ProLock විවෘත කිරීම: MITER ATT&CK අනුකෘතිය භාවිතයෙන් නව ransomware හි ක්‍රියාකරුවන්ගේ ක්‍රියා විශ්ලේෂණය කිරීම

ලොව පුරා සංවිධානවලට ransomware ප්‍රහාරවල සාර්ථකත්වය වැඩි වැඩියෙන් නව ප්‍රහාරකයින් ක්‍රීඩාවට පිවිසීමට පොළඹවයි. මෙම නව ක්‍රීඩකයන්ගෙන් එකක් ProLock ransomware භාවිතා කරන කණ්ඩායමකි. එය 2020 අවසානයේ ක්‍රියාත්මක වීමට පටන් ගත් PwndLocker වැඩසටහනේ අනුප්‍රාප්තිකයා ලෙස 2019 මාර්තු මාසයේදී දර්ශනය විය. ProLock ransomware ප්‍රහාර මූලික වශයෙන් ඉලක්ක කරන්නේ මූල්‍ය සහ සෞඛ්‍ය සේවා සංවිධාන, රාජ්‍ය ආයතන සහ සිල්ලර අංශයයි. මෑතකදී, ProLock ක්රියාකරුවන් විශාලතම ATM නිෂ්පාදකයෙකු වන Diebold Nixdorf වෙත සාර්ථකව පහර දුන්හ.

මෙම තනතුරේ IB කාණ්ඩයේ පරිගණක අධිකරණ වෛද්‍ය විද්‍යාගාරයේ ප්‍රමුඛ විශේෂඥ ඔලෙග් ස්කුල්කින්, ProLock ක්රියාකරුවන් විසින් භාවිතා කරන මූලික උපක්රම, තාක්ෂණික ක්රම සහ ක්රියා පටිපාටි (TTPs) ආවරණය කරයි. විවිධ සයිබර් අපරාධ කණ්ඩායම් විසින් භාවිතා කරන ඉලක්කගත ප්‍රහාරක උපක්‍රම සම්පාදනය කරන පොදු දත්ත ගබඩාවක් වන MITER ATT&CK Matrix සමඟ සැසඳීමෙන් ලිපිය අවසන් වේ.

මූලික ප්රවේශය ලබා ගැනීම

ProLock ක්‍රියාකරුවන් ප්‍රාථමික සම්මුතියේ ප්‍රධාන දෛශික දෙකක් භාවිතා කරයි: QakBot (Qbot) Trojan සහ දුර්වල මුරපද සහිත අනාරක්ෂිත RDP සේවාදායකයන්.

බාහිරව ප්‍රවේශ විය හැකි RDP සේවාදායකයක් හරහා සම්මුතියක් ransomware ක්‍රියාකරුවන් අතර අතිශයින් ජනප්‍රියයි. සාමාන්‍යයෙන්, ප්‍රහාරකයින් තෙවන පාර්ශවයන්ගෙන් සම්මුතියට පත් සේවාදායකයකට ප්‍රවේශය මිලදී ගනී, නමුත් එය කණ්ඩායම් සාමාජිකයින්ට ඔවුන් විසින්ම ලබා ගත හැකිය.

ප්‍රාථමික සම්මුතියේ වඩාත් සිත්ගන්නා දෛශිකයක් වන්නේ QakBot අනිෂ්ට මෘදුකාංගයයි. මීට පෙර, මෙම ට්‍රෝජන් තවත් ransomware පවුලක් සමඟ සම්බන්ධ විය - MegaCortex. කෙසේ වෙතත්, එය දැන් ProLock ක්රියාකරුවන් විසින් භාවිතා කරනු ලැබේ.

සාමාන්‍යයෙන්, QakBot බෙදා හරිනු ලබන්නේ තතුබෑම් ව්‍යාපාර හරහා ය. තතුබෑම් විද්‍යුත් තැපෑලක අමුණා ඇති Microsoft Office ලේඛනයක් හෝ Microsoft OneDrive වැනි ක්ලවුඩ් ගබඩා සේවාවක ඇති ගොනුවකට සබැඳියක් අඩංගු විය හැක.

Ryuk ransomware බෙදා හරින ලද ව්‍යාපාරවලට සහභාගී වීම සඳහා පුළුල් ලෙස ප්‍රසිද්ධියට පත් වූ QakBot තවත් Trojan, Emotet සමඟ පටවා ඇති අවස්ථා ද ඇත.

කාර්ය සාධනය

ආසාදිත ලේඛනයක් බාගත කර විවෘත කිරීමෙන් පසු, මැක්‍රෝස් ක්‍රියාත්මක වීමට ඉඩ දෙන ලෙස පරිශීලකයාගෙන් විමසනු ලැබේ. සාර්ථක නම්, PowerShell දියත් කරනු ලැබේ, එමඟින් ඔබට විධාන සහ පාලන සේවාදායකයෙන් QakBot ගෙවීම බාගත කර ධාවනය කිරීමට ඉඩ සලසයි.

