ProLock खोल्दै: MITER ATT&CK म्याट्रिक्स प्रयोग गरी नयाँ ransomware को अपरेटरहरूको कार्यहरूको विश्लेषण

विश्वभरका संगठनहरूमा ransomware आक्रमणहरूको सफलताले अधिक र अधिक नयाँ आक्रमणकारीहरूलाई खेलमा प्रवेश गर्न प्रेरित गरिरहेको छ। यी नयाँ खेलाडीहरू मध्ये एक ProLock ransomware प्रयोग गर्ने समूह हो। यो मार्च 2020 मा PwndLocker कार्यक्रमको उत्तराधिकारीको रूपमा देखा पर्‍यो, जुन 2019 को अन्त्यमा सञ्चालन सुरु भयो। ProLock ransomware आक्रमणहरूले मुख्य रूपमा वित्तीय र स्वास्थ्य सेवा संगठनहरू, सरकारी एजेन्सीहरू, र खुद्रा क्षेत्रलाई लक्षित गर्दछ। भर्खरै, ProLock अपरेटरहरूले सफलतापूर्वक एटीएम निर्माताहरू मध्ये एक, Diebold Nixdorf मा आक्रमण गरे।

यस पोस्टमा ओलेग स्कुलकिन, ग्रुप-आईबीको कम्प्युटर फोरेन्सिक प्रयोगशालाका प्रमुख विशेषज्ञ, ProLock अपरेटरहरूले प्रयोग गर्ने आधारभूत रणनीतिहरू, प्रविधिहरू र प्रक्रियाहरू (TTPs) समावेश गर्दछ। लेख MITER ATT&CK Matrix सँग तुलना गरेर समाप्त हुन्छ, एक सार्वजनिक डाटाबेस जसले विभिन्न साइबर अपराधी समूहहरूले प्रयोग गर्ने लक्षित आक्रमण रणनीतिहरू संकलन गर्दछ।

प्रारम्भिक पहुँच प्राप्त गर्दै

ProLock अपरेटरहरूले प्राथमिक सम्झौताका दुई मुख्य भेक्टरहरू प्रयोग गर्छन्: QakBot (Qbot) ट्रोजन र कमजोर पासवर्डहरू भएका असुरक्षित RDP सर्भरहरू।

बाह्य पहुँचयोग्य RDP सर्भर मार्फत सम्झौता ransomware अपरेटरहरू बीच अत्यन्त लोकप्रिय छ। सामान्यतया, आक्रमणकारीहरूले तेस्रो पक्षहरूबाट सम्झौता गरिएको सर्भरमा पहुँच किन्छन्, तर यो समूहका सदस्यहरू आफैले पनि प्राप्त गर्न सक्छन्।

प्राथमिक सम्झौताको थप रोचक भेक्टर QakBot मालवेयर हो। पहिले, यो ट्रोजन ransomware को अर्को परिवार संग सम्बन्धित थियो - MegaCortex। यद्यपि, यो अब ProLock अपरेटरहरू द्वारा प्रयोग गरिन्छ।

सामान्यतया, QakBot फिसिङ अभियान मार्फत वितरण गरिन्छ। फिसिङ इमेलमा संलग्न Microsoft Office कागजात वा क्लाउड भण्डारण सेवामा अवस्थित फाइलको लिङ्क हुन सक्छ, जस्तै Microsoft OneDrive।

ककबोट अर्को ट्रोजन, इमोटेटसँग लोड भएको ज्ञात घटनाहरू पनि छन्, जुन Ryuk ransomware वितरण गर्ने अभियानहरूमा यसको सहभागिताका लागि व्यापक रूपमा परिचित छ।

प्रदर्शन

संक्रमित कागजात डाउनलोड र खोलिसकेपछि, प्रयोगकर्तालाई म्याक्रोहरू चलाउन अनुमति दिन प्रेरित गरिन्छ। यदि सफल भयो भने, PowerShell सुरु हुन्छ, जसले तपाईंलाई कमाण्ड र नियन्त्रण सर्भरबाट QakBot पेलोड डाउनलोड गर्न र चलाउन अनुमति दिन्छ।

