勒索軟體對世界各地組織的成功攻擊促使越來越多的新攻擊者加入其中。 這些新玩家之一是使用 ProLock 勒索軟體的組織。 它於 2020 年 2019 月出現,作為 PwndLocker 計劃的繼任者,該計劃於 XNUMX 年底開始運行。 ProLock 勒索軟體攻擊主要針對金融和醫療保健組織、政府機構和零售部門。 最近,ProLock 營運商成功攻擊了最大的 ATM 製造商之一 Diebold Nixdorf。
在這篇文章中 Oleg Skulkin,IB 集團電腦鑑識實驗室首席專家,涵蓋了 ProLock 操作員使用的基本策略、技術和程序 (TTP)。 本文最後與 MITRE ATT&CK Matrix 進行了比較,MITRE ATT&CK Matrix 是一個公共資料庫,匯集了各種網路犯罪團體所使用的有針對性的攻擊策略。
獲得初始存取權限
ProLock 業者使用兩個主要的攻擊媒介:QakBot (Qbot) 木馬和具有弱密碼的未受保護的 RDP 伺服器。
透過外部可存取的 RDP 伺服器進行妥協在勒索軟體營運商中非常流行。 通常,攻擊者會從第三方購買對受感染伺服器的存取權限,但也可以由群組成員自行取得。
一個更有趣的主要危害載體是 QakBot 惡意軟體。 此前,該木馬與另一個勒索軟體系列 - MegaCortex 相關。 然而,它現在被 ProLock 操作員使用。
通常,QakBot 透過網路釣魚活動進行分發。 網路釣魚電子郵件可能包含附加的 Microsoft Office 文件或指向雲端儲存服務(例如 Microsoft OneDrive)中的文件的連結。
還有已知的 QakBot 加載了另一種木馬 Emotet 的案例,該木馬因參與分發 Ryuk 勒索軟體的活動而廣為人知。
執行
下載並開啟受感染的文件後,系統會提示使用者允許巨集運行。 如果成功,將啟動 PowerShell,這將允許您從命令和控制伺服器下載並執行 QakBot 有效負載。
值得注意的是,這同樣適用於 ProLock:有效負載是從文件中提取的 骨形態發生蛋白 或 JPG格式 並使用 PowerShell 載入到記憶體中。 在某些情況下,排程任務用於啟動 PowerShell。
透過任務排程器執行 ProLock 的批次腳本:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat系統整合
如果有可能破壞 RDP 伺服器並獲得存取權限,則可以使用有效帳戶來獲得網路存取權限。 QakBot 的特點是具有多種附著機制。 大多數情況下,該特洛伊木馬使用 Run 註冊表項並在調度程序中建立任務:
使用 Run 登錄項目將 Qakbot 固定到系統
在某些情況下,也會使用啟動資料夾:那裡放置一個指向引導程式的捷徑。
旁路保護
透過與命令和控制伺服器通信,QakBot 會定期嘗試自我更新,因此為了避免檢測,惡意軟體可以用新版本替換其當前版本。 可執行文件是使用受損或偽造的簽名進行簽署的。 PowerShell載入的初始有效負載儲存在C&C伺服器上,擴展名為 巴布亞新幾內亞。 另外執行後會被替換為合法文件 CALC.EXE.
此外,為了隱藏惡意活動,QakBot 使用將程式碼注入進程的技術,使用 explorer.exe的.
