ááá¹áá¬áá
áºááŸááºážááŸá á¡ááœá²á·á¡á
ááºážáá»á¬ážá¡áá±á«áº ransomware ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá á¡á±á¬ááºááŒááºááŸá¯ááẠááááºážáá²ááá¯á· áááºáá±á¬ááºááẠááá¯ááºááá¯ááºáá°á¡áá
áºáá»á¬áž ááá¯áá»á¬ážáá¬á
á±áááºá á€áá
á¬ážááá¬ážá¡áá
áºáá»á¬ážáá²ááŸáá
áºáá¯ááŸá¬ ProLock ransomware ááá¯á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬á¡á¯ááºá
á¯ááŒá
áºáááºá áááºážááẠ2020 áá¯ááŸá
áºá¡áá¯ááºááœáẠá
áááºáááºáááºáá²á·áá±á¬ PwndLocker áááá¯ááááºááááºáá¶áá°á¡ááŒá
Ạ2019 áá¯ááŸá
ẠáááºáááœáẠáá±á«áºááœááºáá²á·áááºá ProLock ransomware ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááẠááœá±ááŒá±ážááŸáá·áº áá»ááºážáá¬áá±ážá
á±á¬áá·áºááŸá±á¬ááºááŸá¯á¡ááœá²á·á¡á
ááºážáá»á¬ážá á¡á
áá¯ážáá¡á±áá»ááºá
á®áá»á¬ážááŸáá·áº áááºáá®áá±á¬ááºážáá»ááŸá¯ááá¹áááá¯á·ááᯠá¡ááááá
áºááŸááºáá¬ážááá¯ááºááá¯ááºáááºá áááŒá¬áá±ážáá®á ProLock á¡á±á¬áºááá±áá¬áá»á¬ážááẠá¡ááŒá®ážáá¯á¶áž ATM á
ááºáá¯ááºáá¯ááºáá° Diebold Nixdorf ááᯠá¡á±á¬ááºááŒááºá
áœá¬ ááá¯ááºááá¯ááºáá²á·áááºá
á€ááá¯á·á
áºá Oleg Skulkin ááẠGroup-IB á Computer Forensics Laboratory á áŠážáá±á¬ááºáá«ááá°ááŒá
áºáááºáProLock á¡á±á¬áºááá±áá¬áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ á¡ááŒá±áá¶áááºážáá»á°áá¬áá»á¬ážá áááºážá
áá
áºáá»á¬ážááŸáá·áº áá¯ááºáá¯á¶ážáá¯ááºáááºážáá»á¬áž (TTPs) áá«áááºáááºá áá±á¬ááºážáá«ážááẠááá¯ááºáá¬áá¬ááááºááŸá¯áá»á°ážááœááºáá°á¡á¯ááºá
á¯áá»á¬ážá¡áá¯á¶ážááŒá¯áá±á¬ áá
áºááŸááºáá¬ážááá¯ááºááá¯ááºáááºážáá»á°áá¬áá»á¬ážááᯠá
á¯á
ááºážáá¬ážááá·áº MITER ATT&CK Matrix ááŸáá·áº ááŸáá¯ááºážááŸááºáá»ááºááŒáá·áº áááá¯á¶ážáá»á¯ááºáá¬ážáááºá
áááŠážáááºáá±á¬ááºááœáá·áºáááŸáááŒááºážá
ProLock á¡á±á¬áºááá±áá¬áá»á¬ážááẠáááºáá¡áá±ážá¡áá°áá¯ááºááŒááºážá á¡ááá vector ááŸá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯áááº- QakBot (Qbot) Trojan ááŸáá·áº á¡á¬ážáááºážáá±á¬ á áá¬ážááŸááºáá»á¬ážááŒáá·áº á¡áá¬á¡ááœááºááá¬ážáá±á¬ RDP áá¬áá¬áá»á¬ážá
