ProHoster > Blog > Administrasi > Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK

Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK

Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK

Kasuksésan serangan ransomware dina organisasi di sakumna dunya nyababkeun beuki loba panyerang anyar pikeun asup kana kaulinan. Salah sahiji pamaén anyar ieu nyaéta grup anu nganggo ransomware ProLock. Éta muncul dina Maret 2020 salaku panerusna program PwndLocker, anu mimiti beroperasi dina ahir taun 2019. Serangan ransomware ProLock utamina nargétkeun organisasi kauangan sareng kasehatan, lembaga pamaréntah, sareng séktor ritel. Anyar-anyar ieu, operator ProLock suksés nyerang salah sahiji pabrik ATM panggedéna, Diebold Nixdorf.

Dina tulisan ieu Oleg Skulkin, spesialis ngarah tina Laboratorium Forensik Komputer Grup-IB, ngawengku taktik dasar, téhnik jeung prosedur (TTPs) dipaké ku operator ProLock. Tulisan disimpulkeun ku ngabandingkeun kana MITRE ATT&CK Matrix, pangkalan data umum anu nyusun taktik serangan anu disasarkeun anu dianggo ku sababaraha kelompok kriminal cyber.

Meunangkeun aksés awal

Operator ProLock nganggo dua vektor utama kompromi primér: Trojan QakBot (Qbot) sareng server RDP anu teu dijagi sareng kecap konci anu lemah.

Kompromi via server RDP anu tiasa diaksés sacara éksternal pisan populer di kalangan operator ransomware. Biasana, panyerang mésér aksés ka server anu dikompromi ti pihak katilu, tapi ogé tiasa didapet ku anggota grup sorangan.

Vektor anu langkung narik tina kompromi primér nyaéta malware QakBot. Saméméhna, Trojan ieu pakait sareng kulawarga sejen tina ransomware - MegaCortex. Nanging, ayeuna dianggo ku operator ProLock.

Biasana, QakBot disebarkeun ngaliwatan kampanye phishing. Surélék phishing tiasa ngandung dokumén Microsoft Office anu napel atanapi tautan ka file anu aya dina layanan panyimpen awan, sapertos Microsoft OneDrive.

Aya ogé kasus dipikawanoh ngeunaan QakBot keur dimuat ku Trojan sejen, Emotet, nu dipikawanoh lega pikeun partisipasi na dina kampanye anu disebarkeun Ryuk ransomware.

Kinerja

Saatos ngaunduh sareng muka dokumén anu katépaan, pangguna dipenta pikeun ngijinkeun makro pikeun ngajalankeun. Upami suksés, PowerShell diluncurkeun, anu bakal ngamungkinkeun anjeun ngaunduh sareng ngajalankeun payload QakBot tina server paréntah sareng kontrol.

Kadé dicatet yén sami manglaku ka ProLock: payload sasari tina file BMP atawa JPG tur dimuat kana mémori maké PowerShell. Dina sababaraha kasus, tugas anu dijadwalkeun dianggo pikeun ngamimitian PowerShell.

Skrip batch ngajalankeun ProLock ngaliwatan penjadwal tugas:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Konsolidasi dina sistem

Upami mungkin pikeun kompromi server RDP sareng kéngingkeun aksés, maka akun anu sah dianggo pikeun kéngingkeun aksés kana jaringan. QakBot dicirikeun ku rupa-rupa mékanisme kantétan. Seringna, Trojan ieu nganggo konci pendaptaran Run sareng nyiptakeun tugas dina jadwal:

Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK
Pinning Qakbot kana sistem nganggo konci pendaptaran Run

Dina sababaraha kasus, polder ngamimitian ogé dianggo: potong kompas disimpen di dinya anu nunjuk ka bootloader.

panyalindungan bypass

Ku komunikasi sareng server paréntah sareng kontrol, QakBot périodik nyobian ngapdet sorangan, ku kituna pikeun ngahindarkeun deteksi, malware tiasa ngagentos versi ayeuna sorangan ku anu énggal. File anu tiasa dieksekusi ditandatanganan nganggo tanda tangan anu dikompromi atanapi dipalsukan. Muatan awal anu dimuat ku PowerShell disimpen dina server C&C kalayan ekstensi PNG. Salaku tambahan, saatos dieksekusi diganti ku file anu sah calc.exe.

Ogé, pikeun nyumputkeun aktivitas jahat, QakBot ngagunakeun téhnik injecting kode kana prosés, ngagunakeun explorer.exe.

Sakumaha anu disebatkeun, beban ProLock disumputkeun di jero file BMP atawa JPG. Ieu ogé bisa dianggap salaku métode bypassing panyalindungan.

Kéngingkeun kapercayaan

QakBot boga fungsionalitas keylogger. Salaku tambahan, éta tiasa ngaunduh sareng ngajalankeun skrip tambahan, contona, Invoke-Mimikatz, versi PowerShell tina utilitas Mimikatz anu kasohor. Skrip sapertos kitu tiasa dianggo ku panyerang pikeun ngaleungitkeun kredensial.

kecerdasan jaringan

Sanggeus meunang aksés ka akun hak husus, operator ProLock ngalakukeun pangintipan jaringan, nu bisa ngawengku scanning port jeung analisis lingkungan Active Directory. Salian rupa-rupa skrip, panyerang ngagunakeun AdFind, alat sejen anu populer di kalangan grup ransomware, pikeun ngumpulkeun inpormasi ngeunaan Active Directory.

promosi jaringan

Sacara tradisional, salah sahiji metodeu pang populerna pikeun promosi jaringan nyaéta Remote Desktop Protocol. ProLock teu aya pengecualian. Panyerang malah gaduh skrip dina arsenalna pikeun kéngingkeun aksés jauh via RDP pikeun nargétkeun host.

