Keberhasilan serangan ransomware pada organisasi di seluruh dunia mendorong semakin banyak penyerang baru untuk "memasuki permainan." Salah satu pemain baru ini adalah grup ransomware ProLock. Itu muncul pada Maret 2020 sebagai penerus program PwndLocker, yang mulai beroperasi pada akhir 2019. Serangan ransomware ProLock terutama ditujukan pada organisasi keuangan dan medis, lembaga pemerintah dan sektor ritel. Baru-baru ini, operator ProLock berhasil menyerang salah satu produsen ATM terbesar, Diebold Nixdorf.Dalam posting ini, Oleg Skulkin, Spesialis Utama, Laboratorium Computer Forensics Group-IB, berbicara tentang taktik dasar, teknik, dan prosedur (TTP) yang digunakan oleh operator ProLock. Pada akhir artikel adalah perbandingan dengan matriks MITER ATT & CK, sebuah database publik yang berisi taktik serangan bertarget yang digunakan oleh berbagai kelompok kejahatan dunia maya.Mendapatkan akses awal
Operator ProLock menggunakan dua vektor utama kompromi utama: QakBot Trojan (Qbot) dan server RDP yang tidak dilindungi dengan kata sandi yang lemah.Kompromi melalui server RDP yang dapat diakses secara eksternal sangat populer di kalangan operator ransomware. Biasanya, penyerang membeli akses ke server yang dikompromikan dari pihak ketiga, tetapi juga dapat diperoleh oleh anggota grup sendiri.Vektor kompromi utama yang lebih menarik adalah malware QakBot. Sebelumnya, trojan ini dikaitkan dengan keluarga enkripsi lain - MegaCortex. Namun, sekarang digunakan oleh operator ProLock.Biasanya, QakBot didistribusikan melalui kampanye phishing. Email phishing mungkin berisi dokumen Microsoft Office yang terlampir atau tautan ke file seperti itu yang terletak di penyimpanan cloud - misalnya, Microsoft OneDrive.Ada juga kasus memuat QakBot dengan trojan lain - Emotet, yang dikenal luas karena berpartisipasi dalam kampanye yang mendistribusikan ransomware Ryuk.Performa
Setelah mengunduh dan membuka dokumen yang terinfeksi, pengguna diminta untuk mengizinkan makro berjalan. Jika berhasil, PowerShell diluncurkan untuk memuat dan menjalankan muatan QakBot dari server perintah.Penting untuk dicatat bahwa hal yang sama berlaku untuk ProLock: payload diekstraksi dari file BMP atau JPG dan dimuat ke memori menggunakan PowerShell. Dalam beberapa kasus, tugas yang dijadwalkan digunakan untuk memulai PowerShell.Skrip batch yang meluncurkan ProLock melalui penjadwal tugas:
schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat
Pin sistem
Jika memungkinkan untuk mengkompromikan server RDP dan mendapatkan akses, maka akun yang ada digunakan untuk mengamankan jaringan. QakBot dicirikan oleh berbagai mekanisme penjepit. Paling sering, trojan ini menggunakan kunci registri Jalankan dan membuat tugas dalam penjadwal:Mengamankan Qakbot ke sistem menggunakan kunci Jalankan registri
Dalam beberapa kasus, folder startup juga digunakan: jalan pintas ditempatkan di sana yang menunjuk ke bootloader.Bypass perlindungan
Melalui komunikasi dengan server perintah, QakBot secara berkala mencoba memperbarui sendiri, oleh karena itu, untuk menghindari deteksi, malware dapat mengganti versi saat ini dengan yang baru. File yang dapat dieksekusi ditandatangani dengan tanda tangan yang dikompromikan atau palsu. Payload awal yang dimuat oleh PowerShell disimpan pada server perintah dengan ekstensi PNG . Selain itu, setelah eksekusi, itu digantikan oleh file calc.exe yang sah .Juga, untuk menyembunyikan aktivitas jahat, QakBot menggunakan teknik penyisipan kode dalam proses menggunakan explorer.exe untuk ini .Seperti yang telah disebutkan, muatan ProLock disembunyikan di dalam file BMP atau JPG. Ini juga dapat dianggap sebagai metode pengelakan perlindungan.Ambil Kredensial
