پرو هوسٽر > بلاگ > انتظاميه > اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو

اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو

اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو

دنيا جي چوڌاري تنظيمن تي ransomware حملن جي ڪاميابي وڌيڪ ۽ وڌيڪ نئين حملي ڪندڙن کي راند ۾ حاصل ڪرڻ جي ترغيب ڏئي رهي آهي. انهن نون رانديگرن مان هڪ هڪ گروپ آهي استعمال ڪندي ProLock ransomware. اهو مارچ 2020 ۾ PwndLocker پروگرام جي جانشين جي طور تي ظاهر ٿيو، جيڪو 2019 جي آخر ۾ ڪم ڪرڻ شروع ڪيو. ProLock ransomware حملا بنيادي طور تي مالي ۽ صحت جي سار سنڀار جي تنظيمن، سرڪاري ادارن، ۽ پرچون شعبي کي نشانو بڻائيندا آهن. حالانڪه، پرو لاڪ آپريٽرز ڪاميابيءَ سان حملو ڪيو سڀ کان وڏي ATM ٺاهيندڙن مان هڪ، Diebold Nixdorf.

هن پوسٽ ۾ Oleg Skulkin، گروپ-IB جي ڪمپيوٽر فارنڪس ليبارٽري جو معروف ماهر، پروڪ آپريٽرز پاران استعمال ڪيل بنيادي حڪمت عمليون، ٽيڪنڪ ۽ طريقا (TTPs) شامل آهن. آرٽيڪل MITER ATT&CK Matrix جي مقابلي سان ختم ٿئي ٿو، هڪ عوامي ڊيٽابيس جيڪو مختلف سائبر ڪرمنل گروپن پاران استعمال ڪيل ٽارگيٽ حملن جي حڪمت عملي کي گڏ ڪري ٿو.

شروعاتي رسائي حاصل ڪرڻ

ProLock آپريٽرز استعمال ڪن ٿا بنيادي سمجھوتي جا ٻه مکيه ویکٹر: QakBot (Qbot) Trojan ۽ غير محفوظ RDP سرورز ڪمزور پاسورڊ سان.

هڪ خارجي طور تي پهچندڙ آر ڊي پي سرور ذريعي سمجهوتو ransomware آپريٽرز جي وچ ۾ تمام گهڻو مشهور آهي. عام طور تي، حملي ڪندڙ ٽئين پارٽين کان سمجھوتي سرور تائين رسائي خريد ڪندا آهن، پر اهو پڻ حاصل ڪري سگهجي ٿو گروپ جي ميمبرن پنهنجي طرفان.

پرائمري سمجھوتي جو ھڪڙو وڌيڪ دلچسپ ویکٹر آھي QakBot مالويئر. اڳي، هي ٽرجن ransomware جي هڪ ٻئي خاندان سان لاڳاپيل هو - MegaCortex. بهرحال، اهو هاڻي استعمال ڪيو ويو آهي ProLock آپريٽرز.

عام طور تي، QakBot فشنگ مهم ذريعي ورهايو ويندو آهي. هڪ فشنگ اي ميل شايد هڪ منسلڪ Microsoft Office دستاويز تي مشتمل هجي يا ڪلائوڊ اسٽوريج سروس ۾ واقع هڪ فائل جي لنڪ، جهڙوڪ Microsoft OneDrive.

اتي پڻ سڃاتل ڪيس آهن QakBot کي لوڊ ڪيو پيو وڃي هڪ ٻئي ٽروجن، ايموٽٽ سان، جيڪو وڏي پيماني تي مشهور آهي ان جي شموليت لاءِ مهمن ۾ جيڪو ورهايو Ryuk ransomware.

ناڪام

هڪ متاثر ٿيل دستاويز کي ڊائون لوڊ ۽ کولڻ کان پوء، صارف کي چيو ويو آهي ته ميڪرو کي هلائڻ جي اجازت ڏيو. جيڪڏهن ڪامياب ٿيو، پاور شيل شروع ڪيو ويو آهي، جيڪو توهان کي حڪم ۽ ڪنٽرول سرور مان QakBot پيل لوڊ ڊائون لوڊ ۽ هلائڻ جي اجازت ڏيندو.

