உலகெங்கிலும் உள்ள நிறுவனங்கள் மீதான ransomware தாக்குதல்களின் வெற்றி, மேலும் மேலும் புதிய தாக்குபவர்களை விளையாட்டில் இறங்கத் தூண்டுகிறது. இந்த புதிய பிளேயர்களில் ஒன்று ProLock ransomware ஐப் பயன்படுத்தும் குழுவாகும். இது 2020 ஆம் ஆண்டின் இறுதியில் செயல்படத் தொடங்கிய PwndLocker திட்டத்தின் வாரிசாக மார்ச் 2019 இல் தோன்றியது. ProLock ransomware தாக்குதல்கள் முதன்மையாக நிதி மற்றும் சுகாதார நிறுவனங்கள், அரசு நிறுவனங்கள் மற்றும் சில்லறை வணிகத் துறையை குறிவைக்கின்றன. சமீபத்தில், ProLock ஆபரேட்டர்கள் மிகப்பெரிய ATM உற்பத்தியாளர்களில் ஒருவரான Dibold Nixdorf ஐ வெற்றிகரமாக தாக்கினர்.
இந்த இடுகையில் ஒலெக் ஸ்கல்கின், குழு-IB இன் கணினி தடயவியல் ஆய்வகத்தின் முன்னணி நிபுணர், ProLock ஆபரேட்டர்கள் பயன்படுத்தும் அடிப்படை தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகளை (TTPs) உள்ளடக்கியது. MITER ATT&CK Matrix உடன் ஒப்பிடுவதன் மூலம் கட்டுரை முடிவடைகிறது, இது பல்வேறு சைபர் கிரைமினல் குழுக்களால் பயன்படுத்தப்படும் இலக்கு தாக்குதல் உத்திகளை தொகுக்கும் பொது தரவுத்தளமாகும்.
ஆரம்ப அணுகலைப் பெறுதல்
ProLock ஆபரேட்டர்கள் முதன்மை சமரசத்தின் இரண்டு முக்கிய திசையன்களைப் பயன்படுத்துகின்றனர்: QakBot (Qbot) ட்ரோஜன் மற்றும் பலவீனமான கடவுச்சொற்களைக் கொண்ட பாதுகாப்பற்ற RDP சேவையகங்கள்.
வெளிப்புறமாக அணுகக்கூடிய RDP சேவையகம் வழியாக சமரசம் ransomware ஆபரேட்டர்கள் மத்தியில் மிகவும் பிரபலமானது. பொதுவாக, தாக்குபவர்கள் மூன்றாம் தரப்பினரிடமிருந்து சமரசம் செய்யப்பட்ட சேவையகத்திற்கான அணுகலை வாங்குகிறார்கள், ஆனால் அதை குழு உறுப்பினர்களும் தாங்களாகவே பெறலாம்.
முதன்மை சமரசத்தின் மிகவும் சுவாரஸ்யமான திசையன் QakBot தீம்பொருள் ஆகும். முன்னதாக, இந்த ட்ரோஜன் மற்றொரு ransomware குடும்பத்துடன் தொடர்புடையது - MegaCortex. இருப்பினும், இது இப்போது ProLock ஆபரேட்டர்களால் பயன்படுத்தப்படுகிறது.
பொதுவாக, QakBot ஃபிஷிங் பிரச்சாரங்கள் மூலம் விநியோகிக்கப்படுகிறது. ஃபிஷிங் மின்னஞ்சலில் இணைக்கப்பட்ட Microsoft Office ஆவணம் அல்லது Microsoft OneDrive போன்ற கிளவுட் ஸ்டோரேஜ் சேவையில் உள்ள கோப்பிற்கான இணைப்பு இருக்கலாம்.
Ryuk ransomware ஐ விநியோகித்த பிரச்சாரங்களில் பங்கேற்பதற்காக பரவலாக அறியப்பட்ட மற்றொரு Trojan, Emotet உடன் QakBot ஏற்றப்பட்ட நிகழ்வுகளும் அறியப்படுகின்றன.
மரணதண்டனை
பாதிக்கப்பட்ட ஆவணத்தைப் பதிவிறக்கம் செய்து திறந்த பிறகு, மேக்ரோக்களை இயக்க அனுமதிக்குமாறு பயனர் கேட்கப்படுவார். வெற்றிகரமாக இருந்தால், பவர்ஷெல் தொடங்கப்பட்டது, இது கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்திலிருந்து QakBot பேலோடைப் பதிவிறக்கி இயக்க அனுமதிக்கும்.