ááŒááºáááŸáááºáá±á¬ááºááá¯ááºáá±á¬ RDP áá¬áá¬ááŸáá áºááá·áº á¡áá±ážá¡áá°áá¯ááºááŸá¯ááẠransomware á¡á±á¬áºááá±áá¬áá»á¬ážááŒá¬ážááœáẠá¡ááœááºáá±áááºážá á¬ážáááºá áá¯á¶ááŸááºá¡á¬ážááŒáá·áºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááŒá¬ážáá¶áá¯áá¹ááá¯ááºáá»á¬ážáá¶á០á¡áá±ážá¡áá°áá¶ááá±á¬ áá¬áá¬ááá¯á· áááºáá±á¬ááºááœáá·áºááᯠáááºáá°áá±á¬áºáááºáž á¡á¯ááºá á¯á¡ááœá²á·áááºáá»á¬ážá áááºážááá¯á·ááá¯ááºááá¯áẠáááŸáááá¯ááºáááºá
áááºáá¡áá±ážá¡áá°áá¯ááºááŒááºážá ááá¯á áááºáááºá á¬ážá áá¬áá±á¬ááºážááá·áº á¡á¬ážáááºážáá»ááºááŸá¬ QakBot malware ááŒá áºáááºá ááááºáá ဠTrojan ááẠá¡ááŒá¬ážáá±á¬ ransomware áá»áá¯ážá á¯ááŒá áºáá±á¬ MegaCortex ááŸáá·áº áááºá ááºáá±áá«áááºá ááá¯á·áá±á¬áºá áááºážááᯠProLock á¡á±á¬áºááá±áá¬áá»á¬ážá á¡áá¯á¶ážááŒá¯áá±ááŒá®ááŒá áºáááºá
áá¯á¶ááŸááºá¡á¬ážááŒáá·áº QakBot ááẠphishing campaigns áá»á¬ážááŸáááá·áºááŒáá·áºáá±áááºá ááŒá¬ážáá±á¬ááºážáá±á¬á¡á®ážáá±ážááºááœáẠáá°ážááœá²áá« Microsoft Office á á¬ááœááºá á¬áááºáž ááá¯á·ááá¯áẠMicrosoft OneDrive áá²á·ááá¯á·áá±á¬ cloud ááá¯ááŸá±á¬ááºááŸá¯áááºáá±á¬ááºááŸá¯ááœááºááŸááá±á¬ ááá¯ááºáá áºáá¯ááá¯á· ááá·áºááºáá áºáá¯áá«ááŸááááºá
Ryuk ransomware ááŒáá·áºáá±ááá·áº áááºááááºážáá»á¬ážááœáẠáá»ááºááŒáá·áºá áœá¬áá«áááºááŒááºážááŒá±á¬áá·áº áá°áááá»á¬ážáá±á¬ QakBot á á¡ááŒá¬ážáá±á¬ Trojan, Emotet ááŒáá·áº áááºáá±á¬ááºáá±ááá·áº áá°áááá»á¬ážáá±á¬ ááá á¹á áá»á¬ážáááºáž ááŸááá«áááºá
áááºááŒááºáž
áá°ážá ááºáá¶áá¬ážááá±á¬á á¬ááœááºá á¬áááºážááá¯áá±á«ááºážáá¯ááºáá¯ááºááŒá®ážááœáá·áºááŒá®ážáá±á¬ááºá á¡áá¯á¶ážááŒá¯áá°ááᯠmacros ááá¯áááºáááºááœáá·áºááŒá¯áááºááááá±ážáá¶ááááºá á¡á±á¬ááºááŒááºáá«áá PowerShell ááẠááá·áºá¡á¬áž command ááŸáá·áº control server á០QakBot payload ááá¯áá±á«ááºážáá¯ááºáá¯ááºááŒá®áž run ááá¯ááºá á±áááºááŒá áºáááºá
ProLock ááŸáá·áº á¡áá¬ážáá°ááŒá±á¬ááºáž áááááŒá¯ááẠá¡áá±ážááŒá®ážáá«áááº- payload á¡á¬áž ááá¯ááºá០áá¯ááºáá°áá«áááºá BMP ááá¯á·ááá¯áẠJPG PowerShell ááᯠá¡áá¯á¶ážááŒá¯á áááºááá¯áá®áá²ááá¯á· ááá·áºááœááºážáá«á á¡áá»áá¯á·áá±á¬ááá á¹á áá»á¬ážááœáẠPowerShell á áááºááẠá á®á ááºáá¬ážáá±á¬ áá¯ááºáá±á¬ááºá áá¬áá áºáá¯ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá
