ProLock ကိုဖွင့်ခြင်း- MITER ATT&CK matrix ကို အသုံးပြုထားသော ransomware အသစ်၏ အော်ပရေတာများ၏ လုပ်ဆောင်ချက်များကို ခွဲခြမ်းစိတ်ဖြာခြင်း

ကမ္ဘာတစ်ဝှမ်းရှိ အဖွဲ့အစည်းများအပေါ် ransomware တိုက်ခိုက်မှုများ၏ အောင်မြင်မှုသည် ဂိမ်းထဲသို့ ဝင်ရောက်ရန် တိုက်ခိုက်သူအသစ်များ ပိုများလာစေသည်။ ဤကစားသမားအသစ်များထဲမှတစ်ခုမှာ ProLock ransomware ကိုအသုံးပြုထားသောအုပ်စုဖြစ်သည်။ ၎င်းသည် 2020 ခုနှစ်အကုန်တွင် စတင်လည်ပတ်ခဲ့သော PwndLocker ပရိုဂရမ်၏ဆက်ခံသူအဖြစ် 2019 ခုနှစ် မတ်လတွင် ပေါ်ထွက်ခဲ့သည်။ ProLock ransomware တိုက်ခိုက်မှုများသည် ငွေကြေးနှင့် ကျန်းမာရေးစောင့်ရှောက်မှုအဖွဲ့အစည်းများ၊ အစိုးရအေဂျင်စီများနှင့် လက်လီရောင်းချမှုကဏ္ဍတို့ကို အဓိကပစ်မှတ်ထားတိုက်ခိုက်သည်။ မကြာသေးမီက ProLock အော်ပရေတာများသည် အကြီးဆုံး ATM စက်ထုတ်လုပ်သူ Diebold Nixdorf ကို အောင်မြင်စွာ တိုက်ခိုက်ခဲ့သည်။

ဤပို့စ်၌ Oleg Skulkin သည် Group-IB ၏ Computer Forensics Laboratory ၏ ဦးဆောင်ပါရဂူဖြစ်သည်။ProLock အော်ပရေတာများအသုံးပြုသော အခြေခံနည်းဗျူဟာများ၊ နည်းစနစ်များနှင့် လုပ်ထုံးလုပ်နည်းများ (TTPs) ပါ၀င်သည်။ ဆောင်းပါးသည် ဆိုက်ဘာရာဇ၀တ်မှုကျူးလွန်သူအုပ်စုများအသုံးပြုသော ပစ်မှတ်ထားတိုက်ခိုက်နည်းဗျူဟာများကို စုစည်းထားသည့် MITER ATT&CK Matrix နှင့် နှိုင်းယှဉ်ချက်ဖြင့် နိဂုံးချုပ်ထားသည်။

ကနဦးဝင်ရောက်ခွင့်ရရှိခြင်း။

ProLock အော်ပရေတာများသည် ပင်မအပေးအယူလုပ်ခြင်း၏ အဓိက vector နှစ်ခုကို အသုံးပြုသည်- QakBot (Qbot) Trojan နှင့် အားနည်းသော စကားဝှက်များဖြင့် အကာအကွယ်မထားသော RDP ဆာဗာများ။

ပြင်ပမှဝင်ရောက်နိုင်သော RDP ဆာဗာမှတစ်ဆင့် အပေးအယူလုပ်မှုသည် ransomware အော်ပရေတာများကြားတွင် အလွန်ရေပန်းစားသည်။ ပုံမှန်အားဖြင့်၊ တိုက်ခိုက်သူများသည် ကြားခံပုဂ္ဂိုလ်များထံမှ အပေးအယူခံရသော ဆာဗာသို့ ဝင်ရောက်ခွင့်ကို ဝယ်ယူသော်လည်း အုပ်စုအဖွဲ့ဝင်များက ၎င်းတို့ကိုယ်တိုင် ရရှိနိုင်သည်။

ပင်မအပေးအယူလုပ်ခြင်း၏ ပိုစိတ်ဝင်စားစရာကောင်းသည့် အားနည်းချက်မှာ QakBot malware ဖြစ်သည်။ ယခင်က၊ ဤ Trojan သည် အခြားသော ransomware မျိုးစုဖြစ်သော MegaCortex နှင့် ဆက်စပ်နေပါသည်။ သို့သော်၊ ၎င်းကို ProLock အော်ပရေတာများက အသုံးပြုနေပြီဖြစ်သည်။