اهو نوٽ ڪرڻ ضروري آهي ته ساڳيو ئي لاڳو ٿئي ٿو ProLock: پيل لوڊ فائل مان ڪڍيو ويو آهي بي ايم پي يا جي پي پي ۽ PowerShell استعمال ڪندي ميموري ۾ لوڊ ڪيو ويو. ڪجهه حالتن ۾، هڪ شيڊول ٿيل ڪم PowerShell کي شروع ڪرڻ لاءِ استعمال ڪيو ويندو آهي.

بيچ اسڪرپٽ ٽاسڪ شيڊولر ذريعي ProLock هلائي رهيو آهي:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

سسٽم ۾ استحڪام

جيڪڏهن اهو ممڪن آهي ته RDP سرور سان سمجهوتو ڪرڻ ۽ رسائي حاصل ڪرڻ، پوء صحيح اڪائونٽ استعمال ڪيا ويندا آهن نيٽ ورڪ تائين رسائي حاصل ڪرڻ لاء. QakBot مختلف قسم جي منسلڪ ميڪانيزم جي خاصيت آهي. گهڻو ڪري، هي ٽرجن استعمال ڪري ٿو رن رجسٽري چيڪ ۽ ڪم ٺاهي ٿو شيڊولر ۾:

اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو
رن رجسٽري ڪيچ استعمال ڪندي قڪبوٽ کي سسٽم ۾ پن ڪرڻ

ڪجهه حالتن ۾، شروعاتي فولڊر پڻ استعمال ڪيا ويا آهن: اتي هڪ شارٽ کٽ رکيل آهي جيڪو بوٽ لوڊر ڏانهن اشارو ڪري ٿو.

پاسو تحفظ

ڪمانڊ ۽ ڪنٽرول سرور سان ڳالھ ٻولھ ڪندي، قڪ بٽ وقتي طور پاڻ کي اپڊيٽ ڪرڻ جي ڪوشش ڪندو آھي، تنھنڪري پتو لڳائڻ کان بچڻ لاءِ، مالويئر پنھنجي موجوده ورزن کي نئين سان تبديل ڪري سگھي ٿو. قابل عمل فائلون سمجھوتي يا جعلي دستخط سان دستخط ٿيل آھن. PowerShell پاران لوڊ ڪيل شروعاتي پيل لوڊ، ايڪسٽينشن سان گڏ C&C سرور تي ذخيرو ٿيل آهي PNG. ان کان سواء، عمل ڪرڻ کان پوء ان کي هڪ جائز فائل سان تبديل ڪيو ويو آهي calc.exe.

انهي سان گڏ، بدسلوڪي سرگرمي کي لڪائڻ لاء، QakBot انجيڪشن ڪوڊ جي ٽيڪنڪ کي پروسيس ۾ استعمال ڪري ٿو، استعمال ڪندي explorer.exe.

جيئن ذڪر ڪيو ويو آهي، پرو لاک پيل لوڊ فائل اندر لڪيل آهي بي ايم پي يا جي پي پي. اهو پڻ سمجهي سگهجي ٿو تحفظ کي نظرانداز ڪرڻ جو طريقو.

سند حاصل ڪرڻ

QakBot ۾ keylogger ڪارڪردگي آهي. ان کان علاوه، اهو اضافي اسڪرپٽ ڊائون لوڊ ۽ هلائي سگھي ٿو، مثال طور، Invoke-Mimikatz، مشهور Mimikatz يوٽيلٽي جو پاور شيل ورزن. اهڙيون اسڪرپٽ استعمال ڪري سگھجن ٿيون حملي آورن کي ڊمپ ڪرڻ لاءِ.

نيٽ ورڪ انٽيليجنس

مراعات يافته اڪائونٽن تائين رسائي حاصل ڪرڻ کان پوءِ، ProLock آپريٽرز نيٽ ورڪ ڳولها ڪندا آهن، جنهن ۾ شامل ٿي سگھي ٿو پورٽ اسڪيننگ ۽ Active Directory ماحول جو تجزيو. مختلف اسڪرپٽ کان علاوه، حملو ڪندڙ AdFind استعمال ڪندا آهن، هڪ ٻيو اوزار جيڪو ransomware گروپن ۾ مشهور آهي، Active Directory بابت معلومات گڏ ڪرڻ لاءِ.