Aksara BAT pikeun meunangkeun aksés ngaliwatan protokol RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Pikeun ngaéksekusi skrip jarak jauh, operator ProLock nganggo alat populér anu sanés, utilitas PsExec ti Sysinternals Suite.

ProLock dijalankeun dina host nganggo WMIC, anu mangrupikeun antarbeungeut paréntah pikeun damel sareng subsistem Windows Management Instrumentation. Alat ieu ogé beuki populer di kalangan operator ransomware.

Ngumpulkeun data

Sapertos seueur operator ransomware sanés, grup anu nganggo ProLock ngumpulkeun data tina jaringan anu dikompromi pikeun ningkatkeun kasempetan pikeun nampi tebusan. Sateuacan éksfiltrasi, data anu dikumpulkeun diarsipkeun nganggo utilitas 7Zip.

Exfiltration

Pikeun ngamuat data, operator ProLock nganggo Rclone, alat baris paréntah anu dirancang pikeun nyinkronkeun file sareng sagala rupa layanan panyimpen awan sapertos OneDrive, Google Drive, Mega, jsb. Para penyerang sok ngaganti ngaran file anu tiasa dieksekusi supados katingali sapertos file sistem anu sah.

Beda sareng sasamana, operator ProLock masih teu gaduh halaman wéb sorangan pikeun nyebarkeun data anu dipaling milik perusahaan anu nampik mayar tebusan.

Ngahontal tujuan ahir

Sakali data dieksfiltrasi, tim nyebarkeun ProLock sapanjang jaringan perusahaan. Koropak binér diékstrak tina file anu nganggo ekstensi PNG atawa JPG ngagunakeun PowerShell sareng disuntikkeun kana mémori:

Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK
Munggaran sadaya, ProLock terminates prosés dieusian dina daptar diwangun-di (menarikna, eta ngan ngagunakeun genep hurup tina ngaran prosés, kayaning "winwor"), sarta terminates jasa, kaasup nu patali jeung kaamanan, kayaning CSFalconService ( CrowdStrike Falcon). ngagunakeun paréntah eureun net.

Teras, sapertos seueur kulawarga ransomware sanés, panyerang nganggo vssadmin pikeun mupus salinan bayangan Windows sareng ngawatesan ukuranana supados salinan énggal henteu didamel:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock nambihan ekstensi .proLock, .pr0Konci atawa .proL0ck ka unggal file énkripsi sareng nempatkeun file éta [Kumaha cageur file].TXT ka unggal folder. Berkas ieu ngandung pitunjuk ngeunaan cara ngadekrip file, kalebet tautan ka situs dimana korban kedah ngalebetkeun ID unik sareng nampi inpormasi pamayaran:

Muka ProLock: analisa tindakan operator ransomware énggal nganggo matriks MITER ATT&CK
Unggal conto ProLock ngandung inpormasi ngeunaan jumlah tebusan - dina hal ieu, 35 bitcoins, anu kirang langkung $ 312.

kacindekan

Seueur operator ransomware nganggo metode anu sami pikeun ngahontal tujuanana. Dina waktos anu sami, sababaraha téknik unik pikeun unggal grup. Ayeuna, aya seueur grup cybercriminal anu ngagunakeun ransomware dina kampanyena. Dina sababaraha kasus, operator anu sami tiasa kalibet dina serangan ngagunakeun kulawarga ransomware anu béda, ku kituna urang bakal beuki ningali tumpang tindihna dina taktik, téknik sareng prosedur anu dianggo.

Mapping kalawan MITRE ATT&CK Mapping

Taktik
teknik

Aksés Awal (TA0001)
Jasa Jauh Luar (T1133), Attachment Spearphishing (T1193), Tautan Spearphishing (T1192)

Palaksanaan (TA0002)
Powershell (T1086), Scripting (T1064), Pamaké Palaksanaan (T1204), Windows Management Instrumentation (T1047)

Kegigihan (TA0003)
Registry Run Keys / Startup Folder (T1060), Tugas Dijadwalkeun (T1053), Akun Sah (T1078)

Ngajauhan Pertahanan (TA0005)
Code Signing (T1116), Deobfuscate / Decode Files atanapi Inpormasi (T1140), Pareuman Alat Kaamanan (T1089), Ngahapus File (T1107), Masquerading (T1036), Prosés Injeksi (T1055)

Aksés Kapercayaan (TA0006)
Kapercayaan Dumping (T1003), Brute Force (T1110), Input Capture (T1056)

Papanggihan (TA0007)
Papanggihan Akun (T1087), Papanggihan Kapercayaan Domain (T1482), Papanggihan File sareng Diréktori (T1083), Panyeken Layanan Jaringan (T1046), Papanggihan Bagikeun Jaringan (T1135), Papanggihan Sistem Jauh (T1018)

Gerakan Lateral (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)

Koléksi (TA0009)
Data tina Sistem Lokal (T1005), Data tina Network Shared Drive (T1039), Data Staged (T1074)

Komando sareng Kontrol (TA0011)
Port Biasa Dipaké (T1043), Layanan Wéb (T1102)

Exfiltration (TA0010)
Data Dikomprés (T1002), Mindahkeun Data ka Akun Awan (T1537)

Dampak (TA0040)
Data Énkripsi pikeun Dampak (T1486), Ngahambat Pamulihan Sistem (T1490)

sumber: www.habr.com

Tambahkeun komentar