Suksessen med løsepenge-angrep på organisasjoner over hele verden får flere og flere nye angripere til å komme inn i spillet. En av disse nye spillerne er en gruppe som bruker ProLock løsepengeprogramvare. Det dukket opp i mars 2020 som etterfølgeren til PwndLocker-programmet, som begynte å operere på slutten av 2019. ProLock løsepenge-angrep retter seg først og fremst mot finans- og helseorganisasjoner, offentlige etater og detaljhandel. Nylig angrep ProLock-operatører med suksess en av de største minibankprodusentene, Diebold Nixdorf.
I dette innlegget Oleg Skulkin, ledende spesialist ved Computer Forensics Laboratory of Group-IB, dekker de grunnleggende taktikkene, teknikkene og prosedyrene (TTP-er) som brukes av ProLock-operatører. Artikkelen avsluttes med en sammenligning med MITER ATT&CK Matrix, en offentlig database som samler målrettede angrepstaktikker brukt av ulike nettkriminelle grupper.
Får førstegangstilgang
ProLock-operatører bruker to hovedvektorer for primært kompromiss: QakBot (Qbot)-trojaneren og ubeskyttede RDP-servere med svake passord.
Kompromisser via en eksternt tilgjengelig RDP-server er ekstremt populær blant løsepengevareoperatører. Vanligvis kjøper angripere tilgang til en kompromittert server fra tredjeparter, men den kan også fås av gruppemedlemmer på egen hånd.
En mer interessant vektor for primært kompromiss er QakBot malware. Tidligere var denne trojaneren assosiert med en annen familie av løsepengevare - MegaCortex. Imidlertid brukes den nå av ProLock-operatører.
Vanligvis distribueres QakBot gjennom phishing-kampanjer. En phishing-e-post kan inneholde et vedlagt Microsoft Office-dokument eller en lenke til en fil som ligger i en skylagringstjeneste, for eksempel Microsoft OneDrive.
Det er også kjente tilfeller av at QakBot har blitt lastet med en annen trojaner, Emotet, som er viden kjent for sin deltakelse i kampanjer som distribuerte Ryuk-ransomware.
utførelse
Etter å ha lastet ned og åpnet et infisert dokument, blir brukeren bedt om å tillate makroer å kjøre. Hvis det lykkes, lanseres PowerShell, som lar deg laste ned og kjøre QakBot-nyttelasten fra kommando- og kontrollserveren.
Det er viktig å merke seg at det samme gjelder for ProLock: nyttelasten trekkes ut fra filen BMP eller JPG og lastet inn i minnet ved hjelp av PowerShell. I noen tilfeller brukes en planlagt oppgave for å starte PowerShell.
Batch-skript som kjører ProLock gjennom oppgaveplanleggeren:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidering i systemet
Hvis det er mulig å kompromittere RDP-serveren og få tilgang, brukes gyldige kontoer for å få tilgang til nettverket. QakBot er preget av en rekke festemekanismer. Oftest bruker denne trojaneren Kjør-registernøkkelen og lager oppgaver i planleggeren:
Feste Qakbot til systemet ved hjelp av Kjør registernøkkelen
I noen tilfeller brukes også oppstartsmapper: en snarvei er plassert der som peker til oppstartslasteren.
Bypass beskyttelse
Ved å kommunisere med kommando- og kontrollserveren prøver QakBot med jevne mellomrom å oppdatere seg selv, så for å unngå oppdagelse kan skadevaren erstatte sin egen nåværende versjon med en ny. Kjørbare filer er signert med en kompromittert eller forfalsket signatur. Den første nyttelasten lastet av PowerShell lagres på C&C-serveren med utvidelsen PNG. I tillegg, etter utførelse erstattes den med en legitim fil calc.exe.
For å skjule ondsinnet aktivitet bruker QakBot teknikken med å injisere kode i prosesser, ved å bruke explorer.exe.
Som nevnt er ProLock-nyttelasten skjult inne i filen BMP eller JPG. Dette kan også betraktes som en metode for å omgå beskyttelse.
Innhenting av legitimasjon
QakBot har keylogger-funksjonalitet. I tillegg kan den laste ned og kjøre flere skript, for eksempel Invoke-Mimikatz, en PowerShell-versjon av det berømte Mimikatz-verktøyet. Slike skript kan brukes av angripere til å dumpe legitimasjon.
Nettverksintelligens
Etter å ha fått tilgang til privilegerte kontoer, utfører ProLock-operatører nettverksrekognosering, som kan inkludere portskanning og analyse av Active Directory-miljøet. I tillegg til ulike skript bruker angripere AdFind, et annet verktøy som er populært blant løsepengevaregrupper, for å samle informasjon om Active Directory.
