Suksesi i sulmeve të ransomware ndaj organizatave në mbarë botën po nxit gjithnjë e më shumë sulmues të rinj të hyjnë në lojë. Një nga këta lojtarë të rinj është një grup që përdor ransomware ProLock. Ai u shfaq në mars 2020 si pasardhës i programit PwndLocker, i cili filloi të funksionojë në fund të 2019. Sulmet e ransomware ProLock synojnë kryesisht organizatat financiare dhe të kujdesit shëndetësor, agjencitë qeveritare dhe sektorin e shitjes me pakicë. Kohët e fundit, operatorët ProLock sulmuan me sukses një nga prodhuesit më të mëdhenj të ATM-ve, Diebold Nixdorf.
Në këtë postim Oleg Skulkin, specialist kryesor i Laboratorit të Forenzikës Kompjuterike të Group-IB, mbulon taktikat, teknikat dhe procedurat bazë (TTP) të përdorura nga operatorët ProLock. Artikulli përfundon me një krahasim me MITER ATT&CK Matrix, një bazë të dhënash publike që përpilon taktikat e sulmeve të synuara të përdorura nga grupe të ndryshme kriminale kibernetike.
Marrja e aksesit fillestar
Operatorët ProLock përdorin dy vektorë kryesorë të kompromisit primar: trojanin QakBot (Qbot) dhe serverët e pambrojtur RDP me fjalëkalime të dobëta.
Kompromisi nëpërmjet një serveri RDP të aksesueshëm nga jashtë është jashtëzakonisht i popullarizuar në mesin e operatorëve të ransomware. Në mënyrë tipike, sulmuesit blejnë akses në një server të komprometuar nga palët e treta, por ai gjithashtu mund të merret nga anëtarët e grupit vetë.
Një vektor më interesant i kompromisit parësor është malware QakBot. Më parë, ky Trojan ishte i lidhur me një familje tjetër të ransomware - MegaCortex. Megjithatë, tani përdoret nga operatorët ProLock.
Në mënyrë tipike, QakBot shpërndahet përmes fushatave të phishing. Një email phishing mund të përmbajë një dokument të bashkangjitur të Microsoft Office ose një lidhje me një skedar të vendosur në një shërbim ruajtjeje në renë kompjuterike, siç është Microsoft OneDrive.
Ka edhe raste të njohura të ngarkimit të QakBot me një tjetër Trojan, Emotet, i cili njihet gjerësisht për pjesëmarrjen e tij në fushatat që shpërndanin ransomware-in Ryuk.
ekzekutim
Pas shkarkimit dhe hapjes së një dokumenti të infektuar, përdoruesit i kërkohet të lejojë ekzekutimin e makrove. Nëse është i suksesshëm, lansohet PowerShell, i cili do t'ju lejojë të shkarkoni dhe ekzekutoni ngarkesën e QakBot nga serveri i komandës dhe kontrollit.
Është e rëndësishme të theksohet se e njëjta gjë vlen edhe për ProLock: ngarkesa e dobishme nxirret nga skedari PKM ose JPG dhe ngarkohet në memorie duke përdorur PowerShell. Në disa raste, një detyrë e planifikuar përdoret për të nisur PowerShell.
Skripti i grupit që ekzekuton ProLock përmes planifikuesit të detyrave:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidimi në sistem
Nëse është e mundur të kompromentohet serveri RDP dhe të fitohet akses, atëherë llogaritë e vlefshme përdoren për të fituar akses në rrjet. QakBot karakterizohet nga një larmi mekanizmash ngjitjeje. Më shpesh, ky Trojan përdor çelësin e regjistrit Run dhe krijon detyra në planifikuesin:
Gozhdimi i Qakbot në sistem duke përdorur çelësin e regjistrit Run
Në disa raste, përdoren gjithashtu dosjet e nisjes: aty vendoset një shkurtore që tregon për ngarkuesin.
