Dünya genelindeki kuruluşlara yönelik fidye yazılımı saldırılarının başarısı, giderek daha fazla yeni saldırganın oyuna katılmasını teşvik ediyor. Bu yeni oyunculardan biri ProLock fidye yazılımını kullanan bir grup. 2020'un sonunda faaliyete geçen PwndLocker programının devamı olarak Mart 2019'de ortaya çıktı. ProLock fidye yazılımı saldırıları öncelikle finans ve sağlık kuruluşlarını, devlet kurumlarını ve perakende sektörünü hedef alıyor. Son zamanlarda ProLock operatörleri en büyük ATM üreticilerinden biri olan Diebold Nixdorf'a başarıyla saldırdı.
bu yazıda Oleg Skulkin, Group-IB Adli Bilgisayar Laboratuvarı'nın önde gelen uzmanı, ProLock operatörleri tarafından kullanılan temel taktikleri, teknikleri ve prosedürleri (TTP'ler) kapsar. Makale, çeşitli siber suçlu grupları tarafından kullanılan hedefli saldırı taktiklerini derleyen halka açık bir veritabanı olan MITRE ATT&CK Matrix ile bir karşılaştırma ile sonuçlanıyor.
İlk erişimi alma
ProLock operatörleri iki ana birincil güvenlik ihlali vektörünü kullanır: QakBot (Qbot) Truva Atı ve zayıf parolalara sahip korumasız RDP sunucuları.
Dışarıdan erişilebilen bir RDP sunucusu aracılığıyla güvenliği ihlal etmek, fidye yazılımı operatörleri arasında son derece popülerdir. Genellikle saldırganlar, güvenliği ihlal edilmiş bir sunucuya erişimi üçüncü taraflardan satın alır, ancak bu erişim grup üyeleri tarafından kendi başlarına da elde edilebilir.
Birincil riskin daha ilginç bir vektörü de QakBot kötü amaçlı yazılımıdır. Daha önce bu Truva atı başka bir fidye yazılımı ailesi olan MegaCortex ile ilişkilendiriliyordu. Ancak artık ProLock operatörleri tarafından kullanılıyor.
Tipik olarak QakBot, kimlik avı kampanyaları aracılığıyla dağıtılır. Kimlik avı e-postası, ekli bir Microsoft Office belgesi veya Microsoft OneDrive gibi bir bulut depolama hizmetinde bulunan bir dosyaya bağlantı içerebilir.
Ayrıca QakBot'un, Ryuk fidye yazılımını dağıtan kampanyalara katılımıyla bilinen Emotet adlı başka bir Truva atı ile yüklendiği de biliniyor.
Performans
Etkilenen bir belgeyi indirip açtıktan sonra kullanıcıdan makroların çalışmasına izin vermesi istenir. Başarılı olursa, QakBot yükünü komut ve kontrol sunucusundan indirip çalıştırmanıza olanak tanıyan PowerShell başlatılır.
Aynı durumun ProLock için de geçerli olduğunu unutmamak önemlidir: yük dosyadan çıkarılır BMP veya JPG ve PowerShell kullanılarak belleğe yüklendi. Bazı durumlarda PowerShell'i başlatmak için zamanlanmış bir görev kullanılır.
ProLock'u görev zamanlayıcı aracılığıyla çalıştıran toplu komut dosyası:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batSistemde konsolidasyon
RDP sunucusunun güvenliğini aşmak ve erişim kazanmak mümkünse, ağa erişim sağlamak için geçerli hesaplar kullanılır. QakBot çeşitli bağlantı mekanizmalarıyla karakterize edilir. Çoğu zaman, bu Truva Atı Çalıştır kayıt defteri anahtarını kullanır ve zamanlayıcıda görevler oluşturur:
Run kayıt defteri anahtarını kullanarak Qakbot'u sisteme sabitleme
Bazı durumlarda başlangıç klasörleri de kullanılır: oraya önyükleyiciyi işaret eden bir kısayol yerleştirilir.
