Dunyo bo'ylab tashkilotlarga ransomware hujumlarining muvaffaqiyati tobora ko'proq yangi hujumchilarni o'yinga kirishga undamoqda. Ushbu yangi o'yinchilardan biri ProLock ransomware dasturidan foydalanadigan guruhdir. U 2020 yil mart oyida 2019 yil oxirida ish boshlagan PwndLocker dasturining vorisi sifatida paydo bo'ldi. ProLock ransomware hujumlari birinchi navbatda moliyaviy va sog'liqni saqlash tashkilotlari, davlat idoralari va chakana sektorga qaratilgan. Yaqinda ProLock operatorlari eng yirik bankomat ishlab chiqaruvchilardan biri Diebold Nixdorfga muvaffaqiyatli hujum qilishdi.
Ushbu postda Oleg Skulkin, Group-IB kompyuter sud-tibbiyot laboratoriyasining yetakchi mutaxassisi, ProLock operatorlari tomonidan qo'llaniladigan asosiy taktika, texnika va protseduralarni (TTP) qamrab oladi. Maqola MITER ATT&CK Matrix, turli kiberjinoyatchilar guruhlari tomonidan qo'llaniladigan maqsadli hujum taktikalarini jamlovchi ommaviy ma'lumotlar bazasi bilan taqqoslash bilan yakunlanadi.
Dastlabki ruxsat olish
ProLock operatorlari birlamchi kompromitsiyaning ikkita asosiy vektoridan foydalanadilar: QakBot (Qbot) troyan va zaif parollarga ega himoyalanmagan RDP serverlari.
Tashqaridan foydalanish mumkin bo'lgan RDP serveri orqali murosaga kelish ransomware operatorlari orasida juda mashhur. Odatda, tajovuzkorlar buzilgan serverga kirishni uchinchi shaxslardan sotib oladi, lekin uni guruh a'zolari ham mustaqil ravishda olishlari mumkin.
Birlamchi kompromisning yanada qiziqarli vektori bu QakBot zararli dasturidir. Ilgari ushbu troyan boshqa to'lov dasturlari oilasi - MegaCortex bilan bog'langan edi. Biroq, u endi ProLock operatorlari tomonidan qo'llaniladi.
Odatda, QakBot fishing kampaniyalari orqali tarqatiladi. Fishing elektron pochtasida biriktirilgan Microsoft Office hujjati yoki Microsoft OneDrive kabi bulutli saqlash xizmatida joylashgan faylga havola bo'lishi mumkin.
QakBot-ga Ryuk ransomware-ni tarqatuvchi kampaniyalardagi ishtiroki bilan mashhur bo'lgan boshqa troyan Emotet bilan yuklangan holatlar ham ma'lum.
Ijroiya
Infektsiyalangan hujjatni yuklab olish va ochgandan so'ng, foydalanuvchidan makrolarni ishga tushirishga ruxsat berish so'raladi. Muvaffaqiyatli bo'lsa, PowerShell ishga tushiriladi, bu sizga buyruq va boshqaruv serveridan QakBot foydali yukini yuklab olish va ishga tushirish imkonini beradi.
Shuni ta'kidlash kerakki, xuddi shu narsa ProLock uchun ham amal qiladi: foydali yuk fayldan chiqariladi BMP yoki JPG va PowerShell yordamida xotiraga yuklanadi. Ba'zi hollarda PowerShell-ni ishga tushirish uchun rejalashtirilgan vazifa qo'llaniladi.
Vazifa rejalashtiruvchisi orqali ProLock bilan ishlaydigan ommaviy skript:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batTizimda konsolidatsiya
Agar RDP serverini buzish va kirish huquqiga ega bo'lish mumkin bo'lsa, tarmoqqa kirish uchun haqiqiy hisoblardan foydalaniladi. QakBot turli xil biriktiruvchi mexanizmlar bilan tavsiflanadi. Ko'pincha, ushbu troyan Run ro'yxatga olish kitobi kalitidan foydalanadi va rejalashtiruvchida vazifalarni yaratadi:
Run registr kaliti yordamida Qakbotni tizimga mahkamlash
Ba'zi hollarda, ishga tushirish papkalari ham ishlatiladi: u erda yuklovchiga ishora qiluvchi yorliq joylashtirilgan.