Task Scheder ááŸáááá·áº ProLock áááºáááºáá±áá±á¬ Batch script áááº-
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat
á á¯á ááºážááŸá¯á áá áº
RDP áá¬áá¬ááᯠá¡áá±ážá¡áá°áá¯ááºááŒá®áž áááºáá¯á¶ážááá¯ááºáá»áŸáẠááœááºáááºááá¯á·áááºáá±á¬ááºááœáá·áºáááẠááá¬ážáááºá¡áá±á¬áá·áºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá«áááºá QakBot ááẠattachment ááá¹ááá¬ážá¡áá»áá¯ážáá»áá¯ážááŒáá·áºááœááºááŒááºááá¹ááá¬ááŒá áºáááºá á¡áá»á¬ážá á¯ááŸá¬á ဠTrojan ááẠRun registry key ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž á¡áá»áááºááá¬ážááœá²áá°ááœáẠá¡áá¯ááºáá»á¬ážááá¯áááºáá®ážáááº-
Run registry key ááᯠá¡áá¯á¶ážááŒá¯á Qakbot ááᯠá
áá
áºááá¯á· áááºááá¯ážááŒááºážá
á¡áá»áá¯á·áá±á¬ááá á¹á áá»á¬ážááœááºá startup ááá¯ááºááœá²áá»á¬ážááá¯áááºážá¡áá¯á¶ážááŒá¯áááº- bootloader ááá¯ááœáŸááºááŒááá·áº ááŒááºáááºážáá áºáá¯ááᯠááá¯áá±áá¬ááœáẠáá¬ážááŸááá¬ážáááºá
ááŸá±á¬ááºááœááºážáá¬ááœááºááŸá¯
á¡áááá·áºáá±ážááŸá¯ááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá¬áá¬ááŸáá·áº áááºááœááºááŒááºážááŒáá·áº QakBot ááẠáá°á·ááá¯ááºáá° á¡ááºááááºáá¯ááºááẠá¡áá«á¡á¬ážáá»á±á¬áºá áœá¬ ááŒáá¯ážá á¬ážáá±áá±á¬ááŒá±á¬áá·áº áá±á¬ááºááŸááºážááŸá¯ááᯠááŸá±á¬ááºááŸá¬ážáááºá¡ááœáẠMalware ááẠáááºážá áááºááŸááá¬ážááŸááºážá¡áá áºááŸáá·áº á¡á á¬ážááá¯ážááá¯ááºáá«áááºá á¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºáá±á¬ááá¯ááºáá»á¬ážááᯠá¡áá±ážá¡áá°áá¯ááºáá¬ážáá±á¬ ááá¯á·ááá¯áẠá¡áá¯áá¯ááºáá¬ážáá±á¬ áááºááŸááºááŒáá·áº áá±ážááá¯ážáá¬ážáááºá PowerShell á០áááºáá±á¬ááºáá¬áá±á¬ áááŠáž payload á¡á¬áž ááá¯ážáá»á²á·ááŸá¯ááŒáá·áº C&C áá¬áá¬ááœáẠááááºážáááºážáá¬ážáááºá PNG. ááá¯á·á¡ááŒááºá ááœááºáá»ááºááŒá®ážáá±á¬ááºáááºážááá¯ááá¬ážáááºááá¯ááºáá áºáá¯ááŒáá·áºá¡á á¬ážááá¯ážáááºá calc.exe.
ááá¯á·á¡ááŒááºá á¡áá¹ááá¬ááºááŸááá±á¬áá¯ááºáá±á¬ááºáá»ááºááᯠáá¯á¶ážááœááºááẠQakBot ááẠáá¯ááºáááºážá ááºáá»á¬ážááœáẠáá¯ááºááá¯ážááœááºážááŒááºážáááºážááá¬ááᯠá¡áá¯á¶ážááŒá¯áááºá explorer.exe.
