O sucesso dos ataques de ransomware em organizações em todo o mundo está fazendo com que cada vez mais novos invasores entrem no jogo. Um desses novos jogadores é um grupo que usa o ransomware ProLock. Surgiu em março de 2020 como sucessor do programa PwndLocker, que começou a operar no final de 2019. Os ataques de ransomware ProLock visam principalmente organizações financeiras e de saúde, agências governamentais e o setor de varejo. Recentemente, os operadores do ProLock atacaram com sucesso um dos maiores fabricantes de caixas eletrônicos, a Diebold Nixdorf.
Nesta postagem Oleg Skulkin, especialista líder do Laboratório de Computação Forense do Grupo-IB, abrange as táticas, técnicas e procedimentos básicos (TTPs) usados pelos operadores ProLock. O artigo conclui com uma comparação com o MITRE ATT&CK Matrix, um banco de dados público que compila táticas de ataque direcionado usadas por vários grupos cibercriminosos.
Obtendo acesso inicial
Os operadores do ProLock usam dois vetores principais de comprometimento primário: o Trojan QakBot (Qbot) e servidores RDP desprotegidos com senhas fracas.
O comprometimento por meio de um servidor RDP acessível externamente é extremamente popular entre os operadores de ransomware. Normalmente, os invasores compram acesso a um servidor comprometido de terceiros, mas ele também pode ser obtido por membros do grupo por conta própria.
Um vetor mais interessante de comprometimento primário é o malware QakBot. Anteriormente, este Trojan estava associado a outra família de ransomware - MegaCortex. No entanto, agora é usado por operadores ProLock.
Normalmente, o QakBot é distribuído por meio de campanhas de phishing. Um e-mail de phishing pode conter um documento anexado do Microsoft Office ou um link para um arquivo localizado em um serviço de armazenamento em nuvem, como o Microsoft OneDrive.
Também há casos conhecidos de carregamento do QakBot com outro Trojan, o Emotet, que é amplamente conhecido por sua participação em campanhas que distribuíram o ransomware Ryuk.
Atuação
Depois de baixar e abrir um documento infectado, o usuário é solicitado a permitir a execução de macros. Se for bem-sucedido, o PowerShell será iniciado, o que permitirá baixar e executar a carga QakBot do servidor de comando e controle.
É importante observar que o mesmo se aplica ao ProLock: a carga útil é extraída do arquivo BMP ou JPG e carregado na memória usando o PowerShell. Em alguns casos, uma tarefa agendada é usada para iniciar o PowerShell.
Script em lote executando o ProLock por meio do agendador de tarefas:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batConsolidação no sistema
Se for possível comprometer o servidor RDP e obter acesso, serão usadas contas válidas para obter acesso à rede. QakBot é caracterizado por uma variedade de mecanismos de fixação. Na maioria das vezes, esse Trojan usa a chave de registro Run e cria tarefas no agendador:
Fixando Qakbot no sistema usando a chave de registro Executar
Em alguns casos, pastas de inicialização também são usadas: lá é colocado um atalho que aponta para o bootloader.
Proteção de desvio
Ao se comunicar com o servidor de comando e controle, o QakBot tenta atualizar-se periodicamente, portanto, para evitar a detecção, o malware pode substituir sua própria versão atual por uma nova. Os arquivos executáveis são assinados com uma assinatura comprometida ou forjada. A carga inicial carregada pelo PowerShell é armazenada no servidor C&C com a extensão PNG. Além disso, após a execução ele é substituído por um arquivo legítimo calc.exe.
Além disso, para ocultar atividades maliciosas, o QakBot utiliza a técnica de injeção de código em processos, usando explorer.exe.
Conforme mencionado, a carga útil do ProLock está oculta dentro do arquivo BMP ou JPG. Isto também pode ser considerado como um método de contornar a proteção.
Obtenção de credenciais
QakBot possui funcionalidade de keylogger. Além disso, ele pode baixar e executar scripts adicionais, por exemplo, Invoke-Mimikatz, uma versão PowerShell do famoso utilitário Mimikatz. Esses scripts podem ser usados por invasores para despejar credenciais.
Inteligência de rede
Depois de obter acesso a contas privilegiadas, os operadores do ProLock realizam o reconhecimento da rede, que pode incluir varredura de portas e análise do ambiente do Active Directory. Além de vários scripts, os invasores usam o AdFind, outra ferramenta popular entre grupos de ransomware, para coletar informações sobre o Active Directory.
Promoção de rede
Tradicionalmente, um dos métodos mais populares de promoção de rede é o Remote Desktop Protocol. O ProLock não foi exceção. Os invasores ainda têm scripts em seu arsenal para obter acesso remoto via RDP aos hosts alvo.
