ProHoster > بلاګ > اداره > د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل

د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل

د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل

د نړۍ په ګوټ ګوټ کې سازمانونو باندې د ransomware بریدونو بریا ډیر او نوي برید کونکي هڅوي چې لوبې ته راشي. یو له دې نوي لوبغاړو څخه یوه ډله ده چې د ProLock ransomware کاروي. دا د 2020 په مارچ کې د PwndLocker برنامه د جانشین په توګه څرګند شو ، کوم چې د 2019 په پای کې فعالیت پیل کړ. د ProLock ransomware بریدونه اساسا مالي او روغتیایی سازمانونه ، دولتي ادارې او پرچون سکتور په نښه کوي. پدې وروستیو کې ، د پرو لاک آپریټرانو په بریالیتوب سره یو له لوی ATM جوړونکو څخه برید وکړ ، ډیابولډ نیکسډورف.

په دې پوسټ کې Oleg Skulkin، د ګروپ-IB د کمپیوټر عدلي لابراتوار مخکښ متخصص، د پرو لاک آپریټرانو لخوا کارول شوي لومړني تاکتیکونه ، تخنیکونه او پروسیجرونه (TTPs) پوښي. مقاله د MITER ATT&CK Matrix سره پرتله کولو سره پای ته رسیږي، یو عامه ډیټابیس چې د هدفي بریدونو تاکتیکونه راټولوي چې د مختلف سایبر جرمي ډلو لخوا کارول کیږي.

ابتدايي لاسرسۍ ترلاسه کول

د پرو لاک آپریټرونه د لومړني جوړجاړي دوه اصلي ویکتورونه کاروي: قاک بوټ (Qbot) ټروجن او غیر خوندي RDP سرورونه د ضعیف پاسورډونو سره.

د بهرني لاسرسي وړ RDP سرور له لارې جوړجاړی د ransomware آپریټرانو ترمنځ خورا مشهور دی. عموما، برید کونکي د دریمې ډلې څخه جوړ شوي سرور ته لاسرسۍ اخلي، مګر دا د ډلې غړو لخوا پخپله هم ترلاسه کیدی شي.

د لومړني جوړجاړي یو ډیر په زړه پوري ویکتور د قاک بوټ مالویر دی. مخکې، دا Trojan د ransomware د بلې کورنۍ سره تړاو درلود - MegaCortex. په هرصورت، دا اوس د ProLock آپریټرانو لخوا کارول کیږي.

عموما، قاک بوټ د فشینګ کمپاینونو له لارې ویشل کیږي. یو فشینګ بریښنالیک ممکن د مایکروسافټ دفتر ضمیمه سند ولري یا د کلاوډ ذخیره کولو خدمت کې موقعیت لرونکي فایل ته لینک ولري ، لکه د مایکروسافټ OneDrive.

د قاک بوټ د بل ټروجن، ایموټیټ سره د بارولو پیژندل شوي قضیې هم شتون لري، کوم چې په پراخه توګه په کمپاینونو کې د هغې د ګډون لپاره پیژندل کیږي چې د Ryuk ransomware ویشلي.

بشپړول

د اخته شوي سند ډاونلوډ او خلاصولو وروسته ، کارونکي ته هڅول کیږي چې میکرو ته اجازه ورکړي. که بریالی وي، PowerShell په لاره اچول کیږي، کوم چې تاسو ته اجازه درکوي چې د کمانډ او کنټرول سرور څخه د QakBot پایلوډ ډاونلوډ او چل کړئ.

دا مهمه ده چې په یاد ولرئ چې ورته په پرو لاک کې پلي کیږي: د تادیې بار له فایل څخه ایستل شوی BMP او یا JPG او د PowerShell په کارولو سره په حافظه کې بار شوی. په ځینو مواردو کې، د PowerShell پیل کولو لپاره ټاکل شوی دنده کارول کیږي.

د بست سکریپټ د ټاسک شیډولر له لارې پرو لاک چلوي:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

په سیسټم کې یووالی

که چیرې دا ممکنه وي چې د RDP سرور سره موافقت وکړي او لاسرسی ترلاسه کړي، نو بیا باوري حسابونه د شبکې ته د لاسرسي لپاره کارول کیږي. QakBot د مختلف ضمیمه میکانیزمونو لخوا مشخص شوی. ډیری وختونه ، دا ټروجن د چلولو راجسټری کیلي کاروي او په مهالویش کې دندې رامینځته کوي:

د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل
د چلولو راجسټری کیلي په کارولو سره سیسټم ته قاکبوټ پین کول

په ځینو مواردو کې، د پیل فولډر هم کارول کیږي: یو شارټ کټ هلته ځای پرځای شوی چې بوټلوډر ته اشاره کوي.

