Ang tagumpay ng pag-atake ng ransomware sa mga organisasyon sa buong mundo ay nag-uudyok sa parami nang paraming mga bagong umaatake na makapasok sa laro. Isa sa mga bagong manlalaro na ito ay isang grupo na gumagamit ng ProLock ransomware. Lumitaw ito noong Marso 2020 bilang kahalili sa programang PwndLocker, na nagsimulang gumana sa pagtatapos ng 2019. Pangunahing pinupuntirya ng mga pag-atake ng ProLock ransomware ang mga organisasyon sa pananalapi at pangangalagang pangkalusugan, ahensya ng gobyerno, at sektor ng tingi. Kamakailan, matagumpay na inatake ng mga operator ng ProLock ang isa sa pinakamalaking tagagawa ng ATM, ang Diebold Nixdorf.
Sa post na ito Oleg Skulkin, nangungunang espesyalista ng Computer Forensics Laboratory ng Group-IB, ay sumasaklaw sa mga pangunahing taktika, pamamaraan at pamamaraan (TTP) na ginagamit ng mga operator ng ProLock. Ang artikulo ay nagtatapos sa isang paghahambing sa MITRE ATT&CK Matrix, isang pampublikong database na nag-iipon ng mga naka-target na taktika sa pag-atake na ginagamit ng iba't ibang mga cybercriminal na grupo.
Pagkuha ng paunang pag-access
Gumagamit ang mga operator ng ProLock ng dalawang pangunahing vector ng pangunahing kompromiso: ang QakBot (Qbot) Trojan at hindi protektadong RDP server na may mahinang password.
Ang kompromiso sa pamamagitan ng isang external na naa-access na RDP server ay napakapopular sa mga operator ng ransomware. Karaniwan, ang mga umaatake ay bumibili ng access sa isang nakompromisong server mula sa mga third party, ngunit maaari rin itong makuha ng mga miyembro ng grupo nang mag-isa.
Ang isang mas kawili-wiling vector ng pangunahing kompromiso ay ang QakBot malware. Noong nakaraan, ang Trojan na ito ay nauugnay sa isa pang pamilya ng ransomware - MegaCortex. Gayunpaman, ito ay ginagamit na ngayon ng mga operator ng ProLock.
Karaniwan, ang QakBot ay ipinamamahagi sa pamamagitan ng mga kampanya sa phishing. Ang isang phishing email ay maaaring maglaman ng isang naka-attach na dokumento ng Microsoft Office o isang link sa isang file na matatagpuan sa isang cloud storage service, gaya ng Microsoft OneDrive.
Mayroon ding mga kilalang kaso ng QakBot na ni-load ng isa pang Trojan, ang Emotet, na malawak na kilala sa pakikilahok nito sa mga kampanyang namahagi ng Ryuk ransomware.
Katuparan
Pagkatapos mag-download at magbukas ng isang nahawaang dokumento, ipo-prompt ang user na payagan ang mga macro na tumakbo. Kung matagumpay, inilunsad ang PowerShell, na magbibigay-daan sa iyong i-download at patakbuhin ang QakBot payload mula sa command at control server.
Mahalagang tandaan na ang parehong naaangkop sa ProLock: ang payload ay kinuha mula sa file BMP o JPG at na-load sa memorya gamit ang PowerShell. Sa ilang mga kaso, ang isang naka-iskedyul na gawain ay ginagamit upang simulan ang PowerShell.
Batch script na nagpapatakbo ng ProLock sa pamamagitan ng task scheduler:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batPagsasama-sama sa sistema
Kung posibleng ikompromiso ang RDP server at makakuha ng access, gagamitin ang mga valid na account para makakuha ng access sa network. Ang QakBot ay nailalarawan sa pamamagitan ng iba't ibang mga mekanismo ng attachment. Kadalasan, ginagamit ng Trojan na ito ang Run registry key at lumilikha ng mga gawain sa scheduler:
Pag-pin sa Qakbot sa system gamit ang Run registry key
Sa ilang mga kaso, ginagamit din ang mga startup folder: isang shortcut ang inilalagay doon na tumuturo sa bootloader.
Proteksyon ng bypass
Sa pamamagitan ng pakikipag-ugnayan sa command at control server, pana-panahong sinusubukan ng QakBot na i-update ang sarili nito, kaya para maiwasan ang pagtuklas, maaaring palitan ng malware ang sarili nitong kasalukuyang bersyon ng bago. Ang mga executable na file ay nilagdaan gamit ang isang nakompromiso o napekeng lagda. Ang paunang kargamento na na-load ng PowerShell ay iniimbak sa C&C server na may extension PNG. Bilang karagdagan, pagkatapos ng pagpapatupad ay pinalitan ito ng isang lehitimong file calc.exe.
Gayundin, upang itago ang malisyosong aktibidad, ginagamit ng QakBot ang pamamaraan ng pag-inject ng code sa mga proseso, gamit explorer.exe.
Tulad ng nabanggit, ang ProLock payload ay nakatago sa loob ng file BMP o JPG. Maaari din itong ituring bilang isang paraan ng pag-bypass sa proteksyon.
Pagkuha ng mga kredensyal
May keylogger functionality ang QakBot. Bilang karagdagan, maaari itong mag-download at magpatakbo ng mga karagdagang script, halimbawa, Invoke-Mimikatz, isang bersyon ng PowerShell ng sikat na Mimikatz utility. Ang mga naturang script ay maaaring gamitin ng mga umaatake upang itapon ang mga kredensyal.
