Кушодани ProLock: таҳлили амали операторони нармафзори нави ransomware бо истифода аз матритсаи MITER ATT&CK

Кушодани ProLock: таҳлили амали операторони нармафзори нави ransomware бо истифода аз матритсаи MITER ATT&CK

Муваффақияти ҳамлаҳои ransomware ба созмонҳо дар саросари ҷаҳон водор мекунад, ки ҳамлагарони нав ба бозӣ ворид шаванд. Яке аз чунин бозигари нав гурӯҳест, ки бо истифода аз ransomware ProLock. Он дар моҳи марти соли 2020 ҳамчун вориси PwndLocker пайдо шуд, ки дар охири соли 2019 ба кор шурӯъ кард. Ҳамлаҳои ransomware ProLock асосан ба созмонҳои молиявӣ ва тандурустӣ, муассисаҳои давлатӣ ва бахши чакана нигаронида шудаанд. Ба наздикӣ операторони ProLock ба Диболд Никсдорф, яке аз бузургтарин истеҳсолкунандагони банкоматҳо бомуваффақият ҳамла карданд.

Дар ин пост Олег Скулкин, мутахассиси пешбари лабораторияи криминалистии компютерии Group-IB, тактика, усулҳо ва расмиёти асосиро (TTPs), ки операторони ProLock истифода мебаранд, баррасӣ мекунад. Мақола бо муқоиса бо матритсаи MITER ATT&CK, як махзани оммавӣ, ки тактикаи ҳамлаҳои мақсаднокро, ки аз ҷониби гурӯҳҳои гуногуни киберҷинояткор истифода мешаванд, ҷамъоварӣ мекунад, анҷом меёбад.

Гирифтани дастрасии ибтидоӣ

Операторони ProLock ду вектори асосии созишро истифода мебаранд: трояни QakBot (Qbot) ва серверҳои RDP-и муҳофизатнашаванда бо паролҳои заиф.

Озод кардани сервери RDP, ки аз берун дастрас аст, дар байни операторони нармафзори фидя хеле маъмул аст. Одатан, дастрасӣ ба осебдида сервер Ҳамлагарон онро аз шахсони сеюм мехаранд, аммо онро худи аъзоёни гурӯҳ низ ба даст оварда метавонанд.

Як вектори созиши ибтидоии ҷолибтар ин нармафзори зараровар QakBot мебошад. Ин троян қаблан бо як оилаи дигари ransomware MegaCortex алоқаманд буд. Аммо, он ҳоло аз ҷониби операторони ProLock истифода мешавад.

QakBot маъмулан тавассути маъракаҳои фишинг паҳн карда мешавад. Почтаи фишинг метавонад дорои ҳуҷҷати замимашудаи Microsoft Office ё истинод ба чунин файле, ки дар хидмати нигаҳдории абр ҷойгир аст, ба монанди Microsoft OneDrive.

Ҳодисаҳои боркунии QakBot бо трояни дигар Emotet, ки бо иштироки худ дар маъракаҳои паҳнкунии нармафзори Ryuk маъруф аст, низ маълуманд.

Иҷрои

Пас аз зеркашӣ ва кушодани ҳуҷҷати сироятшуда аз корбар хоҳиш карда мешавад, ки макросҳоро иҷозат диҳад. Агар муваффақ бошад, PowerShell оғоз карда мешавад, ки имкон медиҳад сарбории QakBot аз сервери фармон ва идора зеркашӣ ва иҷро карда шавад.

Қайд кардан муҳим аст, ки ҳамин чиз ба ProLock дахл дорад: бори пурбор аз файл гирифта мешавад BMP ё JPG ва аз ҷониби PowerShell ба хотира бор карда мешавад. Дар баъзе ҳолатҳо, барои оғоз кардани PowerShell вазифаи ба нақша гирифташуда истифода мешавад.

Скрипти дастаҷамъие, ки ProLock-ро тавассути нақшаи вазифаҳо иҷро мекунад:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

Консолидация дар система

Агар сервери RDP халалдор шавад ва дастрасӣ пайдо шавад, он ҳисобҳои мавҷударо барои ба даст овардани устуворӣ дар шабака истифода мебарад. QakBot механизмҳои гуногуни устувориро истифода мебарад. Одатан, ин троян калиди реестри Run-ро истифода мебарад ва дар ҷадвали вазифаҳо вазифаҳо эҷод мекунад:

Кушодани ProLock: таҳлили амали операторони нармафзори нави ransomware бо истифода аз матритсаи MITER ATT&CK
Ислоҳи Qakbot дар система бо истифода аз калиди сабти иҷро

Дар баъзе ҳолатҳо, ҷузвдонҳои оғозёбӣ низ истифода мешаванд: дар он ҷо миёнабур ҷойгир карда шудааст, ки ба пурборкунанда ишора мекунад.