यो नोट गर्न महत्त्वपूर्ण छ कि समान ProLock मा लागू हुन्छ: पेलोड फाइलबाट निकालिएको छ BMP वा JPG र PowerShell प्रयोग गरेर मेमोरीमा लोड गरियो। केहि अवस्थामा, एक निर्धारित कार्य PowerShell सुरु गर्न प्रयोग गरिन्छ।

कार्य अनुसूचक मार्फत ProLock चलिरहेको ब्याच स्क्रिप्ट:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

प्रणालीमा एकीकरण

यदि RDP सर्भरसँग सम्झौता गर्न र पहुँच प्राप्त गर्न सम्भव छ भने, तब वैध खाताहरू नेटवर्कमा पहुँच प्राप्त गर्न प्रयोग गरिन्छ। QakBot विभिन्न संलग्नक संयन्त्र द्वारा विशेषता हो। प्राय: यो ट्रोजनले रन रजिस्ट्री कुञ्जी प्रयोग गर्दछ र अनुसूचकमा कार्यहरू सिर्जना गर्दछ:

रन रजिस्ट्री कुञ्जी प्रयोग गरेर प्रणालीमा Qakbot पिन गर्दै

केहि अवस्थामा, स्टार्टअप फोल्डरहरू पनि प्रयोग गरिन्छ: त्यहाँ सर्टकट राखिएको छ जुन बुटलोडरमा देखाउँछ।

बाइपास संरक्षण

कमाण्ड र कन्ट्रोल सर्भरसँग सञ्चार गरेर, QakBot ले आवधिक रूपमा आफैलाई अद्यावधिक गर्ने प्रयास गर्छ, त्यसैले पत्ता लगाउनबाट बच्नको लागि, मालवेयरले आफ्नो हालको संस्करणलाई नयाँसँग बदल्न सक्छ। कार्यान्वयनयोग्य फाइलहरू सम्झौता वा नक्कली हस्ताक्षरको साथ हस्ताक्षर गरिएका छन्। PowerShell द्वारा लोड गरिएको प्रारम्भिक पेलोड एक्सटेन्सनको साथ C&C सर्भरमा भण्डार गरिएको छ PNG। थप रूपमा, कार्यान्वयन पछि यसलाई वैध फाइलको साथ प्रतिस्थापन गरिएको छ calc.exe.

साथै, दुर्भावनापूर्ण गतिविधि लुकाउन, QakBot प्रयोग गरी प्रक्रियाहरूमा कोड इन्जेक्सन गर्ने प्रविधि प्रयोग गर्दछ explorer.exe.

उल्लेख गरिए अनुसार, प्रोलक पेलोड फाइल भित्र लुकेको छ BMP वा JPG। यसलाई बाइपास संरक्षणको विधिको रूपमा पनि मान्न सकिन्छ।

प्रमाणहरू प्राप्त गर्दै

QakBot मा keylogger कार्यक्षमता छ। थप रूपमा, यसले अतिरिक्त स्क्रिप्टहरू डाउनलोड र चलाउन सक्छ, उदाहरणका लागि, Invoke-Mimikatz, प्रसिद्ध Mimikatz उपयोगिताको PowerShell संस्करण। त्यस्ता लिपिहरूलाई आक्रमणकारीहरूले प्रमाणहरू डम्प गर्न प्रयोग गर्न सक्छन्।

नेटवर्क खुफिया

विशेषाधिकार प्राप्त खाताहरूमा पहुँच प्राप्त गरेपछि, ProLock अपरेटरहरूले नेटवर्क रिकोनिसेन्स प्रदर्शन गर्दछ, जसमा पोर्ट स्क्यानिङ र सक्रिय निर्देशिका वातावरणको विश्लेषण समावेश हुन सक्छ। विभिन्न स्क्रिप्टहरूको अतिरिक्त, आक्रमणकारीहरूले सक्रिय निर्देशिकाको बारेमा जानकारी सङ्कलन गर्नको लागि ransomware समूहहरू बीच लोकप्रिय अर्को उपकरण AdFind प्रयोग गर्छन्।

