🚈 👲🏻 🎤 نكشف ProLock: تحليل إجراءات مشغلي برامج الفدية الجديدة باستخدام مصفوفة MITER ATT & CK 🤜🏻 🔴 📟

إن نجاح هجمات الفدية على المنظمات حول العالم يدفع المزيد والمزيد من المهاجمين الجدد إلى "دخول اللعبة". واحدة من هؤلاء اللاعبين الجدد هي مجموعة ProLock Ransomware. ظهر في مارس 2020 كخليفة لبرنامج PwndLocker ، الذي بدأ العمل في أواخر عام 2019. تستهدف هجمات ProLock Ransomware في المقام الأول المنظمات المالية والطبية والوكالات الحكومية وقطاع البيع بالتجزئة. في الآونة الأخيرة ، هاجم مشغلو ProLock بنجاح أحد أكبر مصنعي أجهزة الصراف الآلي ، Diebold Nixdorf.

في هذا المنشور ، أوليغ سكولكين ، أخصائي رئيسي ، مختبر مجموعة الطب الشرعي للكمبيوتر- IB، يتحدث عن التكتيكات والتقنيات والإجراءات الأساسية (TTPs) المستخدمة من قبل مشغلي ProLock. في نهاية المقال توجد مقارنة مع مصفوفة MITER ATT & CK ، وهي قاعدة بيانات عامة تحتوي على تكتيكات الهجمات المستهدفة التي تستخدمها مختلف الجماعات الإجرامية الإلكترونية.

الحصول على حق الوصول الأولي

يستخدم مشغلو ProLock متجهين رئيسيين للتسوية الأساسية: QakBot Trojan (Qbot) وخوادم RDP غير المحمية بكلمات مرور ضعيفة.

تحظى التسوية من خلال خادم RDP الذي يمكن الوصول إليه خارجيًا بشعبية كبيرة لدى مشغلي برامج الفدية. عادة ، يشتري المهاجمون الوصول إلى خادم مخترق من أطراف ثالثة ، ولكن يمكن أيضًا الحصول عليه من قبل أعضاء المجموعة بمفردهم.

من أكثر برامج التسوية الأساسية إثارة للاهتمام هو البرامج الضارة QakBot. في السابق ، كان هذا حصان طروادة مرتبطًا بعائلة أخرى من المشفرات - MegaCortex. ومع ذلك ، يتم استخدامه الآن من قبل مشغلي ProLock.

عادة ، يتم توزيع QakBot من خلال حملات التصيد. قد تحتوي رسالة التصيد الاحتيالي على مستند Microsoft Office مرفق أو رابط لمثل هذا الملف الموجود في التخزين السحابي - على سبيل المثال ، Microsoft OneDrive.

هناك أيضًا حالات لتحميل QakBot مع حصان طروادة آخر - Emotet ، المعروف على نطاق واسع بالمشاركة في الحملات التي وزعت برنامج Ryuk Ransomware.

أداء

بعد تنزيل وفتح المستند المصاب ، يُطلب من المستخدم السماح بتنفيذ وحدات الماكرو. في حالة النجاح ، يتم تشغيل PowerShell لتحميل وتشغيل حمولة QakBot من خادم الأوامر.

من المهم ملاحظة أن الشيء نفسه ينطبق على ProLock: يتم استخراج الحمولة من ملف BMP أو JPG وتحميلها في الذاكرة باستخدام PowerShell. في بعض الحالات ، يتم استخدام مهمة مجدولة لبدء PowerShell.

برنامج نصي دفعة يشغل ProLock من خلال برنامج جدولة المهام:

schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat

دبوس النظام

إذا كان من الممكن اختراق خادم RDP والحصول على حق الوصول ، فسيتم استخدام الحسابات الموجودة لتأمين الشبكة. يتميز QakBot بمجموعة متنوعة من آليات التثبيت. في أغلب الأحيان ، يستخدم حصان طروادة هذا مفتاح تشغيل التسجيل ويقوم بإنشاء المهام في المجدول:

تأمين Qakbot للنظام باستخدام مفتاح التسجيل Run

في بعض الحالات ، يتم استخدام مجلدات بدء التشغيل أيضًا: يتم وضع اختصار يشير إلى برنامج تحميل التشغيل.

تجاوز الحماية

من خلال الاتصال بخادم الأوامر ، يحاول QakBot دوريًا تحديث نفسه ، وبالتالي ، لتجنب الكشف ، يمكن للبرامج الضارة استبدال نسختها الحالية بإصدار جديد. يتم توقيع الملفات القابلة للتنفيذ بتوقيع مخترق أو مزيف. يتم تخزين الحمولة الأولية التي تم تحميلها بواسطة PowerShell على خادم أوامر بملحق PNG . بالإضافة إلى ذلك ، بعد التنفيذ ، يتم استبداله بملف calc.exe الشرعي .

أيضًا ، لإخفاء النشاط الضار ، يستخدم QakBot تقنية تضمين التعليمات البرمجية في العمليات باستخدام explorer.exe لهذا الغرض .

كما ذكرنا من قبل ، يتم إخفاء حمولة ProLock داخل ملف BMP أو JPG. كما يمكن اعتباره وسيلة للتحايل على الحماية.

