勒索軟體攻擊在世界各地組織中的成功正促使越來越多的新攻擊者「加入遊戲」。其中一個新玩家是使用 ProLock 勒索軟體的團體。它於 2020 年 2019 月出現,作為 XNUMX 年底開始運行的 PwndLocker 程式的繼任者。 ProLock 勒索軟體攻擊主要針對金融和醫療保健組織、政府機構和零售業。最近,ProLock 營運商成功攻擊了最大的 ATM 製造商之一 Diebold Nixdorf。
在這篇文章中 Oleg Skulkin,IB 集團電腦鑑識實驗室首席專家,涵蓋了 ProLock 操作員使用的關鍵策略、技術和程序 (TTP)。文章最後與 MITRE ATT&CK 矩陣進行了比較,MITRE ATT&CK 矩陣是一個公共資料庫,收集了各網路犯罪集團使用的針對性攻擊策略。
取得初始存取權限
ProLock 操作員使用兩個主要的初始攻擊載體:QakBot(Qbot)木馬和具有弱密碼的不受保護的 RDP 伺服器。
勒索軟體業者非常熱衷於攻占可從外部存取的遠端桌面協定 (RDP) 伺服器。通常情況下,對被攻佔伺服器的存取權限會受到限制。 伺服器 攻擊者可以從第三方購買,但團夥成員也可以自己獲得。
一個更有趣的主要攻擊媒介是 QakBot 惡意軟體。此前,該木馬與另一個加密器家族—MegaCortex 有關聯。但是,它現在已被 ProLock 操作員使用。
QakBot 通常透過網路釣魚活動進行傳播。網路釣魚電子郵件可能包含附加的 Microsoft Office 文件或位於雲端儲存服務(例如 Microsoft OneDrive)中的此類文件的連結。
已知 QakBot 也被加載了另一個木馬 Emotet 的案例,該木馬因參與傳播 Ryuk 勒索軟體的活動而廣為人知。
執行
下載並開啟受感染的文件後,系統會提示使用者允許巨集運作。如果成功,PowerShell 將啟動,這將允許您從命令伺服器下載並執行 QakBot 負載。
值得注意的是,ProLock 也是如此:有效載荷是從文件中提取的 骨形態發生蛋白 或 JPG格式 並使用 PowerShell 載入到記憶體中。在某些情況下,使用排程任務來啟動 PowerShell。
透過任務計劃程序運行ProLock的批次腳本:
schtasks.exe /CREATE /XML C:ProgramdataWinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:ProgramdataWinMgr.xml
del C:Programdatarun.bat系統整合
如果有可能破壞 RDP 伺服器並獲得存取權限,則目前帳戶將用於在網路中立足。 QakBot 具有多種附著機制。此木馬最常使用 Run 註冊表部分並在排程器中建立任務:
使用 Run 登錄項目將 Qakbot 修復到系統中
在某些情況下,也會使用啟動資料夾:指向引導程式的捷徑放在那裡。
旁路保護
QakBot 透過與指令與控制伺服器通信,定期嘗試更新自身。為了避免被偵測到,該惡意軟體可以將目前版本替換為新版本。可執行文件使用被竄改或偽造的簽章進行簽章。初始有效載荷由 PowerShell 下載,並儲存在命令伺服器上。 服務器 帶擴展 巴布亞新幾內亞。此外,執行後它會被替換為合法文件。 CALC.EXE.
此外,為了隱藏其惡意活動,QakBot 使用程式碼注入技術將程式碼注入到進程中, explorer.exe的.
