Sự thành công của các cuộc tấn công ransomware vào các tổ chức trên khắp thế giới đang thúc đẩy ngày càng nhiều kẻ tấn công mới tham gia vào cuộc chơi. Một trong những người chơi mới này là một nhóm sử dụng ransomware ProLock. Nó xuất hiện vào tháng 2020 năm 2019 với tư cách là phiên bản kế thừa của chương trình PwndLocker, bắt đầu hoạt động vào cuối năm XNUMX. Các cuộc tấn công ransomware ProLock chủ yếu nhắm vào các tổ chức tài chính và chăm sóc sức khỏe, cơ quan chính phủ và khu vực bán lẻ. Gần đây, các nhà khai thác ProLock đã tấn công thành công một trong những nhà sản xuất ATM lớn nhất, Diebold Nixdorf.
Trong bài này Oleg Skulkin, chuyên gia hàng đầu Phòng thí nghiệm Pháp y Máy tính của Group-IB, bao gồm các chiến thuật, kỹ thuật và quy trình cơ bản (TTP) được người vận hành ProLock sử dụng. Bài viết kết thúc bằng việc so sánh với Ma trận MITER ATT&CK, một cơ sở dữ liệu công cộng tổng hợp các chiến thuật tấn công có chủ đích được nhiều nhóm tội phạm mạng khác nhau sử dụng.
Nhận quyền truy cập ban đầu
Các nhà khai thác ProLock sử dụng hai hướng xâm phạm chính: Trojan QakBot (Qbot) và máy chủ RDP không được bảo vệ với mật khẩu yếu.
Việc xâm phạm thông qua máy chủ RDP có thể truy cập bên ngoài là cực kỳ phổ biến đối với các nhà khai thác ransomware. Thông thường, những kẻ tấn công mua quyền truy cập vào máy chủ bị xâm nhập từ bên thứ ba, nhưng các thành viên trong nhóm cũng có thể tự mình lấy được quyền truy cập đó.
Một phương tiện xâm phạm chính thú vị hơn là phần mềm độc hại QakBot. Trước đây, Trojan này được liên kết với một họ ransomware khác - MegaCortex. Tuy nhiên, hiện nay nó được sử dụng bởi các nhà khai thác ProLock.
Thông thường, QakBot được phân phối thông qua các chiến dịch lừa đảo. Email lừa đảo có thể chứa tài liệu Microsoft Office đính kèm hoặc liên kết tới tệp nằm trong dịch vụ lưu trữ đám mây, chẳng hạn như Microsoft OneDrive.
Cũng có những trường hợp QakBot được tải bằng một Trojan khác, Emotet, được biết đến rộng rãi vì tham gia vào các chiến dịch phát tán ransomware Ryuk.
Hiệu suất
Sau khi tải xuống và mở tài liệu bị nhiễm, người dùng sẽ được nhắc cho phép chạy macro. Nếu thành công, PowerShell sẽ được khởi chạy, điều này sẽ cho phép bạn tải xuống và chạy tải trọng QakBot từ máy chủ chỉ huy và điều khiển.
Điều quan trọng cần lưu ý là điều tương tự cũng áp dụng cho ProLock: tải trọng được trích xuất từ tệp BMP hoặc JPG và được tải vào bộ nhớ bằng PowerShell. Trong một số trường hợp, tác vụ đã lên lịch được sử dụng để khởi động PowerShell.
Tập lệnh hàng loạt chạy ProLock thông qua bộ lập lịch tác vụ:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.batHợp nhất trong hệ thống
Nếu có thể xâm phạm máy chủ RDP và giành được quyền truy cập thì các tài khoản hợp lệ sẽ được sử dụng để có quyền truy cập vào mạng. QakBot được đặc trưng bởi nhiều cơ chế đính kèm. Thông thường, Trojan này sử dụng khóa đăng ký Run và tạo các tác vụ trong bộ lập lịch:
Ghim Qakbot vào hệ thống bằng khóa đăng ký Run
Trong một số trường hợp, các thư mục khởi động cũng được sử dụng: một phím tắt được đặt ở đó trỏ đến bộ nạp khởi động.
