Успех напада рансомваре-а на организације широм света подстиче све више нових нападача да уђу у игру. Један од ових нових играча је група која користи рансомваре ПроЛоцк. Појавио се у марту 2020. као наследник програма ПвндЛоцкер, који је почео са радом крајем 2019. године. ПроЛоцк рансомваре напади првенствено циљају финансијске и здравствене организације, владине агенције и малопродајни сектор. Недавно су ПроЛоцк оператери успешно напали једног од највећих произвођача банкомата, Диеболд Никдорф.
У овом посту Олег Скулкин, водећи специјалиста Лабораторије за компјутерску форензику Групе-ИБ, покрива основне тактике, технике и процедуре (ТТП) које користе ПроЛоцк оператери. Чланак се завршава поређењем са МИТЕР АТТ&ЦК Матрик-ом, јавном базом података која саставља тактике циљаног напада које користе различите групе сајбер-криминалаца.
Добијање почетног приступа
ПроЛоцк оператери користе два главна вектора примарног компромиса: КакБот (Кбот) тројанац и незаштићене РДП сервере са слабим лозинкама.
Компромис преко екстерно доступног РДП сервера је изузетно популаран међу оператерима рансомваре-а. Обично нападачи купују приступ компромитованом серверу од трећих страна, али га могу добити и чланови групе сами.
Занимљивији вектор примарног компромиса је злонамерни софтвер КакБот. Раније је овај тројанац био повезан са другом породицом рансомваре-а - МегаЦортек. Међутим, сада га користе ПроЛоцк оператери.
КакБот се обично дистрибуира путем пхисхинг кампања. Е-пошта може да садржи приложени Мицрософт Оффице документ или везу до датотеке која се налази у услузи складиштења у облаку, као што је Мицрософт ОнеДриве.
Такође су познати случајеви да је КакБот учитаван другим тројанцем, Емотетом, који је надалеко познат по свом учешћу у кампањама које су дистрибуирале Риук рансомваре.
Извршење
Након преузимања и отварања зараженог документа, од корисника се тражи да дозволи покретање макроа. Ако успе, покреће се ПоверСхелл, који ће вам омогућити да преузмете и покренете КакБот корисни терет са командног и контролног сервера.
Важно је напоменути да исто важи и за ПроЛоцк: корисни терет се издваја из датотеке БМП или Јпг и учитава се у меморију помоћу ПоверСхелл-а. У неким случајевима, заказани задатак се користи за покретање ПоверСхелл-а.
Групна скрипта која покреће ПроЛоцк кроз планер задатака:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batКонсолидација у систему
Ако је могуће компромитовати РДП сервер и добити приступ, тада се за приступ мрежи користе важећи налози. КакБот карактерише низ механизама везивања. Најчешће, овај тројанац користи кључ регистратора Рун и креира задатке у планеру:
Качење Какбота на систем помоћу кључа регистратора Рун
У неким случајевима се користе и директоријуми за покретање: тамо се поставља пречица која указује на покретач.
Заштита заобилазнице
Комуникацијом са командним и контролним сервером, КакБот повремено покушава да се ажурира, тако да, како би избегао откривање, малвер може да замени сопствену тренутну верзију новом. Извршне датотеке су потписане компромитованим или фалсификованим потписом. Почетно оптерећење које учитава ПоверСхелл чува се на Ц&Ц серверу са екстензијом ПНГ. Поред тога, након извршења се замењује легитимном датотеком цалц.еке.
Такође, да би сакрио злонамерне активности, КакБот користи технику убризгавања кода у процесе, користећи екплорер.еке.
Као што је поменуто, ПроЛоцк корисни терет је скривен унутар датотеке БМП или Јпг. Ово се такође може сматрати методом заобилажења заштите.
Добијање акредитива
КакБот има функцију кеилоггера. Поред тога, може да преузме и покрене додатне скрипте, на пример, Инвоке-Мимикатз, ПоверСхелл верзију познатог услужног програма Мимикатз. Такве скрипте могу да користе нападачи за избацивање акредитива.
мрежна интелигенција
Након што добију приступ привилегованим налозима, ПроЛоцк оператери врше испитивање мреже, што може укључивати скенирање портова и анализу окружења Ацтиве Дирецтори. Поред разних скрипти, нападачи користе АдФинд, још један алат популаран међу групама рансомваре-а, за прикупљање информација о Ацтиве Дирецтори-у.
Мрежна промоција
Традиционално, један од најпопуларнијих метода мрежне промоције је протокол удаљене радне површине. ПроЛоцк није био изузетак. Нападачи чак имају скрипте у свом арсеналу за добијање удаљеног приступа преко РДП-а циљаним домаћинима.
БАТ скрипта за добијање приступа преко РДП протокола:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
За даљинско извршавање скрипти, ПроЛоцк оператери користе још једну популарну алатку, услужни програм ПсЕкец из Сисинтерналс Суите-а.
