ప్రపంచవ్యాప్తంగా ఉన్న సంస్థలపై ransomware దాడుల విజయం మరింత మంది కొత్త దాడి చేసేవారిని గేమ్లోకి వచ్చేలా ప్రోత్సహిస్తోంది. ఈ కొత్త ప్లేయర్లలో ఒకటి ProLock ransomwareని ఉపయోగించే సమూహం. ఇది 2020 చివరిలో పనిచేయడం ప్రారంభించిన PwndLocker ప్రోగ్రామ్కు వారసుడిగా మార్చి 2019లో కనిపించింది. ProLock ransomware దాడులు ప్రధానంగా ఆర్థిక మరియు ఆరోగ్య సంరక్షణ సంస్థలు, ప్రభుత్వ సంస్థలు మరియు రిటైల్ రంగాన్ని లక్ష్యంగా చేసుకుంటాయి. ఇటీవల, ప్రోలాక్ ఆపరేటర్లు అతిపెద్ద ATM తయారీదారులలో ఒకరైన డైబోల్డ్ నిక్స్డోర్ఫ్పై విజయవంతంగా దాడి చేశారు.
ఈ పోస్ట్లో ఒలేగ్ స్కుల్కిన్, గ్రూప్-IB యొక్క కంప్యూటర్ ఫోరెన్సిక్స్ లాబొరేటరీ యొక్క ప్రముఖ నిపుణుడు, ప్రోలాక్ ఆపరేటర్లు ఉపయోగించే ప్రాథమిక వ్యూహాలు, పద్ధతులు మరియు విధానాలు (TTPలు) కవర్ చేస్తుంది. MITER ATT&CK మ్యాట్రిక్స్తో పోలికతో వ్యాసం ముగుస్తుంది, ఇది వివిధ సైబర్క్రిమినల్ గ్రూపులు ఉపయోగించే లక్ష్య దాడి వ్యూహాలను సంకలనం చేసే పబ్లిక్ డేటాబేస్.
ప్రారంభ ప్రాప్యతను పొందుతోంది
ProLock ఆపరేటర్లు ప్రాధమిక రాజీ యొక్క రెండు ప్రధాన వెక్టర్లను ఉపయోగిస్తారు: QakBot (Qbot) ట్రోజన్ మరియు బలహీనమైన పాస్వర్డ్లతో అసురక్షిత RDP సర్వర్లు.
బాహ్యంగా యాక్సెస్ చేయగల RDP సర్వర్ ద్వారా రాజీ అనేది ransomware ఆపరేటర్లలో బాగా ప్రాచుర్యం పొందింది. సాధారణంగా, దాడి చేసేవారు థర్డ్ పార్టీల నుండి రాజీపడిన సర్వర్కు యాక్సెస్ను కొనుగోలు చేస్తారు, కానీ దానిని గ్రూప్ సభ్యులు వారి స్వంతంగా కూడా పొందవచ్చు.
QakBot మాల్వేర్ అనేది ప్రాధమిక రాజీ యొక్క మరింత ఆసక్తికరమైన వెక్టర్. గతంలో, ఈ ట్రోజన్ ransomware యొక్క మరొక కుటుంబంతో అనుబంధించబడింది - MegaCortex. అయితే, ఇది ఇప్పుడు ప్రోలాక్ ఆపరేటర్లచే ఉపయోగించబడుతుంది.
సాధారణంగా, QakBot ఫిషింగ్ ప్రచారాల ద్వారా పంపిణీ చేయబడుతుంది. ఫిషింగ్ ఇమెయిల్లో జోడించబడిన Microsoft Office పత్రం లేదా Microsoft OneDrive వంటి క్లౌడ్ నిల్వ సేవలో ఉన్న ఫైల్కి లింక్ ఉండవచ్చు.