د بای پاس محافظت

د کمانډ او کنټرول سرور سره په اړیکه کولو سره، قاک بوټ وخت په وخت هڅه کوي خپل ځان تازه کړي، نو د دې لپاره چې د کشف څخه مخنیوی وشي، مالویر کولی شي خپل اوسنی نسخه له نوي سره بدل کړي. د اجرا وړ فایلونه د جوړ شوي یا جعلي لاسلیک سره لاسلیک شوي. د پاور شیل لخوا بار شوي لومړني تادیه د تمدید سره په C&C سرور کې زیرمه کیږي PNG. برسېره پردې، د اعدام وروسته دا د مشروع فایل سره بدل شوی calc.exe.

همدارنګه، د ناوړه فعالیت پټولو لپاره، قاک بوټ په پروسو کې د کوډ داخلولو تخنیک کاروي، په کارولو سره explorer.exe.

لکه څنګه چې یادونه وشوه، د پرو لاک پیلډ د فایل دننه پټ دی BMP او یا JPG. دا د محافظت څخه د تیریدو یوه طریقه هم ګڼل کیدی شي.

د اسنادو ترلاسه کول

QakBot د keylogger فعالیت لري. سربیره پردې، دا کولی شي اضافي سکریپټونه ډاونلوډ او چل کړي، د بیلګې په توګه، Invoke-Mimikatz، د مشهور Mimikatz افادیت د پاور شیل نسخه. دا ډول سکریپټونه د برید کونکو لخوا د اعتبارونو ډمپ کولو لپاره کارول کیدی شي.

د شبکې استخبارات

امتیازي حسابونو ته د لاسرسي ترلاسه کولو وروسته ، د پرو لاک آپریټران د شبکې کشف ترسره کوي ، پدې کې ممکن د پورټ سکین کول او د فعال لارښود چاپیریال تحلیل شامل وي. د مختلف سکریپټونو سربیره ، برید کونکي د فعال لارښود په اړه معلوماتو راټولولو لپاره د ransomware ګروپونو ترمینځ بل مشهور وسیله AdFind کاروي.

د شبکې ترویج

په دودیز ډول، د شبکې ترویج یو له خورا مشهور میتودونو څخه د ریموټ ډیسټاپ پروتوکول دی. پرو لاک هیڅ استثنا نه وه. برید کونکي حتی په خپلو وسلو کې سکریپټونه لري ترڅو د کوربه په نښه کولو لپاره د RDP له لارې لرې لاسرسی ترلاسه کړي.

د RDP پروتوکول له لارې د لاسرسي ترلاسه کولو لپاره د BAT سکریپټ:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

د لیرې سکریپټونو اجرا کولو لپاره ، د پرو لاک آپریټرونه یو بل مشهور وسیله کاروي ، د سیسینټرنلز سویټ څخه PsExec یوټیلیټ.

پرو لاک د WMIC په کارولو سره په کوربه توب چلیږي ، کوم چې د وینډوز مدیریت وسیلو فرعي سیسټم سره کار کولو لپاره د کمانډ لاین انٹرفیس دی. دا وسیله د ransomware آپریټرانو ترمنځ په زیاتیدونکي توګه مشهور کیږي.

د معلوماتو راټولول

د ډیری نورو ransomware آپریټرانو په څیر، د پرو لاک کارولو ګروپ د جوړ شوي شبکې څخه ډاټا راټولوي ترڅو د دوی د تاوان ترلاسه کولو امکانات زیات کړي. د ایستلو دمخه ، راټول شوي معلومات د 7Zip یوټیلیټ په کارولو سره آرشیف شوي.

exfiltration

د ډیټا اپلوډ کولو لپاره ، پرو لاک آپریټرونه Rclone کاروي ، د کمانډ لاین وسیله چې د مختلف کلاوډ ذخیره کولو خدماتو لکه OneDrive ، ګوګل ډرایو ، میګا او داسې نورو سره فایلونه همغږي کولو لپاره ډیزاین شوي. برید کونکي تل د اجرا وړ فایل نوم بدلوي ترڅو دا د قانوني سیسټم فایلونو په څیر ښکاري.

د دوی د همکارانو برخلاف ، د پرو لاک آپریټران لاهم خپله ویب پا نده نلري ترڅو د شرکتونو پورې اړوند غلا شوي ډیټا خپاره کړي چې د پیسو ورکولو څخه یې انکار کړی.

