Успіх атак вірусів-шифрувальників на організації по всьому світу спонукає все більше нових зловмисників «вступити в гру». Один з таких нових гравців – група, яка використовує шифрувальник ProLock. Він з'явився у березні 2020 року як наступник програми PwndLocker, яка почала працювати з кінця 2019 року. Атаки шифрувальника ProLock, перш за все, націлені на фінансові та медичні організації, державні установи та сектор роздрібної торгівлі. Нещодавно оператори ProLock успішно атакували одного з найбільших виробників банкоматів – компанію Diebold Nixdorf.
У цьому пості Олег Скулькін, провідний спеціаліст Лабораторії комп'ютерної криміналістики Group-IB, розповідає про основні тактики, техніки та процедури (TTPs), що використовуються операторами ProLock. Наприкінці статті — зіставлення з матрицею MITRE ATT&CK, публічною базою даних, у якій зібрані тактики цільових атак, які застосовують різні кіберзлочинні групи.
Отримання первинного доступу
Оператори ProLock використовують два основних вектори первинної компрометації: троян QakBot (Qbot) та незахищені RDP-сервери зі слабкими паролями.
Компрометація через доступний ззовні RDP-сервер дуже популярна у операторів здирників. Зазвичай доступ до скомпрометованого сервера зловмисники купують у третіх осіб, однак він також може бути отриманий членами групи самостійно.
Цікавіший вектор первинної компрометації - шкідливе ПЗ QakBot. Раніше цей троян пов'язували з іншим сімейством шифрувальників - MegaCortex. Однак тепер користуються операторами ProLock.
Як правило, QakBot розповсюджується через фішингові кампанії. Фішинговий лист може містити прикріплений документ Microsoft Office або посилання на такий файл, що знаходиться у хмарному сховищі, наприклад Microsoft OneDrive.
Також відомі випадки завантаження QakBot іншим трояном - Emotet, який широко відомий своєю участю в кампаніях, які розповсюджували програму-вимагач Ryuk.
виконання
Після завантаження та відкриття зараженого документа користувачеві пропонується дозволити виконання макросів. У разі успіху здійснюється запуск PowerShell, який дозволить завантажити та запустити корисне навантаження QakBot з командного сервера.
Те ж саме стосується і ProLock: корисне навантаження витягується з файлу BMP або JPG та завантажується в пам'ять за допомогою PowerShell. У деяких випадках для запуску PowerShell використовується заплановане завдання.
Batch-скрипт, що запускає ProLock через планувальник завдань:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batЗакріплення у системі
Якщо вдалося скомпрометувати RDP-сервер і отримати доступ, то для закріплення в мережі використовуються облікові записи, що діють. Для QakBot характерні різноманітні механізми закріплення. Найчастіше цей троян використовує розділ реєстру Run та створює завдання у планувальнику:
Закріплення Qakbot у системі за допомогою розділу реєстру Run
У деяких випадках також використовуються папки автозавантаження: туди міститься ярлик, який вказує на завантажувач.
Обхід захисту
Шляхом комунікації з командним сервером QakBot періодично намагається оновити себе, тому щоб уникнути виявлення, шкідливість може замінити власну поточну версію нової. Виконувані файли підписуються скомпрометованим або підробленим підписом. Початкове корисне навантаження, яке завантажується PowerShell, зберігається на командному сервері з розширенням PNG. Крім того, після виконання вона замінюється на легітимний файл calc.exe.
Також, щоб приховати шкідливу активність, QakBot використовує техніку впровадження коду у процеси, використовуючи для цього explorer.exe.
Як уже згадувалося, корисне навантаження ProLock приховано всередині файлу BMP або JPG. Це також можна як метод обходу захисту.
Отримання облікових даних
QakBot має функціонал кейлоггера. Крім цього, він може завантажувати та запускати додаткові скрипти, наприклад, Invoke-Mimikatz – PowerShell-версію знаменитої утиліти Mimikatz. Такі скрипти можуть використовуватись зловмисниками для дампінгу облікових даних.