Mbrojtja e anashkalimit
Duke komunikuar me serverin e komandës dhe kontrollit, QakBot përpiqet periodikisht të përditësojë veten, kështu që për të shmangur zbulimin, malware mund të zëvendësojë versionin e tij aktual me një të ri. Skedarët e ekzekutueshëm nënshkruhen me një nënshkrim të komprometuar ose të falsifikuar. Ngarkesa fillestare e ngarkuar nga PowerShell ruhet në serverin C&C me shtesën PNG. Përveç kësaj, pas ekzekutimit ai zëvendësohet me një skedar të ligjshëm calc.exe.
Gjithashtu, për të fshehur aktivitetin keqdashës, QakBot përdor teknikën e injektimit të kodit në procese, duke përdorur explorer.exe.
Siç u përmend, ngarkesa ProLock është e fshehur brenda skedarit PKM ose JPG. Kjo mund të konsiderohet edhe si një metodë e anashkalimit të mbrojtjes.
Marrja e kredencialeve
QakBot ka funksionalitet keylogger. Përveç kësaj, ai mund të shkarkojë dhe ekzekutojë skriptet shtesë, për shembull, Invoke-Mimikatz, një version PowerShell i mjetit të famshëm Mimikatz. Skriptet e tilla mund të përdoren nga sulmuesit për të hedhur kredencialet.
Inteligjenca e rrjetit
Pasi të kenë akses në llogaritë e privilegjuara, operatorët ProLock kryejnë zbulimin e rrjetit, i cili mund të përfshijë skanimin e portit dhe analizën e mjedisit të Active Directory. Përveç skripteve të ndryshme, sulmuesit përdorin AdFind, një mjet tjetër i popullarizuar në mesin e grupeve të ransomware, për të mbledhur informacione rreth Active Directory.
Promovimi i rrjetit
Tradicionalisht, një nga metodat më të njohura të promovimit të rrjetit është Protokolli i Desktopit në distancë. ProLock nuk ishte përjashtim. Sulmuesit madje kanë skripta në arsenalin e tyre për të fituar akses në distancë nëpërmjet RDP për të synuar hostet.
Skript BAT për të fituar akses nëpërmjet protokollit RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Për të ekzekutuar në distancë skriptet, operatorët ProLock përdorin një mjet tjetër popullor, mjetin PsExec nga Sysinternals Suite.
ProLock funksionon në host duke përdorur WMIC, e cila është një ndërfaqe e linjës komanduese për të punuar me nënsistemin e Instrumentimit të Menaxhimit të Windows. Ky mjet po bëhet gjithashtu gjithnjë e më i popullarizuar në mesin e operatorëve të ransomware.
Mbledhja e të dhënave
Ashtu si shumë operatorë të tjerë ransomware, grupi që përdor ProLock mbledh të dhëna nga një rrjet i komprometuar për të rritur shanset e tyre për të marrë një shpërblim. Përpara eksfiltrimit, të dhënat e mbledhura arkivohen duke përdorur programin 7Zip.
Ekfiltrimi
Për të ngarkuar të dhëna, operatorët ProLock përdorin Rclone, një mjet i linjës komanduese i krijuar për të sinkronizuar skedarët me shërbime të ndryshme të ruajtjes së resë kompjuterike si OneDrive, Google Drive, Mega, etj. Sulmuesit gjithmonë e riemërtojnë skedarin e ekzekutueshëm për ta bërë atë të duket si skedarë legjitimë të sistemit.
Ndryshe nga kolegët e tyre, operatorët ProLock ende nuk kanë faqen e tyre të internetit për të publikuar të dhënat e vjedhura që u përkasin kompanive që refuzuan të paguajnë shpërblimin.
Arritja e qëllimit final
Pasi të dhënat të ekfiltohen, ekipi vendos ProLock në të gjithë rrjetin e ndërmarrjes. Skedari binar nxirret nga një skedar me shtesë PNG ose JPG duke përdorur PowerShell dhe injektuar në memorie:
Para së gjithash, ProLock përfundon proceset e specifikuara në listën e integruar (interesante, ai përdor vetëm gjashtë shkronjat e emrit të procesit, si "winwor"), dhe përfundon shërbimet, duke përfshirë ato që lidhen me sigurinë, si CSFalconService ( CrowdStrike Falcon). duke përdorur komandën ndalesë neto.