இது ProLock க்கும் பொருந்தும் என்பதை கவனத்தில் கொள்ள வேண்டும்: பேலோட் கோப்பில் இருந்து பிரித்தெடுக்கப்பட்டது பிஎம்பி அல்லது JPG, மற்றும் PowerShell ஐப் பயன்படுத்தி நினைவகத்தில் ஏற்றப்பட்டது. சில சந்தர்ப்பங்களில், பவர்ஷெல் தொடங்க திட்டமிடப்பட்ட பணி பயன்படுத்தப்படுகிறது.
பணி அட்டவணை மூலம் புரோலாக் இயங்கும் தொகுதி ஸ்கிரிப்ட்:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batஅமைப்பில் ஒருங்கிணைப்பு
RDP சேவையகத்தை சமரசம் செய்து அணுகலைப் பெற முடிந்தால், பிணையத்திற்கான அணுகலைப் பெற சரியான கணக்குகள் பயன்படுத்தப்படும். QakBot பல்வேறு இணைப்பு வழிமுறைகளால் வகைப்படுத்தப்படுகிறது. பெரும்பாலும், இந்த ட்ரோஜன் ரன் ரெஜிஸ்ட்ரி விசையைப் பயன்படுத்துகிறது மற்றும் திட்டமிடலில் பணிகளை உருவாக்குகிறது:
ரன் ரெஜிஸ்ட்ரி விசையைப் பயன்படுத்தி கக்போட்டை கணினியில் பொருத்துதல்
சில சந்தர்ப்பங்களில், தொடக்க கோப்புறைகளும் பயன்படுத்தப்படுகின்றன: துவக்க ஏற்றியை சுட்டிக்காட்டும் குறுக்குவழி அங்கு வைக்கப்பட்டுள்ளது.
பைபாஸ் பாதுகாப்பு
கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்புகொள்வதன் மூலம், QakBot அவ்வப்போது தன்னைப் புதுப்பிக்க முயற்சிக்கிறது, எனவே கண்டறிதலைத் தவிர்க்க, தீம்பொருள் அதன் தற்போதைய பதிப்பை புதியதாக மாற்றலாம். இயங்கக்கூடிய கோப்புகள் சமரசம் செய்யப்பட்ட அல்லது போலி கையொப்பத்துடன் கையொப்பமிடப்படுகின்றன. பவர்ஷெல் ஏற்றிய ஆரம்ப பேலோட், நீட்டிப்புடன் C&C சர்வரில் சேமிக்கப்படுகிறது , PNG. கூடுதலாக, செயல்படுத்தப்பட்ட பிறகு அது ஒரு முறையான கோப்புடன் மாற்றப்படுகிறது calc.exe.
மேலும், தீங்கிழைக்கும் செயல்பாட்டை மறைக்க, QakBot குறியீட்டை செயல்முறைகளில் செலுத்தும் நுட்பத்தைப் பயன்படுத்துகிறது. explorer.exe.
குறிப்பிட்டுள்ளபடி, கோப்பிற்குள் ProLock பேலோட் மறைக்கப்பட்டுள்ளது பிஎம்பி அல்லது JPG,. இது பாதுகாப்பைத் தவிர்க்கும் முறையாகவும் கருதலாம்.
நற்சான்றிதழ்களைப் பெறுதல்
QakBot கீலாக்கர் செயல்பாட்டைக் கொண்டுள்ளது. கூடுதலாக, இது கூடுதல் ஸ்கிரிப்ட்களைப் பதிவிறக்கி இயக்கலாம், எடுத்துக்காட்டாக, பிரபலமான மிமிகாட்ஸ் பயன்பாட்டின் பவர்ஷெல் பதிப்பான இன்வோக்-மிமிகாட்ஸ். இத்தகைய ஸ்கிரிப்ட்களை தாக்குபவர்கள் நற்சான்றிதழ்களைக் கொட்டுவதற்குப் பயன்படுத்தலாம்.
நெட்வொர்க் நுண்ணறிவு
சலுகை பெற்ற கணக்குகளுக்கான அணுகலைப் பெற்ற பிறகு, ப்ரோலாக் ஆபரேட்டர்கள் நெட்வொர்க் உளவு பார்க்கிறார்கள், இதில் போர்ட் ஸ்கேனிங் மற்றும் ஆக்டிவ் டைரக்டரி சூழலின் பகுப்பாய்வு ஆகியவை அடங்கும். பல்வேறு ஸ்கிரிப்ட்களுக்கு கூடுதலாக, தாக்குபவர்கள் ஆக்டிவ் டைரக்டரி பற்றிய தகவல்களைச் சேகரிக்க, ransomware குழுக்களிடையே பிரபலமான மற்றொரு கருவியான AdFind ஐப் பயன்படுத்துகின்றனர்.
