Муваффақияти ҳамлаҳои нармафзори ransomware ба созмонҳо дар саросари ҷаҳон водор мекунад, ки ҳамлагарони нав ба бозӣ ворид шаванд. Яке аз ин бозигарони нав гурӯҳест, ки бо истифода аз ransomware ProLock. Он дар моҳи марти соли 2020 ҳамчун вориси барномаи PwndLocker пайдо шуд, ки дар охири соли 2019 ба кор шурӯъ кард. Ҳамлаҳои ransomware ProLock асосан ба ташкилотҳои молиявӣ ва тандурустӣ, муассисаҳои давлатӣ ва бахши чакана нигаронида шудаанд. Ба наздикӣ операторони ProLock ба яке аз бузургтарин истеҳсолкунандагони банкоматҳо, Диболд Никсдорф бомуваффақият ҳамла карданд.
Дар ин пост Олег Скулкин, мутахассиси пешбари лабораторияи криминалистии компютерии Group-IB, тактика, усулҳо ва расмиёти асосиро (ТТП) дар бар мегирад, ки операторони ProLock истифода мебаранд. Мақолаи мазкур бо муқоиса бо матритсаи MITER ATT&CK, як махзани оммавӣ, ки тактикаи ҳадафмандонаи ҳамлаҳои аз ҷониби гурӯҳҳои гуногуни киберҷинояткор истифодашавандаро ҷамъоварӣ мекунад, анҷом меёбад.
Гирифтани дастрасии ибтидоӣ
Операторҳои ProLock ду вектори асосии созиши ибтидоиро истифода мебаранд: трояни QakBot (Qbot) ва серверҳои RDP-и муҳофизатнашаванда бо паролҳои заиф.
Созиш тавассути сервери RDP аз берун дастрас дар байни операторони ransomware хеле маъмул аст. Одатан, ҳамлагарон дастрасӣ ба сервери осебдидаро аз шахсони сеюм мехаранд, аммо онро инчунин аъзоёни гурӯҳ мустақилона дастрас карда метавонанд.
Вектори ҷолибтар аз созиши ибтидоӣ нармафзори зараровар QakBot мебошад. Қаблан, ин троян бо як оилаи дигари ransomware - MegaCortex алоқаманд буд. Аммо, он ҳоло аз ҷониби операторони ProLock истифода мешавад.
Одатан, QakBot тавассути маъракаҳои фишинг паҳн карда мешавад. Почтаи электронии фишинг метавонад дорои ҳуҷҷати замимашудаи Microsoft Office ё истинод ба файле, ки дар хидмати нигаҳдории абр ҷойгир аст, ба монанди Microsoft OneDrive.
Ҳодисаҳои боркунии QakBot бо трояни дигар, Emotet, ки бо иштироки худ дар маъракаҳое, ки нармафзори ransomware-ро паҳн мекунанд, маъруф аст, низ маълуманд.
Иҷрои
Пас аз зеркашӣ ва кушодани ҳуҷҷати сироятшуда, аз корбар хоҳиш карда мешавад, ки макросҳоро иҷро кунад. Дар сурати муваффақ шудан, PowerShell оғоз мешавад, ки ба шумо имкон медиҳад, ки боркунии QakBot-ро аз сервери фармон ва назорат зеркашӣ ва идора кунед.
Қайд кардан муҳим аст, ки ҳамин чиз ба ProLock дахл дорад: бори пурбор аз файл гирифта мешавад BMP ё JPG ва бо истифода аз PowerShell ба хотира бор карда мешавад. Дар баъзе ҳолатҳо, барои оғоз кардани PowerShell вазифаи ба нақша гирифташуда истифода мешавад.
Скрипти бастаи ProLock тавассути нақшаи вазифаҳо:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batКонсолидация дар система
Агар имконпазир бошад, ки сервери RDP-ро вайрон кунед ва дастрасӣ пайдо кунед, пас ҳисобҳои дуруст барои дастрасӣ ба шабака истифода мешаванд. QakBot бо механизмҳои гуногуни замима хос аст. Аксар вақт, ин троян калиди сабти Run -ро истифода мебарад ва дар нақшакаш вазифаҳоро эҷод мекунад:
Пайваст кардани Qakbot ба система бо истифода аз калиди сабти иҷро
Дар баъзе ҳолатҳо, ҷузвдонҳои оғозёбӣ низ истифода мешаванд: дар он ҷо миёнабур ҷойгир карда шудааст, ки ба пурборкунанда ишора мекунад.
