Bħal ħafna operaturi oħra tar-ransomware, il-grupp li juża ProLock jiġbor data minn netwerk kompromess biex iżid iċ-ċansijiet tagħhom li jirċievu fidwa. Qabel l-esfiltrazzjoni, id-dejta miġbura tiġi arkivjata bl-użu tal-utilità 7Zip.
Esfiltrazzjoni
Biex itellgħu d-dejta, l-operaturi ProLock jużaw Rclone, għodda tal-linja tal-kmand iddisinjata biex tissinkronizza fajls ma 'diversi servizzi ta' ħażna tas-sħab bħal OneDrive, Google Drive, Mega, eċċ. L-attakkanti dejjem jibdlu l-isem tal-fajl eżekutibbli biex jidher qisu fajls tas-sistema leġittimi.
B'differenza minn sħabhom, l-operaturi ProLock għad m'għandhomx il-websajt tagħhom biex jippubblikaw data misruqa li tappartjeni lil kumpaniji li rrifjutaw li jħallsu l-fidwa.
Il-kisba tal-għan finali
Ladarba d-dejta tiġi esfiltrata, it-tim juża ProLock fin-netwerk tal-intrapriżi. Il-fajl binarju jiġi estratt minn fajl bl-estensjoni PNG jew JPG bl-użu ta' PowerShell u injettat fil-memorja:
L-ewwelnett, ProLock itemm il-proċessi speċifikati fil-lista integrata (interessanti, juża biss is-sitt ittri tal-isem tal-proċess, bħal "winwor"), u jtemm is-servizzi, inklużi dawk relatati mas-sigurtà, bħal CSFalconService ( CrowdStrike Falcon). bl-użu tal-kmand waqfien nett.
Imbagħad, bħal ħafna familji oħra ransomware, l-attakkanti jużaw vssadmin biex tħassar kopji shadow tal-Windows u tillimita d-daqs tagħhom sabiex ma jinħolqux kopji ġodda:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock iżid l-estensjoni .proLock, .pr0Lock jew .proL0ck għal kull fajl encrypted u tpoġġi l-fajl [KIF TIRKUPRU FILE].TXT għal kull folder. Dan il-fajl fih struzzjonijiet dwar kif jiġu dekriptjati l-fajls, inkluż link għal sit fejn il-vittma trid iddaħħal ID unika u tirċievi informazzjoni dwar il-ħlas:
Kull istanza ta 'ProLock fiha informazzjoni dwar l-ammont ta' fidwa - f'dan il-każ, 35 bitcoins, li huwa ta 'madwar $ 312.
Konklużjoni
Ħafna operaturi tar-ransomware jużaw metodi simili biex jilħqu l-għanijiet tagħhom. Fl-istess ħin, xi tekniki huma uniċi għal kull grupp. Bħalissa, hemm numru dejjem jikber ta 'gruppi ċiberkriminali li jużaw ransomware fil-kampanji tagħhom. F'xi każijiet, l-istess operaturi jistgħu jkunu involuti f'attakki li jużaw familji differenti ta 'ransomware, għalhekk se naraw dejjem aktar koinċidenza fit-tattiċi, tekniki u proċeduri użati.
Immappjar bl-Immappjar MITRE ATT&CK
Tattika
Teknika
Aċċess Inizjali (TA0001)
Servizzi Remoti Esterni (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Eżekuzzjoni (TA0002)
Powershell (T1086), Scripting (T1064), Eżekuzzjoni tal-Utent (T1204), Strumentazzjoni tal-Ġestjoni tal-Windows (T1047)
Persistenza (TA0003)
Reġistru Run Keys / Startup Folder (T1060), Task Skedat (T1053), Kontijiet Validi (T1078)
Evażjoni tad-Difiża (TA0005)
Iffirmar tal-Kodiċi (T1116), Deobfuscate/Decode Fajls jew Informazzjoni (T1140), Għodod ta' Sigurtà ta' Disabilitazzjoni (T1089), Tħassir ta' Fajl (T1107), Masquerading (T1036), Injezzjoni tal-Proċess (T1055)
Aċċess għall-Kredenzjali (TA0006)
Dumping tal-Kredenzjali (T1003), Forza Bruta (T1110), Qbid tal-Input (T1056)
Skoperta (TA0007)
Skoperta ta' Kont (T1087), Skoperta ta' Trust ta' Dominju (T1482), Skoperta ta' Fajl u Direttorju (T1083), Skanjar tas-Servizz tan-Netwerk (T1046), Skoperta ta' Sehem tan-Netwerk (T1135), Skoperta ta' Sistema Remota (T1018)
Moviment Laterali (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Ġbir (TA0009)
Dejta mis-Sistema Lokali (T1005), Dejta minn Netwerk Shared Drive (T1039), Data Staged (T1074)
Kmand u Kontroll (TA0011)
Port Użat Komunement (T1043), Servizz tal-Web (T1102)
Esfiltrazzjoni (TA0010)
Dejta Kompressata (T1002), Trasferiment ta' Data għal Kont Cloud (T1537)
Impatt (TA0040)
Dejta Encrypted għall-Impatt (T1486), Inibixxi l-Irkupru tas-Sistema (T1490)
Sors: www.habr.com