áá±á¬áºááŒáá²á·ááá·áºá¡ááá¯ááºáž ProLock payload ááá¯ááá¯ááºá¡ááœááºážááœááºááŸááºáá¬ážáááºá BMP ááá¯á·ááá¯áẠJPG. áá«ááᯠááŸá±á¬ááºááœáŸá²áá¬ááœááºáá²á· áááºážáááºážáá áºáá¯á¡áá±áá²á·áááºáž áá°áááá¯ááºáá«áááºá
á¡áá±á¬ááºá¡áá¬ážáá»á¬áž ááá°ááŒááºážá
QakBot ááœáẠkeylogger áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸááááºá ááá¯á·á¡ááŒááºá áááºážááẠáá±á¬ááºááẠscripts áá»á¬ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž run ááá¯ááºáááºá á¥ááá¬á Invoke-Mimikatzá áá¬áááºááŒá®áž Mimikatz utility á PowerShell áá¬ážááŸááºážá á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠáá»ááºááẠááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¯ááá¯á·áá±á¬ script áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
ááœááºáááºáá±á¬ááºááŸááºážáá±áž
á¡ááœáá·áºáá°ážáá¶á¡áá±á¬áá·áºáá»á¬ážááá¯á·áááºáá±á¬ááºááœáá·áºáááŸáááŒá®ážáá±á¬ááºá ProLock á¡á±á¬áºááá±áá¬áá»á¬ážááẠááááºáááºážá áááºááºáááºááŒááºážááŸáá·áº Active Directory áááºáááºážáá»ááºáááœá²ááŒááºážá áááºááŒá¬ááŒááºážááá¯á·áá«áááºááá¯ááºááá·áº ááœááºáááºáá±á¬ááºááŸááºážááŸá¯ááᯠáá¯ááºáá±á¬ááºáááºá á¡áá»áá¯ážáá»áá¯ážáá±á¬ scripts áá»á¬ážá¡ááŒááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠActive Directory ááŸáá·áºáááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááá¯á á¯áá±á¬ááºážáááºá¡ááœáẠransomware á¡á¯ááºá á¯áá»á¬ážááŒá¬ážááœááºáá±áááºážá á¬ážáá±á¬á¡ááŒá¬ážáááááá¬ááŒá áºááá·áº AdFind ááá¯á¡áá¯á¶ážááŒá¯áááºá
ááœááºáááºááŒáŸáá·áºáááºáá±áž
á¡á ááºá¡áá¬á¡á¬ážááŒáá·áºá ááœááºáááºááŒáŸáá·áºáááºáá±ážá áá±áááºážá¡á á¬ážáá¯á¶ážáááºážáááºážáá áºáá¯ááŸá¬ á¡áá±ážááááºáž Desktop Protocol ááŒá áºáááºá ProLock ááẠáá»áœááºážáá»ááºáááŸááá«á ááá¯ááºááá¯ááºáá°áá»á¬ážááẠhosts áá»á¬ážááá¯áá áºááŸááºáá¬ážááẠRDP ááŸáááá·áºá¡áá±ážááŸáááºáá±á¬ááºááœáá·áºáááŸááááºáá°ááá¯á·ááááºáááºááá¯ááºááœáẠscript áá»á¬ážáááºááŸááááºá
RDP protocol ááŸáááá·áºáááºáá±á¬ááºááœáá·áºáááŸááááºá¡ááœáẠBAT script
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
script áá»á¬ážááá¯á¡áá±ážá០execute áá¯ááºáááºá¡ááœáẠProLock á¡á±á¬áºááá±áá¬áá»á¬ážááẠSysinternals Suite á០PsExec utility ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá
ProLock ááẠWindows Management Instrumentation subsystem ááŸáá·áºá¡áá¯ááºáá¯ááºáááºá¡ááœáẠcommand line interface áá áºáá¯ááŒá áºááá·áº WMIC ááá¯á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ host áá»á¬ážáá±á«áºááœááºá¡áá¯ááºáá¯ááºáááºá á€áááááá¬ááẠransomware á¡á±á¬áºááá±áá¬áá»á¬ážááŒá¬ážááœáẠááá¯ááá±áááºážá á¬ážáá¬áá«áááºá
áá±áá¬á á¯áá±á¬ááºážááŒááºážá
á¡ááŒá¬ážáá±á¬ ransomware á¡á±á¬áºááá±áá¬áá»á¬ážáá²á·ááá¯á·áááºá ProLock ááá¯á¡áá¯á¶ážááŒá¯ááá·áºá¡á¯ááºá á¯ááẠáááºážááá¯á·áááœá±ážáá¯ááºááá¯ážáááŸáááẠá¡ááœáá·áºá¡áááºážáá»á¬ážááá¯ážááŒáá·áºáá¬á á±ááẠá¡áá±ážá¡áá°áá¯ááºáá¬ážáá±á¬ááœááºáááºááŸáá±áá¬áá»á¬ážááá¯á á¯áá±á¬ááºážáá«áááºá áá¯ááºáá°ááŒááºážáááŒá¯áá® 7Zip utility ááá¯á¡áá¯á¶ážááŒá¯á á á¯áá±á¬ááºážáá¬ážáá±á¬áá±áá¬áá»á¬ážááᯠááááºážáááºážáá¬ážáááºá
Exfiltration
áá±áá¬ááᯠá¡ááºáá¯ááºáá¯ááºáááºá ProLock á¡á±á¬áºááá±áá¬áá»á¬ážááẠOneDriveá Google Driveá Mega áá²á·ááá¯á·áá±á¬ cloud ááá¯ááŸá±á¬ááºááŸá¯áááºáá±á¬ááºááŸá¯á¡áá»áá¯ážáá»áá¯ážááŸáá·áº ááá¯ááºáá»á¬ážááᯠáá áºááŒáá¯ááºáááºážáá¯ááºáá±á¬ááºááẠáá®ááá¯ááºážáá¯ááºáá¬ážááá·áº Rcloneá command line tool ááᯠá¡áá¯á¶ážááŒá¯áá«áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá¬ážáááºá áá áºááá¯ááºáá»á¬ážáá²á·ááá¯á· ááŒá áºá á±ááẠá¡ááŒá²á¡áááºááŒá±á¬ááºážáá«áááºá
áááºážááá¯á·áááœááºáá°áá»ááºážáá»á¬ážááŸáá·áºááá°áá²á ProLock á¡á±á¬áºááá±áá¬áá»á¬ážááœáẠááá¯ážáá°áá¬ážáá±á¬áá±áá¬áá»á¬ážááᯠááŒááºáá±ážááœá±áá±ážáá»á±áááºááŒááºážááá¯áá¬ážááá·áºáá¯áá¹ááá®áá»á¬ážááŸáá·áºáááºááá¯ááºááá·áº ááá¯ážáá°áá¬ážáá±á¬áá±áá¬áá»á¬ážááá¯áá¯ááºáá±ááẠáááºážááá¯á·áááá¯ááºááá¯ááºáááºááá¯ááºáááŸááá±ážáá«á
áá±á¬ááºáá¯á¶ážáááºážááá¯ááºááᯠáá±á¬ááºááá¯á·
áá±áá¬ááᯠáááºááŸá¬ážááŒá®ážáááºááŸáá·áº á¡ááœá²á·ááẠáá¯ááºáááºážááœááºáááºáá áºáá»áŸá±á¬áẠProLock ááᯠááŒáá·áºáá»ááºáá»áá¬ážáá«áááºá Binary ááá¯ááºááᯠextension áá«ááá·áºááá¯ááºáá áºáá¯á០áá¯ááºáá°áááºá PNG ááá¯á·ááá¯áẠJPG PowerShell ááᯠá¡áá¯á¶ážááŒá¯á memory áá²ááá¯á· ááá¯ážááœááºážááẠá
ááááŠážá
áœá¬á ProLock ááẠbuilt-in á
á¬áááºážááœááºáá±á¬áºááŒáá¬ážáá±á¬ áá¯ááºáááºážá
ááºáá»á¬ážááᯠá¡áá¯á¶ážáááºááẠ(á
áááºáááºá
á¬ážá
áá¬áá±á¬ááºážáááºááŸá¬á áááºážááẠ"winwor" áá²á·ááá¯á·áá±á¬ áá¯ááºáááºážá
ááºá¡áááºá á¡áá¹ááá¬ááŒá±á¬ááºáá¯á¶ážááá¯áᬠá¡áá¯á¶ážááŒá¯áááº)á CSFalconService (áá¯á¶ááŒá¯á¶áá±ážááŸáá·áºáááºáááºáá±á¬ áááºáá±á¬ááºááŸá¯áá»á¬ážááŒá
áºááá·áº CSFalconService ( CrowdStrike Falcon) á¡áááá·áºááᯠá¡áá¯á¶ážááŒá¯á á¡áá¬ážáááºááŸááºááá¯ááº.