Муҳофизати гузариш
Бо муошират бо сервери фармон ва идоракунӣ, QakBot мунтазам кӯшиш мекунад, ки худро навсозӣ кунад, аз ин рӯ, барои пешгирӣ кардани ошкор, нармафзори зараровар метавонад версияи ҷории худро бо версияи нав иваз кунад. Файлҳои иҷрошаванда бо имзои вайроншуда ё қалбакӣ имзо карда мешаванд. Сарбории ибтидоии боркардаи PowerShell дар сервери C&C бо тамдид нигоҳ дошта мешавад PNG. Илова бар ин, пас аз иҷро он бо файли қонунӣ иваз карда мешавад calc.exe.
Инчунин, барои пинҳон кардани фаъолияти шубҳанок, QakBot усули ворид кардани кодро ба равандҳо истифода мебарад explorer.exe.
Тавре зикр гардид, бори ProLock дар дохили файл пинҳон аст BMP ё JPG. Инро метавон ҳамчун як усули канорагирӣ аз муҳофизат баррасӣ кард.
Гирифтани эътимоднома
QakBot дорои функсияи keylogger мебошад. Илова бар ин, он метавонад скриптҳои иловагиро зеркашӣ ва иҷро кунад, масалан, Invoke-Mimikatz, як версияи PowerShell аз утилитаи машҳури Mimikatz. Чунин скриптҳо метавонанд аз ҷониби ҳамлагарон барои партофтани маълумот истифода шаванд.
Интеллектуалии шабака
Пас аз дастрасӣ ба ҳисобҳои имтиёзнок, операторони ProLock иктишофи шабакаро анҷом медиҳанд, ки метавонад сканкунии порт ва таҳлили муҳити Active Directory-ро дар бар гирад. Илова ба скриптҳои гуногун, ҳамлагарон барои ҷамъоварии маълумот дар бораи Active Directory аз AdFind, абзори дигари маъмул дар байни гурӯҳҳои ransomware истифода мебаранд.
Пешбурди шабака
Одатан, яке аз усулҳои маъмултарини пешбурди шабака Протоколи мизи кории дурдаст мебошад. ProLock истисно набуд. Ҳамлагарон ҳатто дар арсенали худ скриптҳо доранд, то дастрасии дурдаст тавассути RDP ба ҳостҳо дастрас шаванд.
Скрипти BAT барои дастрас шудан тавассути протоколи RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Барои аз фосилаи дур иҷро кардани скриптҳо, операторони ProLock як абзори дигари маъмул, утилитаи PsExec аз Sysinternals Suite -ро истифода мебаранд.
ProLock дар ҳостҳо бо истифода аз WMIC кор мекунад, ки интерфейси сатри фармон барои кор бо зерсистемаи Windows Management Instrumentation мебошад. Ин восита инчунин дар байни операторони нармафзори ransomware маъмул мегардад.
Ҷамъоварии маълумот
Мисли бисёре аз дигар операторони нармафзори ransomware, гурӯҳе, ки ProLock-ро истифода мебарад, маълумотро аз шабакаи осебдида ҷамъоварӣ мекунад, то имкони гирифтани фидяро зиёд кунад. Пеш аз эксфилтратсия, маълумоти ҷамъшуда бо истифода аз утилитаи 7Zip бойгонӣ карда мешавад.
Эксфилтратсия
Барои бор кардани маълумот, операторони ProLock Rclone, абзори сатри фармонро истифода мебаранд, ки барои ҳамоҳангсозии файлҳо бо хидматҳои гуногуни нигаҳдории абрӣ, аз қабили OneDrive, Google Drive, Mega ва ғайра пешбинӣ шудааст. Ҳамлагарон ҳамеша номи файли иҷрошавандаро иваз мекунанд, то он ба файлҳои системавии қонунӣ монанд шавад.
Баръакси ҳамсолони худ, операторони ProLock то ҳол вебсайти худро надоранд, то маълумоти дуздидашудаи ширкатҳоеро, ки аз пардохти фидя саркашӣ мекунанд, нашр кунанд.
