โปรโฮสต์ > บล็อก > การบริหาร > การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK

การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK

การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK

ความสำเร็จของการโจมตีด้วยแรนซัมแวร์ในองค์กรต่างๆ ทั่วโลกส่งผลให้มีผู้โจมตีรายใหม่ๆ เข้ามาเล่นเกมมากขึ้นเรื่อยๆ หนึ่งในผู้เล่นใหม่เหล่านี้คือกลุ่มที่ใช้ ProLock ransomware ปรากฏในเดือนมีนาคม 2020 ในฐานะผู้สืบทอดต่อจากโปรแกรม PwndLocker ซึ่งเริ่มดำเนินการเมื่อปลายปี 2019 การโจมตีด้วยมัลแวร์เรียกค่าไถ่ ProLock มุ่งเป้าไปที่องค์กรทางการเงินและการดูแลสุขภาพ หน่วยงานภาครัฐ และภาคการค้าปลีกเป็นหลัก เมื่อเร็วๆ นี้ ผู้ให้บริการ ProLock โจมตี Diebold Nixdorf หนึ่งในผู้ผลิต ATM รายใหญ่ที่สุดได้สำเร็จ

ในโพสต์นี้ Oleg Skulkin ผู้เชี่ยวชาญชั้นนำของ Computer Forensics Laboratory ของ Group-IBครอบคลุมกลยุทธ์ เทคนิค และขั้นตอนพื้นฐาน (TTP) ที่ผู้ปฏิบัติงาน ProLock ใช้ บทความนี้สรุปด้วยการเปรียบเทียบกับ MITER ATT&CK Matrix ซึ่งเป็นฐานข้อมูลสาธารณะที่รวบรวมกลยุทธ์การโจมตีแบบกำหนดเป้าหมายที่ใช้โดยกลุ่มอาชญากรไซเบอร์ต่างๆ

การเข้าถึงเบื้องต้น

ตัวดำเนินการ ProLock ใช้เวกเตอร์หลักสองตัวของการประนีประนอมหลัก: โทรจัน QakBot (Qbot) และเซิร์ฟเวอร์ RDP ที่ไม่มีการป้องกันด้วยรหัสผ่านที่อ่อนแอ

การประนีประนอมผ่านเซิร์ฟเวอร์ RDP ที่เข้าถึงได้จากภายนอกเป็นที่นิยมอย่างมากในหมู่ผู้ให้บริการแรนซัมแวร์ โดยทั่วไป ผู้โจมตีจะซื้อการเข้าถึงเซิร์ฟเวอร์ที่ถูกบุกรุกจากบุคคลที่สาม แต่สมาชิกกลุ่มสามารถเข้าถึงได้ด้วยตนเองเช่นกัน

เวกเตอร์ของการประนีประนอมหลักที่น่าสนใจกว่าคือมัลแวร์ QakBot ก่อนหน้านี้โทรจันนี้มีความเกี่ยวข้องกับแรนซัมแวร์ตระกูลอื่น - MegaCortex อย่างไรก็ตาม ขณะนี้มีการใช้โดยผู้ปฏิบัติงาน ProLock

โดยปกติแล้ว QakBot จะเผยแพร่ผ่านแคมเปญฟิชชิ่ง อีเมลฟิชชิ่งอาจมีเอกสาร Microsoft Office ที่แนบมาหรือลิงก์ไปยังไฟล์ที่อยู่ในบริการจัดเก็บข้อมูลบนคลาวด์ เช่น Microsoft OneDrive

นอกจากนี้ยังมีกรณีที่ทราบกันดีว่า QakBot เต็มไปด้วยโทรจันตัวอื่น Emotet ซึ่งเป็นที่รู้จักอย่างกว้างขวางในการมีส่วนร่วมในแคมเปญที่เผยแพร่ Ryuk ransomware

การปฏิบัติ

หลังจากดาวน์โหลดและเปิดเอกสารที่ติดไวรัส ผู้ใช้จะได้รับแจ้งให้อนุญาตให้เรียกใช้แมโคร หากสำเร็จ PowerShell จะถูกเปิดใช้งาน ซึ่งจะช่วยให้คุณสามารถดาวน์โหลดและรันเพย์โหลด QakBot จากเซิร์ฟเวอร์คำสั่งและการควบคุม