Network intelligence
Pagkatapos magkaroon ng access sa mga privileged account, ang mga operator ng ProLock ay nagsasagawa ng network reconnaissance, na maaaring kasama ang port scanning at pagsusuri ng Active Directory environment. Bilang karagdagan sa iba't ibang mga script, ginagamit ng mga umaatake ang AdFind, isa pang tool na sikat sa mga pangkat ng ransomware, upang mangalap ng impormasyon tungkol sa Active Directory.
Promosyon sa network
Ayon sa kaugalian, ang isa sa mga pinakasikat na paraan ng pag-promote ng network ay ang Remote Desktop Protocol. Ang ProLock ay walang pagbubukod. Ang mga umaatake ay mayroon ding mga script sa kanilang arsenal upang makakuha ng malayuang pag-access sa pamamagitan ng RDP upang i-target ang mga host.
BAT script para sa pagkakaroon ng access sa pamamagitan ng RDP protocol:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Upang malayuang magsagawa ng mga script, gumagamit ang mga operator ng ProLock ng isa pang sikat na tool, ang PsExec utility mula sa Sysinternals Suite.
Ang ProLock ay tumatakbo sa mga host gamit ang WMIC, na isang command line interface para sa pagtatrabaho sa Windows Management Instrumentation subsystem. Ang tool na ito ay nagiging mas sikat din sa mga operator ng ransomware.
Pagkolekta ng data
Tulad ng maraming iba pang mga operator ng ransomware, ang pangkat na gumagamit ng ProLock ay nangongolekta ng data mula sa isang nakompromisong network upang mapataas ang kanilang mga pagkakataong makatanggap ng ransom. Bago ang pag-exfiltration, ang nakolektang data ay ina-archive gamit ang 7Zip utility.
Exfiltration
Upang mag-upload ng data, ginagamit ng mga operator ng ProLock ang Rclone, isang command line tool na idinisenyo upang i-synchronize ang mga file sa iba't ibang mga serbisyo sa cloud storage gaya ng OneDrive, Google Drive, Mega, atbp. Palaging pinangalanan ng mga attacker ang executable file upang magmukha itong mga lehitimong system file.
Hindi tulad ng kanilang mga kapantay, ang mga operator ng ProLock ay wala pa ring sariling website para mag-publish ng ninakaw na data na pagmamay-ari ng mga kumpanyang tumangging magbayad ng ransom.
Pagkamit ng pangwakas na layunin
Kapag na-exfiltrate na ang data, i-deploy ng team ang ProLock sa buong enterprise network. Ang binary file ay kinuha mula sa isang file na may extension PNG o JPG gamit ang PowerShell at iniksyon sa memorya:
Una sa lahat, tinatapos ng ProLock ang mga prosesong tinukoy sa built-in na listahan (kapansin-pansin, ginagamit lamang nito ang anim na letra ng pangalan ng proseso, tulad ng "winwor"), at tinatapos ang mga serbisyo, kabilang ang mga nauugnay sa seguridad, tulad ng CSFalconService ( CrowdStrike Falcon). gamit ang command net stop.
Pagkatapos, tulad ng maraming iba pang pamilya ng ransomware, ginagamit ng mga umaatake vssadmin upang tanggalin ang mga kopya ng anino ng Windows at limitahan ang kanilang laki upang hindi makagawa ng mga bagong kopya:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedNagdaragdag ang ProLock ng extension .proLock, .pr0Lock o .proL0ck sa bawat naka-encrypt na file at inilalagay ang file [HOW TO RECOVER FILES].TXT sa bawat folder. Ang file na ito ay naglalaman ng mga tagubilin kung paano i-decrypt ang mga file, kabilang ang isang link sa isang site kung saan ang biktima ay dapat magpasok ng isang natatanging ID at makatanggap ng impormasyon sa pagbabayad:
Ang bawat instance ng ProLock ay naglalaman ng impormasyon tungkol sa halaga ng ransom - sa kasong ito, 35 bitcoins, na humigit-kumulang $312.
Konklusyon
Maraming mga operator ng ransomware ang gumagamit ng mga katulad na pamamaraan upang makamit ang kanilang mga layunin. Kasabay nito, ang ilang mga pamamaraan ay natatangi sa bawat pangkat. Sa kasalukuyan, dumarami ang bilang ng mga cybercriminal group na gumagamit ng ransomware sa kanilang mga kampanya. Sa ilang mga kaso, ang parehong mga operator ay maaaring kasangkot sa mga pag-atake gamit ang iba't ibang mga pamilya ng ransomware, kaya mas makikita natin ang overlap sa mga taktika, diskarte at pamamaraang ginamit.
Pagmamapa gamit ang MITER ATT&CK Mapping
Pantaktika
Pamamaraan
Paunang Access (TA0001)
Mga Panlabas na Serbisyo sa Remote (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Pagpapatupad (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Pagtitiyaga (TA0003)
Registry Run Keys / Startup Folder (T1060), Naka-iskedyul na Gawain (T1053), Mga Wastong Account (T1078)
Pag-iwas sa Depensa (TA0005)
Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disableling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Access sa Kredensyal (TA0006)
Paglalaglag ng Kredensyal (T1003), Brute Force (T1110), Pagkuha ng Input (T1056)
Pagtuklas (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File at Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Koleksyon (TA0009)
Data mula sa Local System (T1005), Data mula sa Network Shared Drive (T1039), Data Staged (T1074)
Command at Control (TA0011)
Karaniwang Ginagamit na Port (T1043), Serbisyo sa Web (T1102)
Exfiltration (TA0010)
Data Compressed (T1002), Maglipat ng Data sa Cloud Account (T1537)
Epekto (TA0040)
Naka-encrypt na Data para sa Epekto (T1486), Inhibit System Recovery (T1490)
Pinagmulan: www.habr.com