Uspeh napadov z izsiljevalsko programsko opremo na organizacije po vsem svetu spodbuja vse več novih napadalcev, da vstopijo v igro. Eden od teh novih igralcev je skupina, ki uporablja izsiljevalsko programsko opremo ProLock. Pojavil se je marca 2020 kot naslednik programa PwndLocker, ki je začel delovati konec leta 2019. Napadi izsiljevalske programske opreme ProLock so usmerjeni predvsem v finančne in zdravstvene organizacije, vladne agencije in maloprodajni sektor. Pred kratkim so operaterji ProLocka uspešno napadli enega največjih proizvajalcev bankomatov Diebold Nixdorf.
V tej objavi Oleg Skulkin, vodilni specialist Laboratorija za računalniško forenziko Group-IB, pokriva osnovne taktike, tehnike in postopke (TTP), ki jih uporabljajo operaterji ProLock. Članek se zaključi s primerjavo z matriko MITER ATT&CK, javno zbirko podatkov, ki zbira ciljne taktike napadov, ki jih uporabljajo različne skupine kibernetskega kriminala.
Pridobivanje začetnega dostopa
Operaterji ProLock uporabljajo dva glavna vektorja primarnega ogrožanja: trojanec QakBot (Qbot) in nezaščitene strežnike RDP s šibkimi gesli.
Kompromis prek zunanjega dostopnega strežnika RDP je izjemno priljubljen med operaterji izsiljevalske programske opreme. Običajno napadalci kupijo dostop do ogroženega strežnika od tretjih oseb, lahko pa ga pridobijo tudi člani skupine sami.
Bolj zanimiv vektor primarnega ogrožanja je zlonamerna programska oprema QakBot. Prej je bil ta trojanec povezan z drugo družino izsiljevalskih programov - MegaCortex. Vendar pa ga zdaj uporabljajo operaterji ProLock.
Običajno se QakBot distribuira prek lažnih kampanj. E-poštno sporočilo z lažnim predstavljanjem lahko vsebuje pripet dokument Microsoft Office ali povezavo do datoteke v storitvi za shranjevanje v oblaku, kot je Microsoft OneDrive.
Znani so tudi primeri, ko je bil QakBot naložen z drugim trojancem, Emotet, ki je splošno znan po sodelovanju v kampanjah za distribucijo izsiljevalske programske opreme Ryuk.
Izpolnitev
Po prenosu in odprtju okuženega dokumenta je uporabnik pozvan, da dovoli izvajanje makrov. Če je uspešen, se zažene PowerShell, ki vam bo omogočil prenos in zagon koristnega tovora QakBot iz ukaznega in nadzornega strežnika.
Pomembno je omeniti, da enako velja za ProLock: koristni tovor je ekstrahiran iz datoteke BMP ali JPG in naložen v pomnilnik s pomočjo PowerShell. V nekaterih primerih se za zagon lupine PowerShell uporabi načrtovano opravilo.
Paketni skript, ki izvaja ProLock prek razporejevalnika opravil:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidacija v sistemu
Če je mogoče ogroziti strežnik RDP in pridobiti dostop, se za dostop do omrežja uporabijo veljavni računi. Za QakBot so značilni različni mehanizmi pritrditve. Najpogosteje ta trojanec uporablja registrski ključ Run in ustvarja naloge v razporejevalniku:
Pripenjanje Qakbota na sistem z uporabo registrskega ključa Run
V nekaterih primerih se uporabljajo tudi zagonske mape: tam je nameščena bližnjica, ki kaže na zagonski nalagalnik.
Bypass zaščita
S komunikacijo s strežnikom za ukaze in nadzor se QakBot občasno poskuša posodobiti, tako da lahko zlonamerna programska oprema zamenja svojo trenutno različico z novo, da bi se izognila odkrivanju. Izvedljive datoteke so podpisane z ogroženim ali ponarejenim podpisom. Začetni koristni tovor, ki ga naloži PowerShell, je shranjen na strežniku C&C z razširitvijo PNG. Poleg tega se po izvedbi nadomesti z zakonito datoteko calc.exe.
Poleg tega QakBot za skrivanje zlonamerne dejavnosti uporablja tehniko vbrizgavanja kode v procese z uporabo explorer.exe.
Kot že omenjeno, je nosilnost ProLock skrita v datoteki BMP ali JPG. To lahko obravnavamo tudi kot metodo obvoda zaščite.
Pridobivanje poverilnic
QakBot ima funkcijo keyloggerja. Poleg tega lahko prenese in zažene dodatne skripte, na primer Invoke-Mimikatz, različico PowerShell znanega pripomočka Mimikatz. Takšne skripte lahko napadalci uporabijo za izpis poverilnic.
Omrežna inteligenca
Po pridobitvi dostopa do privilegiranih računov operaterji ProLock izvedejo pregled omrežja, ki lahko vključuje skeniranje vrat in analizo okolja Active Directory. Poleg različnih skriptov napadalci za zbiranje informacij o imeniku Active Directory uporabljajo še eno orodje, priljubljeno med skupinami izsiljevalskih programov, AdFind.
Mrežna promocija
Tradicionalno je eden najbolj priljubljenih načinov promocije omrežja Remote Desktop Protocol. ProLock ni bil izjema. Napadalci imajo v svojem arzenalu celo skripte za pridobitev oddaljenega dostopa prek RDP do ciljnih gostiteljev.