ပုံမှန်အားဖြင့် QakBot သည် phishing campaigns များမှတဆင့်ဖြန့်ဝေသည်။ ဖြားယောင်းသောအီးမေးလ်တွင် ပူးတွဲပါ Microsoft Office စာရွက်စာတမ်း သို့မဟုတ် Microsoft OneDrive ကဲ့သို့သော cloud သိုလှောင်မှုဝန်ဆောင်မှုတွင်ရှိသော ဖိုင်တစ်ခုသို့ လင့်ခ်တစ်ခုပါရှိသည်။

Ryuk ransomware ဖြန့်ဝေသည့် ကမ်ပိန်းများတွင် ကျယ်ပြန့်စွာပါဝင်ခြင်းကြောင့် လူသိများသော QakBot ၏ အခြားသော Trojan, Emotet ဖြင့် တင်ဆောင်နေသည့် လူသိများသော ကိစ္စများလည်း ရှိပါသည်။

သတ်ခြင်း

ကူးစက်ခံထားရသောစာရွက်စာတမ်းကိုဒေါင်းလုဒ်လုပ်ပြီးဖွင့်ပြီးနောက်၊ အသုံးပြုသူကို macros ကိုလည်ပတ်ခွင့်ပြုရန်သတိပေးခံရသည်။ အောင်မြင်ပါက၊ PowerShell သည် သင့်အား command နှင့် control server မှ QakBot payload ကိုဒေါင်းလုဒ်လုပ်ပြီး run နိုင်စေမည်ဖြစ်သည်။

ProLock နှင့် အလားတူကြောင်း သတိပြုရန် အရေးကြီးပါသည်- payload အား ဖိုင်မှ ထုတ်ယူပါသည်။ BMP သို့မဟုတ် JPG PowerShell ကို အသုံးပြု၍ မန်မိုရီထဲသို့ ထည့်သွင်းပါ။ အချို့သောကိစ္စများတွင် PowerShell စတင်ရန် စီစဉ်ထားသော လုပ်ဆောင်စရာတစ်ခုကို အသုံးပြုပါသည်။

Task Scheder မှတဆင့် ProLock လည်ပတ်နေသော Batch script သည်-

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

စုစည်းမှုစနစ်

RDP ဆာဗာကို အပေးအယူလုပ်ပြီး ဝင်သုံးနိုင်လျှင် ကွန်ရက်သို့ဝင်ရောက်ခွင့်ရရန် တရားဝင်အကောင့်များကို အသုံးပြုပါသည်။ QakBot သည် attachment ယန္တရားအမျိုးမျိုးဖြင့်သွင်ပြင်လက္ခဏာဖြစ်သည်။ အများစုမှာ၊ ဤ Trojan သည် Run registry key ကိုအသုံးပြုပြီး အချိန်ဇယားဆွဲသူတွင် အလုပ်များကိုဖန်တီးသည်-

Run registry key ကို အသုံးပြု၍ Qakbot ကို စနစ်သို့ ပင်ထိုးခြင်း။

အချို့သောကိစ္စများတွင်၊ startup ဖိုင်တွဲများကိုလည်းအသုံးပြုသည်- bootloader ကိုညွှန်ပြသည့် ဖြတ်လမ်းတစ်ခုကို ထိုနေရာတွင် ထားရှိထားသည်။

ရှောင်ကွင်းကာကွယ်မှု

အမိန့်ပေးမှုနှင့် ထိန်းချုပ်မှုဆာဗာနှင့် ဆက်သွယ်ခြင်းဖြင့် QakBot သည် သူ့ကိုယ်သူ အပ်ဒိတ်လုပ်ရန် အခါအားလျော်စွာ ကြိုးစားနေသောကြောင့် ထောက်လှမ်းမှုကို ရှောင်ရှားရန်အတွက် Malware သည် ၎င်း၏ လက်ရှိဗားရှင်းအသစ်နှင့် အစားထိုးနိုင်ပါသည်။ အကောင်အထည်ဖော်နိုင်သောဖိုင်များကို အပေးအယူလုပ်ထားသော သို့မဟုတ် အတုလုပ်ထားသော လက်မှတ်ဖြင့် ရေးထိုးထားသည်။ PowerShell မှ တင်ဆောင်လာသော ကနဦး payload အား တိုးချဲ့မှုဖြင့် C&C ဆာဗာတွင် သိမ်းဆည်းထားသည်။ PNG. ထို့အပြင်၊ ကွပ်မျက်ပြီးနောက်၎င်းကိုတရားဝင်ဖိုင်တစ်ခုဖြင့်အစားထိုးသည်။ calc.exe.

