Mafanikio ya mashambulizi ya programu ya kukomboa kwenye mashirika kote ulimwenguni yanachochea washambuliaji zaidi na zaidi kuingia kwenye mchezo. Mmoja wa wachezaji hawa wapya ni kikundi kinachotumia programu ya uokoaji ya ProLock. Ilionekana mnamo Machi 2020 kama mrithi wa programu ya PwndLocker, ambayo ilianza kufanya kazi mwishoni mwa 2019. Mashambulizi ya ProLock ransomware kimsingi yanalenga mashirika ya kifedha na afya, mashirika ya serikali, na sekta ya rejareja. Hivi majuzi, waendeshaji wa ProLock walifanikiwa kushambulia moja ya watengenezaji wakubwa wa ATM, Diebold Nixdorf.
Katika chapisho hili Oleg Skulkin, mtaalamu mkuu wa Maabara ya Uchunguzi wa Kompyuta ya Kundi-IB, inashughulikia mbinu za kimsingi, mbinu na taratibu (TTPs) zinazotumiwa na waendeshaji wa ProLock. Makala haya yanahitimishwa kwa kulinganisha na MITER ATT&CK Matrix, hifadhidata ya umma ambayo inakusanya mbinu za uvamizi zinazolengwa zinazotumiwa na vikundi mbalimbali vya wahalifu wa mtandaoni.
Kupata ufikiaji wa awali
Waendeshaji wa ProLock hutumia vekta kuu mbili za maelewano ya msingi: Trojan ya QakBot (Qbot) na seva za RDP zisizolindwa na nywila dhaifu.
Maelewano kupitia seva ya RDP inayoweza kufikiwa na nje ni maarufu sana miongoni mwa waendeshaji ransomware. Kwa kawaida, wavamizi hununua ufikiaji wa seva iliyoathiriwa kutoka kwa watu wengine, lakini pia inaweza kupatikana na washiriki wa kikundi peke yao.
Vekta ya kuvutia zaidi ya maelewano ya msingi ni programu hasidi ya QakBot. Hapo awali, Trojan hii ilihusishwa na familia nyingine ya ransomware - MegaCortex. Walakini, sasa inatumiwa na waendeshaji wa ProLock.
Kwa kawaida, QakBot inasambazwa kupitia kampeni za kuhadaa ili kupata maelezo ya kibinafsi. Barua pepe ya hadaa inaweza kuwa na hati iliyoambatishwa ya Microsoft Office au kiungo cha faili kilicho katika huduma ya hifadhi ya wingu, kama vile Microsoft OneDrive.
Pia kuna visa vinavyojulikana vya QakBot kupakiwa na Trojan nyingine, Emotet, ambayo inajulikana sana kwa ushiriki wake katika kampeni zilizosambaza Ryuk ransomware.
Utimilifu
Baada ya kupakua na kufungua hati iliyoambukizwa, mtumiaji anaombwa kuruhusu macros kukimbia. Ikiwa imefanikiwa, PowerShell imezinduliwa, ambayo itawawezesha kupakua na kuendesha upakiaji wa QakBot kutoka kwa seva ya amri na udhibiti.
Ni muhimu kutambua kwamba hiyo inatumika kwa ProLock: mzigo wa malipo hutolewa kutoka kwa faili BMP au JPG na kupakiwa kwenye kumbukumbu kwa kutumia PowerShell. Katika baadhi ya matukio, kazi iliyopangwa hutumiwa kuanzisha PowerShell.
Hati ya kundi inayoendesha ProLock kupitia kipanga kazi:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batUjumuishaji katika mfumo
Ikiwezekana kuhatarisha seva ya RDP na kupata ufikiaji, basi akaunti halali hutumiwa kupata ufikiaji wa mtandao. QakBot ina sifa ya mifumo mbali mbali ya viambatisho. Mara nyingi, Trojan hii hutumia ufunguo wa Usajili wa Run na huunda kazi katika kipanga ratiba:
Kubandika Qakbot kwenye mfumo kwa kutumia kitufe cha Usajili cha Run
Katika baadhi ya matukio, folda za kuanza hutumiwa pia: njia ya mkato imewekwa pale ambayo inaelekeza kwenye bootloader.