وروستی هدف ترلاسه کول

یوځل چې ډاټا پراخه شي ، ټیم د تصدۍ شبکې په اوږدو کې پرو لاک ځای په ځای کوي. د بائنری فایل د توسیع سره د فایل څخه ایستل کیږي PNG او یا JPG د PowerShell کارول او په حافظه کې داخل شوي:

د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل
تر ټولو لومړی، ProLock په جوړ شوي لیست کې مشخص شوي پروسې پای ته رسوي (په زړه پورې، دا یوازې د پروسې نوم شپږ توري کاروي، لکه "winwor")، او خدمتونه لغوه کوي، په شمول د امنیت پورې اړوند، لکه CSFalconService ( CrowdStrike Falcon) د کمانډ په کارولو سره خالص سټاپ.

بیا ، لکه د ډیری نورو ransomware کورنیو سره ، برید کونکي کاروي vssadmin د وینډوز سیوري کاپي حذف کړئ او د دوی اندازه محدود کړئ ترڅو نوي کاپيونه رامینځته نشي:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock توسیع زیاتوي .proLock, .pr0لاک او یا .proL0ck هر کوډ شوي فایل ته او فایل ځای په ځای کړئ [د فایلونو بیرته ترلاسه کولو څرنګوالی].TXT هر فولډر ته. دا فایل د فایلونو د کوډ کولو څرنګوالي په اړه لارښوونې لري، په شمول د هغه سایټ لینک چې قرباني باید یو ځانګړی ID داخل کړي او د پیسو معلومات ترلاسه کړي:

د پرو لاک خلاصول: د MITER ATT او CK میټریکس په کارولو سره د نوي رینسم ویئر آپریټرانو د کړنو تحلیل
د پرو لاک هره بیلګه د تاوان مقدار په اړه معلومات لري - پدې حالت کې، 35 بټکوین، چې نږدې $ 312 دی.

پایلې

ډیری ransomware چلونکي د خپلو اهدافو ترلاسه کولو لپاره ورته میتودونه کاروي. په ورته وخت کې، ځینې تخنیکونه د هرې ډلې لپاره ځانګړي دي. اوس مهال، د سایبر جرمي ډلو مخ په زیاتیدونکي شمیر شتون لري چې په خپلو کمپاینونو کې د ransomware کاروي. په ځینو مواردو کې، ورته چلونکي ممکن د ransomware د مختلفو کورنیو په کارولو سره په بریدونو کې ښکیل وي، نو موږ به په زیاتیدونکي توګه د کارول شوي تاکتیکونو، تخنیکونو او پروسیجرونو کې زیاتوالی وګورو.

د MITER ATT او CK نقشه کولو سره نقشه کول

تکتیک
Technique

ابتدايي لاسرسی (TA0001)
بهرنۍ ریموټ خدمتونه (T1133)، د سپیرفیشینګ ضمیمه (T1193)، سپیرفیشینګ لینک (T1192)

اجرا (TA0002)
پاورشیل (T1086)، سکریپټینګ (T1064)، د کاروونکي اجرا (T1204)، د وینډوز مدیریت وسیله (T1047)

دوام (TA0003)
د راجسټری چلولو کیلي / د پیل فولډر (T1060)، مهال ویش (T1053)، معتبر حسابونه (T1078)

دفاعی تیری (TA0005)
د کوډ لاسلیک کول (T1116)، Deobfuscate/Decode فایلونه یا معلومات (T1140)، د امنیتي وسیلو غیر فعال کول (T1089)، د فایل حذف کول (T1107)، ماسکریډینګ (T1036)، پروسس انجکشن (T1055)

د اعتبار وړ لاسرسی (TA0006)
د اعتبار وړ ډمپینګ (T1003)، وحشي ځواک (T1110)، ان پټ نیول (T1056)

کشف (TA0007)
د حساب کشف (T1087)، د ډومین باور کشف (T1482)، د فایل او لارښود کشف (T1083)، د شبکې خدماتو سکینګ (T1046)، د شبکې شریکول کشف (T1135)، د ریموټ سیسټم کشف (T1018)

ورو ورو حرکت (TA0008)
د ریموټ ډیسټاپ پروتوکول (T1076)، د ریموټ فایل کاپي (T1105)، د وینډوز اډمین شریکونه (T1077)

کلکسیون (TA0009)
د محلي سیسټم څخه ډاټا (T1005)، د شبکې شریک شوي ډرایو څخه ډاټا (T1039)، ډاټا سټیج شوي (T1074)

قومانده او کنټرول (TA0011)
په عام ډول کارول شوي پورټ (T1043)، ویب خدمت (T1102)

اخراج (TA0010)
ډیټا کمپریس شوی (T1002) ، د کلاوډ حساب ته ډیټا لیږدول (T1537)

اغیزه (TA0040)
د اغیزو لپاره کوډ شوی ډاټا (T1486)، د سیسټم بیا رغونه منع کول (T1490)

سرچینه: www.habr.com

Add a comment