Bypass himoyasi
Buyruqlar va boshqaruv serveri bilan aloqa o'rnatish orqali QakBot vaqti-vaqti bilan o'zini yangilashga harakat qiladi, shuning uchun aniqlanmaslik uchun zararli dastur o'zining joriy versiyasini yangisiga almashtirishi mumkin. Bajariladigan fayllar buzilgan yoki soxta imzo bilan imzolanadi. PowerShell tomonidan yuklangan dastlabki foydali yuk kengaytmasi bilan C&C serverida saqlanadi PNG. Bundan tashqari, bajarilgandan so'ng u qonuniy fayl bilan almashtiriladi kalc.exe.
Shuningdek, zararli faoliyatni yashirish uchun QakBot jarayonlarga kod kiritish texnikasidan foydalanadi explorer.exe.
Yuqorida aytib o'tilganidek, ProLock foydali yuki fayl ichida yashiringan BMP yoki JPG. Bu himoyani chetlab o'tish usuli sifatida ham ko'rib chiqilishi mumkin.
Hisob ma'lumotlarini olish
QakBot-da keylogger funksiyasi mavjud. Bundan tashqari, u qo'shimcha skriptlarni yuklab olishi va ishga tushirishi mumkin, masalan, Invoke-Mimikatz, mashhur Mimikatz yordam dasturining PowerShell versiyasi. Bunday skriptlar tajovuzkorlar tomonidan hisob ma'lumotlarini o'chirish uchun ishlatilishi mumkin.
Tarmoq razvedkasi
Imtiyozli hisoblarga kirish huquqiga ega bo'lgandan so'ng, ProLock operatorlari portni skanerlash va Active Directory muhitini tahlil qilishni o'z ichiga olishi mumkin bo'lgan tarmoq tekshiruvini amalga oshiradilar. Har xil skriptlarga qo'shimcha ravishda, tajovuzkorlar Active Directory haqida ma'lumot to'plash uchun to'lov dasturlari guruhlari orasida mashhur bo'lgan boshqa vosita AdFind-dan foydalanadilar.
Tarmoqni reklama qilish
An'anaga ko'ra, tarmoqni ilgari surishning eng mashhur usullaridan biri bu Masofaviy ish stoli protokoli. ProLock ham bundan mustasno emas edi. Hujumchilar hatto o'zlarining arsenallarida RDP orqali maqsadli xostlarga masofaviy kirish uchun skriptlarga ega.
RDP protokoli orqali kirish uchun BAT skripti:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Skriptlarni masofadan turib bajarish uchun ProLock operatorlari yana bir mashhur vositadan, Sysinternals Suite-dan PsExec yordam dasturidan foydalanadilar.
ProLock WMIC yordamida xostlarda ishlaydi, bu Windows boshqaruv asboblari quyi tizimi bilan ishlash uchun buyruq qatori interfeysi. Ushbu vosita ransomware operatorlari orasida ham tobora ommalashib bormoqda.
Ma'lumotlar yig'ish
Boshqa ko'plab to'lov dasturlari operatorlari singari, ProLock-dan foydalanadigan guruh to'lovni olish imkoniyatlarini oshirish uchun buzilgan tarmoqdan ma'lumotlarni to'playdi. Eksfiltratsiyadan oldin to'plangan ma'lumotlar 7Zip yordam dasturi yordamida arxivlanadi.
Eksfiltratsiya
Ma'lumotlarni yuklash uchun ProLock operatorlari Rclone-dan foydalanadilar, fayllarni OneDrive, Google Drive, Mega va boshqalar kabi turli xil bulutli saqlash xizmatlari bilan sinxronlashtirish uchun mo'ljallangan buyruq qatori vositasi. Buzg'unchilar har doim bajariladigan faylni qonuniy tizim fayllari kabi ko'rinishi uchun nomini o'zgartiradilar.
Tengdoshlaridan farqli o'laroq, ProLock operatorlari hali ham to'lovni to'lashdan bosh tortgan kompaniyalarga tegishli o'g'irlangan ma'lumotlarni nashr etish uchun o'z veb-saytiga ega emaslar.
Yakuniy maqsadga erishish
Ma'lumotlar o'chirilgandan so'ng, jamoa butun korporativ tarmoqda ProLock-ni o'rnatadi. Ikkilik fayl kengaytmali fayldan chiqariladi PNG yoki JPG PowerShell yordamida va xotiraga kiritilgan:
Avvalo, ProLock o'rnatilgan ro'yxatda ko'rsatilgan jarayonlarni tugatadi (qizig'i shundaki, u faqat "winwor" kabi jarayon nomining oltita harfini ishlatadi) va xizmatlarni, shu jumladan CSFalconService ( kabi xavfsizlik bilan bog'liq) ni to'xtatadi. CrowdStrike Falcon). buyrug'i yordamida aniq to'xtash.
