🙋 ☎️ 🚅 हम प्रोलोक को प्रकट करते हैं: MITER ATT & CK मैट्रिक्स का उपयोग करके नए रैंसमवेयर ऑपरेटरों के कार्यों का विश्लेषण ⏏️ 👃🏻 🗜️

दुनिया भर के संगठनों पर रैंसमवेयर हमलों की सफलता अधिक से अधिक नए हमलावरों को "खेल में प्रवेश करने" के लिए प्रेरित कर रही है। इन नए खिलाड़ियों में से एक प्रोलॉक रैंसमवेयर समूह है। यह मार्च 2020 में PwndLocker कार्यक्रम के उत्तराधिकारी के रूप में दिखाई दिया, जो 2019 के अंत में शुरू हुआ। प्रोलॉक रैंसमवेयर हमले मुख्य रूप से वित्तीय और चिकित्सा संगठनों, सरकारी एजेंसियों और खुदरा क्षेत्र के उद्देश्य से हैं। हाल ही में, ProLock ऑपरेटरों ने सबसे बड़े एटीएम निर्माताओं में से एक, Diebold Nixdorf पर सफलतापूर्वक हमला किया।

इस पोस्ट में ओलेग स्कुलकिन, लीडिंग स्पेशलिस्ट, लेबोरेटरी ऑफ़ कंप्यूटर फ़ोरेंसिक्स ग्रुप-आईबी, ProLock ऑपरेटरों द्वारा उपयोग की जाने वाली बुनियादी रणनीति, तकनीक और प्रक्रियाओं (TTP) के बारे में बात करता है। लेख के अंत में मैट्रिक्स MITER ATT & CK के साथ तुलना की जाती है, एक सार्वजनिक डेटाबेस जिसमें विभिन्न साइबर समूहों द्वारा उपयोग किए गए लक्षित हमलों की रणनीति होती है।

प्रारंभिक पहुँच प्राप्त करना

प्रोकॉक ऑपरेटर प्राथमिक समझौता के दो मुख्य वैक्टर का उपयोग करते हैं: QakBot ट्रोजन (Qbot) और असुरक्षित पासवर्ड वाले RDP सर्वर।

बाह्य रूप से सुलभ RDP सर्वर के माध्यम से समझौता रैंसमवेयर ऑपरेटरों के साथ बेहद लोकप्रिय है। आमतौर पर, हमलावर तीसरे पक्ष से एक समझौता किए गए सर्वर तक पहुंच खरीदते हैं, लेकिन यह समूह के सदस्यों द्वारा अपने दम पर भी प्राप्त किया जा सकता है।

एक अधिक दिलचस्प प्राथमिक समझौता वेक्टर QakBot मैलवेयर है। पहले, इस ट्रोजन को एनक्रिप्टर्स के एक अन्य परिवार - मेगाकॉर्टेक्स के साथ जोड़ा गया था। हालाँकि, अब इसका उपयोग ProLock ऑपरेटरों द्वारा किया जाता है।

आमतौर पर, QakBot को फ़िशिंग अभियानों के माध्यम से वितरित किया जाता है। फ़िशिंग ईमेल में एक संलग्न Microsoft Office दस्तावेज़ या क्लाउड स्टोरेज में स्थित ऐसी फ़ाइल का लिंक हो सकता है - उदाहरण के लिए, Microsoft OneDrive।

एक अन्य ट्रोजन के साथ QakBot लोड करने के मामले भी हैं - Emotet, जो व्यापक रूप से उन अभियानों में भाग लेने के लिए जाना जाता है जिन्होंने रयूक रैंसमवेयर वितरित किए थे।

प्रदर्शन

संक्रमित दस्तावेज़ को डाउनलोड करने और खोलने के बाद, उपयोगकर्ता को मैक्रोज़ के निष्पादन की अनुमति देने के लिए प्रेरित किया जाता है। सफल होने पर, PowerShell को कमांड सर्वर से QakBot पेलोड को लोड करने और चलाने के लिए लॉन्च किया गया है।

यह ध्यान रखना महत्वपूर्ण है कि यही बात प्रोकॉक पर लागू होती है: पेलोड को बीएमपी या जेपीजी फ़ाइल से निकाला जाता है और पावरशेल का उपयोग करके मेमोरी में लोड किया जाता है। कुछ मामलों में, PowerShell शुरू करने के लिए एक निर्धारित कार्य का उपयोग किया जाता है।