Më pas, si me shumë familje të tjera ransomware, sulmuesit përdorin vssadmin për të fshirë kopjet hije të Windows dhe për të kufizuar madhësinë e tyre në mënyrë që të mos krijohen kopje të reja:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock shton zgjerimin .proLock, .pr0Lock ose .proL0ck në çdo skedar të koduar dhe vendos skedarin [SI TË RIKONI SKEDAJT].TXT në çdo dosje. Ky skedar përmban udhëzime se si të deshifrohen skedarët, duke përfshirë një lidhje me një faqe ku viktima duhet të vendosë një ID unike dhe të marrë informacionin e pagesës:
Çdo shembull i ProLock përmban informacion në lidhje me shumën e shpërblimit - në këtë rast, 35 bitcoin, që është afërsisht 312 dollarë.
Përfundim
Shumë operatorë ransomware përdorin metoda të ngjashme për të arritur qëllimet e tyre. Në të njëjtën kohë, disa teknika janë unike për secilin grup. Aktualisht, ka një numër në rritje të grupeve kriminale kibernetike që përdorin ransomware në fushatat e tyre. Në disa raste, të njëjtët operatorë mund të përfshihen në sulme duke përdorur familje të ndryshme të ransomware, kështu që ne do të shohim gjithnjë e më shumë mbivendosje në taktikat, teknikat dhe procedurat e përdorura.
Hartimi me MITER ATT&CK Mapping
taktikë
Teknikë
Qasja fillestare (TA0001)
Shërbimet e jashtme të largëta (T1133), Bashkëngjitja e Spearphishing (T1193), Lidhja e Spearphishing (T1192)
Ekzekutimi (TA0002)
Powershell (T1086), Skriptimi (T1064), Ekzekutimi i përdoruesit (T1204), Instrumentimi i Menaxhimit të Windows (T1047)
Qëndrueshmëria (TA0003)
Çelësat e ekzekutimit të regjistrit / Dosja e nisjes (T1060), Detyra e planifikuar (T1053), Llogaritë e vlefshme (T1078)
Evazioni i Mbrojtjes (TA0005)
Nënshkrimi i kodit (T1116), Deobfuscate/Dekodimi i skedarëve ose informacionit (T1140), çaktivizimi i mjeteve të sigurisë (T1089), fshirja e skedarëve (T1107), maskimi (T1036), injektimi i procesit (T1055)
Qasja në kredencialet (TA0006)
Hedhja e kredencialeve (T1003), Forca brutale (T1110), Kapja e hyrjes (T1056)
Discovery (TA0007)
Zbulimi i llogarisë (T1087), zbulimi i besimit të domenit (T1482), zbulimi i skedarëve dhe drejtorive (T1083), skanimi i shërbimit të rrjetit (T1046), zbulimi i ndarjes së rrjetit (T1135), zbulimi i sistemit në distancë (T1018)
Lëvizja anësore (TA0008)
Protokolli i Desktopit në distancë (T1076), Kopjimi i skedarit në distancë (T1105), Ndarjet e administratorit të Windows (T1077)
Koleksioni (TA0009)
Të dhënat nga sistemi lokal (T1005), të dhënat nga disku i përbashkët i rrjetit (T1039), të dhënat e staduara (T1074)
Komanda dhe kontrolli (TA0011)
Porta e përdorur zakonisht (T1043), shërbimi në internet (T1102)
Ekfiltrimi (TA0010)
Të dhënat e kompresuara (T1002), Transferimi i të dhënave në llogarinë në renë kompjuterike (T1537)
Ndikimi (TA0040)
Të dhënat e koduara për ndikim (T1486), pengojnë rikuperimin e sistemit (T1490)
Burimi: www.habr.com