ProLock සඳහාද එයම අදාළ වන බව සැලකිල්ලට ගැනීම වැදගත්ය: ගෙවීම ගොනුවෙන් උපුටා ගන්නා ලදී BMP හෝ JPG සහ PowerShell භාවිතයෙන් මතකයට පටවනු ලැබේ. සමහර අවස්ථාවලදී, PowerShell ආරම්භ කිරීමට නියමිත කාර්යයක් භාවිතා කරයි.

කාර්ය කාලසටහන හරහා ProLock ධාවනය වන කණ්ඩායම් ස්ක්‍රිප්ට්:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

පද්ධතිය තුළ ඒකාබද්ධ කිරීම

RDP සේවාදායකයට සම්මුතියක් ඇති කර ප්‍රවේශය ලබා ගැනීමට හැකි නම්, ජාලයට ප්‍රවේශය ලබා ගැනීම සඳහා වලංගු ගිණුම් භාවිතා කරනු ලැබේ. QakBot විවිධ ඇමුණුම් යාන්ත්‍රණ මගින් සංලක්ෂිත වේ. බොහෝ විට, මෙම ට්‍රෝජන් ධාවන රෙජිස්ට්‍රි යතුර භාවිතා කරන අතර උපලේඛකයේ කාර්යයන් නිර්මාණය කරයි:

ධාවන රෙජිස්ට්‍රි යතුර භාවිතයෙන් Qakbot පද්ධතියට සම්බන්ධ කිරීම

සමහර අවස්ථාවලදී, ආරම්භක ෆෝල්ඩර ද භාවිතා වේ: ඇරඹුම් කාරකය වෙත යොමු වන කෙටිමඟක් එහි තබා ඇත.

බයිපාස් ආරක්ෂාව

විධාන සහ පාලන සේවාදායකය සමඟ සන්නිවේදනය කිරීමෙන්, QakBot වරින් වර යාවත්කාලීන කිරීමට උත්සාහ කරයි, එබැවින් හඳුනා ගැනීම වළක්වා ගැනීම සඳහා, අනිෂ්ට මෘදුකාංගයට එහි වත්මන් අනුවාදය නව එකක් සමඟ ප්‍රතිස්ථාපනය කළ හැකිය. ක්‍රියාත්මක කළ හැකි ලිපිගොනු සම්මුතිගත හෝ ව්‍යාජ අත්සනකින් අත්සන් කර ඇත. PowerShell විසින් පූරණය කරන ලද මූලික ගෙවීම, දිගුව සමඟ C&C සේවාදායකයේ ගබඩා කර ඇත PNG. ඊට අමතරව, ක්රියාත්මක කිරීමෙන් පසුව එය නීත්යානුකූල ගොනුවක් සමඟ ප්රතිස්ථාපනය වේ calc.exe.

එසේම, අනිෂ්ට ක්‍රියාකාරකම් සැඟවීමට, QakBot භාවිතා කරමින් ක්‍රියාවලි වලට කේතය එන්නත් කිරීමේ තාක්ෂණය භාවිතා කරයි. ගවේෂණය කරන්න.

සඳහන් කළ පරිදි, ProLock ගෙවීම ගොනුව තුළ සඟවා ඇත BMP හෝ JPG. මෙය ආරක්‍ෂාව මඟ හැරීමේ ක්‍රමයක් ලෙස ද සැලකිය හැකිය.

අක්තපත්ර ලබා ගැනීම

QakBot සතුව Keylogger ක්‍රියාකාරීත්වයක් ඇත. ඊට අමතරව, එය අතිරේක ස්ක්‍රිප්ට් බාගත කර ධාවනය කළ හැකිය, උදාහරණයක් ලෙස, සුප්‍රසිද්ධ Mimikatz උපයෝගීතාවයේ PowerShell අනුවාදයක් වන Invoke-Mimikatz. එවැනි ස්ක්‍රිප්ට් අක්තපත්‍ර බැහැර කිරීමට ප්‍රහාරකයන්ට භාවිතා කළ හැක.

ජාල බුද්ධිය

වරප්‍රසාදිත ගිණුම් වෙත ප්‍රවේශය ලබා ගැනීමෙන් පසු, ProLock ක්‍රියාකරුවන් ජාල ඔත්තු බැලීම සිදු කරයි, එයට වරාය පරිලෝකනය සහ සක්‍රීය නාමාවලි පරිසරය විශ්ලේෂණය ඇතුළත් විය හැකිය. විවිධ ස්ක්‍රිප්ට් වලට අමතරව, ප්‍රහාරකයින් ක්‍රියාකාරී නාමාවලිය පිළිබඳ තොරතුරු රැස් කිරීම සඳහා ransomware කණ්ඩායම් අතර ජනප්‍රිය තවත් මෙවලමක් වන AdFind භාවිතා කරයි.