Baypas koruması
QakBot, komuta ve kontrol sunucusuyla iletişim kurarak periyodik olarak kendini güncellemeye çalışır, böylece kötü amaçlı yazılım tespit edilmekten kaçınmak için kendi mevcut sürümünü yenisiyle değiştirebilir. Yürütülebilir dosyalar, güvenliği ihlal edilmiş veya sahte bir imzayla imzalanır. PowerShell tarafından yüklenen ilk veri, C&C sunucusunda uzantıyla birlikte depolanır PNG. Ayrıca, yürütüldükten sonra meşru bir dosyayla değiştirilir. calc.exe.
Ayrıca, kötü amaçlı etkinlikleri gizlemek için QakBot, işlemlere kod enjekte etme tekniğini kullanır. explorer.exe.
Belirtildiği gibi ProLock verisi dosyanın içinde gizlidir BMP veya JPG. Bu aynı zamanda korumayı bypass etme yöntemi olarak da düşünülebilir.
Kimlik bilgilerinin alınması
QakBot'un keylogger işlevi vardır. Ek olarak, ünlü Mimikatz yardımcı programının bir PowerShell sürümü olan Invoke-Mimikatz gibi ek komut dosyalarını indirip çalıştırabilir. Bu tür komut dosyaları, saldırganlar tarafından kimlik bilgilerini boşaltmak için kullanılabilir.
Ağ zekası
Ayrıcalıklı hesaplara erişim kazandıktan sonra ProLock operatörleri, bağlantı noktası taramasını ve Active Directory ortamının analizini içerebilecek ağ keşif işlemini gerçekleştirir. Saldırganlar, Active Directory hakkında bilgi toplamak için çeşitli komut dosyalarının yanı sıra fidye yazılımı grupları arasında popüler olan bir diğer araç olan AdFind'i kullanıyor.
Ağ tanıtımı
Geleneksel olarak ağ tanıtımının en popüler yöntemlerinden biri Uzak Masaüstü Protokolüdür. ProLock bir istisna değildi. Saldırganların cephaneliklerinde, hedef ana bilgisayarlara RDP yoluyla uzaktan erişim sağlamak için komut dosyaları bile bulunur.
RDP protokolü aracılığıyla erişim elde etmek için BAT betiği:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Komut dosyalarını uzaktan yürütmek için ProLock operatörleri başka bir popüler araç olan Sysinternals Suite'in PsExec yardımcı programını kullanır.
ProLock, Windows Yönetim Araçları alt sistemiyle çalışmaya yönelik bir komut satırı arayüzü olan WMIC'yi kullanan ana bilgisayarlarda çalışır. Bu araç aynı zamanda fidye yazılımı operatörleri arasında da giderek daha popüler hale geliyor.
Veri toplama
Diğer birçok fidye yazılımı operatörü gibi, ProLock'u kullanan grup da fidye alma şanslarını artırmak için güvenliği ihlal edilmiş bir ağdan veri topluyor. Dışarıya sızmadan önce toplanan veriler 7Zip yardımcı programı kullanılarak arşivlenir.
Sızma
Veri yüklemek için ProLock operatörleri, dosyaları OneDrive, Google Drive, Mega vb. gibi çeşitli bulut depolama hizmetleriyle senkronize etmek için tasarlanmış bir komut satırı aracı olan Rclone'u kullanır. Saldırganlar, meşru sistem dosyaları gibi görünmesi için yürütülebilir dosyayı her zaman yeniden adlandırır.
Benzerlerinden farklı olarak ProLock operatörlerinin, fidyeyi ödemeyi reddeden şirketlere ait çalınan verileri yayınlayacak kendi web siteleri hâlâ yok.
Nihai hedefe ulaşmak
Veriler sızdırıldıktan sonra ekip, ProLock'u kurumsal ağ genelinde dağıtır. İkili dosya, uzantılı bir dosyadan çıkarılır PNG veya JPG PowerShell kullanarak ve belleğe enjekte ederek:
Her şeyden önce ProLock, yerleşik listede belirtilen işlemleri sonlandırır (ilginç bir şekilde, "winwor" gibi işlem adının yalnızca altı harfini kullanır) ve CSFalconService gibi güvenlikle ilgili olanlar da dahil olmak üzere hizmetleri sonlandırır ( CrowdStrike Falcon) komutunu kullanarak net dur.