नेटवर्क पदोन्नति

परम्परागत रूपमा, नेटवर्क पदोन्नतिको सबैभन्दा लोकप्रिय विधिहरू मध्ये एक रिमोट डेस्कटप प्रोटोकल हो। ProLock कुनै अपवाद थिएन। आक्रमणकारीहरूसँग लक्षित होस्टहरूलाई RDP मार्फत रिमोट पहुँच प्राप्त गर्न तिनीहरूको शस्त्रागारमा लिपिहरू पनि छन्।

RDP प्रोटोकल मार्फत पहुँच प्राप्त गर्नको लागि BAT स्क्रिप्ट:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

टाढाबाट स्क्रिप्टहरू कार्यान्वयन गर्न, ProLock अपरेटरहरूले अर्को लोकप्रिय उपकरण, Sysinternals Suite बाट PsExec उपयोगिता प्रयोग गर्दछ।

ProLock WMIC को प्रयोग गरेर होस्टहरूमा चल्छ, जुन Windows Management Instrumentation सबसिस्टमसँग काम गर्नको लागि कमाण्ड लाइन इन्टरफेस हो। यो उपकरण पनि ransomware अपरेटरहरू बीच बढ्दो लोकप्रिय हुँदैछ।

तथ्यांक संकलन

धेरै अन्य ransomware अपरेटरहरू जस्तै, ProLock प्रयोग गर्ने समूहले आफ्नो फिरौती प्राप्त गर्ने मौकाहरू बढाउन सम्झौता गरिएको नेटवर्कबाट डेटा सङ्कलन गर्दछ। exfiltration अघि, सङ्कलन डाटा 7Zip उपयोगिता प्रयोग गरेर अभिलेख गरिएको छ।

निष्कासन

डाटा अपलोड गर्न, ProLock अपरेटरहरूले Rclone को प्रयोग गर्दछ, एक आदेश लाइन उपकरण जुन विभिन्न क्लाउड भण्डारण सेवाहरू जस्तै OneDrive, Google Drive, Mega, इत्यादिसँग फाइलहरू सिङ्क्रोनाइज गर्न डिजाइन गरिएको हो। आक्रमणकारीहरूले सधैं कार्यान्वयनयोग्य फाइललाई वैध प्रणाली फाइलहरू जस्तो देखाउनको लागि पुन: नामाकरण गर्छन्।

तिनीहरूका साथीहरूको विपरीत, ProLock अपरेटरहरूसँग अझै पनि फिरौती तिर्न अस्वीकार गर्ने कम्पनीहरूको चोरी डाटा प्रकाशित गर्न आफ्नै वेबसाइट छैन।

अन्तिम लक्ष्य हासिल गर्दै

एक पटक डाटा एक्सफिल्टेड भएपछि, टोलीले इन्टरप्राइज नेटवर्कमा ProLock तैनात गर्दछ। बाइनरी फाइल एक्सटेन्सनको साथ फाइलबाट निकालिएको छ PNG वा JPG PowerShell प्रयोग गरी मेमोरीमा इन्जेक्ट गरियो:

सबैभन्दा पहिले, ProLock ले बिल्ट-इन सूचीमा निर्दिष्ट प्रक्रियाहरू समाप्त गर्दछ (चाखलाग्दो कुरा के छ भने, यसले प्रक्रिया नामको छवटा अक्षरहरू मात्र प्रयोग गर्दछ, जस्तै "winwor"), र सेवाहरू बन्द गर्दछ, सुरक्षासँग सम्बन्धित, जस्तै CSFalconService ( CrowdStrike Falcon) आदेश प्रयोग गर्दै नेट स्टप.