Ноил шудан ба ҳадафи ниҳоӣ
Пас аз хориҷ кардани маълумот, даста ProLock-ро дар тамоми шабакаи корхона ҷойгир мекунад. Файли бинарӣ аз файле бо тамдид гирифта мешавад PNG ё JPG бо истифода аз PowerShell ва ба хотира ворид карда мешавад:
Пеш аз ҳама, ProLock равандҳои дар рӯйхати дарунсохт зикршударо қатъ мекунад (ҷолиб он аст, ки он танҳо шаш ҳарфи номи равандро истифода мебарад, ба монанди "winwor") ва хидматҳоро, аз ҷумла хидматҳои марбут ба амният, ба монанди CSFalconService ( CrowdStrike Falcon) бо истифода аз фармон истгоҳи холис.
Сипас, ба монанди дигар оилаҳои ransomware, ҳамлагарон истифода мебаранд vssadmin барои нест кардани нусхаҳои сояафкани Windows ва маҳдуд кардани андозаи онҳо, то нусхаҳои нав эҷод нашаванд:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock васеъшавӣ илова мекунад .proLock, .pr0Lock ё .proL0ck ба ҳар як файли рамзгузорӣ ва ҷойгир кардани файл [ЧӢ ТАВР БА ФАЙЛҲО БАРҚАРОР КАРДАН].TXT ба ҳар як папка. Ин файл дастурҳо оид ба рамзкушоӣ кардани файлҳоро дар бар мегирад, аз ҷумла истинод ба сайте, ки ҷабрдида бояд ID-и беназирро ворид кунад ва маълумоти пардохтро гирад:
Ҳар як намунаи ProLock дорои маълумот дар бораи маблағи фидя - дар ин ҳолат, 35 биткоин, ки тақрибан $312 аст.
хулоса
Бисёре аз операторони ransomware барои ноил шудан ба ҳадафҳои худ усулҳои шабеҳро истифода мебаранд. Дар айни замон, баъзе техникаҳо барои ҳар як гурӯҳ хосанд. Дар айни замон, шумораи гурӯҳҳои киберҷинояткор дар маъракаҳои худ аз нармафзори фидя истифода мебаранд, афзоиш меёбад. Дар баъзе мавридҳо, як операторҳо метавонанд дар ҳамлаҳо бо истифода аз оилаҳои гуногуни ransomware ҷалб шаванд, аз ин рӯ мо дар тактика, усулҳо ва расмиёти истифодашуда такрори бештарро мебинем.
Харитасозӣ бо харитасозии MITER ATT&CK
Тактикӣ
техника
Дастрасии аввалия (TA0001)
Хидматҳои дурдасти беруна (T1133), Замимаи Spearphishing (T1193), Пайванди Spearphishing (T1192)
Иҷро (TA0002)
Powershell (T1086), Scripting (T1064), Иҷрои корбар (T1204), Воситаҳои идоракунии Windows (T1047)
Устуворӣ (TA0003)
Калидҳои Иҷрои Реестр / Папкаи оғозёбӣ (T1060), Вазифаи ба нақша гирифташуда (T1053), Ҳисобҳои дуруст (T1078)
Саркашӣ аз мудофиа (TA0005)
Имзои код (T1116), Файлҳо ё маълумотро беобрӯ кардан/декод кардан (T1140), Хомӯш кардани абзорҳои амниятӣ (T1089), Несткунии файл (T1107), Маскарадкунӣ (T1036), Инъекцияи раванд (T1055)
Дастрасии эътимоднома (TA0006)
Демпинги эътимоднома (T1003), қувваи бераҳмона (T1110), сабти вуруд (T1056)
Кашфиёт (TA0007)
Кашфи ҳисоб (T1087), Кашфи эътимоди домен (T1482), Кашфи файл ва директория (T1083), Сканкунии хидмати шабакавӣ (T1046), Кашфи мубодилаи шабака (T1135), Кашфи системаи дурдаст (T1018)
Ҳаракати паҳлӯӣ (TA0008)
Протоколи мизи кории дурдаст (T1076), Нусхаи файли дурдаст (T1105), Windows Admin Shares (T1077)
Маҷмӯа (TA0009)
Маълумот аз системаи маҳаллӣ (T1005), маълумот аз диски муштараки шабака (T1039), маълумот дар марҳилаи (T1074)
Фармон ва назорат (TA0011)
Порти маъмулан истифодашаванда (T1043), хидмати веб (T1102)
Эксфилтратсия (TA0010)
Маълумоти фишурдашуда (T1002), Интиқоли маълумот ба ҳисоби абрӣ (T1537)
Таъсир (TA0040)
Маълумот барои таъсир рамзгузорӣ шудааст (T1486), Барќарорсозии системаро бозмедорад (T1490)
Манбаъ: will.com