Keyin, boshqa ko'plab to'lov dasturlari oilalarida bo'lgani kabi, tajovuzkorlar ham foydalanadilar vssadmin Windows soya nusxalarini o'chirish va yangi nusxalar yaratilmasligi uchun ularning hajmini cheklash uchun:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock kengaytmani qo'shadi .proLock, .pr0Lock yoki .proL0ck har bir shifrlangan faylga va faylni joylashtiradi [FAYLLARNI QANDAY QIYTA QILISh KERAK].TXT har bir jildga. Ushbu faylda fayllarning shifrini ochish bo'yicha ko'rsatmalar, jumladan, jabrlanuvchi noyob identifikatorni kiritishi va to'lov ma'lumotlarini olishi kerak bo'lgan saytga havola mavjud:
ProLock-ning har bir nusxasi to'lov miqdori haqida ma'lumotni o'z ichiga oladi - bu holda 35 bitkoin, bu taxminan 312 000 dollarni tashkil qiladi.
xulosa
Ko'pgina ransomware operatorlari o'z maqsadlariga erishish uchun shunga o'xshash usullardan foydalanadilar. Shu bilan birga, ba'zi texnikalar har bir guruh uchun o'ziga xosdir. Hozirda o'z kampaniyalarida to'lov dasturidan foydalanadigan kiberjinoyatchilar soni ortib bormoqda. Ba'zi hollarda, bir xil operatorlar turli xil to'lov dasturlari oilalaridan foydalangan holda hujumlarda ishtirok etishlari mumkin, shuning uchun biz qo'llaniladigan taktika, texnika va protseduralarda bir-biriga o'xshashligini tobora ko'proq ko'ramiz.
MITER ATT&CK Mapping bilan xaritalash
Taktik
texnika
Dastlabki kirish (TA0001)
Tashqi masofaviy xizmatlar (T1133), Spearphishing ilovasi (T1193), Spearphishing havolasi (T1192)
Bajarish (TA0002)
Powershell (T1086), skript yaratish (T1064), foydalanuvchining bajarilishi (T1204), Windows boshqaruv asboblari (T1047)
Qat'iylik (TA0003)
Ro'yxatga olish kitobining ishga tushirish kalitlari / ishga tushirish papkasi (T1060), rejalashtirilgan vazifa (T1053), haqiqiy hisoblar (T1078)
Mudofaadan qochish (TA0005)
Kodni imzolash (T1116), fayllar yoki ma'lumotlarni dekodlash/dekodlash (T1140), Xavfsizlik vositalarini o'chirish (T1089), fayllarni o'chirish (T1107), maskaradlash (T1036), jarayonni kiritish (T1055)
Hisob maʼlumotlariga kirish (TA0006)
Hisob maʼlumotlarini tashlab yuborish (T1003), qoʻpol kuch (T1110), kirishni yozib olish (T1056)
Kashfiyot (TA0007)
Hisob qaydnomasini aniqlash (T1087), domen ishonchliligini aniqlash (T1482), fayl va katalogni aniqlash (T1083), tarmoq xizmatini skanerlash (T1046), tarmoqni ulashishni aniqlash (T1135), masofaviy tizimni aniqlash (T1018)
Yon harakat (TA0008)
Masofaviy ish stoli protokoli (T1076), faylni masofaviy nusxalash (T1105), Windows administratori ulashishlari (T1077)
Toʻplam (TA0009)
Mahalliy tizim maʼlumotlari (T1005), umumiy tarmoq diskidan olingan maʼlumotlar (T1039), bosqichli maʼlumotlar (T1074)
Buyruq va boshqaruv (TA0011)
Tez-tez ishlatiladigan port (T1043), veb-xizmat (T1102)
Eksfiltratsiya (TA0010)
Maʼlumotlar siqilgan (T1002), maʼlumotlarni bulutli hisob qaydnomasiga oʻtkazish (T1537)
Ta'sir (TA0040)
Ta'sir uchun shifrlangan ma'lumotlar (T1486), tizimni tiklashni taqiqlash (T1490)
Manba: www.habr.com