Sukces ataków oprogramowania ransomware na organizacje na całym świecie sprawia, że coraz więcej nowych napastników włącza się do gry. Jednym z tych nowych graczy jest grupa korzystająca z oprogramowania ransomware ProLock. Pojawił się w marcu 2020 roku jako następca programu PwndLocker, który zaczął działać pod koniec 2019 roku. Ataki ransomware ProLock są skierowane przede wszystkim do organizacji finansowych i opieki zdrowotnej, agencji rządowych oraz sektora detalicznego. Niedawno operatorom ProLock udało się zaatakować jednego z największych producentów bankomatów, firmę Diebold Nixdorf.
w tym poście Oleg Skulkin, wiodący specjalista Laboratorium Informatyki Sądowej Grupy-IB, obejmuje podstawowe taktyki, techniki i procedury (TTP) stosowane przez operatorów ProLock. Artykuł kończy się porównaniem z MITRE ATT&CK Matrix – publiczną bazą danych, która zestawia taktyki ataków ukierunkowanych stosowane przez różne grupy cyberprzestępcze.
Uzyskanie wstępnego dostępu
Operatorzy ProLock wykorzystują dwa główne wektory pierwotnego ataku: trojan QakBot (Qbot) i niezabezpieczone serwery RDP ze słabymi hasłami.
Kompromis poprzez dostępny z zewnątrz serwer RDP jest niezwykle popularny wśród operatorów oprogramowania ransomware. Zwykle napastnicy kupują dostęp do zaatakowanego serwera od stron trzecich, ale członkowie grupy mogą go również uzyskać samodzielnie.
Bardziej interesującym wektorem pierwotnego kompromisu jest złośliwe oprogramowanie QakBot. Wcześniej ten trojan był powiązany z inną rodziną oprogramowania ransomware – MegaCortex. Jednak obecnie jest używany przez operatorów ProLock.
Zazwyczaj QakBot jest dystrybuowany poprzez kampanie phishingowe. Wiadomość phishingowa może zawierać załączony dokument pakietu Microsoft Office lub łącze do pliku znajdującego się w usłudze przechowywania w chmurze, takiej jak Microsoft OneDrive.
Znane są również przypadki załadowania QakBota z innym trojanem, Emotetem, który jest powszechnie znany ze swojego udziału w kampaniach dystrybuujących oprogramowanie ransomware Ryuk.
Wydajność
Po pobraniu i otwarciu zainfekowanego dokumentu użytkownik jest proszony o zezwolenie na uruchomienie makr. Jeśli się powiedzie, zostanie uruchomiony program PowerShell, który umożliwi pobranie i uruchomienie ładunku QakBot z serwera dowodzenia i kontroli.
Należy zauważyć, że to samo dotyczy ProLock: ładunek jest wyodrębniany z pliku BMP lub JPG i załadowane do pamięci przy użyciu programu PowerShell. W niektórych przypadkach do uruchomienia programu PowerShell używane jest zaplanowane zadanie.
Skrypt wsadowy uruchamiający ProLock poprzez harmonogram zadań:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batNaprawa w systemie
Jeśli możliwe jest złamanie zabezpieczeń serwera RDP i uzyskanie dostępu, do uzyskania dostępu do sieci wykorzystywane są prawidłowe konta. QakBot charakteryzuje się różnorodnością mechanizmów mocowania. Najczęściej trojan ten korzysta z klucza rejestru Uruchom i tworzy zadania w harmonogramie:
Przypinanie Qakbota do systemu za pomocą klucza rejestru Run
W niektórych przypadkach wykorzystywane są również foldery startowe: umieszcza się tam skrót wskazujący bootloader.
Zabezpieczenie obejścia
Komunikując się z serwerem dowodzenia i kontroli, QakBot okresowo próbuje się zaktualizować, więc aby uniknąć wykrycia, szkodliwe oprogramowanie może zastąpić swoją obecną wersję nową. Pliki wykonywalne są podpisywane za pomocą złamanego lub sfałszowanego podpisu. Początkowy ładunek ładowany przez PowerShell jest przechowywany na serwerze C&C z rozszerzeniem PNG. Dodatkowo po wykonaniu zostaje on zastąpiony legalnym plikiem calc.exe.
Ponadto, aby ukryć złośliwą aktywność, QakBot wykorzystuje technikę wstrzykiwania kodu do procesów za pomocą explorer.exe.
Jak wspomniano, ładunek ProLock jest ukryty w pliku BMP lub JPG. Można to również uznać za metodę obejścia ochrony.
Uzyskanie referencji
QakBot posiada funkcję keyloggera. Ponadto może pobierać i uruchamiać dodatkowe skrypty, na przykład Invoke-Mimikatz, wersję PowerShell słynnego narzędzia Mimikatz. Takie skrypty mogą zostać wykorzystane przez osoby atakujące do zrzucenia danych uwierzytelniających.
inteligencja sieciowa
Po uzyskaniu dostępu do kont uprzywilejowanych operatorzy ProLock wykonują rekonesans sieci, który może obejmować skanowanie portów i analizę środowiska Active Directory. Oprócz różnych skryptów napastnicy wykorzystują AdFind, kolejne narzędzie popularne wśród grup zajmujących się oprogramowaniem ransomware, w celu gromadzenia informacji o usłudze Active Directory.
Promocja sieci
Tradycyjnie jedną z najpopularniejszych metod promocji sieci jest protokół Remote Desktop Protocol. ProLock nie był wyjątkiem. Atakujący mają nawet w swoim arsenale skrypty umożliwiające uzyskanie zdalnego dostępu za pośrednictwem protokołu RDP do docelowych hostów.