ජාල ප්රවර්ධනය

සම්ප්‍රදායිකව, ජාල ප්‍රවර්ධනයේ වඩාත් ජනප්‍රිය ක්‍රමයක් වන්නේ දුරස්ථ ඩෙස්ක්ටොප් ප්‍රොටෝකෝලයයි. ProLock ව්යතිරේකයක් නොවීය. ප්‍රහාරකයන්ට ධාරක ඉලක්ක කිරීමට RDP හරහා දුරස්ථ ප්‍රවේශය ලබා ගැනීමට ඔවුන්ගේ අවි ගබඩාවේ ස්ක්‍රිප්ට් පවා තිබේ.

RDP ප්‍රොටෝකෝලය හරහා ප්‍රවේශය ලබා ගැනීම සඳහා BAT ස්ක්‍රිප්ට්:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

ස්ක්‍රිප්ට් දුරස්ථව ක්‍රියාත්මක කිරීමට, ProLock ක්‍රියාකරුවන් තවත් ජනප්‍රිය මෙවලමක් භාවිතා කරයි, Sysinternals Suite වෙතින් PsExec උපයෝගීතාව.

ProLock Windows Management Instrumentation උපපද්ධතිය සමඟ වැඩ කිරීම සඳහා විධාන රේඛා අතුරු මුහුණතක් වන WMIC භාවිතයෙන් ධාරක මත ධාවනය වේ. මෙම මෙවලම ransomware ක්‍රියාකරුවන් අතර වැඩි වැඩියෙන් ජනප්‍රිය වෙමින් පවතී.

දත්ත එකතුව

වෙනත් බොහෝ කප්පම් මෘදුකාංග ක්‍රියාකරුවන් මෙන්ම, ProLock භාවිතා කරන කණ්ඩායමද සම්මුති ජාලයකින් දත්ත රැස්කර ඔවුන්ගේ කප්පම් ලැබීමේ අවස්ථා වැඩි කරයි. ඉවත් කිරීමට පෙර, එකතු කරන ලද දත්ත 7Zip උපයෝගීතාව භාවිතයෙන් සංරක්ෂණය කර ඇත.

පිටකිරීම

දත්ත උඩුගත කිරීම සඳහා, ProLock ක්‍රියාකරුවන් විසින් OneDrive, Google Drive, Mega වැනි විවිධ ක්ලවුඩ් ආචයන සේවා සමඟ ගොනු සමමුහුර්ත කිරීමට නිර්මාණය කර ඇති විධාන රේඛා මෙවලමක් වන Rclone භාවිතා කරයි. ප්‍රහාරකයන් සෑම විටම ක්‍රියාත්මක කළ හැකි ගොනුව නීත්‍යානුකූල පද්ධති ගොනු ලෙස පෙනෙන පරිදි නැවත නම් කරයි.

ඔවුන්ගේ සම වයසේ මිතුරන් මෙන් නොව, කප්පම් ගෙවීම ප්‍රතික්ෂේප කළ සමාගම්වලට අයත් සොරකම් කළ දත්ත ප්‍රකාශයට පත් කිරීමට ProLock ක්‍රියාකරුවන්ට තවමත් ඔවුන්ගේම වෙබ් අඩවියක් නොමැත.

අවසාන ඉලක්කය සපුරා ගැනීම

දත්ත නිස්සාරණය කළ පසු, කණ්ඩායම ව්‍යවසාය ජාලය පුරා ProLock යොදවයි. ද්විමය ගොනුව දිගුව සහිත ගොනුවකින් උපුටා ගන්නා ලදී PNG හෝ JPG PowerShell භාවිතා කර මතකයට එන්නත් කිරීම:

පළමුවෙන්ම, ProLock විසින් බිල්ට් ලැයිස්තුවේ දක්වා ඇති ක්‍රියාවලීන් අවසන් කරයි (රසවත් ලෙස, එය "winwor" වැනි ක්‍රියාවලි නාමයේ අකුරු හයක් පමණක් භාවිතා කරයි), සහ CSFalconService වැනි ආරක්ෂාවට අදාළ සේවාවන් ඇතුළු සේවාවන් අවසන් කරයි ( CrowdStrike Falcon) විධානය භාවිතා කරයි ශුද්ධ නැවතුම.