Ҳимояи канорагирӣ

Бо муошират бо сервери фармон ва идоракунӣ, QakBot давра ба давра кӯшиш мекунад, ки худро навсозӣ кунад. Барои пешгирӣ аз ошкоршавӣ, нармафзори зараровар метавонад версияи ҷории худро бо версияи нав иваз кунад. Файлҳои иҷрошаванда бо имзои вайроншуда ё қалбакӣ имзо карда мешаванд. Боркунии ибтидоӣ, ки аз ҷониби PowerShell зеркашӣ шудааст, дар сервери фармон нигоҳ дошта мешавад. сервер бо тамдид PNG. Илова бар ин, пас аз иҷро он бо файли қонунӣ иваз карда мешавад. calc.exe.

Инчунин, барои пинҳон кардани фаъолияти зараровараш, QakBot усули ворид кардани кодро ба равандҳо истифода мебарад. explorer.exe.

Тавре зикр гардид, бори пуркунандаи ProLock дар дохили файл пинҳон аст. BMP ё JPGИнро метавон ҳамчун як усули канорагирӣ аз муҳофизат дидан мумкин аст.

Гирифтани эътимоднома

QakBot дорои функсияи сабти клавиатура. Он инчунин метавонад скриптҳои иловагӣ, ба монанди Invoke-Mimikatz, версияи PowerShell-и утилитаи машҳури Mimikatz -ро зеркашӣ ва иҷро кунад. Чунин скриптҳо метавонанд аз ҷониби ҳамлагарон барои партофтани маълумот истифода шаванд.

Интеллектуалии шабака

Пас аз дастрасӣ ба ҳисобҳои имтиёзнок, операторони ProLock иктишофи шабакаро анҷом медиҳанд, ки метавонад сканкунии порт ва таҳлили Active Directory-ро дар бар гирад. Илова ба скриптҳои гуногун, ҳамлагарон барои ҷамъоварии маълумот дар бораи Active Directory аз AdFind, абзори дигаре, ки дар байни гурӯҳҳои ransomware маъмул аст, истифода мебаранд.

Пешбурди шабака

Одатан, яке аз усулҳои маъмултарини воридшавии шабака Протоколи Мизи кории дурдаст (RDP) мебошад. ProLock истисно нест. Ҳамлагарон ҳатто дар арсенали худ скриптҳо доранд, то дастрасии дурдаст ба ҳостҳои мавриди ҳадаф тавассути RDP дошта бошанд.

Скрипти BAT барои дастрас шудан тавассути протоколи RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

Барои аз фосилаи дур иҷро кардани скриптҳо, операторони ProLock боз як асбоби маъмулро истифода мебаранд: утилитаи PsExec аз Sysinternals Suite.

ProLock дар хостҳо бо истифода аз WMIC, ки интерфейси сатри фармон барои кор бо зерсистема мебошад, ба кор андохта мешавад. Windows Асбобҳои идоракунӣ. Ин абзор инчунин дар байни операторони нармафзори фидя (ransomware) маъруфияти бештар пайдо мекунад.

Ҷамъоварии маълумот

Мисли бисёре аз дигар операторони ransomware, гурӯҳе, ки ProLock-ро истифода мебарад, маълумотро аз шабакаи осебдида ҷамъоварӣ мекунад, то имкони пардохти фидяро афзоиш диҳад. Пеш аз эксфилтратсия, маълумоти ҷамъовардашуда бо истифода аз 7Zip бойгонӣ карда мешавад.

Эксфилтратсия

Барои зеркашии маълумот, операторони ProLock Rclone, асбоби сатри фармонро истифода мебаранд, ки барои ҳамоҳангсозии файлҳо бо хидматҳои гуногуни нигаҳдории абрӣ, аз қабили OneDrive, Google Drive, Mega ва ғайра пешбинӣ шудааст. Ҳамлагарон ҳамеша номи файли иҷрошавандаро иваз мекунанд, то ба файлҳои системавии қонунӣ монанд шаванд.

Баръакси ҳамсолони худ, операторони ProLock то ҳол вебсайти худро надоранд, то маълумоти дуздидашудаи ширкатҳоеро, ки аз пардохти фидя саркашӣ мекунанд, нашр кунанд.

Ба даст овардани ҳадафи ниҳоӣ

Пас аз хориҷ кардани маълумот, даста ProLock-ро дар тамоми шабакаи корхона ҷойгир мекунад. Бинарӣ аз файле бо тамдид гирифта мешавад PNG ё JPG бо истифода аз PowerShell ва ба хотира ворид карда мешавад:

Кушодани ProLock: таҳлили амали операторони нармафзори нави ransomware бо истифода аз матритсаи MITER ATT&CK
Пеш аз ҳама, ProLock равандҳои дар рӯйхати дарунсохт зикршударо қатъ мекунад (ҷолиб он аст, ки он танҳо шаш ҳарфи номи равандро истифода мебарад, ба монанди "winwor") ва хидматҳоро, аз ҷумла хидматҳои марбут ба амният, ба монанди CSFalconService (CrowdStrike Falcon) бо истифода аз фармон қатъ мекунад. истгоҳи соф.