Nettverkspromotering
Tradisjonelt er en av de mest populære metodene for nettverkspromotering Remote Desktop Protocol. ProLock var intet unntak. Angripere har til og med skript i arsenalet for å få ekstern tilgang via RDP til å målrette verter.
BAT-skript for å få tilgang via RDP-protokoll:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
For å eksternt kjøre skript, bruker ProLock-operatører et annet populært verktøy, PsExec-verktøyet fra Sysinternals Suite.
ProLock kjører på verter som bruker WMIC, som er et kommandolinjegrensesnitt for å jobbe med Windows Management Instrumentation-undersystemet. Dette verktøyet blir også stadig mer populært blant løsepengevareoperatører.
Datainnsamling
Som mange andre ransomware-operatører, samler gruppen som bruker ProLock inn data fra et kompromittert nettverk for å øke sjansene deres for å motta løsepenger. Før eksfiltrering blir de innsamlede dataene arkivert ved hjelp av 7Zip-verktøyet.
Eksfiltrering
For å laste opp data bruker ProLock-operatører Rclone, et kommandolinjeverktøy designet for å synkronisere filer med ulike skylagringstjenester som OneDrive, Google Drive, Mega osv. Angripere gir alltid nytt navn til den kjørbare filen for å få den til å se ut som legitime systemfiler.
I motsetning til sine jevnaldrende, har ProLock-operatører fortsatt ikke sin egen nettside for å publisere stjålne data som tilhører selskaper som nektet å betale løsepenger.
Å oppnå det endelige målet
Når dataene er eksfiltrert, distribuerer teamet ProLock i hele bedriftsnettverket. Den binære filen er trukket ut fra en fil med filtypen PNG eller JPG ved å bruke PowerShell og injiseres i minnet:
Først av alt, avslutter ProLock prosessene spesifisert i den innebygde listen (interessant nok bruker den bare de seks bokstavene i prosessnavnet, for eksempel "winwor"), og avslutter tjenester, inkludert de som er relatert til sikkerhet, for eksempel CSFalconService ( CrowdStrike Falcon). ved å bruke kommandoen netto stopp.
Deretter, som med mange andre løsepengevarefamilier, bruker angripere vssadmin for å slette Windows-skyggekopier og begrense størrelsen slik at nye kopier ikke opprettes:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock legger til utvidelse .proLock, .pr0Lock eller .proL0ck til hver kryptert fil og plasserer filen [HVORDAN GJENOPPRETT FILER].TXT til hver mappe. Denne filen inneholder instruksjoner om hvordan du dekrypterer filene, inkludert en lenke til et nettsted der offeret må angi en unik ID og motta betalingsinformasjon:
Hver forekomst av ProLock inneholder informasjon om løsepengebeløpet – i dette tilfellet 35 bitcoins, som er omtrent $312 000.
Konklusjon
Mange ransomware-operatører bruker lignende metoder for å nå sine mål. Samtidig er noen teknikker unike for hver gruppe. For tiden er det et økende antall nettkriminelle grupper som bruker løsepengevare i sine kampanjer. I noen tilfeller kan de samme operatørene være involvert i angrep med forskjellige familier av løsepengevare, så vi vil i økende grad se overlapping i taktikken, teknikkene og prosedyrene som brukes.
Kartlegging med MITER ATT&CK Mapping
taktikk
Teknikk
Innledende tilgang (TA0001)
Eksterne eksterne tjenester (T1133), Spearphishing-vedlegg (T1193), Spearphishing Link (T1192)
Utførelse (TA0002)
Powershell (T1086), skripting (T1064), brukerutførelse (T1204), Windows Management Instrumentation (T1047)
Utholdenhet (TA0003)
Registerkjøringsnøkler / oppstartsmappe (T1060), planlagt oppgave (T1053), gyldige kontoer (T1078)
Defense Evasion (TA0005)
Kodesignering (T1116), deobfuscate/decode filer eller informasjon (T1140), deaktivering av sikkerhetsverktøy (T1089), filsletting (T1107), maskering (T1036), prosessinjeksjon (T1055)
Legitimasjonstilgang (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Sidebevegelse (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Samling (TA0009)
Data fra lokalt system (T1005), data fra delt nettverksstasjon (T1039), datafaset (T1074)
Kommando og kontroll (TA0011)
Vanlig brukt port (T1043), webtjeneste (T1102)
Eksfiltrering (TA0010)
Datakomprimert (T1002), Overfør data til skykonto (T1537)
Effekt (TA0040)
Data kryptert for innvirkning (T1486), hindre systemgjenoppretting (T1490)
Kilde: www.habr.com