ááá¯á·áá±á¬áẠá¡ááŒá¬ážáá±á¬ ransomware áááá¬ážá á¯áá»á¬ážáá²á·ááá¯á·áááºá ááá¯ááºááá¯ááºáá°áá»á¬ážááẠá¡áá¯á¶ážááŒá¯ááŒáááºá vssadmin Windows shadow áááá¹áá°áá»á¬ážááᯠáá»ááºáááºááŸáá·áº áááºážááá¯á·á á¡ááœááºá¡á á¬ážááᯠááá·áºáááºáááºá áá±á¬áºáá®á¡áá áºáá»á¬ážááᯠááááºáá®ážááá¯ááºá á±áááºá
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock ááẠextension ááá¯ááá·áºáááºá .proLock, .pr0Lock ááá¯á·ááá¯áẠ.proL0ck áá¯ááºááŸááºáá¬ážáá±á¬ ááá¯ááºáá áºáá¯á á®ááá¯á· ááá¯ááºááᯠáá±áá¬áá»áá«á [ááá¯ááºáá»á¬áž ááŒááºáááºááá°áááºáž].TXT folder áá áºáá¯á á®ááá¯á· á€ááá¯ááºááœáẠááá¬ážáá¶ááẠáá®ážááá·áº ID ááá¯ááá·áºáᬠááœá±áá±ážáá»á±ááŸá¯á¡áá»ááºá¡áááºááᯠáááºáá¶áááá·áºááá¯ááºááá¯á· ááá·áºááºáá áºáá¯á¡áá«á¡ááẠááá¯ááºáá»á¬ážááᯠáá¯ááºáá¯ááºáá¯ááºáááºážááá¯ááºáᬠááœáŸááºááŒá¬ážáá»ááºáá»á¬áž áá«ááŸááááºá
ProLock áá¥ááá¬áá
áºáá¯á
á®ááœááºááŒááºáá±ážááœá±ááá¬áááŸáá·áºáááºáááºáá±á¬á¡áá»ááºá¡áááºáá»á¬ážáá«ááŸáááẠ- á€ááá
á¹á
ááœááºá ááá·áºááŸááºážááŒá±á¡á¬ážááŒáá·áº $35 ááŒá
áºááá·áº 312 bitcoinsá
áá±á¬ááºáá»ááº
ransomware á¡á±á¬áºááá±áá¬á¡áá»á¬ážá¡ááŒá¬ážááẠáááºážááá¯á·ááááºážááá¯ááºáá»á¬ážá¡á±á¬ááºááŒááºááẠá¡áá¬ážáá°áááºážáááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒáááºá áá áºáá»áááºáááºážááŸá¬áááºá á¡áá»áá¯á·áá±á¬áááºážááá¬áá»á¬ážáááºá¡á¯ááºá á¯áá áºáá¯á á®á¡ááœááºáá°ážááŒá¬ážáááºá áááºááŸáááœááºá áááºážááá¯á·á áááºááááºážáá»á¬ážááœáẠransomware ááá¯á¡áá¯á¶ážááŒá¯ááá·áº ááá¯ááºáá¬áá¬ááááºááá¯ááºážáá»á¬áž ááá¯ážááœá¬ážáá¬áá±áááºá á¡áá»áá¯á·áá±á¬ááá á¹á áá»á¬ážááœááºá áá°áá®áá±á¬á¡á±á¬áºááá±áá¬áá»á¬ážááẠááá°áá®áá±á¬ ransomware áááá¬ážá á¯áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááœáẠáá«áááºáá±ááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áº á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ áááºážáá»á°áá¬á áááºážááá¬áá»á¬ážááŸáá·áº áá¯ááºáá¯á¶ážáá¯ááºáááºážáá»á¬ážááœáẠáááºáá±áá±áááºááᯠáá»áœááºá¯ááºááá¯á· ááá¯áááŒááºááá«áááá·áºáááºá