QakBot memiliki fungsi keylogger. Selain itu, ia dapat memuat dan menjalankan skrip tambahan, misalnya, Invoke-Mimikatz - versi PowerShell dari utilitas terkenal Mimikatz. Skrip semacam itu dapat digunakan oleh penjahat cyber untuk membuang kredensial.Kecerdasan jaringan
Setelah mendapatkan akses ke akun istimewa, operator ProLock melakukan intelijen jaringan, yang khususnya dapat mencakup pemindaian port dan analisis lingkungan Direktori Aktif. Selain berbagai skrip, penyerang menggunakan AdFind, alat lain yang populer di kalangan kelompok yang menggunakan ransomware, untuk mengumpulkan informasi tentang Active Directory.Promosi web
Secara tradisional, salah satu cara paling populer untuk menjelajahi internet adalah Remote Desktop Protocol. ProLock tidak terkecuali. Penyerang bahkan memiliki skrip di gudang senjata mereka untuk mendapatkan akses jarak jauh melalui RDP ke host target.Script BAT untuk akses melalui RDP:
Untuk eksekusi skrip jarak jauh, operator ProLock menggunakan alat lain yang populer - utilitas PsExec dari paket Sysinternals Suite. ProLock pada host diluncurkan menggunakan WMIC, yang merupakan antarmuka baris perintah untuk bekerja dengan subsistem Instrumentasi Manajemen Windows. Alat ini juga mulai populer di kalangan operator ransomware.reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /fPengumpulan data
Seperti banyak operator ransomware lainnya, grup yang menggunakan ProLock mengumpulkan data dari jaringan yang dikompromikan untuk meningkatkan peluang tebusan mereka. Sebelum eksfiltrasi, data yang dikumpulkan diarsipkan menggunakan utilitas 7Zip.Pengelupasan
Untuk mengunggah data, operator ProLock menggunakan Rclone, alat baris perintah yang dirancang untuk menyinkronkan file dengan berbagai layanan penyimpanan cloud, seperti OneDrive, Google Drive, Mega, dan lainnya. Penyerang selalu mengganti nama file yang dapat dieksekusi agar terlihat seperti file sistem yang sah.Tidak seperti "kolega" mereka, operator ProLock masih tidak memiliki situs web sendiri untuk menerbitkan data curian yang dimiliki oleh perusahaan yang menolak untuk membayar uang tebusan.Mencapai tujuan akhir
Setelah melakukan exfiltrating data, tim menyebarkan ProLock ke seluruh jaringan perusahaan. File biner diekstraksi dari file dengan ekstensi PNG atau JPG menggunakan PowerShell dan tertanam ke dalam memori:
Pertama-tama, ProLock mengakhiri proses yang ditunjukkan dalam daftar built-in (menarik bahwa hanya menggunakan enam huruf dari nama proses, misalnya, "winwor"), dan berakhir layanan, termasuk yang terkait dengan keamanan, seperti CSFalconService (CrowdStrike Falcon), menggunakan perintah stop net .Kemudian, seperti dalam kasus banyak keluarga ransomware lainnya, penyerang menggunakan vssadmin untuk menghapus salinan bayangan Windows dan membatasi ukurannya, sehingga salinan baru tidak akan dibuat:vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock menambahkan ekstensi .proLock , .pr0Lock, atau .proL0ck ke setiap file yang dienkripsi dan menempatkan file [CARA MEMULAI ULANG ] .TXT di setiap folder. File ini berisi instruksi tentang cara mendekripsi file, termasuk tautan ke situs tempat korban harus memasukkan pengidentifikasi unik dan menerima informasi pembayaran:Setiap instance ProLock berisi informasi tentang jumlah pembelian kembali - dalam hal ini, itu adalah 35 bitcoin, yaitu sekitar 312.000 dolar.Kesimpulan
Banyak operator ransomware menggunakan metode serupa untuk mencapai tujuan mereka. Pada saat yang sama, beberapa teknik unik untuk masing-masing kelompok. Ada peningkatan jumlah kelompok kejahatan dunia maya yang menggunakan enkripsi dalam kampanye mereka. Dalam beberapa kasus, operator yang sama dapat berpartisipasi dalam serangan dengan menggunakan ransomware yang berbeda, sehingga kami akan semakin mengamati persimpangan dalam taktik, teknik, dan prosedur yang digunakan.Pemetaan dengan MITER ATT & CK Mapping