QakBot మరొక ట్రోజన్, Emotetతో లోడ్ చేయబడిన సందర్భాలు కూడా ఉన్నాయి, ఇది Ryuk ransomwareని పంపిణీ చేసే ప్రచారాలలో పాల్గొనడానికి విస్తృతంగా ప్రసిద్ధి చెందింది.
ప్రదర్శన
సోకిన పత్రాన్ని డౌన్లోడ్ చేసి, తెరిచిన తర్వాత, మాక్రోలను అమలు చేయడానికి అనుమతించమని వినియోగదారు ప్రాంప్ట్ చేయబడతారు. విజయవంతమైతే, పవర్షెల్ ప్రారంభించబడింది, ఇది కమాండ్ మరియు కంట్రోల్ సర్వర్ నుండి QakBot పేలోడ్ను డౌన్లోడ్ చేయడానికి మరియు అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
ఇది ProLockకి కూడా వర్తిస్తుందని గమనించడం ముఖ్యం: పేలోడ్ ఫైల్ నుండి సంగ్రహించబడింది BMP లేదా JPG మరియు PowerShellని ఉపయోగించి మెమరీలోకి లోడ్ చేయబడింది. కొన్ని సందర్భాల్లో, PowerShellని ప్రారంభించడానికి షెడ్యూల్ చేయబడిన పని ఉపయోగించబడుతుంది.
టాస్క్ షెడ్యూలర్ ద్వారా ప్రోలాక్ రన్ అవుతున్న బ్యాచ్ స్క్రిప్ట్:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batవ్యవస్థలో ఏకీకరణ
RDP సర్వర్తో రాజీపడి ప్రాప్యతను పొందడం సాధ్యమైతే, నెట్వర్క్కు ప్రాప్యత పొందడానికి చెల్లుబాటు అయ్యే ఖాతాలు ఉపయోగించబడతాయి. QakBot అనేక రకాల అటాచ్మెంట్ మెకానిజమ్ల ద్వారా వర్గీకరించబడింది. చాలా తరచుగా, ఈ ట్రోజన్ రన్ రిజిస్ట్రీ కీని ఉపయోగిస్తుంది మరియు షెడ్యూలర్లో టాస్క్లను సృష్టిస్తుంది:
రన్ రిజిస్ట్రీ కీని ఉపయోగించి సిస్టమ్కు Qakbot పిన్ చేస్తోంది
కొన్ని సందర్భాల్లో, ప్రారంభ ఫోల్డర్లు కూడా ఉపయోగించబడతాయి: బూట్లోడర్ను సూచించే సత్వరమార్గం అక్కడ ఉంచబడుతుంది.
బైపాస్ రక్షణ
కమాండ్ మరియు కంట్రోల్ సర్వర్తో కమ్యూనికేట్ చేయడం ద్వారా, QakBot క్రమానుగతంగా తనను తాను నవీకరించుకోవడానికి ప్రయత్నిస్తుంది, కనుక గుర్తించకుండా ఉండటానికి, మాల్వేర్ దాని స్వంత ప్రస్తుత సంస్కరణను కొత్త దానితో భర్తీ చేయగలదు. ఎక్జిక్యూటబుల్ ఫైల్లు రాజీపడిన లేదా నకిలీ సంతకంతో సంతకం చేయబడతాయి. PowerShell ద్వారా లోడ్ చేయబడిన ప్రారంభ పేలోడ్ పొడిగింపుతో C&C సర్వర్లో నిల్వ చేయబడుతుంది PNG. అదనంగా, అమలు తర్వాత అది చట్టబద్ధమైన ఫైల్తో భర్తీ చేయబడుతుంది calc.exe.
అలాగే, హానికరమైన కార్యాచరణను దాచడానికి, QakBot కోడ్ను ప్రక్రియల్లోకి ఇంజెక్ట్ చేసే సాంకేతికతను ఉపయోగిస్తుంది. explorer.exe.