BAT skripta za dostop preko protokola RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Za oddaljeno izvajanje skriptov operaterji ProLock uporabljajo drugo priljubljeno orodje, pripomoček PsExec iz zbirke Sysinternals Suite.
ProLock deluje na gostiteljih z uporabo WMIC, ki je vmesnik ukazne vrstice za delo s podsistemom Windows Management Instrumentation. To orodje postaja vse bolj priljubljeno tudi med operaterji izsiljevalske programske opreme.
Zbiranje podatkov
Tako kot mnogi drugi operaterji izsiljevalske programske opreme tudi skupina, ki uporablja ProLock, zbira podatke iz ogroženega omrežja, da poveča svoje možnosti za prejem odkupnine. Pred eksfiltracijo se zbrani podatki arhivirajo s pomočjo pripomočka 7Zip.
Eksfiltracija
Za nalaganje podatkov operaterji ProLock uporabljajo Rclone, orodje ukazne vrstice, namenjeno sinhronizaciji datotek z različnimi storitvami za shranjevanje v oblaku, kot so OneDrive, Google Drive, Mega itd. Napadalci vedno preimenujejo izvršljivo datoteko, da bo videti kot zakonite sistemske datoteke.
Za razliko od svojih vrstnikov operaterji ProLock še vedno nimajo svoje spletne strani za objavo ukradenih podatkov podjetij, ki so zavrnila plačilo odkupnine.
Doseganje končnega cilja
Ko so podatki eksfiltrirani, ekipa uvede ProLock v celotno omrežje podjetja. Binarna datoteka je ekstrahirana iz datoteke s pripono PNG ali JPG z uporabo PowerShell in vstavljeno v pomnilnik:
Najprej ProLock prekine procese, navedene na vgrajenem seznamu (zanimivo je, da uporablja samo šest črk imena procesa, kot je "winwor"), in prekine storitve, vključno s tistimi, ki so povezane z varnostjo, kot je CSFalconService ( CrowdStrike Falcon). z uporabo ukaza neto stop.
Nato, kot pri mnogih drugih družinah izsiljevalskih programov, napadalci uporabljajo vssadmin da izbrišete senčne kopije sistema Windows in omejite njihovo velikost, da se nove kopije ne ustvarijo:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock doda razširitev .proLock, .pr0Lock ali .proL0ck v vsako šifrirano datoteko in postavi datoteko [KAKO OBNOVITI DATOTEKE].TXT v vsako mapo. Ta datoteka vsebuje navodila za dešifriranje datotek, vključno s povezavo do spletnega mesta, kjer mora žrtev vnesti edinstven ID in prejeti podatke o plačilu:
Vsak primerek ProLocka vsebuje podatke o znesku odkupnine – v tem primeru 35 bitcoinov, kar je približno 312 $.
Zaključek
Mnogi operaterji izsiljevalske programske opreme uporabljajo podobne metode za dosego svojih ciljev. Hkrati so nekatere tehnike edinstvene za vsako skupino. Trenutno narašča število skupin kibernetskega kriminala, ki v svojih kampanjah uporabljajo izsiljevalsko programsko opremo. V nekaterih primerih so lahko isti operaterji vpleteni v napade z uporabo različnih družin izsiljevalske programske opreme, zato bomo vedno pogosteje videli prekrivanje v uporabljenih taktikah, tehnikah in postopkih.
Kartiranje z MITER ATT&CK Mapping
Taktika
Tehnika
Začetni dostop (TA0001)
Zunanje oddaljene storitve (T1133), priloga za podvodno lažno predstavljanje (T1193), povezava za podvodno lažno predstavljanje (T1192)
Izvedba (TA0002)
Powershell (T1086), skriptiranje (T1064), uporabniško izvajanje (T1204), instrumentacija za upravljanje sistema Windows (T1047)
Vztrajnost (TA0003)
Ključi za zagon registra/zagonska mapa (T1060), načrtovano opravilo (T1053), veljavni računi (T1078)
Izmikanje obrambi (TA0005)
Podpisovanje kode (T1116), Razmegljevanje/dekodiranje datotek ali informacij (T1140), Onemogočanje varnostnih orodij (T1089), Brisanje datotek (T1107), Prekrivanje (T1036), Vstavljanje procesa (T1055)
Dostop poverilnic (TA0006)
Odlaganje poverilnic (T1003), Surova sila (T1110), Zajem vnosa (T1056)
Discovery (TA0007)
Odkrivanje računa (T1087), odkrivanje zaupanja v domeno (T1482), odkrivanje datotek in imenikov (T1083), skeniranje omrežnih storitev (T1046), odkrivanje skupne rabe omrežja (T1135), odkrivanje oddaljenega sistema (T1018)
Bočno gibanje (TA0008)
Protokol oddaljenega namizja (T1076), kopiranje oddaljene datoteke (T1105), Windows Admin Shares (T1077)
Zbirka (TA0009)
Podatki iz lokalnega sistema (T1005), podatki iz diska v skupni rabi omrežja (T1039), stopenjski podatki (T1074)
Upravljanje in nadzor (TA0011)
Pogosto uporabljena vrata (T1043), spletna storitev (T1102)
Eksfiltracija (TA0010)
Stisnjeni podatki (T1002), prenos podatkov v račun v oblaku (T1537)
Vpliv (TA0040)
Podatki šifrirani za vpliv (T1486), zaviranje obnovitve sistema (T1490)
Vir: www.habr.com