Framgången med ransomware-attacker på organisationer runt om i världen får fler och fler nya angripare att komma in i spelet. En av dessa nya spelare är en grupp som använder ProLock ransomware. Det dök upp i mars 2020 som efterföljaren till PwndLocker-programmet, som började fungera i slutet av 2019. ProLock ransomware-attacker riktar sig främst till finans- och hälsovårdsorganisationer, statliga myndigheter och detaljhandeln. Nyligen attackerade ProLock-operatörer framgångsrikt en av de största bankomattillverkarna, Diebold Nixdorf.
I detta inlägg Oleg Skulkin, ledande specialist på Computer Forensics Laboratory i Group-IB, täcker de grundläggande taktikerna, teknikerna och procedurerna (TTP) som används av ProLock-operatörer. Artikeln avslutas med en jämförelse med MITER ATT&CK Matrix, en offentlig databas som sammanställer riktade attacktaktiker som används av olika cyberkriminella grupper.
Får första åtkomst
ProLock-operatörer använder två huvudvektorer för primär kompromiss: QakBot (Qbot) trojan och oskyddade RDP-servrar med svaga lösenord.
Kompromisser via en externt tillgänglig RDP-server är extremt populärt bland ransomware-operatörer. Vanligtvis köper angripare åtkomst till en komprometterad server från tredje part, men den kan också erhållas av gruppmedlemmar på egen hand.
En mer intressant vektor för primär kompromiss är QakBot malware. Tidigare var den här trojanen associerad med en annan familj av ransomware - MegaCortex. Men det används nu av ProLock-operatörer.
Vanligtvis distribueras QakBot genom nätfiskekampanjer. Ett nätfiske-e-postmeddelande kan innehålla ett bifogat Microsoft Office-dokument eller en länk till en fil som finns i en molnlagringstjänst, till exempel Microsoft OneDrive.
Det finns också kända fall av att QakBot laddas med en annan trojan, Emotet, som är allmänt känd för sitt deltagande i kampanjer som distribuerade Ryuk ransomware.
utförande
Efter att ha laddat ner och öppnat ett infekterat dokument uppmanas användaren att tillåta makron att köras. Om det lyckas, startas PowerShell, vilket gör att du kan ladda ner och köra QakBot-nyttolasten från kommando- och kontrollservern.
Det är viktigt att notera att samma sak gäller för ProLock: nyttolasten extraheras från filen BMP eller JPG och laddas in i minnet med PowerShell. I vissa fall används en schemalagd uppgift för att starta PowerShell.
Batchskript som kör ProLock genom uppgiftsschemaläggaren:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batKonsolidering i systemet
Om det är möjligt att äventyra RDP-servern och få åtkomst, används giltiga konton för att få åtkomst till nätverket. QakBot kännetecknas av en mängd olika fästmekanismer. Oftast använder den här trojanen Kör-registernyckeln och skapar uppgifter i schemaläggaren:
Fästa Qakbot till systemet med hjälp av Kör-registernyckeln
I vissa fall används även startmappar: en genväg placeras där som pekar på starthanteraren.
Bypass-skydd
Genom att kommunicera med kommando- och kontrollservern försöker QakBot periodvis uppdatera sig själv, så för att undvika upptäckt kan skadlig programvara ersätta sin egen nuvarande version med en ny. Körbara filer är signerade med en komprometterad eller förfalskad signatur. Den initiala nyttolasten som laddas av PowerShell lagras på C&C-servern med tillägget PNG. Dessutom, efter körning ersätts den med en legitim fil calc.exe.
För att dölja skadlig aktivitet använder QakBot också tekniken att injicera kod i processer, med hjälp av explorer.exe.
Som nämnts är ProLock nyttolasten dold inuti filen BMP eller JPG. Detta kan också betraktas som en metod för att kringgå skydd.
Skaffa referenser
QakBot har keylogger-funktionalitet. Dessutom kan den ladda ner och köra ytterligare skript, till exempel Invoke-Mimikatz, en PowerShell-version av det berömda Mimikatz-verktyget. Sådana skript kan användas av angripare för att dumpa autentiseringsuppgifter.
nätverksintelligens
Efter att ha fått tillgång till privilegierade konton utför ProLock-operatörer nätverksspaning, vilket kan innefatta portskanning och analys av Active Directory-miljön. Förutom olika skript använder angripare AdFind, ett annat verktyg som är populärt bland ransomware-grupper, för att samla information om Active Directory.