Ulinzi wa bypass
Kwa kuwasiliana na seva ya amri na udhibiti, QakBot hujaribu kujisasisha mara kwa mara, kwa hivyo ili kuzuia kugunduliwa, programu hasidi inaweza kuchukua nafasi ya toleo lake la sasa na mpya. Faili zinazoweza kutekelezwa hutiwa saini kwa saini iliyoathiriwa au ghushi. Upakiaji wa awali uliopakiwa na PowerShell huhifadhiwa kwenye seva ya C&C na kiendelezi PNG. Kwa kuongeza, baada ya utekelezaji inabadilishwa na faili halali calc.exe.
Pia, kuficha shughuli mbaya, QakBot hutumia mbinu ya kuingiza msimbo kwenye michakato, kwa kutumia Explorer.exe.
Kama ilivyotajwa, upakiaji wa ProLock umefichwa ndani ya faili BMP au JPG. Hii pia inaweza kuzingatiwa kama njia ya kuzuia ulinzi.
Kupata vitambulisho
QakBot ina utendakazi wa keylogger. Kwa kuongeza, inaweza kupakua na kuendesha hati za ziada, kwa mfano, Invoke-Mimikatz, toleo la PowerShell la matumizi maarufu ya Mimikatz. Hati kama hizi zinaweza kutumiwa na washambuliaji kutupa vitambulisho.
Ujuzi wa mtandao
Baada ya kupata ufikiaji wa akaunti zilizobahatika, waendeshaji wa ProLock hufanya uchunguzi wa mtandao, ambao unaweza kujumuisha skanning ya bandari na uchambuzi wa mazingira ya Active Directory. Kando na hati mbalimbali, washambuliaji hutumia AdFind, chombo kingine maarufu miongoni mwa vikundi vya ukombozi, kukusanya taarifa kuhusu Active Directory.
Ukuzaji wa mtandao
Kijadi, mojawapo ya mbinu maarufu zaidi za kukuza mtandao ni Itifaki ya Kompyuta ya Mbali. ProLock haikuwa ubaguzi. Wavamizi hata wana hati katika ghala lao la kupata ufikiaji wa mbali kupitia RDP ili kulenga wapangishaji.
Hati ya BAT ya kupata ufikiaji kupitia itifaki ya RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Ili kutekeleza hati kwa mbali, waendeshaji wa ProLock hutumia zana nyingine maarufu, matumizi ya PsExec kutoka kwa Sysinternals Suite.
ProLock inaendeshwa na wapangishaji kwa kutumia WMIC, ambayo ni kiolesura cha mstari wa amri cha kufanya kazi na mfumo mdogo wa Ala za Usimamizi wa Windows. Chombo hiki pia kinazidi kuwa maarufu kati ya waendeshaji wa ransomware.
Mkusanyiko wa data
Kama waendeshaji wengine wengi wa ransomware, kikundi kinachotumia ProLock hukusanya data kutoka kwa mtandao ulioathiriwa ili kuongeza nafasi zao za kupokea fidia. Kabla ya kuchujwa, data iliyokusanywa huwekwa kwenye kumbukumbu kwa kutumia matumizi ya 7Zip.
Uchujaji
Ili kupakia data, waendeshaji wa ProLock hutumia Rclone, zana ya mstari wa amri iliyoundwa kusawazisha faili na huduma mbalimbali za hifadhi ya wingu kama vile OneDrive, Hifadhi ya Google, Mega, n.k. Wavamizi kila wakati hubadilisha jina la faili inayoweza kutekelezwa ili kuifanya ionekane kama faili halali za mfumo.
Tofauti na wenzao, waendeshaji wa ProLock bado hawana tovuti yao ya kuchapisha data iliyoibwa ya makampuni ambayo yalikataa kulipa fidia.
Kufikia lengo la mwisho
Baada ya data kuchujwa, timu itasambaza ProLock katika mtandao wa biashara. Faili ya binary hutolewa kutoka kwa faili iliyo na kiendelezi PNG au JPG kutumia PowerShell na kuingizwa kwenye kumbukumbu:
Kwanza kabisa, ProLock inasitisha michakato iliyoainishwa kwenye orodha iliyojumuishwa (ya kufurahisha, hutumia herufi sita tu za jina la mchakato, kama vile "winwor"), na kusitisha huduma, pamoja na zile zinazohusiana na usalama, kama vile CSFalconService ( CrowdStrike Falcon). kwa kutumia amri kuacha wavu.