สิ่งสำคัญที่ควรทราบคือ ProLock ก็เช่นเดียวกัน: เพย์โหลดจะถูกแยกออกจากไฟล์ BMP หรือ JPG และโหลดลงในหน่วยความจำโดยใช้ PowerShell ในบางกรณี งานที่กำหนดเวลาไว้จะถูกใช้เพื่อเริ่ม PowerShell

สคริปต์ชุดงานที่ใช้ ProLock ผ่านตัวกำหนดเวลางาน:

schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat

การรวมระบบ

หากเป็นไปได้ที่จะประนีประนอมเซิร์ฟเวอร์ RDP และเข้าถึงได้ บัญชีที่ถูกต้องจะถูกนำมาใช้เพื่อเข้าถึงเครือข่าย QakBot โดดเด่นด้วยกลไกการแนบที่หลากหลาย บ่อยครั้งที่โทรจันนี้ใช้คีย์รีจิสทรี Run และสร้างงานในตัวกำหนดตารางเวลา:

การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK
การปักหมุด Qakbot เข้ากับระบบโดยใช้คีย์รีจิสทรี Run

ในบางกรณีมีการใช้โฟลเดอร์เริ่มต้นด้วย: มีการวางทางลัดไว้ที่นั่นซึ่งชี้ไปที่โปรแกรมโหลดบูต

การป้องกันบายพาส

ด้วยการสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม QakBot จะพยายามอัปเดตตัวเองเป็นระยะ ดังนั้นเพื่อหลีกเลี่ยงการตรวจจับ มัลแวร์จึงสามารถแทนที่เวอร์ชันปัจจุบันด้วยเวอร์ชันใหม่ได้ ไฟล์ที่ปฏิบัติการได้จะถูกเซ็นชื่อด้วยลายเซ็นที่ถูกบุกรุกหรือปลอมแปลง เพย์โหลดเริ่มต้นที่โหลดโดย PowerShell จะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ C&C พร้อมด้วยส่วนขยาย PNG. นอกจากนี้ หลังจากดำเนินการแล้วจะถูกแทนที่ด้วยไฟล์ที่ถูกต้องตามกฎหมาย calc.exe.

นอกจากนี้ เพื่อซ่อนกิจกรรมที่เป็นอันตราย QakBot ใช้เทคนิคการแทรกโค้ดลงในกระบวนการโดยใช้ explorer.exe.

ตามที่กล่าวไว้ เพย์โหลด ProLock ถูกซ่อนอยู่ภายในไฟล์ BMP หรือ JPG. นี่ถือได้ว่าเป็นวิธีการบายพาสการป้องกันด้วย

การได้รับหนังสือรับรอง

QakBot มีฟังก์ชั่นคีย์ล็อกเกอร์ นอกจากนี้ยังสามารถดาวน์โหลดและเรียกใช้สคริปต์เพิ่มเติมได้ เช่น Invivo-Mimikatz ซึ่งเป็นยูทิลิตี้ Mimikatz ชื่อดังในเวอร์ชัน PowerShell ผู้โจมตีสามารถใช้สคริปต์ดังกล่าวเพื่อถ่ายโอนข้อมูลประจำตัวได้

หน่วยสืบราชการลับเครือข่าย

หลังจากเข้าถึงบัญชีที่ได้รับสิทธิ์แล้ว ตัวดำเนินการ ProLock จะทำการสำรวจเครือข่าย ซึ่งอาจรวมถึงการสแกนพอร์ตและการวิเคราะห์สภาพแวดล้อม Active Directory นอกจากสคริปต์ต่างๆ แล้ว ผู้โจมตียังใช้ AdFind ซึ่งเป็นเครื่องมืออีกตัวหนึ่งที่ได้รับความนิยมในกลุ่มแรนซัมแวร์ เพื่อรวบรวมข้อมูลเกี่ยวกับ Active Directory