Сипас, мисли бисёр дигар оилаҳои ransomware, ҳамлагарон истифода мебаранд vssadmin барои нест кардани нусхаҳои соя Windows ва маҳдуд кардани андозаи онҳо, то нусхаҳои нав эҷод нашаванд:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock васеъшавӣ илова мекунад .proLock, .pr0Lock ё .proL0ck ба ҳар як файли рамзгузорӣ ва ҷойгир кардани файл [Чи тавр ФАЙЛҳоро барқарор кардан].TXT дар ҳар як папка. Ин файл дастурҳоро дар бораи чӣ гуна рамзкушоӣ кардани файлҳо дар бар мегирад, аз ҷумла истинод ба вебсайте, ки ҷабрдида бояд идентификатори беназирро ворид кунад ва маълумоти пардохтро гирад:

Кушодани ProLock: таҳлили амали операторони нармафзори нави ransomware бо истифода аз матритсаи MITER ATT&CK
Ҳар як ProLock дорои маълумот дар бораи маблағи фидя мебошад - дар ин ҳолат, 35 биткоин, ки тақрибан 312 000 долларро ташкил медиҳад.

хулоса

Бисёре аз операторони ransomware барои ноил шудан ба ҳадафҳои худ усулҳои шабеҳро истифода мебаранд. Дар айни замон, баъзе техникаҳо барои ҳар як гурӯҳ хосанд. Шумораи гурӯҳҳои киберҷинояткор дар маъракаҳои худ аз нармафзори фидя истифода мебаранд, дар ҳоли ҳозир афзоиш меёбад. Дар баъзе мавридҳо, ҳамон як операторҳо метавонанд дар ҳамлаҳо бо истифода аз оилаҳои гуногуни ransomware ҷалб шаванд, аз ин рӯ мо дар тактика, усулҳо ва расмиёти такрорӣ бештар мебинем.

Муқоиса бо харитасозии MITER ATT&CK

Тактикӣ
техника

Дастрасии ибтидоӣ (TA0001)
Хидматҳои дурдасти беруна (T1133), Замимаи Spearphishing (T1193), Пайванди Spearphishing (T1192)

Иҷро (TA0002)
Powershell (T1086), Скриптсозӣ (T1064), Иҷрои корбар (T1204), Windows Асбобҳои идоракунӣ (T1047)

Устуворӣ (TA0003)
Калидҳои Иҷрои Реестр / Папкаи оғозёбӣ (T1060), Вазифаи ба нақша гирифташуда (T1053), Ҳисобҳои дуруст (T1078)

Саркашӣ аз мудофиа (TA0005)
Имзои код (T1116), файлҳо ё иттилоотро беобрӯ кардан/декод кардан (T1140), ғайрифаъол кардани абзорҳои амниятӣ (T1089), тозакунии файл (T1107), маскарадсозӣ (T1036), тазриқи раванд (T1055)

Дастрасии эътимоднома (TA0006)
Демпинги эътимоднома (T1003), қувваи бераҳмона (T1110), сабти вуруд (T1056)

Кашфиёт (TA0007)
Кашфи ҳисоб (T1087), Кашфи эътимоди домен (T1482), Кашфи файл ва директория (T1083), Сканкунии хидмати шабакавӣ (T1046), Кашфи мубодилаи шабака (T1135), Кашфи системаи дурдаст (T1018)

Ҳаракати паҳлӯӣ (TA0008)
Протоколи мизи кории дурдаст (T1076), Нусхабардории файлҳои дурдаст (T1105), Windows Саҳмияҳои маъмурӣ (T1077)

Маҷмӯа (TA0009)
Маълумот аз системаи маҳаллӣ (T1005), маълумот аз диски муштараки шабака (T1039), маълумот дар марҳилаи (T1074)

Фармон ва назорат (TA0011)
Порти маъмулан истифодашаванда (T1043), хидмати веб (T1102)

Эксфилтратсия (TA0010)
Маълумоти фишурдашуда (T1002), Интиқоли маълумот ба ҳисоби абрӣ (T1537)

Таъсир (TA0040)
Маълумот барои таъсир рамзгузорӣ шудааст (T1486), Барќарорсозии системаро бозмедорад (T1490)

Манбаъ: will.com

Хостинги боэътимодро барои сайтҳо бо муҳофизати DDoS, серверҳои VPS VDS харед 🔥 Харидани хостинги боэътимоди вебсайт бо муҳофизати DDoS, серверҳои VPS VDS | ProHoster