Bảo vệ bỏ qua
Bằng cách liên lạc với máy chủ chỉ huy và kiểm soát, QakBot cố gắng tự cập nhật định kỳ, do đó, để tránh bị phát hiện, phần mềm độc hại có thể thay thế phiên bản hiện tại của chính nó bằng phiên bản mới. Các tệp thực thi được ký bằng chữ ký bị xâm phạm hoặc giả mạo. Tải trọng ban đầu do PowerShell tải được lưu trữ trên máy chủ C&C với phần mở rộng PNG. Ngoài ra, sau khi thực thi nó được thay thế bằng một tập tin hợp pháp calc.exe.
Ngoài ra, để che giấu hoạt động độc hại, QakBot sử dụng kỹ thuật đưa mã vào các quy trình, sử dụng explorer.exe.
Như đã đề cập, tải trọng ProLock được ẩn bên trong tệp BMP hoặc JPG. Đây cũng có thể được coi là một phương pháp vượt qua sự bảo vệ.
Lấy thông tin xác thực
QakBot có chức năng keylogger. Ngoài ra, nó có thể tải xuống và chạy các tập lệnh bổ sung, ví dụ: Invoke-Mimikatz, phiên bản PowerShell của tiện ích Mimikatz nổi tiếng. Những tập lệnh như vậy có thể được kẻ tấn công sử dụng để lấy thông tin xác thực.
mạng thông minh
Sau khi có quyền truy cập vào các tài khoản đặc quyền, người vận hành ProLock thực hiện trinh sát mạng, có thể bao gồm quét cổng và phân tích môi trường Active Directory. Ngoài các tập lệnh khác nhau, kẻ tấn công còn sử dụng AdFind, một công cụ khác phổ biến trong các nhóm ransomware, để thu thập thông tin về Active Directory.
Khuyến mãi mạng
Theo truyền thống, một trong những phương pháp quảng bá mạng phổ biến nhất là Giao thức máy tính từ xa. ProLock cũng không ngoại lệ. Những kẻ tấn công thậm chí còn có các tập lệnh trong kho vũ khí của chúng để giành quyền truy cập từ xa thông qua RDP tới các máy chủ mục tiêu.
Tập lệnh BAT để giành quyền truy cập thông qua giao thức RDP:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Để thực thi các tập lệnh từ xa, người vận hành ProLock sử dụng một công cụ phổ biến khác, tiện ích PsExec từ Sysinternals Suite.
ProLock chạy trên các máy chủ sử dụng WMIC, đây là giao diện dòng lệnh để làm việc với hệ thống con Công cụ quản lý Windows. Công cụ này cũng ngày càng trở nên phổ biến đối với các nhà khai thác ransomware.
Thu thập dữ liệu
Giống như nhiều nhà khai thác ransomware khác, nhóm sử dụng ProLock thu thập dữ liệu từ mạng bị xâm nhập để tăng cơ hội nhận được tiền chuộc. Trước khi lọc, dữ liệu đã thu thập sẽ được lưu trữ bằng tiện ích 7Zip.
Lọc
Để tải dữ liệu lên, người vận hành ProLock sử dụng Rclone, một công cụ dòng lệnh được thiết kế để đồng bộ hóa tệp với nhiều dịch vụ lưu trữ đám mây khác nhau như OneDrive, Google Drive, Mega, v.v. Những kẻ tấn công luôn đổi tên tệp thực thi để khiến nó trông giống như các tệp hệ thống hợp pháp.
Không giống như các đồng nghiệp của họ, các nhà khai thác ProLock vẫn không có trang web riêng để công bố dữ liệu bị đánh cắp của các công ty từ chối trả tiền chuộc.
Đạt được mục tiêu cuối cùng
Sau khi dữ liệu được lọc, nhóm sẽ triển khai ProLock trên toàn mạng doanh nghiệp. Tệp nhị phân được trích xuất từ một tệp có phần mở rộng PNG hoặc JPG sử dụng PowerShell và đưa vào bộ nhớ:
Trước hết, ProLock chấm dứt các quy trình được chỉ định trong danh sách tích hợp (thú vị là nó chỉ sử dụng sáu chữ cái của tên quy trình, chẳng hạn như "winwor") và chấm dứt các dịch vụ, bao gồm cả những dịch vụ liên quan đến bảo mật, chẳng hạn như CSFalconService ( CrowdStrike Falcon). sử dụng lệnh net stop.