చెప్పినట్లుగా, ProLock పేలోడ్ ఫైల్ లోపల దాచబడింది BMP లేదా JPG. ఇది రక్షణను దాటవేసే పద్ధతిగా కూడా పరిగణించబడుతుంది.
ఆధారాలను పొందడం
QakBot కీలాగర్ కార్యాచరణను కలిగి ఉంది. అదనంగా, ఇది అదనపు స్క్రిప్ట్లను డౌన్లోడ్ చేసి, అమలు చేయగలదు, ఉదాహరణకు, ఇన్వోక్-మిమికాట్జ్, ప్రసిద్ధ మిమికాట్జ్ యుటిలిటీ యొక్క పవర్షెల్ వెర్షన్. అటువంటి స్క్రిప్ట్లను దాడి చేసేవారు ఆధారాలను డంప్ చేయడానికి ఉపయోగించవచ్చు.
నెట్వర్క్ ఇంటెలిజెన్స్
విశేష ఖాతాలకు యాక్సెస్ పొందిన తర్వాత, ప్రోలాక్ ఆపరేటర్లు నెట్వర్క్ నిఘాను నిర్వహిస్తారు, ఇందులో పోర్ట్ స్కానింగ్ మరియు యాక్టివ్ డైరెక్టరీ పర్యావరణం యొక్క విశ్లేషణ ఉండవచ్చు. వివిధ స్క్రిప్ట్లతో పాటు, యాక్టివ్ డైరెక్టరీ గురించి సమాచారాన్ని సేకరించడానికి దాడి చేసేవారు ransomware సమూహాలలో ప్రసిద్ధి చెందిన AdFind అనే మరొక సాధనాన్ని ఉపయోగిస్తారు.
నెట్వర్క్ ప్రమోషన్
సాంప్రదాయకంగా, రిమోట్ డెస్క్టాప్ ప్రోటోకాల్ అనేది నెట్వర్క్ ప్రమోషన్ యొక్క అత్యంత ప్రజాదరణ పొందిన పద్ధతుల్లో ఒకటి. ProLock మినహాయింపు కాదు. దాడి చేసేవారు హోస్ట్లను లక్ష్యంగా చేసుకోవడానికి RDP ద్వారా రిమోట్ యాక్సెస్ని పొందడానికి వారి ఆయుధశాలలో స్క్రిప్ట్లను కూడా కలిగి ఉంటారు.
RDP ప్రోటోకాల్ ద్వారా యాక్సెస్ పొందడానికి BAT స్క్రిప్ట్:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
స్క్రిప్ట్లను రిమోట్గా అమలు చేయడానికి, ProLock ఆపరేటర్లు మరొక ప్రసిద్ధ సాధనాన్ని ఉపయోగిస్తారు, Sysinternals సూట్ నుండి PsExec యుటిలిటీ.
విండోస్ మేనేజ్మెంట్ ఇన్స్ట్రుమెంటేషన్ సబ్సిస్టమ్తో పని చేయడానికి కమాండ్ లైన్ ఇంటర్ఫేస్ అయిన WMICని ఉపయోగించి హోస్ట్లపై ప్రోలాక్ నడుస్తుంది. ఈ సాధనం ransomware ఆపరేటర్లలో కూడా బాగా ప్రాచుర్యం పొందింది.
వివరాల సేకరణ
అనేక ఇతర ransomware ఆపరేటర్ల మాదిరిగానే, ProLockని ఉపయోగించే సమూహం వారి విమోచనను స్వీకరించే అవకాశాలను పెంచడానికి రాజీపడిన నెట్వర్క్ నుండి డేటాను సేకరిస్తుంది. వెలికితీసే ముందు, సేకరించిన డేటా 7Zip యుటిలిటీని ఉపయోగించి ఆర్కైవ్ చేయబడుతుంది.