Nätverksfrämjande
Traditionellt är en av de mest populära metoderna för marknadsföring av nätverk Remote Desktop Protocol. ProLock var inget undantag. Angripare har till och med skript i sin arsenal för att få fjärråtkomst via RDP till målvärdar.
BAT-skript för att få åtkomst via RDP-protokoll:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
För att fjärrköra skript använder ProLock-operatörer ett annat populärt verktyg, PsExec-verktyget från Sysinternals Suite.
ProLock körs på värdar som använder WMIC, som är ett kommandoradsgränssnitt för att arbeta med Windows Management Instrumentation-delsystemet. Det här verktyget blir också allt mer populärt bland ransomware-operatörer.
Datainsamling
Liksom många andra ransomware-operatörer samlar gruppen som använder ProLock in data från ett komprometterat nätverk för att öka sina chanser att få en lösensumma. Innan exfiltrering arkiveras insamlad data med hjälp av 7Zip-verktyget.
Exfiltration
För att ladda upp data använder ProLock-operatörer Rclone, ett kommandoradsverktyg utformat för att synkronisera filer med olika molnlagringstjänster som OneDrive, Google Drive, Mega etc. Angripare byter alltid namn på den körbara filen för att den ska se ut som legitima systemfiler.
Till skillnad från sina kamrater har ProLock-operatörer fortfarande ingen egen webbplats för att publicera stulna data som tillhör företag som vägrade att betala lösensumman.
Att uppnå det slutliga målet
När data har exfiltrerats, distribuerar teamet ProLock i hela företagets nätverk. Den binära filen extraheras från en fil med filtillägget PNG eller JPG använder PowerShell och injiceras i minnet:
Först och främst avslutar ProLock de processer som anges i den inbyggda listan (intressant nog använder den bara de sex bokstäverna i processnamnet, såsom "winwor"), och avslutar tjänster, inklusive de som är relaterade till säkerhet, såsom CSFalconService ( CrowdStrike Falcon). med kommandot nätstopp.
Sedan, som med många andra familjer med ransomware, använder angripare vssadmin för att ta bort Windows-skuggkopior och begränsa deras storlek så att nya kopior inte skapas:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock lägger till förlängning .proLock, .pr0Lock eller .proL0ck till varje krypterad fil och placerar filen [HUR MAN ÅTERSTÄLLER FILER].TXT till varje mapp. Den här filen innehåller instruktioner om hur man dekrypterar filerna, inklusive en länk till en webbplats där offret måste ange ett unikt ID och få betalningsinformation:
Varje instans av ProLock innehåller information om lösensumman – i det här fallet 35 bitcoins, vilket är ungefär 312 000 $.
Slutsats
Många ransomware-operatörer använder liknande metoder för att uppnå sina mål. Samtidigt är vissa tekniker unika för varje grupp. För närvarande finns det ett växande antal cyberkriminella grupper som använder ransomware i sina kampanjer. I vissa fall kan samma operatörer vara inblandade i attacker med olika familjer av ransomware, så vi kommer i allt högre grad att se överlappning i taktiken, teknikerna och procedurerna som används.
Kartläggning med MITER ATT&CK Mapping
Taktik
Teknik
Första åtkomst (TA0001)
Externa fjärrtjänster (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Utförande (TA0002)
Powershell (T1086), Skript (T1064), Användarexekvering (T1204), Windows Management Instrumentation (T1047)
Persistens (TA0003)
Registerkörningsnycklar/startmapp (T1060), Schemalagd uppgift (T1053), Giltiga konton (T1078)
Defense Evasion (TA0005)
Kodsignering (T1116), Deobfuskera/avkoda filer eller information (T1140), inaktivera säkerhetsverktyg (T1089), radering av filer (T1107), maskering (T1036), processinjektion (T1055)
Autentiseringsåtkomst (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Sidorörelse (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Samling (TA0009)
Data från lokalt system (T1005), data från delad nätverksenhet (T1039), datastadium (T1074)
Kommando och kontroll (TA0011)
Vanligt använda port (T1043), webbtjänst (T1102)
Exfiltration (TA0010)
Datakomprimerad (T1002), överför data till molnkonto (T1537)
Impact (TA0040)
Data krypterad för påverkan (T1486), förhindra systemåterställning (T1490)
Källa: will.com