நெட்வொர்க் விளம்பரம்
பாரம்பரியமாக, நெட்வொர்க் விளம்பரத்தின் மிகவும் பிரபலமான முறைகளில் ஒன்று ரிமோட் டெஸ்க்டாப் புரோட்டோகால் ஆகும். ProLock விதிவிலக்கல்ல. ஹோஸ்ட்களை குறிவைக்க RDP வழியாக தொலைநிலை அணுகலைப் பெற தாக்குபவர்கள் தங்கள் ஆயுதக் களஞ்சியத்தில் ஸ்கிரிப்ட்களை வைத்திருக்கிறார்கள்.
RDP நெறிமுறை வழியாக அணுகலைப் பெறுவதற்கான BAT ஸ்கிரிப்ட்:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
ஸ்கிரிப்ட்களை தொலைவிலிருந்து இயக்க, ProLock ஆபரேட்டர்கள் மற்றொரு பிரபலமான கருவியைப் பயன்படுத்துகின்றனர், Sysinternals Suite இலிருந்து PsExec பயன்பாடு.
ProLock WMIC ஐப் பயன்படுத்தி ஹோஸ்ட்களில் இயங்குகிறது, இது Windows Management Instrumentation துணை அமைப்பில் பணிபுரிவதற்கான கட்டளை வரி இடைமுகமாகும். இந்த கருவி ransomware ஆபரேட்டர்கள் மத்தியில் மேலும் பிரபலமடைந்து வருகிறது.
தரவு சேகரிப்பு
பல ransomware ஆபரேட்டர்களைப் போலவே, ProLock ஐப் பயன்படுத்தும் குழுவும் ஒரு சமரசம் செய்யப்பட்ட நெட்வொர்க்கிலிருந்து தரவைச் சேகரிக்கிறது. வெளியேற்றத்திற்கு முன், சேகரிக்கப்பட்ட தரவு 7Zip பயன்பாட்டைப் பயன்படுத்தி காப்பகப்படுத்தப்படுகிறது.
வெளியேற்றம்
தரவைப் பதிவேற்ற, ProLock ஆபரேட்டர்கள் Rclone ஐப் பயன்படுத்துகின்றனர், இது OneDrive, Google Drive, Mega போன்ற பல்வேறு கிளவுட் ஸ்டோரேஜ் சேவைகளுடன் கோப்புகளை ஒத்திசைக்க வடிவமைக்கப்பட்ட கட்டளை வரிக் கருவியாகும். தாக்குபவர்கள் எப்பொழுதும் இயங்கக்கூடிய கோப்பை முறையான கணினி கோப்புகளாக மாற்றுவதற்கு மறுபெயரிடுவார்கள்.
அவர்களது சகாக்களைப் போலன்றி, மீட்கும் தொகையை செலுத்த மறுத்த நிறுவனங்களின் திருடப்பட்ட தரவை வெளியிடுவதற்கு ProLock ஆபரேட்டர்களுக்கு இன்னும் சொந்த இணையதளம் இல்லை.
இறுதி இலக்கை அடைதல்
தரவு வெளியேற்றப்பட்டதும், குழு நிறுவன நெட்வொர்க் முழுவதும் ProLock ஐப் பயன்படுத்துகிறது. பைனரி கோப்பு நீட்டிப்புடன் கூடிய கோப்பிலிருந்து பிரித்தெடுக்கப்படுகிறது , PNG அல்லது JPG, PowerShell ஐப் பயன்படுத்தி நினைவகத்தில் செலுத்தப்பட்டது:
முதலாவதாக, உள்ளமைக்கப்பட்ட பட்டியலில் குறிப்பிடப்பட்டுள்ள செயல்முறைகளை ProLock நிறுத்துகிறது (சுவாரஸ்யமாக, இது "winwor" போன்ற செயல்முறைப் பெயரின் ஆறு எழுத்துக்களை மட்டுமே பயன்படுத்துகிறது), மேலும் CSFalconService போன்ற பாதுகாப்பு தொடர்பான சேவைகளை நிறுத்துகிறது ( CrowdStrike Falcon) கட்டளையைப் பயன்படுத்தி நிகர நிறுத்தம்.
பின்னர், பல ransomware குடும்பங்களைப் போலவே, தாக்குபவர்களும் பயன்படுத்துகின்றனர் vssadmin விண்டோஸ் நிழல் நகல்களை நீக்கி, புதிய பிரதிகள் உருவாக்கப்படாமல் அவற்றின் அளவைக் கட்டுப்படுத்தவும்:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock நீட்டிப்பைச் சேர்க்கிறது .proLock, .pr0Lock அல்லது .proL0ck ஒவ்வொரு மறைகுறியாக்கப்பட்ட கோப்பிற்கும் மற்றும் கோப்பை வைக்கிறது [கோப்புகளை எவ்வாறு மீட்டெடுப்பது].TXT ஒவ்வொரு கோப்புறைக்கும். பாதிக்கப்பட்டவர் தனிப்பட்ட ஐடியை உள்ளிட்டு கட்டணத் தகவலைப் பெற வேண்டிய தளத்திற்கான இணைப்பு உட்பட, கோப்புகளை எவ்வாறு டிக்ரிப்ட் செய்வது என்பதற்கான வழிமுறைகள் இந்தக் கோப்பில் உள்ளன:
ProLock இன் ஒவ்வொரு நிகழ்விலும் மீட்கும் தொகை பற்றிய தகவல்கள் உள்ளன - இந்த விஷயத்தில், 35 பிட்காயின்கள், இது தோராயமாக $312 ஆகும்.