استرجاع أوراق التفويض

QakBot لديه وظيفة كلوغر. بالإضافة إلى ذلك ، يمكنه تحميل وتشغيل برامج نصية إضافية ، على سبيل المثال ، Invoke-Mimikatz - إصدار PowerShell من الأداة المساعدة الشهيرة Mimikatz. يمكن لمجرمي الإنترنت استخدام مثل هذه النصوص البرمجية لتفريغ أوراق الاعتماد.

استخبارات الشبكة

بعد الوصول إلى الحسابات المتميزة ، يقوم مشغلو ProLock بإجراء استخبارات الشبكة ، والتي قد تتضمن على وجه الخصوص فحص المنافذ وتحليل بيئة Active Directory. بالإضافة إلى البرامج النصية المختلفة ، يستخدم المهاجمون AdFind ، وهي أداة أخرى شائعة بين المجموعات التي تستخدم برامج الفدية ، لجمع معلومات حول Active Directory.

ترويج الويب

تقليديا ، واحدة من أكثر الطرق شعبية لتصفح الإنترنت هو بروتوكول سطح المكتب البعيد. لم يكن ProLock استثناءً. حتى أن المهاجمين لديهم نصوص برمجية في ترسانتهم للوصول عن بعد عبر RDP إلى المضيفين المستهدفين.

BAT-script للوصول عبر RDP: من
أجل تنفيذ البرنامج النصي عن بعد ، يستخدم مشغلو ProLock أداة شائعة أخرى - الأداة المساعدة PsExec من حزمة Sysinternals Suite. يتم إطلاق ProLock on hosts باستخدام WMIC ، وهي واجهة سطر أوامر للعمل مع النظام الفرعي لـ Windows Management Instrumentation. تكتسب هذه الأداة أيضًا شعبية بين مشغلي برامج الفدية.

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

جمع البيانات

مثل العديد من مشغلي برامج الفدية الأخرى ، تقوم مجموعة تستخدم ProLock بجمع البيانات من شبكة مخترقة لزيادة فرصهم في الحصول على فدية. قبل الاستخراج ، يتم أرشفة البيانات التي تم جمعها باستخدام الأداة المساعدة 7Zip.

الترشيح

لتحميل البيانات ، يستخدم مشغلو ProLock Rclone ، وهي أداة سطر أوامر مصممة لمزامنة الملفات مع خدمات التخزين السحابية المختلفة ، مثل OneDrive و Google Drive و Mega وغيرها. ويعيد المهاجمون دائمًا تسمية ملف قابل للتنفيذ ليبدو مثل ملفات النظام الشرعية.

على عكس "زملائهم" ، لا يزال مشغلو ProLock لا يملكون موقع الويب الخاص بهم لنشر البيانات المسروقة المملوكة لشركات رفضت دفع الفدية.

تحقيق الهدف النهائي

بعد استخراج البيانات ، ينشر الفريق ProLock في جميع أنحاء شبكة المؤسسة. يتم استخراج الملف الثنائي من ملف بامتداد PNG أو JPG باستخدام PowerShell ومضمن في الذاكرة:

أولاً وقبل كل شيء ، ينهي ProLock العمليات المشار إليها في القائمة المدمجة (من المثير للاهتمام أنه يستخدم ستة أحرف فقط من اسم العملية ، على سبيل المثال ، "winwor") ، وينتهي الخدمات ، بما في ذلك تلك المتعلقة بالأمان ، مثل CSFalconService (CrowdStrike Falcon) ، باستخدام الأمر net stop .

ثم ، كما هو الحال في العديد من عائلات برامج الفدية الأخرى ، يستخدم المهاجمون vssadmin لإزالة نسخ الظل من Windows وتحديد حجمها ، لذلك لن يتم إنشاء نسخ جديدة:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ويضيف ProLock تمديد .proLock ، .pr0Lock، أو .proL0ck إلى كل ملف مشفر ويضع [HOW TO استعادة الملفات] ملف txt في كل مجلد. يحتوي هذا الملف على تعليمات حول كيفية فك تشفير الملفات ، بما في ذلك رابط إلى الموقع حيث يجب على الضحية إدخال معرف فريد وتلقي معلومات الدفع:

يحتوي كل مثيل لـ ProLock على معلومات حول مبلغ إعادة الشراء - في هذه الحالة ، يبلغ 35 بيتكوين ، أي حوالي 312000 دولار.

استنتاج

يستخدم العديد من مشغلي برامج الفدية طرقًا مماثلة لتحقيق أهدافهم. في نفس الوقت ، بعض التقنيات فريدة لكل مجموعة. هناك عدد متزايد من مجموعات المجرمين الإلكترونيين يستخدمون التشفير في حملاتهم. في بعض الحالات ، يمكن أن يشارك نفس المشغلين في الهجمات باستخدام عائلات مختلفة من برامج الفدية ، لذلك سنلاحظ بشكل متزايد التقاطعات في التكتيكات والتقنيات والإجراءات المستخدمة.

رسم الخرائط باستخدام MITER ATT & CK Mapping

Tactic	Technique
Initial Access (TA0001)	External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)	Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)	Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)	Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)	Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)	Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)	Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)	Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)	Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)	Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)	Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)

نكشف ProLock: تحليل إجراءات مشغلي برامج الفدية الجديدة باستخدام مصفوفة MITER ATT & CK