Der Erfolg von Ransomware-Angriffen auf Organisationen auf der ganzen Welt veranlasst immer mehr neue Angreifer, "ins Spiel zu kommen". Einer dieser neuen Player ist die ProLock Ransomware-Gruppe. Es erschien im März 2020 als Nachfolger des PwndLocker-Programms, das Ende 2019 seinen Betrieb aufnahm. ProLock Ransomware-Angriffe richten sich in erster Linie an Finanz- und medizinische Organisationen, Regierungsbehörden und den Einzelhandel. Vor kurzem haben ProLock-Betreiber einen der größten Geldautomatenhersteller, Diebold Nixdorf, erfolgreich angegriffen.In diesem Beitrag, Oleg Skulkin, Leitender Spezialist, Labor für Computerforensik Gruppe-IBspricht über die grundlegenden Taktiken, Techniken und Verfahren (TTPs), die von ProLock-Betreibern verwendet werden. Am Ende des Artikels finden Sie einen Vergleich mit der Matrix MITRE ATT & CK, einer öffentlichen Datenbank, die Taktiken für gezielte Angriffe verschiedener Cyberkriminellergruppen enthält.Erstzugriff erhalten
ProLock-Betreiber verwenden zwei Hauptvektoren des primären Kompromisses: den QakBot-Trojaner (Qbot) und ungeschützte RDP-Server mit schwachen Kennwörtern.Kompromisse über einen extern zugänglichen RDP-Server sind bei Ransomware-Betreibern äußerst beliebt. In der Regel kaufen Angreifer den Zugriff auf einen gefährdeten Server von Drittanbietern, er kann jedoch auch von Mitgliedern der Gruppe selbst abgerufen werden.Ein interessanterer primärer Kompromissvektor ist QakBot-Malware. Zuvor war dieser Trojaner einer anderen Verschlüsselungsfamilie zugeordnet - MegaCortex. Es wird jetzt jedoch von ProLock-Operatoren verwendet.In der Regel wird QakBot über Phishing-Kampagnen verbreitet. Eine Phishing-E-Mail kann ein angehängtes Microsoft Office-Dokument oder einen Link zu einer solchen Datei im Cloud-Speicher enthalten, z. B. Microsoft OneDrive.Es gibt auch Fälle, in denen QakBot mit einem anderen Trojaner geladen wird - Emotet, der weithin dafür bekannt ist, an Kampagnen teilzunehmen, mit denen die Ryuk-Ransomware verbreitet wurde.Performance
Nach dem Herunterladen und Öffnen des infizierten Dokuments wird der Benutzer aufgefordert, die Ausführung von Makros zuzulassen. Bei Erfolg wird PowerShell gestartet, um die QakBot-Nutzdaten vom Befehlsserver zu laden und auszuführen.Es ist wichtig zu beachten, dass dies auch für ProLock gilt: Die Nutzdaten werden aus einer BMP- oder JPG- Datei extrahiert und mit PowerShell in den Speicher geladen. In einigen Fällen wird eine geplante Aufgabe zum Starten von PowerShell verwendet.Stapelskript, das ProLock über den Taskplaner startet:
schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat
Systemstift
Wenn es möglich war, den RDP-Server zu gefährden und Zugriff zu erhalten, werden vorhandene Konten zum Sichern des Netzwerks verwendet. QakBot zeichnet sich durch eine Vielzahl von Pinning-Mechanismen aus. Meistens verwendet dieser Trojaner den Registrierungsschlüssel Ausführen und erstellt Aufgaben im Scheduler:Sichern von Qakbot auf dem System mit dem Registrierungsschlüssel Ausführen
In einigen Fällen werden auch Startordner verwendet: Dort wird eine Verknüpfung platziert, die auf den Bootloader verweist.Schutzumgehung
Durch die Kommunikation mit dem Befehlsserver versucht QakBot regelmäßig, sich selbst zu aktualisieren. Um eine Erkennung zu vermeiden, kann die Malware ihre aktuelle Version durch eine neue ersetzen. Ausführbare Dateien werden mit einer kompromittierten oder gefälschten Signatur signiert. Die von PowerShell geladene anfängliche Nutzlast wird auf einem Befehlsserver mit der PNG- Erweiterung gespeichert . Darüber hinaus wird es nach der Ausführung durch die legitime Datei calc.exe ersetzt .Um böswillige Aktivitäten zu verbergen, verwendet QakBot außerdem die Technik, Code mithilfe von explorer.exe in Prozesse einzubetten .Wie bereits erwähnt, ist die ProLock-Nutzlast in einer BMP- oder JPG- Datei versteckt. Es kann auch als eine Methode zur Umgehung des Schutzes angesehen werden.Anmeldeinformationen abrufen