Sau đó, cũng như nhiều dòng ransomware khác, kẻ tấn công sử dụng vssadmin để xóa các bản sao ẩn của Windows và giới hạn kích thước của chúng để không tạo ra các bản sao mới:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock thêm tiện ích mở rộng .proLock, .pr0Lock hoặc .proL0ck vào từng tệp được mã hóa và đặt tệp [CÁCH PHỤC HỒI TẬP TIN].TXT vào từng thư mục. Tệp này chứa hướng dẫn về cách giải mã các tệp, bao gồm liên kết đến trang web nơi nạn nhân phải nhập ID duy nhất và nhận thông tin thanh toán:
Mỗi phiên bản ProLock chứa thông tin về số tiền chuộc - trong trường hợp này là 35 bitcoin, tương đương khoảng 312 USD.
Kết luận
Nhiều nhà khai thác ransomware sử dụng các phương pháp tương tự để đạt được mục tiêu của họ. Đồng thời, một số kỹ thuật là duy nhất cho mỗi nhóm. Hiện nay, ngày càng có nhiều nhóm tội phạm mạng sử dụng ransomware trong các chiến dịch của chúng. Trong một số trường hợp, cùng một nhà điều hành có thể tham gia vào các cuộc tấn công bằng cách sử dụng các dòng ransomware khác nhau, vì vậy chúng ta sẽ ngày càng thấy sự chồng chéo trong chiến thuật, kỹ thuật và quy trình được sử dụng.
Lập bản đồ với Bản đồ MITER ATT&CK
Chiến thuật
Kỹ thuật
Truy cập ban đầu (TA0001)
Dịch vụ từ xa bên ngoài (T1133), Tệp đính kèm lừa đảo (T1193), Liên kết lừa đảo (T1192)
Thực thi (TA0002)
Powershell (T1086), Tập lệnh (T1064), Thực thi người dùng (T1204), Công cụ quản lý Windows (T1047)
Sự kiên trì (TA0003)
Khóa chạy sổ đăng ký / Thư mục khởi động (T1060), Tác vụ theo lịch trình (T1053), Tài khoản hợp lệ (T1078)
Né tránh phòng thủ (TA0005)
Ký mã (T1116), Giải mã/giải mã tệp hoặc thông tin (T1140), Tắt công cụ bảo mật (T1089), Xóa tệp (T1107), Giả mạo (T1036), Chèn quy trình (T1055)
Quyền truy cập thông tin xác thực (TA0006)
Bán phá giá thông tin xác thực (T1003), Brute Force (T1110), Chụp đầu vào (T1056)
Khám phá (TA0007)
Khám phá tài khoản (T1087), Khám phá tin cậy miền (T1482), Khám phá tệp và thư mục (T1083), Quét dịch vụ mạng (T1046), Khám phá chia sẻ mạng (T1135), Khám phá hệ thống từ xa (T1018)
Chuyển động bên (TA0008)
Giao thức máy tính từ xa (T1076), Sao chép tệp từ xa (T1105), Chia sẻ quản trị viên Windows (T1077)
Bộ sưu tập (TA0009)
Dữ liệu từ Hệ thống cục bộ (T1005), Dữ liệu từ Ổ đĩa chia sẻ mạng (T1039), Dữ liệu theo giai đoạn (T1074)
Lệnh và Kiểm soát (TA0011)
Cổng thường được sử dụng (T1043), Dịch vụ web (T1102)
Lọc (TA0010)
Nén dữ liệu (T1002), Truyền dữ liệu sang tài khoản đám mây (T1537)
Tác động (TA0040)
Dữ liệu được mã hóa để tác động (T1486), Ngăn chặn phục hồi hệ thống (T1490)
Nguồn: www.habr.com