Halafu, kama ilivyo kwa familia zingine nyingi za ransomware, washambuliaji hutumia vssadmin kufuta nakala za kivuli za Windows na kupunguza ukubwa wao ili nakala mpya hazijaundwa:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock inaongeza kiendelezi .proLock, .pr0Funga au .proL0ck kwa kila faili iliyosimbwa na kuweka faili [JINSI YA KUREJESHA FAILI].TXT kwa kila folda. Faili hii ina maagizo ya jinsi ya kusimbua faili, ikijumuisha kiungo cha tovuti ambapo mwathiriwa lazima aweke kitambulisho cha kipekee na kupokea maelezo ya malipo:
Kila mfano wa ProLock una habari kuhusu kiasi cha fidia - katika kesi hii, bitcoins 35, ambayo ni takriban $312.
Hitimisho
Waendeshaji wengi wa ransomware hutumia njia sawa ili kufikia malengo yao. Wakati huo huo, mbinu zingine ni za kipekee kwa kila kikundi. Hivi sasa, kuna ongezeko la idadi ya vikundi vya wahalifu wa mtandao wanaotumia ransomware katika kampeni zao. Katika baadhi ya matukio, waendeshaji sawa wanaweza kuhusika katika mashambulizi kwa kutumia familia tofauti za ransomware, kwa hivyo tutazidi kuona mwingiliano wa mbinu, mbinu na taratibu zinazotumiwa.
Kuchora ramani kwa kutumia MITER ATT&CK Mapping
Mbinu
Mbinu
Ufikiaji wa Awali (TA0001)
Huduma za Nje za Mbali (T1133), Kiambatisho cha Kuvua Mkuki (T1193), Kiungo cha Kuficha Mkuki (T1192)
Utekelezaji (TA0002)
Powershell (T1086), Hati (T1064), Utekelezaji wa Mtumiaji (T1204), Ala za Usimamizi wa Windows (T1047)
Kudumu (TA0003)
Vifunguo vya Kuendesha Usajili / Folda ya Kuanzisha (T1060), Kazi Iliyoratibiwa (T1053), Akaunti Halali (T1078)
Ukwepaji wa Ulinzi (TA0005)
Kutia Sahihi Msimbo (T1116), Faili au Maelezo ya Deobfuscate/Simbua (T1140), Kuzima Zana za Usalama (T1089), Ufutaji wa Faili (T1107), Kuiga (T1036), Mchakato wa Kudunga (T1055)
Ufikiaji wa Kitambulisho (TA0006)
Utupaji wa Hati Sifa (T1003), Brute Force (T1110), Input Capture (T1056)
Ugunduzi (TA0007)
Ugunduzi wa Akaunti (T1087), Ugunduzi wa Uaminifu wa Kikoa (T1482), Ugunduzi wa Faili na Saraka (T1083), Uchanganuzi wa Huduma ya Mtandao (T1046), Ugunduzi wa Kushiriki Mtandao (T1135), Ugunduzi wa Mfumo wa Mbali (T1018)
Mwendo wa Baadaye (TA0008)
Itifaki ya Eneo-kazi la Mbali (T1076), Nakala ya Faili ya Mbali (T1105), Hisa za Msimamizi wa Windows (T1077)
Mkusanyiko (TA0009)
Data kutoka Mfumo wa Ndani (T1005), Data kutoka Hifadhi ya Pamoja ya Mtandao (T1039), Data Iliyopangwa (T1074)
Amri na Udhibiti (TA0011)
Bandari Inayotumika Kawaida (T1043), Huduma ya Wavuti (T1102)
Uchujaji (TA0010)
Data Imebanwa (T1002), Hamisha Data hadi Akaunti ya Wingu (T1537)
Athari (TA0040)
Data Iliyosimbwa kwa Athari (T1486), Zuia Urejeshaji wa Mfumo (T1490)
Chanzo: mapenzi.com