విసర్జనము
డేటాను అప్లోడ్ చేయడానికి, ProLock ఆపరేటర్లు OneDrive, Google Drive, Mega మొదలైన వివిధ క్లౌడ్ స్టోరేజ్ సేవలతో ఫైల్లను సమకాలీకరించడానికి రూపొందించిన కమాండ్ లైన్ సాధనమైన Rcloneని ఉపయోగిస్తారు. దాడి చేసేవారు ఎల్లప్పుడూ ఎక్జిక్యూటబుల్ ఫైల్ని చట్టబద్ధమైన సిస్టమ్ ఫైల్లుగా మార్చడానికి పేరు మారుస్తారు.
వారి సహచరులకు భిన్నంగా, విమోచన చెల్లింపును నిరాకరించిన కంపెనీలకు చెందిన దొంగిలించబడిన డేటాను ప్రచురించడానికి ప్రోలాక్ ఆపరేటర్లకు ఇప్పటికీ వారి స్వంత వెబ్సైట్ లేదు.
తుది లక్ష్యాన్ని సాధించడం
డేటా వెలికితీసిన తర్వాత, బృందం ప్రోలాక్ని ఎంటర్ప్రైజ్ నెట్వర్క్ అంతటా అమలు చేస్తుంది. బైనరీ ఫైల్ పొడిగింపుతో ఉన్న ఫైల్ నుండి సంగ్రహించబడింది PNG లేదా JPG పవర్షెల్ ఉపయోగించి మరియు మెమరీలోకి ఇంజెక్ట్ చేయబడింది:
అన్నింటిలో మొదటిది, ప్రోలాక్ అంతర్నిర్మిత జాబితాలో పేర్కొన్న ప్రక్రియలను ముగిస్తుంది (ఆసక్తికరంగా, ఇది "విన్వర్" వంటి ప్రాసెస్ పేరులోని ఆరు అక్షరాలను మాత్రమే ఉపయోగిస్తుంది) మరియు CSFalconService వంటి భద్రతకు సంబంధించిన సేవలను రద్దు చేస్తుంది ( CrowdStrike ఫాల్కన్). నెట్ స్టాప్.
అప్పుడు, అనేక ఇతర ransomware కుటుంబాల మాదిరిగానే, దాడి చేసేవారు ఉపయోగిస్తున్నారు vssadmin Windows షాడో కాపీలను తొలగించడానికి మరియు కొత్త కాపీలు సృష్టించబడకుండా వాటి పరిమాణాన్ని పరిమితం చేయడానికి:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock పొడిగింపును జోడిస్తుంది .ప్రోలాక్, .pr0Lock లేదా .proL0ck ప్రతి గుప్తీకరించిన ఫైల్కి మరియు ఫైల్ను ఉంచుతుంది [ఫైళ్లను ఎలా పునరుద్ధరించాలి].TXT ప్రతి ఫోల్డర్కు. బాధితుడు తప్పనిసరిగా ప్రత్యేక IDని నమోదు చేసి, చెల్లింపు సమాచారాన్ని స్వీకరించే సైట్కి లింక్తో సహా ఫైల్లను ఎలా డీక్రిప్ట్ చేయాలో ఈ ఫైల్ సూచనలను కలిగి ఉంది:
ప్రోలాక్ యొక్క ప్రతి ఉదాహరణ విమోచన మొత్తం గురించి సమాచారాన్ని కలిగి ఉంటుంది - ఈ సందర్భంలో, 35 బిట్కాయిన్లు, ఇది సుమారు $312.
తీర్మానం
చాలా మంది ransomware ఆపరేటర్లు తమ లక్ష్యాలను సాధించడానికి ఇలాంటి పద్ధతులను ఉపయోగిస్తారు. అదే సమయంలో, ప్రతి సమూహానికి కొన్ని పద్ధతులు ప్రత్యేకంగా ఉంటాయి. ప్రస్తుతం, ransomwareని తమ ప్రచారాల్లో ఉపయోగిస్తున్న సైబర్క్రిమినల్ గ్రూపుల సంఖ్య పెరుగుతోంది. కొన్ని సందర్భాల్లో, ఒకే ఆపరేటర్లు వివిధ కుటుంబాల ransomwareని ఉపయోగించి దాడులలో పాల్గొనవచ్చు, కాబట్టి మేము ఉపయోగించే వ్యూహాలు, పద్ధతులు మరియు విధానాలలో అతివ్యాప్తి చెందడాన్ని ఎక్కువగా చూస్తాము.