එවිට, වෙනත් බොහෝ ransomware පවුල් මෙන්, ප්‍රහාරකයින් භාවිතා කරයි vssadmin වින්ඩෝස් සෙවනැලි පිටපත් මකා දැමීමට සහ නව පිටපත් නිර්මාණය නොවන පරිදි ඒවායේ ප්‍රමාණය සීමා කිරීමට:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock දිගුව එක් කරයි .proLock, .pr0Lock හෝ .proL0ck එක් එක් සංකේතාත්මක ගොනුවකට සහ ගොනුව ස්ථානගත කරන්න [ගොනු ප්‍රතිසාධනය කරන්නේ කෙසේද].TXT එක් එක් ෆෝල්ඩරය වෙත. වින්දිතයා අනන්‍ය හැඳුනුම්පතක් ඇතුළත් කර ගෙවීම් තොරතුරු ලබා ගත යුතු අඩවියකට සබැඳියක් ඇතුළුව, ගොනු විකේතනය කරන ආකාරය පිළිබඳ උපදෙස් මෙම ගොනුවේ අඩංගු වේ:

ProLock හි සෑම අවස්ථාවකම කප්පම් මුදල පිළිබඳ තොරතුරු අඩංගු වේ - මෙම අවස්ථාවේදී, බිට්කොයින් 35 ක්, එය ආසන්න වශයෙන් ඩොලර් 312 කි.

නිගමනය

බොහෝ ransomware ක්‍රියාකරුවන් ඔවුන්ගේ අරමුණු සාක්ෂාත් කර ගැනීම සඳහා සමාන ක්‍රම භාවිතා කරයි. ඒ අතරම, සමහර තාක්ෂණික ක්රම එක් එක් කණ්ඩායමට අනන්ය වේ. දැනට, ඔවුන්ගේ ප්‍රචාරණ කටයුතු සඳහා ransomware භාවිතා කරන සයිබර් අපරාධ කණ්ඩායම් සංඛ්‍යාව වැඩි වෙමින් පවතී. සමහර අවස්ථාවලදී, එකම ක්‍රියාකරුවන් විවිධ ransomware පවුල් භාවිතා කරමින් ප්‍රහාරවලට සම්බන්ධ විය හැකිය, එබැවින් අපි භාවිතා කරන උපක්‍රම, ශිල්පීය ක්‍රම සහ ක්‍රියා පටිපාටිවල අතිච්ඡාදනය වැඩි වැඩියෙන් දකිනු ඇත.

MITER ATT&CK සිතියම්කරණය සමඟ සිතියම්ගත කිරීම

උපායශීලී
තාක්ෂණය

මූලික ප්රවේශය (TA0001)
බාහිර දුරස්ථ සේවා (T1133), Spearphishing ඇමුණුම (T1193), Spearphishing Link (T1192)

ක්රියාත්මක කිරීම (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)

ස්ථීරභාවය (TA0003)
රෙජිස්ට්‍රි ධාවන යතුරු / ආරම්භක ෆෝල්ඩරය (T1060), උපලේඛනගත කාර්යය (T1053), වලංගු ගිණුම් (T1078)

ආරක්ෂක මගහැරීම (TA0005)
කේත අත්සන් කිරීම (T1116), Deobfuscate/Deobfuscate/Decode ගොනු හෝ තොරතුරු (T1140), ආරක්ෂක මෙවලම් අක්‍රිය කිරීම (T1089), ගොනු මකා දැමීම (T1107), වෙස් මුහුණු (T1036), ක්‍රියාවලි එන්නත් කිරීම (T1055)

අක්තපත්‍ර ප්‍රවේශය (TA0006)
අක්තපත්‍ර ඩම්පිං (T1003), බෲට් ෆෝස් (T1110), ආදාන ග්‍රහණය (T1056)

සොයාගැනීම (TA0007)
ගිණුම් සොයාගැනීම (T1087), වසම් භාර සොයාගැනීම (T1482), ගොනු සහ නාමාවලි සොයාගැනීම (T1083), ජාල සේවා පරිලෝකනය (T1046), ජාල බෙදාගැනීම් සොයාගැනීම (T1135), දුරස්ථ පද්ධති සොයාගැනීම (T1018)

පාර්ශ්වික චලනය (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

එකතුව (TA0009)
දේශීය පද්ධතියෙන් දත්ත (T1005), ජාල බෙදාගත් Drive වෙතින් දත්ත (T1039), දත්ත අදියර (T1074)

අණ සහ පාලනය (TA0011)
බහුලව භාවිතා වන වරාය (T1043), වෙබ් සේවාව (T1102)

පිටකිරීම (TA0010)
දත්ත සම්පීඩිත (T1002), Cloud ගිණුමට දත්ත මාරු කරන්න (T1537)

බලපෑම (TA0040)
බලපෑම සඳහා දත්ත සංකේතනය (T1486), පද්ධති ප්‍රතිසාධනය වළක්වයි (T1490)

මූලාශ්රය: www.habr.com