Het succes van ransomware-aanvallen op organisaties over de hele wereld zorgt ervoor dat steeds meer nieuwe aanvallers zich in het spel begeven. Eén van deze nieuwe spelers is een groep die gebruik maakt van de ProLock-ransomware. Het verscheen in maart 2020 als opvolger van het PwndLocker-programma, dat eind 2019 van start ging. ProLock-ransomwareaanvallen zijn voornamelijk gericht op financiële organisaties en gezondheidszorgorganisaties, overheidsinstanties en de detailhandel. Onlangs hebben ProLock-operators met succes een van de grootste geldautomatenfabrikanten, Diebold Nixdorf, aangevallen.
In dit bericht Oleg Skulkin, toonaangevend specialist van het Computer Forensics Laboratory van Group-IB, behandelt de basistactieken, technieken en procedures (TTP's) die worden gebruikt door ProLock-operators. Het artikel wordt afgesloten met een vergelijking met de MITRE ATT&CK Matrix, een openbare database die gerichte aanvalstactieken verzamelt die door verschillende cybercriminele groepen worden gebruikt.
Eerste toegang verkrijgen
ProLock-operators gebruiken twee belangrijke vectoren van primaire compromissen: de QakBot (Qbot) Trojan en onbeschermde RDP-servers met zwakke wachtwoorden.
Het compromitteren via een extern toegankelijke RDP-server is enorm populair onder ransomware-operators. Meestal kopen aanvallers toegang tot een gecompromitteerde server van derden, maar deze kan ook door groepsleden zelf worden verkregen.
Een interessantere vector van primair compromis is de QakBot-malware. Voorheen werd deze Trojan geassocieerd met een andere familie van ransomware: MegaCortex. Het wordt nu echter gebruikt door ProLock-operators.
Meestal wordt QakBot verspreid via phishing-campagnes. Een phishing-e-mail kan een bijgevoegd Microsoft Office-document bevatten of een link naar een bestand dat zich in een cloudopslagdienst bevindt, zoals Microsoft OneDrive.
Er zijn ook gevallen bekend waarin QakBot werd geladen met een ander Trojaans paard, Emotet, dat algemeen bekend staat om zijn deelname aan campagnes die de Ryuk-ransomware verspreidden.
executie
Na het downloaden en openen van een geïnfecteerd document wordt de gebruiker gevraagd macro's uit te voeren. Als dit lukt, wordt PowerShell gestart, waarmee u de QakBot-payload kunt downloaden en uitvoeren vanaf de opdracht- en controleserver.
Het is belangrijk op te merken dat hetzelfde geldt voor ProLock: de payload wordt uit het bestand gehaald BMP of JPG en in het geheugen geladen met PowerShell. In sommige gevallen wordt een geplande taak gebruikt om PowerShell te starten.
Batchscript waarmee ProLock via de taakplanner wordt uitgevoerd:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batConsolidatie in het systeem
Als het mogelijk is om de RDP-server in gevaar te brengen en toegang te krijgen, worden geldige accounts gebruikt om toegang te krijgen tot het netwerk. QakBot wordt gekenmerkt door een verscheidenheid aan bevestigingsmechanismen. Meestal gebruikt deze Trojan de registersleutel Run en creëert hij taken in de planner:
Qakbot vastzetten op het systeem met behulp van de registersleutel Run
In sommige gevallen worden ook opstartmappen gebruikt: daar wordt een snelkoppeling geplaatst die naar de bootloader verwijst.
Omzeil bescherming
Door te communiceren met de command-and-control-server probeert QakBot zichzelf periodiek bij te werken, zodat de malware, om detectie te voorkomen, zijn eigen huidige versie kan vervangen door een nieuwe. Uitvoerbare bestanden zijn ondertekend met een gecompromitteerde of vervalste handtekening. De initiële payload die door PowerShell wordt geladen, wordt met de extensie op de C&C-server opgeslagen PNG. Bovendien wordt het na uitvoering vervangen door een legitiem bestand calc.exe.
Om kwaadaardige activiteiten te verbergen, gebruikt QakBot ook de techniek om code in processen te injecteren, met behulp van explorer.exe.
Zoals gezegd is de ProLock-payload verborgen in het bestand BMP of JPG. Dit kan ook worden beschouwd als een methode om de beveiliging te omzeilen.
Het verkrijgen van legitimatiegegevens
QakBot heeft keylogger-functionaliteit. Bovendien kan het extra scripts downloaden en uitvoeren, bijvoorbeeld Invoke-Mimikatz, een PowerShell-versie van het beroemde Mimikatz-hulpprogramma. Dergelijke scripts kunnen door aanvallers worden gebruikt om inloggegevens te dumpen.
netwerk intelligentie
Nadat ze toegang hebben gekregen tot bevoorrechte accounts, voeren ProLock-operators netwerkverkenningen uit, waaronder mogelijk poortscans en analyse van de Active Directory-omgeving. Naast verschillende scripts gebruiken aanvallers AdFind, een andere tool die populair is onder ransomwaregroepen, om informatie over Active Directory te verzamelen.
Netwerkpromotie
Traditioneel is een van de meest populaire methoden voor netwerkpromotie het Remote Desktop Protocol. ProLock was geen uitzondering. Aanvallers hebben zelfs scripts in hun arsenaal om via RDP externe toegang te krijgen tot doelwitten.
