勒索软件对世界各地组织的成功攻击促使越来越多的新攻击者加入其中。 这些新玩家之一是使用 ProLock 勒索软件的组织。 它于 2020 年 2019 月出现,作为 PwndLocker 计划的继任者,该计划于 XNUMX 年底开始运行。 ProLock 勒索软件攻击主要针对金融和医疗保健组织、政府机构和零售部门。 最近,ProLock 运营商成功攻击了最大的 ATM 制造商之一 Diebold Nixdorf。
在这篇文章中 Oleg Skulkin,IB 集团计算机取证实验室首席专家,涵盖了 ProLock 操作员使用的基本策略、技术和程序 (TTP)。 本文最后与 MITRE ATT&CK Matrix 进行了比较,MITRE ATT&CK Matrix 是一个公共数据库,汇集了各种网络犯罪团体使用的有针对性的攻击策略。
获得初始访问权限
ProLock 运营商使用两个主要的攻击媒介:QakBot (Qbot) 木马和具有弱密码的未受保护的 RDP 服务器。
通过外部可访问的 RDP 服务器进行妥协在勒索软件运营商中非常流行。 通常,攻击者从第三方购买对受感染服务器的访问权限,但也可以由组成员自己获得。
一个更有趣的主要危害载体是 QakBot 恶意软件。 此前,该木马与另一个勒索软件系列 - MegaCortex 相关。 然而,它现在被 ProLock 操作员使用。
通常,QakBot 通过网络钓鱼活动进行分发。 网络钓鱼电子邮件可能包含附加的 Microsoft Office 文档或指向云存储服务(例如 Microsoft OneDrive)中的文件的链接。
还有已知的 QakBot 加载了另一种木马 Emotet 的案例,该木马因参与分发 Ryuk 勒索软件的活动而广为人知。
执行
下载并打开受感染的文档后,系统会提示用户允许宏运行。 如果成功,将启动 PowerShell,这将允许您从命令和控制服务器下载并运行 QakBot 有效负载。
值得注意的是,这同样适用于 ProLock:有效负载是从文件中提取的 骨形态发生蛋白 или JPG格式 并使用 PowerShell 加载到内存中。 在某些情况下,计划任务用于启动 PowerShell。
通过任务调度程序运行 ProLock 的批处理脚本:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat系统整合
如果有可能破坏 RDP 服务器并获得访问权限,则可以使用有效帐户来获得网络访问权限。 QakBot 的特点是具有多种附着机制。 大多数情况下,该特洛伊木马使用 Run 注册表项并在调度程序中创建任务:
使用 Run 注册表项将 Qakbot 固定到系统
在某些情况下,还会使用启动文件夹:那里放置一个指向引导加载程序的快捷方式。
旁路保护
通过与命令和控制服务器通信,QakBot 定期尝试自我更新,因此为了避免检测,恶意软件可以用新版本替换其当前版本。 可执行文件是使用受损或伪造的签名进行签名的。 PowerShell加载的初始有效负载存储在C&C服务器上,扩展名为 PNG。 另外执行后会被替换为合法文件 CALC.EXE.
此外,为了隐藏恶意活动,QakBot 使用将代码注入进程的技术,使用 explorer.exe的.