如上所述,ProLock 有效載荷隱藏在檔案內部 骨形態發生蛋白 或 JPG格式。這也可以看作是一種繞過保護的方法。
取得憑證
QakBot 具有鍵盤記錄功能。此外,它還可以下載並執行其他腳本,例如 Invoke-Mimikatz,這是著名的 Mimikatz 實用程式的 PowerShell 版本。攻擊者可以利用此類腳本來轉儲憑證。
網路智能
一旦獲得特權帳戶的存取權限,ProLock 操作員就會執行網路偵察,其中可能包括連接埠掃描和 Active Directory 環境分析。除了各種腳本之外,攻擊者還使用勒索軟體團體中流行的另一種工具 AdFind 來收集有關 Active Directory 的資訊。
網路推廣
傳統上,在網路中移動的最流行的方式之一是遠端桌面協定。 ProLock 也不例外。攻擊者甚至在其武器庫中擁有腳本,以便透過 RDP 協定獲得對目標主機的遠端存取。
透過RDP協定取得存取權限的BAT腳本:
reg add "HKLMSystemCurrentControlSetControlTerminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLMSystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
為了遠端執行腳本,ProLock 操作員使用另一種流行的工具:Sysinternals Suite 中的 PsExec 實用程式。
ProLock 在主機上使用 WMIC 啟動,WMIC 是用於操作子系統的命令列介面。 Windows 管理工具。這種工具在勒索軟體業者中也越來越受歡迎。
資料收集
與許多其他勒索軟體營運商一樣,使用 ProLock 的組織從受感染的網路收集數據,以提高收取贖金的機會。在洩漏之前,使用 7Zip 實用程式將收集的資料存檔。
洩漏
為了下載數據,ProLock 操作員使用 Rclone,這是一個命令列工具,旨在與各種雲端儲存服務(如 OneDrive、Google Drive、Mega 等)同步檔案。攻擊者總是重命名可執行文件,使其看起來像合法的系統文件。
與「業內同業」不同,ProLock 業者仍然沒有自己的網站來發布拒絕支付贖金的公司被盜資料。
實現最終目標
一旦資料洩露,該團隊就會在整個企業網路中部署 ProLock。二進位檔案是從副檔名為 巴布亞新幾內亞 或 JPG格式 使用 PowerShell 並注入記憶體:
首先,ProLock 終止內建清單中指定的進程(有趣的是,它只使用進程名稱的六個字母,例如「winwor」),並終止服務,包括與安全相關的服務,例如 CSFalconService(CrowdStrike Falcon),使用以下命令 淨停止.
然後,與許多其他勒索軟體家族一樣,攻擊者使用 VSSADMIN 刪除影集副本 Windows 並限制其大小,以防止建立新副本:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unboundedProLock 新增擴充 .proLock, .pr0Lock 或 .proL0ck 到每個加密文件並將文件 [如何恢復檔案].TXT 在每個資料夾中。該文件包含有關如何解密文件的說明,其中包括指向網站的鏈接,受害者必須在該網站上輸入唯一識別碼並接收付款資訊:
每個 ProLock 都包含有關贖金金額的資訊 - 在本例中為 35 比特幣,約 312 美元。
結論
許多勒索軟體業者使用類似的方法來實現他們的目標。同時,有些技術也是每個團體所獨有的。目前,使用勒索軟體進行犯罪活動的網路犯罪集團越來越多。在某些情況下,相同的操作員可能會使用不同的勒索軟體系列進行攻擊,因此我們將越來越多地看到所使用的策略、技術和程式的重疊。
與 MITRE ATT&CK Mapping 的比較
戰術
技術
初始訪問(TA0001)
外部遠端服務 (T1133)、魚叉式網路釣魚配件 (T1193)、魚叉式網路釣魚連結 (T1192)
執行(TA0002)
PowerShell(T1086)、腳本編寫(T1064)、使用者執行(T1204) Windows 管理儀器(T1047)
持久性(TA0003)
註冊表運行項目/啟動資料夾(T1060)、排程任務(T1053)、有效帳戶(T1078)
防禦逃避(TA0005)
程式碼簽章(T1116)、檔案或資訊反混淆/解碼(T1140)、停用安全工具(T1089)、檔案刪除(T1107)、偽裝(T1036)、行程注入(T1055)
憑證存取(TA0006)
憑證轉儲(T1003)、暴力破解(T1110)、輸入捕獲(T1056)
發現(TA0007)
帳戶發現 (T1087)、網域信任發現 (T1482)、檔案與目錄發現 (T1083)、網路服務掃描 (T1046)、網路共用發現 (T1135)、遠端系統發現 (T1018)
橫向移動(TA0008)
遠端桌面協定(T1076)、遠端檔案複製(T1105) Windows 管理員共享(T1077)
收藏品(TA0009)
來自本機系統的資料 (T1005)、來自網路共用磁碟機的資料 (T1039)、暫存資料 (T1074)
指揮與控制(TA0011)
常用連接埠 (T1043)、Web 服務 (T1102)
滲出(TA0010)
資料壓縮(T1002)、傳輸資料至雲端帳戶(T1537)
衝擊(TA0040)
資料加密以防影響 (T1486),禁止系統復原 (T1490)
來源: www.habr.com