BAT-script voor het verkrijgen van toegang via het RDP-protocol:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Om scripts op afstand uit te voeren, gebruiken ProLock-operators een andere populaire tool, het PsExec-hulpprogramma uit de Sysinternals Suite.
ProLock draait op hosts die gebruik maken van WMIC, een opdrachtregelinterface voor het werken met het Windows Management Instrumentation-subsysteem. Deze tool wordt ook steeds populairder onder ransomware-exploitanten.
Gegevensverzameling
Net als veel andere ransomware-exploitanten verzamelt de groep die ProLock gebruikt gegevens van een gecompromitteerd netwerk om hun kansen op losgeld te vergroten. Vóór exfiltratie worden de verzamelde gegevens gearchiveerd met behulp van het hulpprogramma 7Zip.
Exfiltratie
Om gegevens te uploaden gebruiken ProLock-operators Rclone, een opdrachtregelprogramma dat is ontworpen om bestanden te synchroniseren met verschillende cloudopslagdiensten zoals OneDrive, Google Drive, Mega, enz. Aanvallers hernoemen het uitvoerbare bestand altijd om het op legitieme systeembestanden te laten lijken.
In tegenstelling tot hun collega's hebben ProLock-operatoren nog steeds geen eigen website om gestolen gegevens te publiceren van bedrijven die weigerden het losgeld te betalen.
Het bereiken van het einddoel
Zodra de gegevens zijn geëxfiltreerd, implementeert het team ProLock in het hele bedrijfsnetwerk. Het binaire bestand wordt geëxtraheerd uit een bestand met de extensie PNG of JPG met behulp van PowerShell en in het geheugen geïnjecteerd:
Allereerst beëindigt ProLock de processen die zijn gespecificeerd in de ingebouwde lijst (interessant genoeg gebruikt het alleen de zes letters van de procesnaam, zoals "winwor"), en beëindigt het services, inclusief die met betrekking tot beveiliging, zoals CSFalconService ( CrowdStrike Falcon) met behulp van de opdracht netto stop.
Vervolgens gebruiken aanvallers, net als bij veel andere ransomwarefamilies, vssadmin Windows-schaduwkopieën verwijderen en hun grootte beperken, zodat er geen nieuwe kopieën worden gemaakt:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock voegt extensie toe .proLock, .pr0Vergrendelen of .proL0ck naar elk gecodeerd bestand en plaatst het bestand [HOE BESTANDEN HERSTELLEN].TXT naar elke map. Dit bestand bevat instructies voor het decoderen van de bestanden, inclusief een link naar een site waar het slachtoffer een unieke ID moet invoeren en betalingsinformatie moet ontvangen:
Elke instantie van ProLock bevat informatie over het losgeldbedrag – in dit geval 35 bitcoins, wat neerkomt op ongeveer $312.
Conclusie
Veel ransomware-exploitanten gebruiken vergelijkbare methoden om hun doelen te bereiken. Tegelijkertijd zijn sommige technieken uniek voor elke groep. Momenteel is er een groeiend aantal cybercriminele groepen die ransomware gebruiken in hun campagnes. In sommige gevallen kunnen dezelfde operators betrokken zijn bij aanvallen waarbij gebruik wordt gemaakt van verschillende ransomwarefamilies. We zullen dus steeds meer overlap zien in de gebruikte tactieken, technieken en procedures.
In kaart brengen met MITRE ATT&CK Mapping
Tactiek
Techniek
Initiële toegang (TA0001)
Externe diensten op afstand (T1133), Spearphishing-bijlage (T1193), Spearphishing-link (T1192)
Uitvoering (TA0002)
Powershell (T1086), scripting (T1064), gebruikersuitvoering (T1204), Windows Management Instrumentation (T1047)
Persistentie (TA0003)
Registerrunsleutels / opstartmap (T1060), geplande taak (T1053), geldige accounts (T1078)
Defensie-ontduiking (TA0005)
Code ondertekenen (T1116), bestanden of informatie deobfusceren/decoderen (T1140), beveiligingshulpmiddelen uitschakelen (T1089), bestanden verwijderen (T1107), maskeren (T1036), procesinjectie (T1055)
Toegangsgegevens (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Ontdekking (TA0007)
Accountdetectie (T1087), detectie van domeinvertrouwen (T1482), detectie van bestanden en mappen (T1083), scannen van netwerkservices (T1046), detectie van netwerkshares (T1135), detectie van externe systemen (T1018)
Zijwaartse beweging (TA0008)
Protocol voor extern bureaublad (T1076), kopiëren van bestanden op afstand (T1105), Windows-beheerdersshares (T1077)
Collectie (TA0009)
Gegevens van lokaal systeem (T1005), gegevens van gedeelde netwerkschijf (T1039), gegevens geënsceneerd (T1074)
Commando en controle (TA0011)
Veelgebruikte poort (T1043), webservice (T1102)
Exfiltratie (TA0010)
Gegevens gecomprimeerd (T1002), gegevens overbrengen naar cloudaccount (T1537)
Impact (TA0040)
Gegevens gecodeerd voor impact (T1486), verhinderen systeemherstel (T1490)
Bron: www.habr.com