如前所述,ProLock 有效负载隐藏在文件内 骨形态发生蛋白 или JPG格式。 这也可以被认为是绕过保护的一种方法。
获取凭证
QakBot 具有键盘记录功能。 此外,它还可以下载并运行其他脚本,例如 Invoke-Mimikatz,著名的 Mimikatz 实用程序的 PowerShell 版本。 攻击者可以使用此类脚本来转储凭据。
网络情报
获得特权帐户的访问权限后,ProLock 操作员会执行网络侦察,其中可能包括端口扫描和 Active Directory 环境分析。 除了各种脚本之外,攻击者还使用勒索软件组织中流行的另一种工具 AdFind 来收集有关 Active Directory 的信息。
网络推广
传统上,最流行的网络推广方法之一是远程桌面协议。 ProLock 也不例外。 攻击者甚至在他们的武器库中拥有脚本,可以通过 RDP 远程访问目标主机。
通过 RDP 协议获取访问权限的 BAT 脚本:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
为了远程执行脚本,ProLock 操作员使用另一种流行的工具,即 Sysinternals Suite 中的 PsExec 实用程序。
ProLock 在使用 WMIC 的主机上运行,WMIC 是用于与 Windows Management Instrumentation 子系统配合使用的命令行界面。 该工具在勒索软件运营商中也越来越受欢迎。
数据收集
与许多其他勒索软件运营商一样,使用 ProLock 的组织从受感染的网络收集数据,以增加收到赎金的机会。 在渗漏之前,使用 7Zip 实用程序对收集的数据进行存档。
渗漏
为了上传数据,ProLock 操作员使用 Rclone,这是一种命令行工具,旨在与各种云存储服务(例如 OneDrive、Google Drive、Mega 等)同步文件。攻击者总是重命名可执行文件,使其看起来像合法的系统文件。
与同行不同,ProLock 运营商仍然没有自己的网站来发布属于拒绝支付赎金的公司的被盗数据。
实现最终目标
一旦数据被泄露,团队就会在整个企业网络中部署 ProLock。 二进制文件是从扩展名为的文件中提取的 PNG или JPG格式 使用 PowerShell 并注入内存:
首先,ProLock终止内置列表中指定的进程(有趣的是,它只使用进程名称的六个字母,例如“winwor”),并终止服务,包括与安全相关的服务,例如CSFalconService( CrowdStrike Falcon). 使用命令 网站.
然后,与许多其他勒索软件系列一样,攻击者使用 VSSADMIN 删除 Windows 卷影副本并限制其大小,以便不会创建新副本:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock 添加扩展 .proLock, .pr0Lock или .proL0ck 到每个加密文件并放置该文件 [如何恢复文件].TXT 到每个文件夹。 该文件包含有关如何解密文件的说明,包括指向受害者必须输入唯一 ID 并接收付款信息的网站的链接:
ProLock 的每个实例都包含有关赎金金额的信息 - 在本例中为 35 个比特币,约合 312 美元。
结论
许多勒索软件运营商使用类似的方法来实现他们的目标。 同时,一些技术对于每个组来说都是独特的。 目前,越来越多的网络犯罪团伙在其活动中使用勒索软件。 在某些情况下,相同的操作者可能会使用不同系列的勒索软件参与攻击,因此我们将越来越多地看到所使用的策略、技术和程序的重叠。
使用 MITRE ATT&CK 映射进行映射
战术
技术
初始访问 (TA0001)
外部远程服务 (T1133)、鱼叉式网络钓鱼附件 (T1193)、鱼叉式网络钓鱼链接 (T1192)
执行(TA0002)
Powershell (T1086)、脚本编写 (T1064)、用户执行 (T1204)、Windows Management Instrumentation (T1047)
持久性(TA0003)
注册表运行键/启动文件夹 (T1060)、计划任务 (T1053)、有效帐户 (T1078)
防御规避 (TA0005)
代码签名 (T1116)、反混淆/解码文件或信息 (T1140)、禁用安全工具 (T1089)、文件删除 (T1107)、伪装 (T1036)、进程注入 (T1055)
凭证访问 (TA0006)
凭证转储 (T1003)、暴力破解 (T1110)、输入捕获 (T1056)
发现 (TA0007)
帐户发现 (T1087)、域信任发现 (T1482)、文件和目录发现 (T1083)、网络服务扫描 (T1046)、网络共享发现 (T1135)、远程系统发现 (T1018)
横向运动 (TA0008)
远程桌面协议 (T1076)、远程文件复制 (T1105)、Windows 管理共享 (T1077)
收藏 (TA0009)
来自本地系统的数据 (T1005)、来自网络共享驱动器的数据 (T1039)、暂存的数据 (T1074)
命令与控制(TA0011)
常用端口 (T1043)、Web 服务 (T1102)
渗漏 (TA0010)
数据压缩(T1002)、传输数据至云账户(T1537)
影响(TA0040)
数据加密以防止影响 (T1486),禁止系统恢复 (T1490)
来源: habr.com