การส่งเสริมเครือข่าย

ตามเนื้อผ้า หนึ่งในวิธีการส่งเสริมเครือข่ายที่ได้รับความนิยมมากที่สุดคือ Remote Desktop Protocol ProLock ก็ไม่มีข้อยกเว้น ผู้โจมตียังมีสคริปต์อยู่ในคลังแสงเพื่อเข้าถึงระยะไกลผ่าน RDP ไปยังโฮสต์เป้าหมาย

สคริปต์ BAT สำหรับการเข้าถึงผ่านโปรโตคอล RDP:

reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

ในการรันสคริปต์จากระยะไกล ตัวดำเนินการ ProLock จะใช้เครื่องมือยอดนิยมอื่น นั่นคือยูทิลิตี้ PsExec จาก Sysinternals Suite

ProLock ทำงานบนโฮสต์โดยใช้ WMIC ซึ่งเป็นอินเทอร์เฟซบรรทัดคำสั่งสำหรับการทำงานกับระบบย่อย Windows Management Instrumentation เครื่องมือนี้กำลังได้รับความนิยมมากขึ้นในหมู่ผู้ให้บริการแรนซัมแวร์

การเก็บรวบรวมข้อมูล

เช่นเดียวกับโอเปอเรเตอร์แรนซัมแวร์อื่นๆ กลุ่มที่ใช้ ProLock จะรวบรวมข้อมูลจากเครือข่ายที่ถูกบุกรุกเพื่อเพิ่มโอกาสในการได้รับค่าไถ่ ก่อนการกรอง ข้อมูลที่รวบรวมจะถูกจัดเก็บถาวรโดยใช้ยูทิลิตี้ 7Zip

การกรอง

ในการอัปโหลดข้อมูล ผู้ดำเนินการ ProLock จะใช้ Rclone ซึ่งเป็นเครื่องมือบรรทัดคำสั่งที่ออกแบบมาเพื่อซิงโครไนซ์ไฟล์กับบริการจัดเก็บข้อมูลบนคลาวด์ต่างๆ เช่น OneDrive, Google Drive, Mega เป็นต้น ผู้โจมตีจะเปลี่ยนชื่อไฟล์ปฏิบัติการเสมอเพื่อให้ดูเหมือนไฟล์ระบบที่ถูกต้อง

ต่างจากคู่แข่งตรงที่ผู้ให้บริการ ProLock ยังไม่มีเว็บไซต์ของตนเองเพื่อเผยแพร่ข้อมูลที่ถูกขโมยของบริษัทที่ปฏิเสธที่จะจ่ายค่าไถ่

บรรลุเป้าหมายสุดท้าย

เมื่อข้อมูลถูกกรองแล้ว ทีมงานจะปรับใช้ ProLock ทั่วทั้งเครือข่ายองค์กร ไฟล์ไบนารี่ถูกแยกออกจากไฟล์ที่มีนามสกุล PNG หรือ JPG ใช้ PowerShell และฉีดเข้าไปในหน่วยความจำ:

การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK
ก่อนอื่น ProLock จะยุติกระบวนการที่ระบุในรายการในตัว (ที่น่าสนใจคือใช้เพียงหกตัวอักษรของชื่อกระบวนการ เช่น "winwor") และยุติบริการ รวมถึงบริการที่เกี่ยวข้องกับความปลอดภัย เช่น CSFalconService ( CrowdStrike Falcon) โดยใช้คำสั่ง หยุดสุทธิ.

เช่นเดียวกับตระกูลแรนซัมแวร์อื่นๆ ที่ผู้โจมตีใช้ vssadmin เพื่อลบ Shadow Copy ของ Windows และจำกัดขนาดเพื่อไม่ให้สร้างสำเนาใหม่:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock เพิ่มส่วนขยาย .โปรล็อค, .pr0ล็อค หรือ .proL0ck ไปยังแต่ละไฟล์ที่เข้ารหัสและวางไฟล์ [วิธีการกู้คืนไฟล์].TXT ไปยังแต่ละโฟลเดอร์ ไฟล์นี้มีคำแนะนำเกี่ยวกับวิธีการถอดรหัสไฟล์ รวมถึงลิงก์ไปยังไซต์ที่เหยื่อต้องป้อน ID เฉพาะและรับข้อมูลการชำระเงิน:

การเปิด ProLock: การวิเคราะห์การกระทำของผู้ปฏิบัติงานของแรนซัมแวร์ใหม่โดยใช้เมทริกซ์ MITER ATT&CK
ProLock แต่ละอินสแตนซ์มีข้อมูลเกี่ยวกับจำนวนเงินค่าไถ่ - ในกรณีนี้คือ 35 bitcoin ซึ่งมีมูลค่าประมาณ 312 ดอลลาร์

ข้อสรุป

ผู้ดำเนินการแรนซัมแวร์จำนวนมากใช้วิธีการที่คล้ายกันเพื่อให้บรรลุเป้าหมาย ในขณะเดียวกันเทคนิคบางอย่างก็ไม่ซ้ำกันในแต่ละกลุ่ม ปัจจุบันมีกลุ่มอาชญากรไซเบอร์ที่ใช้แรนซัมแวร์ในแคมเปญเพิ่มมากขึ้น ในบางกรณี โอเปอเรเตอร์เดียวกันอาจเกี่ยวข้องกับการโจมตีโดยใช้แรนซัมแวร์ตระกูลที่แตกต่างกัน ดังนั้นเราจะเห็นความทับซ้อนกันในกลยุทธ์ เทคนิค และขั้นตอนที่ใช้มากขึ้น

การทำแผนที่ด้วยการทำแผนที่ MITER ATT&CK

ชั้นเชิง
เทคนิค

การเข้าถึงครั้งแรก (TA0001)
บริการระยะไกลภายนอก (T1133), ไฟล์แนบแบบสเปียร์ฟิชชิ่ง (T1193), ลิงก์ฟิชชิ่งแบบสเปียร์ฟิชชิ่ง (T1192)

การดำเนินการ (TA0002)
Powershell (T1086), การเขียนสคริปต์ (T1064), การดำเนินการของผู้ใช้ (T1204), Windows Management Instrumentation (T1047)

ความคงอยู่ (TA0003)
คีย์เรียกใช้รีจิสทรี / โฟลเดอร์เริ่มต้น (T1060), งานที่กำหนดเวลาไว้ (T1053), บัญชีที่ถูกต้อง (T1078)

การหลบหลีกการป้องกัน (TA0005)
การลงนามโค้ด (T1116), การถอดรหัสที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล (T1140), การปิดใช้งานเครื่องมือความปลอดภัย (T1089), การลบไฟล์ (T1107), การปลอมแปลง (T1036), กระบวนการฉีด (T1055)

การเข้าถึงข้อมูลรับรอง (TA0006)
การทุ่มข้อมูลประจำตัว (T1003), กำลังเดรัจฉาน (T1110), การจับอินพุต (T1056)

ดิสคัฟเวอรี่ (TA0007)
การค้นพบบัญชี (T1087), การค้นพบความน่าเชื่อถือของโดเมน (T1482), การค้นพบไฟล์และไดเรกทอรี (T1083), การสแกนบริการเครือข่าย (T1046), การค้นพบการแชร์เครือข่าย (T1135), การค้นพบระบบระยะไกล (T1018)

การเคลื่อนที่ด้านข้าง (TA0008)
โปรโตคอลเดสก์ท็อประยะไกล (T1076), การคัดลอกไฟล์ระยะไกล (T1105), การแชร์ Windows Admin (T1077)

คอลเลกชัน (TA0009)
ข้อมูลจากระบบภายใน (T1005) ข้อมูลจากไดรฟ์ที่ใช้ร่วมกันบนเครือข่าย (T1039) ข้อมูล Staged (T1074)

คำสั่งและการควบคุม (TA0011)
พอร์ตที่ใช้กันทั่วไป (T1043), บริการเว็บ (T1102)

การกรอง (TA0010)
บีบอัดข้อมูล (T1002), ถ่ายโอนข้อมูลไปยังบัญชีคลาวด์ (T1537)

ผลกระทบ (TA0040)
ข้อมูลที่เข้ารหัสเพื่อผลกระทบ (T1486), ยับยั้งการกู้คืนระบบ (T1490)

ที่มา: will.com

เพิ่มความคิดเห็น