முடிவுக்கு
பல ransomware ஆபரேட்டர்கள் தங்கள் இலக்குகளை அடைய இதே முறைகளைப் பயன்படுத்துகின்றனர். அதே நேரத்தில், சில நுட்பங்கள் ஒவ்வொரு குழுவிற்கும் தனிப்பட்டவை. தற்போது, தங்கள் பிரச்சாரங்களில் ransomware ஐப் பயன்படுத்தும் சைபர் கிரைமினல் குழுக்களின் எண்ணிக்கை அதிகரித்து வருகிறது. சில சந்தர்ப்பங்களில், ஒரே ஆபரேட்டர்கள் வெவ்வேறு குடும்பங்கள் ransomware ஐப் பயன்படுத்தி தாக்குதல்களில் ஈடுபடலாம், எனவே பயன்படுத்தப்படும் தந்திரோபாயங்கள், நுட்பங்கள் மற்றும் நடைமுறைகளில் ஒன்றுடன் ஒன்று இருப்பதைக் காண்போம்.
MITER ATT&CK மேப்பிங் மூலம் மேப்பிங்
தந்திரோபாயம்
டெக்னிக்
ஆரம்ப அணுகல் (TA0001)
வெளிப்புற தொலைநிலை சேவைகள் (T1133), ஸ்பியர்ஃபிஷிங் இணைப்பு (T1193), ஸ்பியர்ஃபிஷிங் இணைப்பு (T1192)
செயல்படுத்தல் (TA0002)
பவர்ஷெல் (T1086), ஸ்கிரிப்டிங் (T1064), பயனர் செயல்படுத்தல் (T1204), விண்டோஸ் மேலாண்மை கருவி (T1047)
நிலைத்தன்மை (TA0003)
ரெஜிஸ்ட்ரி ரன் கீகள் / தொடக்க கோப்புறை (T1060), திட்டமிடப்பட்ட பணி (T1053), செல்லுபடியாகும் கணக்குகள் (T1078)
பாதுகாப்பு ஏய்ப்பு (TA0005)
குறியீடு கையொப்பமிடுதல் (T1116), Deobfuscate/டிகோட் கோப்புகள் அல்லது தகவல் (T1140), பாதுகாப்பு கருவிகளை முடக்குதல் (T1089), கோப்பு நீக்குதல் (T1107), முகமூடி (T1036), செயல்முறை ஊசி (T1055)
நற்சான்றிதழ் அணுகல் (TA0006)
நற்சான்றிதழ் டம்பிங் (T1003), ப்ரூட் ஃபோர்ஸ் (T1110), உள்ளீடு பிடிப்பு (T1056)
கண்டுபிடிப்பு (TA0007)
கணக்கு கண்டுபிடிப்பு (T1087), டொமைன் டிரஸ்ட் டிஸ்கவரி (T1482), கோப்பு மற்றும் டைரக்டரி கண்டுபிடிப்பு (T1083), நெட்வொர்க் சர்வீஸ் ஸ்கேனிங் (T1046), நெட்வொர்க் ஷேர் டிஸ்கவரி (T1135), ரிமோட் சிஸ்டம் டிஸ்கவரி (T1018)
பக்கவாட்டு இயக்கம் (TA0008)
ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (T1076), ரிமோட் கோப்பு நகல் (T1105), விண்டோஸ் அட்மின் பங்குகள் (T1077)
சேகரிப்பு (TA0009)
லோக்கல் சிஸ்டத்திலிருந்து தரவு (T1005), நெட்வொர்க் ஷேர்டு டிரைவிலிருந்து தரவு (T1039), டேட்டா ஸ்டேஜ்ட் (T1074)
கட்டளை மற்றும் கட்டுப்பாடு (TA0011)
பொதுவாக பயன்படுத்தப்படும் போர்ட் (T1043), இணைய சேவை (T1102)
வெளியேற்றம் (TA0010)
தரவு சுருக்கப்பட்டது (T1002), தரவை கிளவுட் கணக்கிற்கு மாற்றவும் (T1537)
தாக்கம் (TA0040)
தாக்கத்திற்கான தரவு குறியாக்கம் (T1486), கணினி மீட்டெடுப்பைத் தடுக்கிறது (T1490)
ஆதாரம்: www.habr.com