Мережева розвідка
Після отримання доступу до привілейованих облікових записів оператори ProLock здійснюють мережеву розвідку, яка може включати сканування портів і аналіз середовища Active Directory. Крім різних скриптів, для збору інформації про Active Directory зловмисники використовують AdFind — ще один інструмент, популярний серед груп, які використовують програми-змагачі.
Просування по мережі
Традиційно одним із найпопулярніших способів просування по мережі є протокол віддаленого робочого столу (Remote Desktop Protocol). ProLock не став винятком. Зловмисники навіть мають у своєму арсеналі скрипти для отримання можливості віддаленого доступу протоколом RDP до цільових хостів.
BAT-скрипт для отримання доступу за протоколом RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Для віддаленого виконання скриптів оператори ProLock використовують ще один популярний інструмент – утиліту PsExec із пакету Sysinternals Suite.
ProLock на хостах запускається за допомогою WMIC, що є інтерфейсом командного рядка для роботи з підсистемою Windows Management Instrumentation. Цей інструмент також набуває все більшої популярності серед операторів програм-вимагачів.
Збір даних
Як і багато інших операторів шифрувальників, група, що використовує ProLock, збирає дані зі скомпрометованої мережі, щоб підвищити свої шанси на отримання викупу. Перед ексфільтрацією зібрані дані архівуються за допомогою утиліти 7Zip.
Ексфільтрація
Для вивантаження даних оператори ProLock використовують Rclone — інструмент командного рядка, призначений для синхронізації файлів з різними хмарними сховищами, такими як OneDrive, Google Drive, Mega та ін. Зловмисники завжди перейменовують файл, що виконується, щоб він був схожий на легітимні системні файли.
На відміну від своїх колег по цеху, оператори ProLock досі не мають власного веб-сайту для публікації вкрадених даних, що належать компаніям, які відмовилися платити викуп.
Досягнення кінцевої мети
Після ексфільтрації даних група розгортає ProLock по всій мережі підприємства. Бінарний файл витягується з файлу з розширенням PNG або JPG за допомогою PowerShell і впроваджується на згадку:
Перш за все ProLock завершує процеси, зазначені у вбудованому списку (цікаво, що він використовує лише шість літер з імені процесу, наприклад, «winwor»), і завершує служби, включаючи ті, які пов'язані з безпекою, наприклад CSFalconService (CrowdStrike Falcon), за допомогою команди чиста зупинка.
Потім, як і у випадку багатьох інших сімейств здирників, атакуючі використовують VSSadmin для видалення тіньових копій Windows та обмеження їх розміру, завдяки чому нові копії не створюватимуться:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock додає розширення .proLock, .pr0Lock або .proL0ck до кожного зашифрованого файлу та поміщає файл [HOW TO RECOVER FILES].TXT у кожну папку. Цей файл містить інструкції про розшифрування файлів, включаючи посилання на сайт, де жертва повинна ввести унікальний ідентифікатор і отримати платіжну інформацію:
Кожен екземпляр ProLock містить інформацію про суму викупу — у цьому випадку це 35 біткоїнів, що становить приблизно 312 000 доларів.
Висновок
Багато операторів програм-вимагачів використовують подібні методи досягнення своїх цілей. У той самий час деякі техніки є унікальними кожної групи. В даний час зростає кількість кіберзлочинних груп, які використовують шифрувальники у своїх кампаніях. У деяких випадках ті самі оператори можуть брати участь в атаках з використанням різних сімейств здирників, тому ми будемо все частіше спостерігати перетину у тактиках, техніках і процедурах, що використовуються.
Зіставлення з MITRE ATT&CK Mapping
Тактика
Техніка
Initial Access (TA0001)
External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)
Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)
Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)
Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)
Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)
Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)
Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)
Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)
Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)
Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)
Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)
Джерело: habr.com