ထို့အပြင်၊ အန္တရာယ်ရှိသောလုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန် QakBot သည် လုပ်ငန်းစဉ်များတွင် ကုဒ်ထိုးသွင်းခြင်းနည်းပညာကို အသုံးပြုသည်။ explorer.exe.

ဖော်ပြခဲ့သည့်အတိုင်း ProLock payload ကိုဖိုင်အတွင်းတွင်ဝှက်ထားသည်။ BMP သို့မဟုတ် JPG. ဒါကို ရှောင်လွှဲကာကွယ်တဲ့ နည်းလမ်းတစ်ခုအနေနဲ့လည်း ယူဆနိုင်ပါတယ်။

အထောက်အထားများ ရယူခြင်း။

QakBot တွင် keylogger လုပ်ဆောင်နိုင်စွမ်းရှိသည်။ ထို့အပြင်၊ ၎င်းသည် နောက်ထပ် scripts များကို ဒေါင်းလုဒ်လုပ်ပြီး run နိုင်သည်၊ ဥပမာ၊ Invoke-Mimikatz၊ နာမည်ကြီး Mimikatz utility ၏ PowerShell ဗားရှင်း။ အထောက်အထားများကို ဖျက်ရန် တိုက်ခိုက်သူများသည် ထိုသို့သော script များကို အသုံးပြုနိုင်သည်။

ကွန်ရက်ထောက်လှမ်းရေး

အခွင့်ထူးခံအကောင့်များသို့ဝင်ရောက်ခွင့်ရရှိပြီးနောက်၊ ProLock အော်ပရေတာများသည် ဆိပ်ကမ်းစကင်န်ဖတ်ခြင်းနှင့် Active Directory ပတ်ဝန်းကျင်၏ခွဲခြမ်းစိတ်ဖြာခြင်းတို့ပါဝင်နိုင်သည့် ကွန်ရက်ထောက်လှမ်းမှုကို လုပ်ဆောင်သည်။ အမျိုးမျိုးသော scripts များအပြင်၊ တိုက်ခိုက်သူများသည် Active Directory နှင့်ပတ်သက်သော အချက်အလက်များကိုစုဆောင်းရန်အတွက် ransomware အုပ်စုများကြားတွင်ရေပန်းစားသောအခြားကိရိယာဖြစ်သည့် AdFind ကိုအသုံးပြုသည်။

ကွန်ရက်မြှင့်တင်ရေး

အစဉ်အလာအားဖြင့်၊ ကွန်ရက်မြှင့်တင်ရေး၏ ရေပန်းအစားဆုံးနည်းလမ်းတစ်ခုမှာ အဝေးထိန်း Desktop Protocol ဖြစ်သည်။ ProLock သည် ချွင်းချက်မရှိပါ။ တိုက်ခိုက်သူများသည် hosts များကိုပစ်မှတ်ထားရန် RDP မှတဆင့်အဝေးမှဝင်ရောက်ခွင့်ရရှိရန်သူတို့၏လက်နက်တိုက်တွင် script များပင်ရှိသည်။

RDP protocol မှတဆင့်ဝင်ရောက်ခွင့်ရရှိရန်အတွက် BAT script

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

script များကိုအဝေးမှ execute လုပ်ရန်အတွက် ProLock အော်ပရေတာများသည် Sysinternals Suite မှ PsExec utility ကိုအသုံးပြုပါသည်။

ProLock သည် Windows Management Instrumentation subsystem နှင့်အလုပ်လုပ်ရန်အတွက် command line interface တစ်ခုဖြစ်သည့် WMIC ကိုအသုံးပြုထားသော host များပေါ်တွင်အလုပ်လုပ်သည်။ ဤကိရိယာသည် ransomware အော်ပရေတာများကြားတွင် ပို၍ရေပန်းစားလာပါသည်။

ဒေတာစုဆောင်းခြင်း။

အခြားသော ransomware အော်ပရေတာများကဲ့သို့ပင်၊ ProLock ကိုအသုံးပြုသည့်အုပ်စုသည် ၎င်းတို့၏ရွေးနုတ်ဖိုးရရှိရန် အခွင့်အလမ်းများတိုးမြင့်လာစေရန် အပေးအယူလုပ်ထားသောကွန်ရက်မှဒေတာများကိုစုဆောင်းပါသည်။ ထုတ်ယူခြင်းမပြုမီ 7Zip utility ကိုအသုံးပြု၍ စုဆောင်းထားသောဒေတာများကို သိမ်းဆည်းထားသည်။

