Get best of the week

Revelamos o ProLock: análise das ações dos novos operadores de ransomware usando a matriz MITRE ATT & CK



O sucesso dos ataques de ransomware a organizações em todo o mundo está levando cada vez mais novos invasores a "entrar no jogo". Um desses novos players é o grupo de ransomware ProLock. Ele apareceu em março de 2020 como sucessor do programa PwndLocker, que começou a operar no final de 2019. Os ataques de ransomware da ProLock são direcionados principalmente a organizações financeiras e médicas, agências governamentais e o setor de varejo. Recentemente, os operadores do ProLock atacaram com sucesso um dos maiores fabricantes de caixas eletrônicos, o Diebold Nixdorf.

Neste post, Oleg Skulkin, Especialista Líder, Laboratório de Computação Forense do Grupo-IB, fala sobre as táticas, técnicas e procedimentos básicos (TTPs) usados ​​pelos operadores do ProLock. No final do artigo - uma comparação com a matriz MITRE ATT & CK, um banco de dados público que contém táticas de ataques direcionados usados ​​por vários grupos de criminosos cibernéticos.

Obtendo acesso inicial


Os operadores do ProLock usam dois vetores principais de comprometimento primário: o QakBot Trojan (Qbot) e os servidores RDP desprotegidos com senhas fracas.

O compromisso por meio de um servidor RDP acessível externamente é extremamente popular entre os operadores de ransomware. Normalmente, os invasores compram o acesso a um servidor comprometido de terceiros, mas ele também pode ser obtido pelos membros do grupo por conta própria.

Um vetor de compromisso primário mais interessante é o malware QakBot. Anteriormente, esse cavalo de Troia era associado a outra família de criptografadores - MegaCortex. No entanto, agora é usado pelos operadores ProLock.

Normalmente, o QakBot é distribuído através de campanhas de phishing. Um email de phishing pode conter um documento anexado do Microsoft Office ou um link para esse arquivo localizado no armazenamento em nuvem - por exemplo, Microsoft OneDrive.

Há também casos de carregamento do QakBot com outro cavalo de Troia - o Emotet, amplamente conhecido por participar de campanhas que distribuíram o ransomware Ryuk.

atuação


Depois de baixar e abrir o documento infectado, o usuário é solicitado a permitir a execução de macros. Se for bem-sucedido, o PowerShell será iniciado para carregar e executar a carga útil do QakBot no servidor de comandos.

É importante observar que o mesmo se aplica ao ProLock: a carga útil é extraída de um arquivo BMP ou JPG e carregada na memória usando o PowerShell. Em alguns casos, uma tarefa agendada é usada para iniciar o PowerShell.

Script em lote que inicia o ProLock por meio do agendador de tarefas:

schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat

Pino do sistema


Se fosse possível comprometer o servidor RDP e obter acesso, as contas existentes são usadas para proteger a rede. O QakBot é caracterizado por uma variedade de mecanismos de fixação. Na maioria das vezes, esse cavalo de Troia usa a chave do Registro Executar e cria tarefas no planejador:


Protegendo o Qakbot no sistema usando a chave do Registro Executar


Em alguns casos, as pastas de inicialização também são usadas: um atalho é colocado lá, apontando para o carregador de inicialização.

Bypass de proteção


Através da comunicação com o servidor de comando, o QakBot tenta se atualizar periodicamente, portanto, para evitar a detecção, o malware pode substituir sua versão atual por uma nova. Os arquivos executáveis ​​são assinados com uma assinatura comprometida ou falsa. A carga útil inicial carregada pelo PowerShell é armazenada em um servidor de comando com a extensão PNG . Além disso, após a execução, ele é substituído pelo arquivo legítimo calc.exe .

Além disso, para ocultar atividades maliciosas, o QakBot usa a técnica de incorporação de código em processos usando o explorer.exe para isso .

Como já mencionado, a carga útil do ProLock está oculta dentro de um arquivo BMP ou JPG. Também pode ser considerado como um método de burlar a proteção.

Recuperar credenciais


O QakBot tem a funcionalidade de um keylogger. Além disso, ele pode carregar e executar scripts adicionais, por exemplo, Invoke-Mimikatz - PowerShell-versão do famoso utilitário Mimikatz. Esses scripts podem ser usados ​​por criminosos cibernéticos para despejar credenciais.

Inteligência de rede


Depois de obter acesso a contas privilegiadas, os operadores do ProLock realizam inteligência de rede, que pode incluir a varredura de portas e a análise do ambiente do Active Directory. Além de vários scripts, os invasores usam o AdFind, outra ferramenta popular entre os grupos que usam ransomware, para coletar informações sobre o Active Directory.