نيٽ ورڪ جي واڌاري

روايتي طور تي، نيٽ ورڪ جي واڌاري جي مشهور طريقن مان هڪ آهي ريموٽ ڊيسڪ ٽاپ پروٽوڪول. ProLock ڪو به استثنا نه هو. حملي آورن وٽ پڻ اسڪرپٽ آهن انهن جي هٿيارن ۾ RDP ذريعي ريموٽ رسائي حاصل ڪرڻ لاءِ ميزبانن کي نشانو بڻائڻ لاءِ.

RDP پروٽوڪول ذريعي رسائي حاصل ڪرڻ لاءِ BAT اسڪرپٽ:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

دور دراز اسڪرپٽ تي عمل ڪرڻ لاء، ProLock آپريٽرز هڪ ٻيو مشهور اوزار استعمال ڪندا آهن، PsExec يوٽيليٽي کان Sysinternals Suite.

ProLock WMIC استعمال ڪندي ھوسٽن تي ھلندو آھي، جيڪو ڪمانڊ لائن انٽرفيس آھي ونڊوز مئنيجمينٽ انسٽرمينٽيشن سب سسٽم سان ڪم ڪرڻ لاءِ. هي اوزار ransomware آپريٽرز جي وچ ۾ پڻ مقبول ٿي رهيو آهي.

ڊيٽا گڏ ڪرڻ

ٻين ڪيترن ئي ransomware آپريٽرز وانگر، گروپ ProLock استعمال ڪندي سمجھوتي نيٽ ورڪ کان ڊيٽا گڏ ڪري ٿو ته جيئن انهن جي تاوان حاصل ڪرڻ جا موقعا وڌي وڃن. exfiltration کان اڳ، گڏ ڪيل ڊيٽا 7Zip استعمال ڪندي محفوظ ڪئي وئي آهي.

ٻاھر ڪڍڻ

ڊيٽا اپلوڊ ڪرڻ لاءِ، ProLock آپريٽرز استعمال ڪندا آهن Rclone، هڪ ڪمانڊ لائين ٽول فائلن کي هم وقت سازي ڪرڻ لاءِ مختلف ڪلائوڊ اسٽوريج سروسز جهڙوڪ OneDrive، Google Drive، Mega، وغيره. حملو ڪندڙ هميشه ايگزيڪيوٽو فائل جو نالو مٽائي ڇڏيندا آهن ته جيئن ان کي جائز سسٽم فائلن وانگر نظر اچي.

انهن جي ساٿين جي برعڪس، ProLock آپريٽرز اڃا تائين انهن جي پنهنجي ويب سائيٽ نه آهي چوري ٿيل ڊيٽا کي شايع ڪرڻ لاء ڪمپنين سان تعلق رکندڙ جيڪي تاوان ادا ڪرڻ کان انڪار ڪيو.

آخري مقصد حاصل ڪرڻ

هڪ دفعو ڊيٽا کي ختم ڪيو ويو آهي، ٽيم سڄي انٽرنيشنل نيٽ ورڪ ۾ پرو لاک کي ترتيب ڏئي ٿو. بائنري فائل کي ايڪسٽينشن سان فائل مان ڪڍيو ويو آهي PNG يا جي پي پي PowerShell استعمال ڪندي ۽ ميموري ۾ داخل ڪيو ويو:

اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو
سڀ کان پهريان، ProLock تعمير ٿيل لسٽ ۾ بيان ڪيل عملن کي ختم ڪري ٿو (دلچسپي سان، اهو صرف پروسيس جي نالي جا ڇهه اکر استعمال ڪري ٿو، جهڙوڪ "winwor")، ۽ خدمتن کي ختم ڪري ٿو، بشمول سيڪيورٽي سان لاڳاپيل، جهڙوڪ CSFalconService ( CrowdStrike Falcon) حڪم استعمال ڪندي نيٽ اسٽاپ.

پوء، جيئن ٻين ڪيترن ئي ransomware خاندانن سان، حملو ڪندڙ استعمال ڪندا آهن vssadmin ونڊوز شيڊ ڪاپي کي ختم ڪرڻ ۽ انهن جي سائيز کي محدود ڪرڻ لاءِ ته جيئن نيون ڪاپيون پيدا نه ٿين:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock واڌارو شامل ڪري ٿو پرلوڪ, .pr0 لاڪ يا .proL0ck هر انڪريپٽ ٿيل فائل ڏانهن ۽ فائل رکي ٿو [فائلن کي ڪيئن حاصل ڪجي].TXT هر فولڊر ڏانهن. هن فائل ۾ هدايتون شامل آهن ته فائلن کي ڪيئن ڊڪريپ ڪيو وڃي، جنهن ۾ هڪ سائيٽ جي لنڪ شامل آهي جتي مقتول کي هڪ منفرد ID داخل ڪرڻ گهرجي ۽ ادائيگي جي معلومات حاصل ڪرڻ گهرجي:

