Úspech ransomvérových útokov na organizácie po celom svete podnecuje čoraz viac nových útočníkov, aby sa dostali do hry. Jedným z týchto nových hráčov je skupina využívajúca ransomvér ProLock. Objavil sa v marci 2020 ako nástupca programu PwndLocker, ktorý začal fungovať koncom roka 2019. Útoky ransomvéru ProLock sa primárne zameriavajú na finančné a zdravotnícke organizácie, vládne agentúry a maloobchodný sektor. Nedávno operátori ProLock úspešne zaútočili na jedného z najväčších výrobcov bankomatov, Diebold Nixdorf.
V tomto príspevku Oleg Skulkin, vedúci špecialista Laboratória počítačovej forenznej analýzy Group-IB, pokrýva základné taktiky, techniky a postupy (TTP) používané operátormi ProLock. Článok končí porovnaním s MITER ATT&CK Matrix, verejnou databázou, ktorá zostavuje taktiky cielených útokov používané rôznymi skupinami kyberzločincov.
Získanie počiatočného prístupu
Operátori ProLock používajú dva hlavné vektory primárneho kompromisu: trójsky kôň QakBot (Qbot) a nechránené servery RDP so slabými heslami.
Kompromis prostredníctvom externe prístupného servera RDP je medzi prevádzkovateľmi ransomvéru mimoriadne populárny. Útočníci si zvyčajne kupujú prístup k napadnutému serveru od tretích strán, ale môžu ho získať aj členovia skupiny sami.
Zaujímavejším vektorom primárneho kompromisu je malvér QakBot. Predtým bol tento trójsky kôň spojený s inou rodinou ransomvéru - MegaCortex. Teraz ho však využívajú operátori ProLock.
QakBot sa zvyčajne distribuuje prostredníctvom phishingových kampaní. Phishingový e-mail môže obsahovať priložený dokument balíka Microsoft Office alebo odkaz na súbor umiestnený v službe cloudového úložiska, ako je napríklad Microsoft OneDrive.
Sú známe aj prípady, kedy bol QakBot načítaný iným trójskym koňom Emotet, ktorý je všeobecne známy svojou účasťou na kampaniach, ktoré distribuovali ransomvér Ryuk.
poprava
Po stiahnutí a otvorení infikovaného dokumentu je používateľ vyzvaný, aby povolil spustenie makier. Ak bude úspešný, spustí sa PowerShell, ktorý vám umožní stiahnuť a spustiť užitočnú časť QakBot z príkazového a riadiaceho servera.
Je dôležité poznamenať, že to isté platí pre ProLock: užitočné zaťaženie sa extrahuje zo súboru BMP alebo JPG a načítať do pamäte pomocou PowerShell. V niektorých prípadoch sa na spustenie prostredia PowerShell používa naplánovaná úloha.
Dávkový skript spustený ProLock cez plánovač úloh:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidácia v systéme
Ak je možné kompromitovať server RDP a získať prístup, na získanie prístupu do siete sa použijú platné účty. QakBot sa vyznačuje rôznymi upevňovacími mechanizmami. Tento trójsky kôň najčastejšie používa kľúč databázy Registry Run a vytvára úlohy v plánovači:
Pripojenie Qakbota k systému pomocou kľúča databázy Registry Run
V niektorých prípadoch sa používajú aj spúšťacie priečinky: tam je umiestnená skratka, ktorá ukazuje na bootloader.
Ochrana premostenia
Komunikáciou s príkazovým a riadiacim serverom sa QakBot pravidelne pokúša aktualizovať sa, takže aby sa zabránilo odhaleniu, malvér môže nahradiť svoju aktuálnu verziu novou. Spustiteľné súbory sú podpísané kompromitovaným alebo sfalšovaným podpisom. Počiatočné užitočné zaťaženie načítané PowerShell je uložené na serveri C&C s rozšírením PNG. Okrem toho je po spustení nahradený legitímnym súborom calc.exe.
Na skrytie škodlivej aktivity tiež QakBot používa techniku vkladania kódu do procesov pomocou explorer.exe.
Ako už bolo spomenuté, užitočné zaťaženie ProLock je skryté vo vnútri súboru BMP alebo JPG. Toto možno považovať aj za spôsob obchádzania ochrany.
Získanie poverení
QakBot má funkciu keylogger. Okrem toho môže stiahnuť a spustiť ďalšie skripty, napríklad Invoke-Mimikatz, PowerShell verziu známeho nástroja Mimikatz. Takéto skripty môžu útočníci použiť na výpis poverení.
Sieťová inteligencia
Po získaní prístupu k privilegovaným účtom operátori ProLock vykonajú prieskum siete, ktorý môže zahŕňať skenovanie portov a analýzu prostredia Active Directory. Okrem rôznych skriptov útočníci používajú AdFind, ďalší nástroj obľúbený medzi skupinami ransomvéru, na zhromažďovanie informácií o Active Directory.