Script BAT para obter acesso via protocolo RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Para executar scripts remotamente, os operadores do ProLock usam outra ferramenta popular, o utilitário PsExec do Sysinternals Suite.
O ProLock é executado em hosts usando WMIC, que é uma interface de linha de comando para trabalhar com o subsistema Windows Management Instrumentation. Esta ferramenta também está se tornando cada vez mais popular entre os operadores de ransomware.
Coleta de dados
Como muitos outros operadores de ransomware, o grupo que usa o ProLock coleta dados de uma rede comprometida para aumentar suas chances de receber um resgate. Antes da exfiltração, os dados coletados são arquivados usando o utilitário 7Zip.
Exfiltração
Para fazer upload de dados, os operadores do ProLock usam Rclone, uma ferramenta de linha de comando projetada para sincronizar arquivos com vários serviços de armazenamento em nuvem, como OneDrive, Google Drive, Mega, etc.
Ao contrário dos seus pares, os operadores ProLock ainda não têm um site próprio para publicar dados roubados pertencentes a empresas que se recusaram a pagar o resgate.
Alcançando o objetivo final
Depois que os dados são exfiltrados, a equipe implanta o ProLock em toda a rede corporativa. O arquivo binário é extraído de um arquivo com a extensão PNG ou JPG usando PowerShell e injetado na memória:
Em primeiro lugar, o ProLock encerra os processos especificados na lista interna (curiosamente, ele usa apenas as seis letras do nome do processo, como "winwor") e encerra serviços, incluindo aqueles relacionados à segurança, como CSFalconService ( CrowdStrike Falcon) usando o comando parada net.
Então, como acontece com muitas outras famílias de ransomware, os invasores usam vssadmin para excluir cópias de sombra do Windows e limitar seu tamanho para que novas cópias não sejam criadas:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock adiciona extensão .proLock, .pr0Lock ou .proL0ck para cada arquivo criptografado e coloca o arquivo [COMO RECUPERAR ARQUIVOS].TXT para cada pasta. Este arquivo contém instruções sobre como descriptografar os arquivos, incluindo um link para um site onde a vítima deve inserir uma ID exclusiva e receber informações de pagamento:
Cada instância do ProLock contém informações sobre o valor do resgate – neste caso, 35 bitcoins, o que equivale a aproximadamente US$ 312.
Conclusão
Muitos operadores de ransomware usam métodos semelhantes para atingir seus objetivos. Ao mesmo tempo, algumas técnicas são exclusivas de cada grupo. Atualmente, há um número crescente de grupos cibercriminosos que utilizam ransomware em suas campanhas. Em alguns casos, os mesmos operadores podem estar envolvidos em ataques que utilizam diferentes famílias de ransomware, pelo que veremos cada vez mais sobreposições nas táticas, técnicas e procedimentos utilizados.
Mapeamento com mapeamento MITRE ATT&CK
Tática
Técnica
Acesso Inicial (TA0001)
Serviços remotos externos (T1133), anexo de spearphishing (T1193), link de spearphishing (T1192)
Execução (TA0002)
Powershell (T1086), Scripting (T1064), Execução do usuário (T1204), Instrumentação de gerenciamento do Windows (T1047)
Persistência (TA0003)
Chaves de execução do registro/pasta de inicialização (T1060), tarefa agendada (T1053), contas válidas (T1078)
Evasão de Defesa (TA0005)
Assinatura de código (T1116), desofuscação/decodificação de arquivos ou informações (T1140), desativação de ferramentas de segurança (T1089), exclusão de arquivo (T1107), mascaramento (T1036), injeção de processo (T1055)
Credencial de acesso (TA0006)
Dumping de credenciais (T1003), força bruta (T1110), captura de entrada (T1056)
Descoberta (TA0007)
Descoberta de conta (T1087), descoberta de confiança de domínio (T1482), descoberta de arquivos e diretórios (T1083), verificação de serviço de rede (T1046), descoberta de compartilhamento de rede (T1135), descoberta de sistema remoto (T1018)
Movimento Lateral (TA0008)
Protocolo de área de trabalho remota (T1076), cópia remota de arquivos (T1105), compartilhamentos de administração do Windows (T1077)
Coleção (TA0009)
Dados do sistema local (T1005), dados da unidade compartilhada de rede (T1039), dados preparados (T1074)
Comando e Controle (TA0011)
Porta comumente usada (T1043), serviço Web (T1102)
Exfiltração (TA0010)
Dados compactados (T1002), transferência de dados para conta na nuvem (T1537)
Impacto (TA0040)
Dados criptografados para impacto (T1486), inibição da recuperação do sistema (T1490)
Fonte: habr.com