Skrypt BAT do uzyskania dostępu poprzez protokół RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Aby zdalnie wykonywać skrypty, operatorzy ProLock używają innego popularnego narzędzia, narzędzia PsExec z pakietu Sysinternals Suite.
ProLock działa na hostach korzystających z WMIC, który jest interfejsem wiersza poleceń do pracy z podsystemem Instrumentacji zarządzania Windows. Narzędzie to staje się również coraz bardziej popularne wśród operatorów oprogramowania ransomware.
Zbieranie danych
Podobnie jak wielu innych operatorów oprogramowania ransomware, grupa korzystająca z ProLock zbiera dane z zaatakowanej sieci, aby zwiększyć swoje szanse na otrzymanie okupu. Przed eksfiltracją zebrane dane są archiwizowane za pomocą narzędzia 7Zip.
Eksfiltracja
Do przesyłania danych operatorzy ProLock używają Rclone, narzędzia wiersza poleceń zaprojektowanego do synchronizowania plików z różnymi usługami przechowywania w chmurze, takimi jak OneDrive, Google Drive, Mega itp. Atakujący zawsze zmieniają nazwę pliku wykonywalnego, aby wyglądał jak legalne pliki systemowe.
W przeciwieństwie do swoich konkurentów, operatorzy ProLock nadal nie mają własnej strony internetowej, na której mogliby publikować skradzione dane należące do firm, które odmówiły zapłaty okupu.
Osiągnięcie ostatecznego celu
Po wydobyciu danych zespół wdraża ProLock w sieci korporacyjnej. Plik binarny jest wyodrębniany z pliku z rozszerzeniem PNG lub JPG używając PowerShell i wstrzykując do pamięci:
Przede wszystkim ProLock kończy procesy określone na wbudowanej liście (co ciekawe wykorzystuje tylko sześć liter nazwy procesu, np. „winwor”), oraz kończy usługi, w tym także te związane z bezpieczeństwem, takie jak CSFalconService ( CrowdStrike Falcon).za pomocą polecenia net stop.
Następnie, podobnie jak w przypadku wielu innych rodzin ransomware, atakujący wykorzystują vssadmin aby usunąć kopie w tle systemu Windows i ograniczyć ich rozmiar, aby nie były tworzone nowe kopie:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock dodaje rozszerzenie .proLock, .pr0Zablokuj lub .proL0ck do każdego zaszyfrowanego pliku i umieszcza plik [JAK ODZYSKAĆ PLIKI].TXT do każdego folderu. Ten plik zawiera instrukcje dotyczące odszyfrowania plików, w tym link do strony, na której ofiara musi wprowadzić unikalny identyfikator i otrzymać informacje o płatności:
Każda instancja ProLock zawiera informację o kwocie okupu – w tym przypadku 35 bitcoinów, czyli około 312 000 dolarów.
wniosek
Wielu operatorów oprogramowania ransomware używa podobnych metod, aby osiągnąć swoje cele. Jednocześnie niektóre techniki są unikalne dla każdej grupy. Obecnie coraz większa liczba grup cyberprzestępczych wykorzystuje w swoich kampaniach oprogramowanie ransomware. W niektórych przypadkach ci sami operatorzy mogą być zaangażowani w ataki z wykorzystaniem różnych rodzin oprogramowania ransomware, dlatego coraz częściej będziemy świadkami nakładania się stosowanych taktyk, technik i procedur.
Mapowanie za pomocą mapowania MITRE ATT&CK
Taktyka
Technika
Dostęp początkowy (TA0001)
Zewnętrzne usługi zdalne (T1133), załącznik do phishingu spearphishingowego (T1193), łącze do phishingu spearphishingowego (T1192)
Wykonanie (TA0002)
Powershell (T1086), skrypty (T1064), wykonywanie przez użytkownika (T1204), Instrumentacja zarządzania Windows (T1047)
Trwałość (TA0003)
Klucze uruchamiania rejestru/folder startowy (T1060), zaplanowane zadanie (T1053), ważne konta (T1078)
Unikanie obrony (TA0005)
Podpisywanie kodu (T1116), usuwanie zaciemnień/dekodowanie plików lub informacji (T1140), wyłączanie narzędzi bezpieczeństwa (T1089), usuwanie plików (T1107), maskowanie (T1036), wstrzykiwanie procesów (T1055)
Dostęp poświadczeń (TA0006)
Zrzucanie danych uwierzytelniających (T1003), Brute Force (T1110), Przechwytywanie danych wejściowych (T1056)
Odkrycie (TA0007)
Wykrywanie konta (T1087), wykrywanie zaufania domeny (T1482), wykrywanie plików i katalogów (T1083), skanowanie usług sieciowych (T1046), wykrywanie udziałów sieciowych (T1135), zdalne wykrywanie systemu (T1018)
Ruch boczny (TA0008)
Protokół pulpitu zdalnego (T1076), zdalne kopiowanie plików (T1105), udziały administracyjne systemu Windows (T1077)
Kolekcja (TA0009)
Dane z systemu lokalnego (T1005), dane z udostępnionego dysku sieciowego (T1039), dane etapowane (T1074)
Dowodzenie i kontrola (TA0011)
Często używany port (T1043), usługa internetowa (T1102)
Eksfiltracja (TA0010)
Dane skompresowane (T1002), transfer danych do konta w chmurze (T1537)
Uderzenie (TA0040)
Dane szyfrowane pod kątem wpływu (T1486), wstrzymywanie odzyskiwania systemu (T1490)
Źródło: www.habr.com