Sieťová propagácia
Tradične jednou z najpopulárnejších metód propagácie siete je protokol vzdialenej pracovnej plochy. ProLock nebol výnimkou. Útočníci majú dokonca vo svojom arzenáli skripty na získanie vzdialeného prístupu cez RDP k cieľovým hostiteľom.
Skript BAT na získanie prístupu cez protokol RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Na vzdialené spúšťanie skriptov používajú operátori ProLock ďalší populárny nástroj, pomôcku PsExec z balíka Sysinternals Suite.
ProLock beží na hostiteľoch pomocou WMIC, čo je rozhranie príkazového riadka na prácu s podsystémom Windows Management Instrumentation. Tento nástroj sa stáva čoraz obľúbenejším aj medzi prevádzkovateľmi ransomvéru.
Zber dát
Rovnako ako mnoho iných prevádzkovateľov ransomvéru, aj skupina používajúca ProLock zhromažďuje údaje z napadnutej siete, aby zvýšila svoje šance na získanie výkupného. Pred exfiltráciou sú zozbierané dáta archivované pomocou utility 7Zip.
Exfiltrácia
Na nahrávanie údajov používajú operátori ProLock Rclone, nástroj príkazového riadka určený na synchronizáciu súborov s rôznymi službami cloudového úložiska, ako sú OneDrive, Google Drive, Mega atď. Útočníci vždy premenujú spustiteľný súbor, aby vyzeral ako legitímne systémové súbory.
Na rozdiel od svojich rovesníkov operátori ProLock stále nemajú vlastnú webovú stránku na zverejňovanie ukradnutých dát patriacich spoločnostiam, ktoré odmietli zaplatiť výkupné.
Dosiahnutie konečného cieľa
Akonáhle sú údaje exfiltrované, tím nasadí ProLock v celej podnikovej sieti. Binárny súbor je extrahovaný zo súboru s príponou PNG alebo JPG pomocou PowerShell a vložené do pamäte:
Po prvé, ProLock ukončí procesy špecifikované v zabudovanom zozname (zaujímavé je, že používa iba šesť písmen názvu procesu, ako napríklad „winwor“), a ukončí služby vrátane tých, ktoré súvisia s bezpečnosťou, ako je CSFalconService ( CrowdStrike Falcon). pomocou príkazu čistá zastávka.
Potom, ako v prípade mnohých iných rodín ransomvéru, útočníci používajú vssadmin odstránenie tieňových kópií systému Windows a obmedzenie ich veľkosti, aby sa nevytvárali nové kópie:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock pridáva rozšírenie .proLock, .pr0Lock alebo .proL0ck do každého zašifrovaného súboru a súbor umiestni [AKO OBNOVIŤ SÚBORY].TXT do každého priečinka. Tento súbor obsahuje pokyny na dešifrovanie súborov vrátane odkazu na stránku, kde musí obeť zadať jedinečné ID a dostať informácie o platbe:
Každá inštancia ProLock obsahuje informácie o výške výkupného – v tomto prípade 35 bitcoinov, čo je približne 312 000 dolárov.
Záver
Mnoho operátorov ransomvéru používa podobné metódy na dosiahnutie svojich cieľov. Niektoré techniky sú zároveň jedinečné pre každú skupinu. V súčasnosti rastie počet kyberzločineckých skupín, ktoré vo svojich kampaniach využívajú ransomvér. V niektorých prípadoch môžu byť tí istí operátori zapojení do útokov s použitím rôznych rodín ransomvéru, takže budeme čoraz častejšie vidieť prekrývanie v používaných taktikách, technikách a postupoch.
Mapovanie pomocou MITER ATT&CK Mapping
taktika
Technika
Počiatočný prístup (TA0001)
Externé vzdialené služby (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Vykonanie (TA0002)
Powershell (T1086), Skriptovanie (T1064), Spustenie používateľom (T1204), Windows Management Instrumentation (T1047)
Vytrvalosť (TA0003)
Kľúče spustenia databázy Registry / spúšťací priečinok (T1060), naplánovaná úloha (T1053), platné účty (T1078)
Obranný únik (TA0005)
Podpisovanie kódu (T1116), Deobfuscate/Decode Files or Information (T1140), Deaktivácia bezpečnostných nástrojov (T1089), Odstránenie súboru (T1107), Masquerading (T1036), Proces Injection (T1055)
Prístup k povereniam (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Zisťovanie účtu (T1087), zisťovanie dôveryhodnosti domény (T1482), zisťovanie súborov a adresárov (T1083), skenovanie sieťových služieb (T1046), zisťovanie zdieľania siete (T1135), zisťovanie vzdialeného systému (T1018)
Bočný pohyb (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Zbierka (TA0009)
Dáta z lokálneho systému (T1005), Dáta zo zdieľaného sieťového disku (T1039), Dáta usporiadané (T1074)
Príkaz a ovládanie (TA0011)
Bežne používaný port (T1043), webová služba (T1102)
Exfiltrácia (TA0010)
Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Vplyv (TA0040)
Údaje zašifrované pre dopad (T1486), Inhibícia obnovy systému (T1490)
Zdroj: hab.com