勒索软件对世界各地组织的攻击的成功促使越来越多的新攻击者“进入游戏”。这些新参与者之一是ProLock勒索软件组。它出现在2020年3月,是PwndLocker程序的继任者,该程序于2019年底开始运行。 ProLock勒索软件攻击主要针对金融和医疗组织,政府机构和零售部门。最近,ProLock运营商成功攻击了最大的ATM制造商之一Diebold Nixdorf。在本文中,IB计算机取证小组实验室首席专家Oleg Skulkin讨论ProLock操作员使用的基本策略,技术和过程(TTP)。本文最后是与矩阵MITER ATT&CK的比较,MITER ATT&CK是一个公共数据库,其中包含各种网络犯罪分子使用的针对性攻击策略。获得初始访问
ProLock操作员使用两个主要的主要威胁途径:QakBot木马(Qbot)和密码弱的不受保护的RDP服务器。在勒索软件运营商中,通过外部可访问的RDP服务器进行破坏非常普遍。通常,攻击者从第三方购买对受感染服务器的访问权限,但组成员也可以自行获得该访问权限。一个更有趣的主要危害向量是QakBot恶意软件。以前,此木马与另一个加密器家族-MegaCortex相关联。但是,ProLock操作员现在使用它。通常,QakBot通过网络钓鱼活动分发。网络钓鱼电子邮件可能包含附加的Microsoft Office文档或指向位于云存储中的此类文件的链接,例如Microsoft OneDrive。也有向QakBot加载另一种木马程序-Emotet的情况,该木马因参与分发Ryuk勒索软件的活动而广为人知。性能
下载并打开受感染文档后,系统将提示用户允许宏运行。如果成功,将启动PowerShell,以从命令服务器加载并运行QakBot有效负载。重要的是要注意,ProLock也是如此:有效内容是从BMP或JPG文件中提取的,并使用PowerShell加载到内存中。在某些情况下,计划任务用于启动PowerShell。通过任务计划程序启动ProLock的批处理脚本:
schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat
系统引脚
如果有可能损害RDP服务器并获得访问权限,则可以使用现有帐户来保护网络。QakBot具有多种固定机制。最常见的是,此木马使用运行注册表项并在调度程序中创建任务:使用“运行”注册表项将Qakbot保护到系统上
在某些情况下,还使用启动文件夹:在那里放置了一个指向引导加载程序的快捷方式。保护旁路
通过与命令服务器通信,QakBot会定期尝试进行自我更新,因此,为避免被检测到,该恶意软件可以用新版本替换其当前版本。可执行文件使用受损或伪造的签名进行签名。PowerShell加载的初始有效负载存储在带有PNG扩展名的命令服务器上。此外,执行后,它将被合法的calc.exe文件替换。此外,为了隐藏恶意活动,QakBot为此使用了使用explorer.exe的将代码嵌入进程的技术。如前所述,ProLock有效负载隐藏在BMP或JPG文件中。也可以将其视为规避保护的方法。检索凭证
QakBot具有键盘记录器的功能。此外,它可以加载和运行其他脚本,例如著名的实用程序Mimikatz的Invoke-Mimikatz-PowerShell版本。网络罪犯可以使用此类脚本来转储凭据。网络情报
在获得特权帐户的访问权限之后,ProLock操作员将进行网络情报,特别是可能包括端口扫描和Active Directory环境分析。除了各种脚本之外,攻击者还使用AdFind(一种在使用勒索软件的组织中流行的工具)收集有关Active Directory的信息。网络推广
传统上,最流行的上网方法之一是远程桌面协议。ProLock也不例外。攻击者甚至在其军械库中拥有脚本,以通过RDP远程访问目标主机。通过RDP访问的BAT脚本:
对于远程脚本执行,ProLock操作员使用另一种流行的工具-Sysinternals Suite软件包中的PsExec实用程序。
主机上的ProLock使用WMIC启动,WMIC是用于与Windows Management Instrumentation子系统一起使用的命令行界面。该工具在勒索软件运营商中也越来越受欢迎。reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f数据采集
像许多其他勒索软件运营商一样,使用ProLock的组织从受感染的网络中收集数据,以增加他们勒索的可能性。渗透之前,使用7Zip实用程序将收集的数据存档。渗出
为了上传数据,ProLock操作员使用Rclone(一种命令行工具),该工具旨在将文件与各种云存储服务(例如OneDrive,Google Drive,Mega等)进行同步。攻击者始终将可执行文件重命名为合法的系统文件。与他们的“同事”不同,ProLock运营商仍然没有自己的网站来发布拒绝支付赎金的公司所拥有的失窃数据。实现最终目标
提取数据后,团队将在整个企业网络中部署ProLock。使用PowerShell 从具有PNG或JPG扩展名的文件中提取二进制文件并嵌入到内存中:
首先,ProLock终止内置列表中指示的进程(有趣的是,它仅使用进程名中的六个字母,例如“ winwor”)并终止使用net stop命令的服务,包括与安全相关的服务,例如CSFalconService(CrowdStrike Falcon)。然后,与许多其他勒索软件系列一样,攻击者使用vssadmin删除Windows的卷影副本并限制其大小,因此将不会创建新副本:vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
ProLock将扩展名.proLock,.pr0Lock或.proL0ck添加到每个加密文件,并将[如何恢复文件] .TXT文件放置在每个文件夹中。此文件包含有关如何解密文件的说明,包括指向受害者必须在其中输入唯一标识符并接收付款信息的站点的链接:每个ProLock实例都包含有关回购金额的信息-在这种情况下,它是35个比特币,约合312,000美元。结论
许多勒索软件运营商使用类似的方法来实现其目标。同时,某些技术对于每个小组都是唯一的。越来越多的网络犯罪集团在其竞选活动中使用加密器。在某些情况下,相同的操作员可以使用不同的勒索软件系列参与攻击,因此我们将越来越多地观察所使用的策略,技术和程序的交叉点。