Exfiltration

ဒေတာကို အပ်လုဒ်လုပ်ရန်၊ ProLock အော်ပရေတာများသည် OneDrive၊ Google Drive၊ Mega ကဲ့သို့သော cloud သိုလှောင်မှုဝန်ဆောင်မှုအမျိုးမျိုးနှင့် ဖိုင်များကို တစ်ပြိုင်တည်းလုပ်ဆောင်ရန် ဒီဇိုင်းထုတ်ထားသည့် Rclone၊ command line tool ကို အသုံးပြုပါသည်။ တိုက်ခိုက်သူများသည် တရားဝင်စနစ်ဖိုင်များကဲ့သို့ ဖြစ်စေရန် အမြဲအမည်ပြောင်းပါသည်။

၎င်းတို့၏ရွယ်တူချင်းများနှင့်မတူဘဲ၊ ProLock အော်ပရေတာများတွင် ခိုးယူထားသောဒေတာများကို ပြန်ပေးငွေပေးချေရန်ငြင်းဆိုထားသည့်ကုမ္ပဏီများနှင့်သက်ဆိုင်သည့် ခိုးယူထားသောဒေတာများကိုထုတ်ဝေရန် ၎င်းတို့၏ကိုယ်ပိုင်ဝဘ်ဆိုဒ်မရှိသေးပါ။

နောက်ဆုံးပန်းတိုင်ကို ရောက်ဖို့

ဒေတာကို ဖယ်ရှားပြီးသည်နှင့် အဖွဲ့သည် လုပ်ငန်းကွန်ရက်တစ်လျှောက် ProLock ကို ဖြန့်ကျက်ချထားပါသည်။ Binary ဖိုင်ကို extension ပါသည့်ဖိုင်တစ်ခုမှ ထုတ်ယူသည်။ PNG သို့မဟုတ် JPG PowerShell ကို အသုံးပြု၍ memory ထဲသို့ ထိုးသွင်းသည် ။

ပထမဦးစွာ၊ ProLock သည် built-in စာရင်းတွင်ဖော်ပြထားသော လုပ်ငန်းစဉ်များကို အဆုံးသတ်သည် (စိတ်ဝင်စားစရာကောင်းသည်မှာ၊ ၎င်းသည် "winwor" ကဲ့သို့သော လုပ်ငန်းစဉ်အမည်၏ အက္ခရာခြောက်လုံးကိုသာ အသုံးပြုသည်)၊ CSFalconService (လုံခြုံရေးနှင့်ပတ်သက်သော ဝန်ဆောင်မှုများဖြစ်သည့် CSFalconService ( CrowdStrike Falcon) အမိန့်ကို အသုံးပြု၍ အသားတင်မှတ်တိုင်.

ထို့နောက် အခြားသော ransomware မိသားစုများကဲ့သို့ပင်၊ တိုက်ခိုက်သူများသည် အသုံးပြုကြသည်။ vssadmin Windows shadow မိတ္တူများကို ဖျက်ရန်နှင့် ၎င်းတို့၏ အရွယ်အစားကို ကန့်သတ်ရန်၊ ကော်ပီအသစ်များကို မဖန်တီးနိုင်စေရန်။

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock သည် extension ကိုထည့်သည်။ .proLock, .pr0Lock သို့မဟုတ် .proL0ck ကုဒ်ဝှက်ထားသော ဖိုင်တစ်ခုစီသို့ ဖိုင်ကို နေရာချပါ။ [ဖိုင်များ ပြန်လည်ရယူနည်း].TXT folder တစ်ခုစီသို့ ဤဖိုင်တွင် တရားခံသည် သီးသန့် ID ကိုထည့်ကာ ငွေပေးချေမှုအချက်အလက်ကို လက်ခံရမည့်ဆိုက်သို့ လင့်ခ်တစ်ခုအပါအဝင် ဖိုင်များကို ကုဒ်ကုဒ်လုပ်နည်းဆိုင်ရာ ညွှန်ကြားချက်များ ပါရှိသည်။

ProLock ၏ဥပမာတစ်ခုစီတွင်ပြန်ပေးငွေပမာဏနှင့်ပတ်သက်သောအချက်အလက်များပါရှိသည် - ဤကိစ္စတွင်၊ ခန့်မှန်းခြေအားဖြင့် $35 ဖြစ်သည့် 312 bitcoins။