Daha sonra, diğer birçok fidye yazılımı ailesinde olduğu gibi, saldırganlar vssadmin Windows gölge kopyalarını silmek ve yeni kopyaların oluşturulmaması için boyutlarını sınırlamak için:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock uzantı ekler .proLock, .pr0Kilit veya .proL0ck şifrelenmiş her dosyaya ve dosyayı yerleştirir [DOSYALAR NASIL KURTARILIR].TXT her klasöre. Bu dosya, mağdurun benzersiz bir kimlik girmesi ve ödeme bilgilerini alması gereken bir siteye bağlantı da dahil olmak üzere, dosyaların şifresinin nasıl çözüleceğine ilişkin talimatlar içerir:
ProLock'un her örneği fidye miktarı hakkında bilgi içerir; bu durumda 35 bitcoin, yani yaklaşık 312 dolar.
Sonuç
Birçok fidye yazılımı operatörü, hedeflerine ulaşmak için benzer yöntemler kullanıyor. Aynı zamanda bazı teknikler her gruba özeldir. Şu anda, kampanyalarında fidye yazılımı kullanan siber suç gruplarının sayısı giderek artıyor. Bazı durumlarda, aynı operatörler farklı fidye yazılımı ailelerini kullanan saldırılara karışabilir, bu nedenle kullanılan taktikler, teknikler ve prosedürlerde giderek daha fazla örtüşme göreceğiz.
MITRE ATT&CK Haritalama ile Haritalama
taktik
Teknik
İlk Erişim (TA0001)
Harici Uzaktan Hizmetler (T1133), Hedefli Kimlik Avı Eki (T1193), Hedefli Kimlik Avı Bağlantısı (T1192)
Yürütme (TA0002)
Powershell (T1086), Komut Dosyası Oluşturma (T1064), Kullanıcı Yürütme (T1204), Windows Yönetim Araçları (T1047)
Kalıcılık (TA0003)
Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü (T1060), Zamanlanmış Görev (T1053), Geçerli Hesaplar (T1078)
Savunmadan Kaçış (TA0005)
Kod İmzalama (T1116), Dosyaların veya Bilgilerin Gizlemesini Kaldırma/Kod Çözme (T1140), Güvenlik Araçlarını Devre Dışı Bırakma (T1089), Dosya Silme (T1107), Maskeleme (T1036), İşlem Ekleme (T1055)
Kimlik Bilgisi Erişimi (TA0006)
Kimlik Bilgisi Boşaltma (T1003), Kaba Kuvvet (T1110), Giriş Yakalama (T1056)
Keşif (TA0007)
Hesap Bulma (T1087), Etki Alanı Güven Bulma (T1482), Dosya ve Dizin Bulma (T1083), Ağ Hizmeti Tarama (T1046), Ağ Paylaşımı Bulma (T1135), Uzaktan Sistem Bulma (T1018)
Yanal Hareket (TA0008)
Uzak Masaüstü Protokolü (T1076), Uzaktan Dosya Kopyalama (T1105), Windows Yönetici Paylaşımları (T1077)
Koleksiyon (TA0009)
Yerel Sistemden Veriler (T1005), Ağ Paylaşımlı Sürücüsünden Veriler (T1039), Aşamalı Veriler (T1074)
Komuta ve Kontrol (TA0011)
Yaygın Olarak Kullanılan Bağlantı Noktası (T1043), Web Hizmeti (T1102)
Süzme (TA0010)
Sıkıştırılmış Veri (T1002), Verileri Bulut Hesabına Aktarma (T1537)
Etki (TA0040)
Etki için Şifrelenmiş Veriler (T1486), Sistem Kurtarmayı Engelleme (T1490)
Kaynak: habr.com