MITER ATT&CK మ్యాపింగ్తో మ్యాపింగ్
ఎత్తుగడ
టెక్నిక్
ప్రారంభ యాక్సెస్ (TA0001)
బాహ్య రిమోట్ సేవలు (T1133), స్పియర్ఫిషింగ్ అటాచ్మెంట్ (T1193), స్పియర్ఫిషింగ్ లింక్ (T1192)
అమలు (TA0002)
పవర్షెల్ (T1086), స్క్రిప్టింగ్ (T1064), యూజర్ ఎగ్జిక్యూషన్ (T1204), విండోస్ మేనేజ్మెంట్ ఇన్స్ట్రుమెంటేషన్ (T1047)
పట్టుదల (TA0003)
రిజిస్ట్రీ రన్ కీలు / స్టార్టప్ ఫోల్డర్ (T1060), షెడ్యూల్డ్ టాస్క్ (T1053), చెల్లుబాటు అయ్యే ఖాతాలు (T1078)
డిఫెన్స్ ఎగవేషన్ (TA0005)
కోడ్ సంతకం (T1116), Deobfuscate/డీకోడ్ ఫైల్స్ లేదా ఇన్ఫర్మేషన్ (T1140), డిసేబుల్ సెక్యూరిటీ టూల్స్ (T1089), ఫైల్ తొలగింపు (T1107), మాస్క్వెరేడింగ్ (T1036), ప్రాసెస్ ఇంజెక్షన్ (T1055)
క్రెడెన్షియల్ యాక్సెస్ (TA0006)
క్రెడెన్షియల్ డంపింగ్ (T1003), బ్రూట్ ఫోర్స్ (T1110), ఇన్పుట్ క్యాప్చర్ (T1056)
ఆవిష్కరణ (TA0007)
ఖాతా ఆవిష్కరణ (T1087), డొమైన్ ట్రస్ట్ డిస్కవరీ (T1482), ఫైల్ మరియు డైరెక్టరీ డిస్కవరీ (T1083), నెట్వర్క్ సర్వీస్ స్కానింగ్ (T1046), నెట్వర్క్ షేర్ డిస్కవరీ (T1135), రిమోట్ సిస్టమ్ డిస్కవరీ (T1018)
పార్శ్వ కదలిక (TA0008)
రిమోట్ డెస్క్టాప్ ప్రోటోకాల్ (T1076), రిమోట్ ఫైల్ కాపీ (T1105), విండోస్ అడ్మిన్ షేర్లు (T1077)
సేకరణ (TA0009)
లోకల్ సిస్టమ్ నుండి డేటా (T1005), నెట్వర్క్ షేర్డ్ డ్రైవ్ నుండి డేటా (T1039), డేటా స్టేజ్డ్ (T1074)
కమాండ్ అండ్ కంట్రోల్ (TA0011)
సాధారణంగా ఉపయోగించే పోర్ట్ (T1043), వెబ్ సర్వీస్ (T1102)
ఎక్స్ఫిల్ట్రేషన్ (TA0010)
డేటా కంప్రెస్డ్ (T1002), డేటాను క్లౌడ్ ఖాతాకు బదిలీ చేయండి (T1537)
ప్రభావం (TA0040)
ఇంపాక్ట్ (T1486) కోసం డేటా ఎన్క్రిప్ట్ చేయబడింది, సిస్టమ్ రికవరీని నిరోధించండి (T1490)
మూలం: www.habr.com