ПроЛоцк ради на хостовима користећи ВМИЦ, који је интерфејс командне линије за рад са подсистемом Виндовс Манагемент Инструментатион. Овај алат такође постаје све популарнији међу оператерима рансомвера.
Прикупљање података
Као и многи други оператери рансомваре-а, група која користи ПроЛоцк прикупља податке са угрожене мреже како би повећала своје шансе да добију откуп. Пре ексфилтрације, прикупљени подаци се архивирају помоћу услужног програма 7Зип.
Ексфилтрација
За отпремање података, ПроЛоцк оператери користе Рцлоне, алатку командне линије дизајнирану да синхронизује датотеке са различитим сервисима за складиштење у облаку као што су ОнеДриве, Гоогле Дриве, Мега, итд. Нападачи увек преименују извршну датотеку да би изгледала као легитимне системске датотеке.
За разлику од својих колега, ПроЛоцк оператери још увек немају сопствену веб страницу за објављивање украдених података који припадају компанијама које су одбиле да плате откуп.
Постизање коначног циља
Када се подаци ексфилтрирају, тим примењује ПроЛоцк у целој мрежи предузећа. Бинарна датотека се издваја из датотеке са екстензијом ПНГ или Јпг користећи ПоверСхелл и убризгано у меморију:
Пре свега, ПроЛоцк прекида процесе наведене у уграђеној листи (занимљиво је да користи само шест слова назива процеса, као што је „винвор“) и прекида услуге, укључујући и оне везане за безбедност, као што је ЦСФалцонСервице ( ЦровдСтрике Фалцон).помоћу команде нето стоп.
Затим, као и код многих других породица рансомваре-а, нападачи користе вссадмин да избришете Виндовс копије у сенци и ограничите њихову величину тако да се нове копије не праве:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedПроЛоцк додаје екстензију .проЛоцк, .пр0Лоцк или .проЛ0цк на сваку шифровану датотеку и поставља датотеку [КАКО ОБНОВИТИ ДАТОТЕКЕ].ТКСТ у сваку фасциклу. Ова датотека садржи упутства о томе како да дешифрујете датотеке, укључујући везу до сајта где жртва мора да унесе јединствени ИД и добије информације о плаћању:
Свака инстанца ПроЛоцк-а садржи информације о износу откупнине - у овом случају, 35 биткоина, што је приближно 312 долара.
Закључак
Многи оператери рансомваре-а користе сличне методе за постизање својих циљева. У исто време, неке технике су јединствене за сваку групу. Тренутно постоји све већи број сајбер криминалних група које користе рансомваре у својим кампањама. У неким случајевима, исти оператери могу бити укључени у нападе користећи различите породице рансомваре-а, тако да ћемо све више виђати преклапање у тактикама, техникама и процедурама које се користе.
Мапирање са МИТЕР АТТ&ЦК Мапирање
Тактика
Техника
Почетни приступ (ТА0001)
Екстерне даљинске услуге (Т1133), прилог за спеарпхисхинг (Т1193), веза за спеарпхисхинг (Т1192)
Извршење (ТА0002)
Поверсхелл (Т1086), Скриптовање (Т1064), Извршење корисника (Т1204), Инструментација за управљање Виндовс (Т1047)
Упорност (ТА0003)
Кључеви за покретање регистра / директоријум за покретање (Т1060), заказани задатак (Т1053), важећи налози (Т1078)
Избегавање одбране (ТА0005)
Потписивање кода (Т1116), демаскирање/декодирање датотека или информација (Т1140), онемогућавање сигурносних алата (Т1089), брисање датотека (Т1107), маскирање (Т1036), убацивање процеса (Т1055)
Приступ акредитивима (ТА0006)
Одбацивање акредитива (Т1003), груба сила (Т1110), снимање улаза (Т1056)
Дисцовери (ТА0007)
Откривање налога (Т1087), откривање поверења у домен (Т1482), откривање датотека и директоријума (Т1083), скенирање мрежних услуга (Т1046), откривање дељења мреже (Т1135), откривање удаљеног система (Т1018)
Бочно кретање (ТА0008)
Протокол удаљене радне површине (Т1076), удаљено копирање датотеке (Т1105), Виндовс администраторска дељења (Т1077)
Колекција (ТА0009)
Подаци из локалног система (Т1005), подаци са мрежног заједничког диска (Т1039), подаци у фазама (Т1074)
Команда и контрола (ТА0011)
Често коришћени порт (Т1043), веб услуга (Т1102)
Ексфилтрација (ТА0010)
Компримовани подаци (Т1002), пренос података на Цлоуд налог (Т1537)
Утицај (ТА0040)
Подаци шифровани за утицај (Т1486), спречавање опоравка система (Т1490)
Извор: ввв.хабр.цом