MITER ATT&CK ááŒá±áá¯á¶ááŒáá·áº ááŒá±áá¯á¶ááœá²ááŒááºážá
áááºážáá»á°áá¬
technique
áááŠážá¡áá¯á¶ážááŒá¯ááœáá·áº (TA0001)
ááŒááºáá¡áá±ážááááºážáááºáá±á¬ááºááŸá¯áá»á¬áž (T1133)á Spearphishing Attachment (T1193)á Spearphishing Link (T1192)
ááœááºáá»ááºááŒááºáž (TA0002)
Powershell (T1086)á Scripting (T1064)á User Execution (T1204)á Windows Management Instrumentation (T1047)
ááœá²ááŸáááŸá¯ (TA0003)
Registry Run Keys/Startup Folder (T1060)á Scheduled Task (T1053)á ááá¬ážáááºá¡áá±á¬áá·áºáá»á¬áž (T1078)
áá¬ááœááºáá±áž ááŸá±á¬ááºááŸá¬ážááŸá¯ (TA0005)
áá¯ááºáááºááŸááºááá¯ážááŒááºáž (T1116)á Deobfuscate/Decode ááá¯ááºáá»á¬áž ááá¯á·ááá¯áẠá¡áá»ááºá¡ááẠ(T1140)á áá¯á¶ááŒá¯á¶áá±ážáá°ážááºáá»á¬ážááᯠááááºááŒááºáž (T1089)á ááá¯ááºáá»ááºááŒááºáž (T1107)á Masquerading (T1036)á áá¯ááºáááºážá
ááºááá¯ážááœááºážááŒááºáž (T1055)
á¡áá±á¬ááºá¡áá¬ážááá°ááœáá·áº (TA0006)
á¡áá±á¬ááºá¡áá¬ážáá»á¬áž á
áœáá·áºáá
áºááŒááºáž (T1003)á Brute Force (T1110)á ááá·áºááœááºážááá¯ááºáá°ážááŸá¯ (T1056)
Discovery (TA0007)
á¡áá±á¬áá·áºááŸá¬ááœá±ááŸá¯ (T1087)á Domain Trust Discovery (T1482)á File and Directory Discovery (T1083)á Network Service Scanning (T1046)á Network Share Discovery (T1135)á Remote System Discovery (T1018)
áá±ážááá¯ááºááŸá¯ááºááŸá¬ážááŸá¯ (TA0008)
á¡áá±ážááááºáž áááºá
áºáá±á¬á· áááá¯ááá¯áá±á¬ (T1076)á á¡áá±ážááááºážááá¯áẠáááá¹áá° (T1105)á Windows á
á®áá¶ááá·áºááœá²áá° áá»áŸáá±ááŸá¯áá»á¬áž (T1077)
á
á¯á
ááºážááŸá¯ (TA0009)
Local System ááŸáá±áᬠ(T1005)á Network Shared Drive ááŸáá±áᬠ(T1039)á Data Staged (T1074)
ááœááºáá²ááŸá¯ááŸáá·áº ááááºážáá»á¯ááºááŸá¯ (TA0011)
á¡áá¯á¶ážáá»á¬ážáá±á¬ ááá¯á·áẠ(T1043)á áááºáááºáá±á¬ááºááŸá¯ (T1102)
áá¯ááºáá°ááŒááºáž (TA0010)
áá±áá¬áá»á¯á¶á·áá¬ážáá±á¬ (T1002)á áá±áá¬ááᯠCloud á¡áá±á¬áá·áºááá¯á· ááœáŸá²ááŒá±á¬ááºážááŒááºáž (T1537)
ááááá¯ááºááŸá¯ (TA0040)
ááááá¯ááºááŸá¯áá»á¬ážá¡ááœáẠáá±áá¬ááᯠáá¯ááºááŸááºáá¬ážááẠ(T1486)á á
áá
áºááŒááºáááºááá°ááŒááºážááᯠáá¬ážááŒá
áºááẠ(T1490)
source: www.habr.com