बैच स्क्रिप्ट जो कार्य शेड्यूलर के माध्यम से ProLock लॉन्च करती है:

schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat

सिस्टम पिन

यदि आरडीपी सर्वर से समझौता करना और पहुंच प्राप्त करना संभव था, तो नेटवर्क को सुरक्षित करने के लिए मौजूदा खातों का उपयोग किया जाता है। QakBot को विभिन्न प्रकार के पिनिंग तंत्रों की विशेषता है। सबसे अधिक बार, यह ट्रोजन रन रजिस्ट्री कुंजी का उपयोग करता है और शेड्यूलर में कार्य बनाता है:

रन रजिस्ट्री कुंजी का उपयोग करके सिस्टम पर काकबॉट को सुरक्षित करना

कुछ मामलों में, स्टार्टअप फ़ोल्डर का भी उपयोग किया जाता है: वहां एक शॉर्टकट रखा गया है जो बूटलोडर को इंगित करता है।

संरक्षण बायपास

कमांड सर्वर के साथ संचार के माध्यम से, QakBot समय-समय पर खुद को अपडेट करने की कोशिश करता है, इसलिए, पता लगाने से बचने के लिए, मैलवेयर अपने वर्तमान संस्करण को एक नए के साथ बदल सकता है। निष्पादन योग्य फ़ाइलों को एक समझौता या नकली हस्ताक्षर के साथ हस्ताक्षरित किया जाता है। PowerShell द्वारा लोड किए गए प्रारंभिक पेलोड को PNG एक्सटेंशन के साथ कमांड सर्वर पर संग्रहीत किया जाता है । इसके अलावा, निष्पादन के बाद, इसे वैध calc.exe फ़ाइल द्वारा बदल दिया जाता है ।

इसके अलावा, दुर्भावनापूर्ण गतिविधि को छिपाने के लिए, QakBot इसके लिए explorer.exe का उपयोग करके प्रक्रियाओं में कोड एम्बेड करने की तकनीक का उपयोग करता है ।

जैसा कि पहले ही उल्लेख किया गया है, प्रोलॉक पेलोड एक बीएमपी या जेपीजी फ़ाइल के अंदर छिपा हुआ है। इसे संरक्षण के परिधि की एक विधि के रूप में भी माना जा सकता है।

क्रेडेंशियल प्राप्त करें

QakBot में एक keylogger की कार्यक्षमता है। इसके अलावा, यह अतिरिक्त स्क्रिप्ट्स को लोड और चला सकता है, उदाहरण के लिए, इनवोक-मिमिकज़ैट - प्रसिद्ध उपयोगिता मिमिकज़ैट का पावरशेल-संस्करण। इस तरह की स्क्रिप्ट का उपयोग साइबर क्रिमिनल द्वारा क्रेडेंशियल्स को डंप करने के लिए किया जा सकता है।

नेटवर्क खुफिया

विशेषाधिकार प्राप्त खातों तक पहुंच प्राप्त करने के बाद, ProLock ऑपरेटर नेटवर्क इंटेलिजेंस का संचालन करते हैं, जिसमें विशेष रूप से सक्रिय निर्देशिका वातावरण के पोर्ट स्कैनिंग और विश्लेषण शामिल हो सकते हैं। सक्रिय स्क्रिप्ट के बारे में जानकारी एकत्र करने के लिए, विभिन्न स्क्रिप्ट के अलावा, हमलावर AdFind का उपयोग करते हैं, जो कि रैंसमवेयर का उपयोग करने वाले समूहों के बीच एक और उपकरण लोकप्रिय है।

वेब प्रचार

परंपरागत रूप से, नेट सर्फ करने के सबसे लोकप्रिय तरीकों में से एक रिमोट डेस्कटॉप प्रोटोकॉल है। ProLock कोई अपवाद नहीं था। हमलावरों के पास मेजबान को लक्षित करने के लिए आरडीपी के माध्यम से दूरस्थ पहुंच प्राप्त करने के लिए अपने शस्त्रागार में स्क्रिप्ट भी हैं।

RDP के माध्यम से पहुँच के लिए बैट-स्क्रिप्ट:
दूरस्थ स्क्रिप्ट निष्पादन के लिए, ProLock ऑपरेटर्स एक और लोकप्रिय टूल का उपयोग करते हैं - Sysinternals सूट पैकेज से PsExec उपयोगिता। प्रोलॉक ऑन होस्ट्स को WMIC का उपयोग करके लॉन्च किया गया है, जो विंडोज मैनेजमेंट इंस्ट्रूमेंटेशन सबसिस्टम के साथ काम करने के लिए एक कमांड-लाइन इंटरफ़ेस है। यह उपकरण रैंसमवेयर ऑपरेटरों के बीच भी लोकप्रियता हासिल कर रहा है।