如前所述,ProLock 有效負載隱藏在檔案內 骨形態發生蛋白 或 JPG格式。 這也可以被認為是繞過保護的一種方法。
取得憑證
QakBot 具有鍵盤記錄功能。 此外,它還可以下載並執行其他腳本,例如 Invoke-Mimikatz,著名的 Mimikatz 實用程式的 PowerShell 版本。 攻擊者可以使用此類腳本來轉儲憑證。
網路智能
取得特權帳戶的存取權限後,ProLock 操作員會執行網路偵察,其中可能包括連接埠掃描和 Active Directory 環境分析。 除了各種腳本之外,攻擊者還使用勒索軟體組織中流行的另一種工具 AdFind 來收集有關 Active Directory 的資訊。
網路推廣
傳統上,最受歡迎的網路推廣方法之一是遠端桌面協定。 ProLock 也不例外。 攻擊者甚至在他們的武器庫中擁有腳本,可以透過 RDP 遠端存取目標主機。
透過 RDP 協定取得存取權限的 BAT 腳本:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
為了遠端執行腳本,ProLock 操作員使用另一種流行的工具,即 Sysinternals Suite 中的 PsExec 實用程式。
ProLock 在使用 WMIC 的主機上執行,WMIC 是用於與 Windows Management Instrumentation 子系統配合使用的命令列介面。 該工具在勒索軟體運營商中也越來越受歡迎。
資料收集
與許多其他勒索軟體營運商一樣,使用 ProLock 的組織從受感染的網路收集數據,以增加收到贖金的機會。 在滲漏之前,使用 7Zip 實用程式對收集的資料進行存檔。
滲漏
為了上傳數據,ProLock 操作員使用Rclone,這是一種命令列工具,旨在與各種雲端儲存服務(例如OneDrive、Google Drive、Mega 等)同步文件。攻擊者總是重命名可執行文件,使其看起來像是合法的系統文件。
與同業不同,ProLock 業者仍然沒有自己的網站來發布屬於拒絕支付贖金的公司的被盜資料。
實現最終目標
一旦資料洩露,團隊就會在整個企業網路中部署 ProLock。 二進位檔案是從副檔名為的檔案中提取的 巴布亞新幾內亞 或 JPG格式 使用 PowerShell 並注入記憶體:
首先,ProLock終止內建清單中指定的進程(有趣的是,它只使用進程名稱的六個字母,例如「winwor」),並終止服務,包括與安全相關的服務,例如CSFalconService( CrowdStrike Falcon). 使用命令 淨停止.
然後,與許多其他勒索軟體系列一樣,攻擊者使用 VSSADMIN 刪除 Windows 影集副本並限制其大小,以便不會建立新副本:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock 新增擴充 .proLock, .pr0Lock 或 .proL0ck 到每個加密文件並放置該文件 [如何恢復檔案].TXT 到每個資料夾。 該文件包含有關如何解密文件的說明,包括指向受害者必須輸入唯一 ID 並接收付款資訊的網站的連結:
ProLock 的每個實例都包含有關贖金金額的資訊 - 在本例中為 35 個比特幣,約合 312 美元。
結論
許多勒索軟體業者使用類似的方法來實現他們的目標。 同時,一些技術對於每個組來說都是獨特的。 目前,越來越多的網路犯罪集團在其活動中使用勒索軟體。 在某些情況下,相同的操作者可能會使用不同系列的勒索軟體參與攻擊,因此我們將越來越多地看到所使用的策略、技術和程序的重疊。
使用 MITRE ATT&CK 映射進行映射
戰術
技術
初始訪問 (TA0001)
外部遠端服務 (T1133)、魚叉式網路釣魚配件 (T1193)、魚叉式網路釣魚連結 (T1192)
執行(TA0002)
Powershell (T1086)、腳本編寫 (T1064)、使用者執行 (T1204)、Windows Management Instrumentation (T1047)
持久性(TA0003)
註冊表運行鍵/啟動資料夾 (T1060)、排程任務 (T1053)、有效帳戶 (T1078)
防禦規避 (TA0005)
程式碼簽章 (T1116)、反混淆/解碼檔案或資訊 (T1140)、停用安全工具 (T1089)、檔案刪除 (T1107)、偽裝 (T1036)、進程注入 (T1055)
憑證存取 (TA0006)
憑證轉儲 (T1003)、暴力破解 (T1110)、輸入捕獲 (T1056)
發現 (TA0007)
帳戶發現 (T1087)、網域信任發現 (T1482)、檔案與目錄發現 (T1083)、網路服務掃描 (T1046)、網路共用發現 (T1135)、遠端系統發現 (T1018)
橫向移動 (TA0008)
遠端桌面協定 (T1076)、遠端檔案複製 (T1105)、Windows 管理共用 (T1077)
收藏 (TA0009)
來自本機系統的資料 (T1005)、來自網路共用磁碟機的資料 (T1039)、暫存的資料 (T1074)
命令與控制(TA0011)
常用連接埠 (T1043)、Web 服務 (T1102)
滲漏 (TA0010)
資料壓縮(T1002)、傳輸資料至雲端帳戶(T1537)
影響(TA0040)
資料加密以防止影響 (T1486),禁止系統復原 (T1490)
來源: www.habr.com