ကောက်ချက်

ransomware အော်ပရေတာအများအပြားသည် ၎င်းတို့၏ပန်းတိုင်များအောင်မြင်ရန် အလားတူနည်းလမ်းများကို အသုံးပြုကြသည်။ တစ်ချိန်တည်းမှာပင်၊ အချို့သောနည်းပညာများသည်အုပ်စုတစ်ခုစီအတွက်ထူးခြားသည်။ လက်ရှိတွင်၊ ၎င်းတို့၏ ကမ်ပိန်းများတွင် ransomware ကိုအသုံးပြုသည့် ဆိုက်ဘာရာဇ၀တ်ဂိုဏ်းများ တိုးပွားလာနေသည်။ အချို့သောကိစ္စများတွင်၊ တူညီသောအော်ပရေတာများသည် မတူညီသော ransomware မိသားစုများကိုအသုံးပြု၍ တိုက်ခိုက်မှုများတွင် ပါဝင်နေနိုင်သည်၊ ထို့ကြောင့် အသုံးပြုထားသော နည်းဗျူဟာ၊ နည်းပညာများနှင့် လုပ်ထုံးလုပ်နည်းများတွင် ထပ်နေနေသည်ကို ကျွန်ုပ်တို့ ပို၍မြင်ရပါလိမ့်မည်။

MITER ATT&CK မြေပုံဖြင့် မြေပုံဆွဲခြင်း။

နည်းဗျူဟာ
technique

ကနဦးအသုံးပြုခွင့် (TA0001)
ပြင်ပအဝေးထိန်းဝန်ဆောင်မှုများ (T1133)၊ Spearphishing Attachment (T1193)၊ Spearphishing Link (T1192)

ကွပ်မျက်ခြင်း (TA0002)
Powershell (T1086)၊ Scripting (T1064)၊ User Execution (T1204)၊ Windows Management Instrumentation (T1047)

ဇွဲရှိမှု (TA0003)
Registry Run Keys/Startup Folder (T1060)၊ Scheduled Task (T1053)၊ တရားဝင်အကောင့်များ (T1078)

ကာကွယ်ရေး ရှောင်ရှားမှု (TA0005)
ကုဒ်လက်မှတ်ထိုးခြင်း (T1116)၊ Deobfuscate/Decode ဖိုင်များ သို့မဟုတ် အချက်အလက် (T1140)၊ လုံခြုံရေးတူးလ်များကို ပိတ်ခြင်း (T1089)၊ ဖိုင်ဖျက်ခြင်း (T1107)၊ Masquerading (T1036)၊ လုပ်ငန်းစဉ်ထိုးသွင်းခြင်း (T1055)

အထောက်အထားရယူခွင့် (TA0006)
အထောက်အထားများ စွန့်ပစ်ခြင်း (T1003)၊ Brute Force (T1110)၊ ထည့်သွင်းရိုက်ကူးမှု (T1056)

Discovery (TA0007)
အကောင့်ရှာဖွေမှု (T1087)၊ Domain Trust Discovery (T1482)၊ File and Directory Discovery (T1083)၊ Network Service Scanning (T1046)၊ Network Share Discovery (T1135)၊ Remote System Discovery (T1018)

ဘေးတိုက်လှုပ်ရှားမှု (TA0008)
အဝေးထိန်း ဒက်စ်တော့ ပရိုတိုကော (T1076)၊ အဝေးထိန်းဖိုင် မိတ္တူ (T1105)၊ Windows စီမံခန့်ခွဲသူ မျှဝေမှုများ (T1077)

စုစည်းမှု (TA0009)
Local System မှဒေတာ (T1005)၊ Network Shared Drive မှဒေတာ (T1039)၊ Data Staged (T1074)

ကွပ်ကဲမှုနှင့် ထိန်းချုပ်မှု (TA0011)
အသုံးများသော ပို့တ် (T1043)၊ ဝဘ်ဝန်ဆောင်မှု (T1102)

ထုတ်ယူခြင်း (TA0010)
ဒေတာချုံ့ထားသော (T1002)၊ ဒေတာကို Cloud အကောင့်သို့ လွှဲပြောင်းခြင်း (T1537)

ထိခိုက်မှု (TA0040)
ထိခိုက်မှုများအတွက် ဒေတာကို ကုဒ်ဝှက်ထားသည် (T1486)၊ စနစ်ပြန်လည်ရယူခြင်းကို တားမြစ်သည် (T1490)

source: www.habr.com