त्यसपछि, धेरै अन्य ransomware परिवारहरू जस्तै, आक्रमणकारीहरूले प्रयोग गर्छन् vssadmin विन्डोज छाया प्रतिलिपिहरू मेटाउन र तिनीहरूको आकार सीमित गर्नुहोस् ताकि नयाँ प्रतिलिपिहरू सिर्जना नगर्नुहोस्:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock विस्तार थप्छ .proLock, .pr0Lock वा .proL0ck प्रत्येक इन्क्रिप्टेड फाइलमा र फाइल राख्छ [फाइलहरू कसरी पुनःप्राप्त गर्ने]।TXT प्रत्येक फोल्डरमा। यस फाइलले फाइलहरूलाई कसरी डिक्रिप्ट गर्ने भन्ने बारे निर्देशनहरू समावेश गर्दछ, जहाँ पीडितले एक अद्वितीय आईडी प्रविष्ट गर्नुपर्छ र भुक्तानी जानकारी प्राप्त गर्नुपर्छ:

ProLock को प्रत्येक उदाहरणले फिरौती रकमको बारेमा जानकारी समावेश गर्दछ - यस अवस्थामा, 35 बिटकोइनहरू, जुन लगभग $ 312 हो।

निष्कर्षमा

धेरै ransomware अपरेटरहरूले आफ्ना लक्ष्यहरू प्राप्त गर्न समान विधिहरू प्रयोग गर्छन्। एकै समयमा, केहि प्रविधिहरू प्रत्येक समूहको लागि अद्वितीय छन्। हाल, तिनीहरूको अभियानहरूमा ransomware प्रयोग गरेर साइबर अपराधी समूहहरूको बढ्दो संख्या छ। केही अवस्थामा, एउटै अपरेटरहरू ransomware को विभिन्न परिवारहरू प्रयोग गरी आक्रमणहरूमा संलग्न हुन सक्छन्, त्यसैले हामी प्रयोग गरिएका रणनीतिहरू, प्रविधिहरू र प्रक्रियाहरूमा ओभरल्याप देख्नेछौं।

MITER ATT र CK म्यापिङको साथ म्यापिङ

रणनीति
प्रविधी

प्रारम्भिक पहुँच (TA0001)
बाह्य रिमोट सेवाहरू (T1133), स्पियरफिसिङ एट्याचमेन्ट (T1193), स्पियरफिसिङ लिङ्क (T1192)

कार्यान्वयन (TA0002)
Powershell (T1086), स्क्रिप्टिङ (T1064), प्रयोगकर्ता कार्यान्वयन (T1204), Windows व्यवस्थापन उपकरण (T1047)

दृढता (TA0003)
रजिस्ट्री रन कुञ्जीहरू / स्टार्टअप फोल्डर (T1060), अनुसूचित कार्य (T1053), मान्य खाताहरू (T1078)

रक्षा चोरी (TA0005)
कोड साइनिङ (T1116), Deobfuscate/decode फाइलहरू वा जानकारी (T1140), सुरक्षा उपकरणहरू असक्षम गर्दै (T1089), फाइल मेटाउने (T1107), मास्करेडिङ (T1036), प्रक्रिया इंजेक्शन (T1055)

प्रमाणपत्र पहुँच (TA0006)
क्रेडेन्सियल डम्पिङ (T1003), ब्रुट फोर्स (T1110), इनपुट क्याप्चर (T1056)

खोज (TA0007)
खाता खोज (T1087), डोमेन ट्रस्ट डिस्कवरी (T1482), फाइल र निर्देशिका खोज (T1083), नेटवर्क सेवा स्क्यानिङ (T1046), नेटवर्क साझेदारी खोज (T1135), रिमोट सिस्टम डिस्कवरी (T1018)

पार्श्व आन्दोलन (TA0008)
रिमोट डेस्कटप प्रोटोकल (T1076), रिमोट फाइल प्रतिलिपि (T1105), Windows Admin Shares (T1077)

सङ्कलन (TA0009)
स्थानीय प्रणालीबाट डाटा (T1005), नेटवर्क साझा ड्राइभ (T1039), डाटा स्टेज (T1074) बाट डाटा

आदेश र नियन्त्रण (TA0011)
सामान्यतया प्रयोग हुने पोर्ट (T1043), वेब सेवा (T1102)

निष्कासन (TA0010)
डाटा संकुचित (T1002), क्लाउड खातामा डाटा स्थानान्तरण (T1537)

प्रभाव (TA0040)
प्रभाव (T1486) को लागि डेटा इन्क्रिप्टेड, प्रणाली रिकभरी रोक्नुहोस् (T1490)

स्रोत: www.habr.com