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f

आंकड़ा संग्रहण

कई अन्य रैनसमवेयर ऑपरेटरों की तरह, प्रोलॉक का उपयोग करने वाला एक समूह फिरौती की संभावना बढ़ाने के लिए एक समझौता किए गए नेटवर्क से डेटा एकत्र करता है। एक्सफ़िलिएशन से पहले, एकत्रित डेटा 7Zip उपयोगिता का उपयोग करके संग्रहीत किया जाता है।

exfiltration

डेटा अपलोड करने के लिए, ProLock ऑपरेटर विभिन्न क्लाउड स्टोरेज सेवाओं, जैसे OneDrive, Google Drive, Mega और अन्य के साथ फ़ाइलों को सिंक्रनाइज़ करने के लिए डिज़ाइन की गई कमांड-लाइन टूल Rclone का उपयोग करते हैं। हमलावर हमेशा वैध सिस्टम फ़ाइलों की तरह दिखने के लिए एक निष्पादन योग्य फ़ाइल का नाम बदलते हैं।

अपने "सहयोगियों" के विपरीत, प्रोलॉक ऑपरेटरों के पास अभी भी उन कंपनियों के स्वामित्व वाली चोरी के डेटा को प्रकाशित करने के लिए अपनी वेबसाइट नहीं है जिन्होंने फिरौती का भुगतान करने से इनकार कर दिया।

परम लक्ष्य को प्राप्त करना

डेटा को एक्सफ़िलिएट करने के बाद, टीम पूरे नेटवर्क नेटवर्क में ProLock को दिखाती है। बाइनरी फ़ाइल के साथ एक फ़ाइल से निकाला जाता है पीएनजी या जेपीजी विस्तार PowerShell का उपयोग कर और स्मृति में एम्बेडेड:

सबसे पहले, ProLock समाप्त हो जाता है प्रक्रियाओं में संकेत में निर्मित सूची (यह दिलचस्प है यह प्रक्रिया नाम से केवल छह पत्र का उपयोग करता है, उदाहरण के लिए, "winwor"), और समाप्त नेट स्टॉप कमांड का उपयोग करके सुरक्षा से संबंधित सेवाएं, जैसे CSFalconService (CrowdStrike Falcon) ।

फिर, जैसा कि कई अन्य रैंसमवेयर परिवारों के मामले में, हमलावर विंडोज की छाया प्रतियों को हटाने और उनके आकार को सीमित करने के लिए vssadmin का उपयोग करते हैं, इसलिए नई प्रतियां नहीं बनाई जाएंगी:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

ProLock प्रत्येक एन्क्रिप्ट की गई फ़ाइल में .proLock , .pr0Lock या .proL0ck एक्सटेंशन जोड़ता है और प्रत्येक फ़ोल्डर में [HOW TO RECOVER FILES] .TTT फ़ाइल को रखता है । इस फ़ाइल में निर्देश दिए गए हैं कि फाइलों को कैसे डिक्रिप्ट किया जाए, जिसमें उस साइट का लिंक भी शामिल है जहाँ पीड़ित को एक विशिष्ट पहचानकर्ता को दर्ज करना होगा और भुगतान प्राप्त करना होगा:

प्रोलॉक के प्रत्येक उदाहरण में बायबैक की राशि के बारे में जानकारी है - इस मामले में, यह 35 बिटकॉइन है, जो लगभग 3,000,000 डॉलर है।

निष्कर्ष

कई रैंसमवेयर ऑपरेटर अपने लक्ष्यों को प्राप्त करने के लिए इसी तरह के तरीकों का उपयोग करते हैं। इसी समय, कुछ तकनीक प्रत्येक समूह के लिए अद्वितीय हैं। उनके अभियानों में एन्क्रिप्टर्स का उपयोग करने वाले साइबर क्रिमिनल समूहों की संख्या बढ़ रही है। कुछ मामलों में, एक ही ऑपरेटर रैंसमवेयर के विभिन्न परिवारों का उपयोग करके हमलों में भाग ले सकता है, इसलिए हम रणनीति, तकनीकों और प्रक्रियाओं में चौराहों का तेजी से निरीक्षण करेंगे।

MITER ATT & CK मैपिंग के साथ मैपिंग

Tactic	Technique
Initial Access (TA0001)	External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)	Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)	Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)	Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)	Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)	Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)	Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)	Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)	Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)	Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)	Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)

हम प्रोलोक को प्रकट करते हैं: MITER ATT & CK मैट्रिक्स का उपयोग करके नए रैंसमवेयर ऑपरेटरों के कार्यों का विश्लेषण