Promoção na Web


Tradicionalmente, uma das maneiras mais populares de navegar na rede é o Remote Desktop Protocol. ProLock não foi exceção. Os invasores ainda têm scripts em seu arsenal para obter acesso remoto via RDP para direcionar hosts.

Script BAT para acesso via RDP:
Para execução remota de script, os operadores ProLock usam outra ferramenta popular - o utilitário PsExec do pacote Sysinternals Suite. O ProLock nos hosts é iniciado usando o WMIC, que é uma interface de linha de comando para trabalhar com o subsistema Windows Management Instrumentation. Essa ferramenta também está ganhando popularidade entre os operadores de ransomware.
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f





Coleção de dados


Como muitos outros operadores de ransomware, um grupo que usa o ProLock coleta dados de uma rede comprometida para aumentar suas chances de resgate. Antes da exfiltração, os dados coletados são arquivados usando o utilitário 7Zip.

Exfiltração


Para fazer upload de dados, os operadores do ProLock usam o Rclone, uma ferramenta de linha de comando projetada para sincronizar arquivos com vários serviços de armazenamento em nuvem, como OneDrive, Google Drive, Mega e outros.Os invasores sempre renomeiam um arquivo executável para se parecer com arquivos legítimos do sistema.

Ao contrário de seus “colegas”, os operadores do ProLock ainda não têm seu próprio site para publicar dados roubados de propriedade de empresas que se recusaram a pagar o resgate.

Atingir o objetivo final


Depois de filtrar os dados, a equipe implementa o ProLock em toda a rede corporativa. O arquivo binário é extraído de um arquivo com a extensão PNG ou JPG usando o PowerShell e incorporado na memória:


Primeiro, o ProLock finaliza os processos indicados na lista interna (é interessante que ele use apenas seis letras do nome do processo, por exemplo, "winwor") e finalize serviços, incluindo aqueles relacionados à segurança, como CSFalconService (CrowdStrike Falcon), usando o comando net stop .

Então, como em muitas outras famílias de ransomware, os atacantes usam o vssadmin para remover cópias de sombra do Windows e limitar seu tamanho, para que novas cópias não sejam criadas:

vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded

O ProLock adiciona a extensão .proLock , .pr0Lock ou .proL0ck a cada arquivo criptografado e coloca o arquivo .TXT [COMO RECUPERAR ARQUIVOS] em cada pasta. Este arquivo contém instruções sobre como descriptografar os arquivos, incluindo um link para o site em que a vítima deve inserir um identificador exclusivo e receber informações de pagamento:


Cada instância do ProLock contém informações sobre o valor da recompra. Nesse caso, são 35 bitcoins, ou seja, cerca de 312.000 dólares.

Conclusão


Muitos operadores de ransomware usam métodos semelhantes para atingir seus objetivos. Ao mesmo tempo, algumas técnicas são exclusivas para cada grupo. Há um número crescente de grupos de cibercriminosos usando criptografadores em suas campanhas. Em alguns casos, os mesmos operadores podem participar de ataques usando diferentes famílias de ransomware; portanto, observaremos cada vez mais interseções nas táticas, técnicas e procedimentos usados.

Mapeamento com o MITRE ATT e CK Mapping
TacticTechnique
Initial Access (TA0001)External Remote Services (T1133), Spearphishing Attachment (T1193), Spearphishing Link (T1192)
Execution (TA0002)Powershell (T1086), Scripting (T1064), User Execution (T1204), Windows Management Instrumentation (T1047)
Persistence (TA0003)Registry Run Keys / Startup Folder (T1060), Scheduled Task (T1053), Valid Accounts (T1078)
Defense Evasion (TA0005)Code Signing (T1116), Deobfuscate/Decode Files or Information (T1140), Disabling Security Tools (T1089), File Deletion (T1107), Masquerading (T1036), Process Injection (T1055)
Credential Access (TA0006)Credential Dumping (T1003), Brute Force (T1110), Input Capture (T1056)
Discovery (TA0007)Account Discovery (T1087), Domain Trust Discovery (T1482), File and Directory Discovery (T1083), Network Service Scanning (T1046), Network Share Discovery (T1135), Remote System Discovery (T1018)
Lateral Movement (TA0008)Remote Desktop Protocol (T1076), Remote File Copy (T1105), Windows Admin Shares (T1077)
Collection (TA0009)Data from Local System (T1005), Data from Network Shared Drive (T1039), Data Staged (T1074)
Command and Control (TA0011)Commonly Used Port (T1043), Web Service (T1102)
Exfiltration (TA0010)Data Compressed (T1002), Transfer Data to Cloud Account (T1537)
Impact (TA0040)Data Encrypted for Impact (T1486), Inhibit System Recovery (T1490)

More articles:


All Articles