اوپننگ پرو لاڪ: MITER ATT ۽ CK ميٽرڪس استعمال ڪندي نئين ransomware جي آپريٽرز جي عملن جو تجزيو
ProLock جي هر مثال ۾ تاوان جي رقم جي باري ۾ معلومات شامل آهي - هن صورت ۾، 35 bitcoins، جيڪو تقريبن $312 آهي.

ٿڪل

ڪيترائي ransomware آپريٽر استعمال ڪندا آھن ساڳيا طريقا پنھنجا مقصد حاصل ڪرڻ لاءِ. ساڳئي وقت، ڪجهه ٽيڪنالاجي هر گروپ لاء منفرد آهن. في الحال، سائبر ڏوهن جي گروهن جو وڌندڙ تعداد آهي انهن جي مهمن ۾ ransomware استعمال ڪندي. ڪجهه حالتن ۾، ساڳيا آپريٽرز ransomware جي مختلف خاندانن کي استعمال ڪندي حملن ۾ ملوث ٿي سگهن ٿا، تنهنڪري اسان کي استعمال ٿيندڙ حڪمت عملي، ٽيڪنالاجي ۽ طريقيڪار ۾ اوورليپ ڏسڻ ۾ ايندي.

MITER ATT ۽ CK ميپنگ سان ميپنگ

تثوث تاڪيات
ٽيڪنڪ

ابتدائي رسائي (TA0001)
خارجي ريموٽ سروسز (T1133)، اسپيئر فشنگ اٽيچمينٽ (T1193)، اسپيئر فشنگ لنڪ (T1192)

عملدرآمد (TA0002)
پاور شيل (T1086)، اسڪرپٽنگ (T1064)، يوزر ايگزيڪيوشن (T1204)، ونڊوز مئنيجمينٽ انسٽرمينٽيشن (T1047)

استقامت (TA0003)
رجسٽري رن ڪيز / اسٽارٽ اپ فولڊر (T1060)، شيڊول ٿيل ٽاسڪ (T1053)، صحيح اڪائونٽس (T1078)

دفاعي چوري (TA0005)
ڪوڊ سائننگ (T1116)، Deobfuscate/Decode Files or Information (T1140)، سيڪيورٽي ٽولز کي غير فعال ڪرڻ (T1089)، فائل ڊليٽ ڪرڻ (T1107)، ماسڪنگ (T1036)، پروسيس انجيڪشن (T1055)

سندي رسائي (TA0006)
سندي ڊمپنگ (T1003)، برٽ فورس (T1110)، ان پٽ ڪيپچر (T1056)

دريافت (TA0007)
اڪائونٽ دريافت (T1087)، ڊومين ٽرسٽ دريافت (T1482)، فائل ۽ ڊائريڪٽري دريافت (T1083)، نيٽورڪ سروس اسڪيننگ (T1046)، نيٽورڪ شيئر دريافت (T1135)، ريموٽ سسٽم دريافت (T1018)

پسمانده تحريڪ (TA0008)
ريموٽ ڊيسڪ ٽاپ پروٽوڪول (T1076)، ريموٽ فائل ڪاپي (T1105)، ونڊوز ايڊمن شيئرز (T1077)

جمع (TA0009)
مقامي سسٽم مان ڊيٽا (T1005)، نيٽ ورڪ شيئرڊ ڊرائيو مان ڊيٽا (T1039)، ڊيٽا اسٽيج ٿيل (T1074)

حڪم ۽ ڪنٽرول (TA0011)
عام استعمال ٿيل پورٽ (T1043)، ويب سروس (T1102)

ٻاھر ڪڍڻ (TA0010)
ڊيٽا ڪمپريسڊ (T1002)، ڊيٽا کي ڪلائوڊ اڪائونٽ ۾ منتقل ڪريو (T1537)

اثر (TA0040)
ڊيٽا انڪريپٽ ٿيل اثر لاءِ (T1486)، سسٽم جي بحالي کي روڪيو (T1490)

جو ذريعو: www.habr.com

تبصرو شامل ڪريو