QakBot verfügt über die Funktionalität eines Keyloggers. Darüber hinaus können zusätzliche Skripte geladen und ausgeführt werden, z. B. Invoke-Mimikatz - PowerShell-Version des bekannten Dienstprogramms Mimikatz. Solche Skripte können von Cyberkriminellen verwendet werden, um Anmeldeinformationen zu sichern.Netzwerkintelligenz
Nach dem Zugriff auf privilegierte Konten führen die ProLock-Betreiber Netzwerkinformationen durch, die insbesondere das Scannen von Ports und die Analyse der Active Directory-Umgebung umfassen können. Neben verschiedenen Skripten verwenden Angreifer AdFind, ein weiteres Tool, das bei Gruppen mit Ransomware beliebt ist, um Informationen zu Active Directory zu sammeln.Web-Promotion
Traditionell ist das Remotedesktopprotokoll eine der beliebtesten Möglichkeiten, im Internet zu surfen. ProLock war keine Ausnahme. Angreifer haben sogar Skripte in ihrem Arsenal, um über RDP Remotezugriff auf Zielhosts zu erhalten.BAT-Skript für den Zugriff über RDP:
Für die Remote-Skriptausführung verwenden ProLock-Operatoren ein weiteres beliebtes Tool - das PsExec-Dienstprogramm aus dem Sysinternals Suite-Paket. ProLock auf Hosts wird mit WMIC gestartet, einer Befehlszeilenschnittstelle für die Arbeit mit dem Windows Management Instrumentation-Subsystem. Dieses Tool wird auch bei Ransomware-Betreibern immer beliebter.reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /fDatensammlung
Wie viele andere Ransomware-Betreiber sammelt eine Gruppe, die ProLock verwendet, Daten aus einem gefährdeten Netzwerk, um die Wahrscheinlichkeit eines Lösegelds zu erhöhen. Vor der Exfiltration werden die gesammelten Daten mit dem Dienstprogramm 7Zip archiviert.Exfiltration
Zum Hochladen von Daten verwenden ProLock-Bediener Rclone, ein Befehlszeilentool zum Synchronisieren von Dateien mit verschiedenen Cloud-Speicherdiensten wie OneDrive, Google Drive, Mega usw. Angreifer benennen die ausführbare Datei immer so um, dass sie wie legitime Systemdateien aussieht.Im Gegensatz zu ihren „Kollegen“ haben die ProLock-Betreiber immer noch keine eigene Website für die Veröffentlichung gestohlener Daten von Unternehmen, die sich geweigert haben, das Lösegeld zu zahlen.Das ultimative Ziel erreichen
Nach dem Exfiltrieren der Daten stellt das Team ProLock im gesamten Unternehmensnetzwerk bereit. Die Binärdatei wird mit PowerShell aus einer Datei mit der Erweiterung PNG oder JPG extrahiert und in den Speicher eingebettet:
Zunächst beendet ProLock die in der integrierten Liste angegebenen Prozesse (es ist interessant, dass nur sechs Buchstaben aus dem Prozessnamen verwendet werden, z. B. "winwor") und wird beendet Dienste, einschließlich sicherheitsrelevanter Dienste wie CSFalconService (CrowdStrike Falcon), die den Befehl net stop verwenden .Wie bei vielen anderen Ransomware-Familien verwenden Angreifer vssadmin , um Schattenkopien von Windows zu entfernen und ihre Größe zu begrenzen, sodass keine neuen Kopien erstellt werden:vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock fügt jeder verschlüsselten Datei die Erweiterung .proLock , .pr0Lock oder .proL0ck hinzu und legt die .TXT-Datei [WIE MAN DATEIEN WIEDERHERSTELLT] in jedem Ordner ab. Diese Datei enthält Anweisungen zum Entschlüsseln der Dateien, einschließlich eines Links zu der Site, auf der das Opfer eine eindeutige Kennung eingeben und Zahlungsinformationen erhalten muss:Jede Instanz von ProLock enthält Informationen über die Höhe des Rückkaufs - in diesem Fall sind es 35 Bitcoins, was ungefähr 312.000 US-Dollar entspricht.Fazit
Viele Ransomware-Betreiber verwenden ähnliche Methoden, um ihre Ziele zu erreichen. Gleichzeitig sind einige Techniken für jede Gruppe einzigartig. Es gibt eine zunehmende Anzahl von Cyberkriminellen, die in ihren Kampagnen Verschlüsseler verwenden. In einigen Fällen können dieselben Bediener mit verschiedenen Ransomware-Familien an Angriffen teilnehmen, sodass wir zunehmend Überschneidungen bei den verwendeten Taktiken, Techniken und Verfahren beobachten.Mapping mit MITRE ATT & CK Mapping