РУССКИЙ
РУССКИЙ
ENGLISH
15.05.2020

Вскрываем ProLock

Анализ действий операторов нового вымогателя по матрице MITRE ATT&CK
Олег Скулкин
Ведущий специалист Лаборатории компьютерной криминалистики Group-IB
Успех атак вирусов-шифровальщиков на организации по всему миру побуждает все больше новых злоумышленников «вступить в игру». Одним из таких новых игроков является группа, использующая шифровальщик ProLock. Он появился в марте 2020 года как преемник программы PwndLocker, которая начала работать с конца 2019 года. Атаки шифровальщика ProLock, прежде всего, нацелены на финансовые и медицинские организации, государственные учреждения и сектор розничной торговли. Недавно операторы ProLock успешно атаковали одного из крупнейших производителей банкоматов – компанию Diebold Nixdorf.

В этом посте мы расскажем об основных тактиках, техниках и процедурах (TTPs), используемых операторами ProLock, а в конце статьи сопоставим их с матрицей MITRE ATT&CK – публичной базой данных, в которой собраны тактики целевых атак, применяемые различными киберпреступными группами.
Получение первоначального доступа
Операторы ProLock используют два основных вектора первичной компрометации: троян QakBot (Qbot) и незащищенные RDP-серверы со слабыми паролями.

Компрометация через доступный извне RDP-сервер чрезвычайно популярна у операторов вымогателей. Обычно доступ к скомпрометированному серверу злоумышленники покупают у третьих лиц, однако он также может быть получен членами группы самостоятельно.

Более интересным вектором первичной компрометации является использование вредоносного ПО QakBot. Раньше данный троян связывали с другим семейством шифровальщиков – MegaCortex. Однако теперь им пользуются операторы ProLock.

Как правило, QakBot распространяется через фишинговые кампании. Фишинговое письмо может содержать прикрепленный документ Microsoft Office или ссылку на такой файл, находящийся в облачном хранилище, например, Microsoft OneDrive.

Также известны случаи загрузки QakBot другим трояном - Emotet, который широко известен своим участием в кампаниях, распространявших программу-вымогатель Ryuk.
Выполнение
После загрузки и открытия зараженного документа пользователю предлагается разрешить выполнение макросов, в случае успеха осуществляется запуск PowerShell, который позволит загрузить и запустить полезную нагрузку QakBot с командного сервера.

Важно отметить, что тоже самое относится и к ProLock: полезная нагрузка извлекается из файла BMP или JPG и загружается в память с помощью PowerShell. В некоторых случаях для запуска PowerShell используется запланированная задача:
schtasks.exe /CREATE /XML C:\Programdata\WinMgr.xml /tn WinMgr
schtasks.exe /RUN /tn WinMgr
del C:\Programdata\WinMgr.xml
del C:\Programdata\run.bat
Batch-скрипт, запускающий ProLock через планировщик задач
Закрепление в системе
В случае получения доступа путем компрометации RDP-сервера для закрепления в сети используются действующие учетные записи. Для QakBot характерны разнообразные механизмы закрепления. Чаще всего данный троян использует раздел реестра Run и создает задачи в планировщике:
Закрепление Qakbot в системе с помощью раздела реестра Run
В некоторых случаях также используются папки автозагрузки: туда помещается ярлык, который указывает на загрузчик.
Обход защиты
Путем коммуникации с командным сервером QakBot периодически пытается обновить себя, поэтому, чтобы избежать обнаружения, вредонос может заменить собственную текущую версию новой. Исполняемые файлы подписываются скомпрометированной или поддельной подписью. Начальная полезная нагрузка, загружаемая PowerShell, хранится на командном сервере с расширением PNG. Кроме того, после выполнения она заменяется на легитимный файл calc.exe.

Также, чтобы скрыть вредоносную активность, QakBot использует технику внедрения кода в процессы, используя для этого explorer.exe.

Как уже упоминалось, полезная нагрузка ProLock скрыта внутри файла BMP или JPG. Это также можно рассматривать как метод обхода защиты.
Получение учетных данных
QakBot обладает функционалом кейлогера. Помимо этого, он может загружать и запускать дополнительные скрипты, например, Invoke-Mimikatz – PowerShell-версию знаменитой утилиты Mimikatz. Такие скрипты могут использоваться злоумышленниками для дампинга учетных данных.
Сетевая разведка
После получения доступа к привилегированным учетным записям операторы ProLock осуществляют сетевую разведку, которая в частности может включать в себя сканирование портов и анализ среды Active Directory. Помимо различных скриптов, для сбора информации об Active Directory злоумышленники используют AdFind – еще один инструмент, популярный среди групп, использующих программы-вымогатели.
Продвижение по сети
Традиционно одним из самых популярных способов продвижения по сети является протокол удаленного рабочего стола (Remote Desktop Protocol). ProLock не стал исключением. Злоумышленники даже имеют в своем арсенале скрипты для получения возможности удаленного доступа по протоколу RDP к целевым хостам:
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
netsh advfirewall firewall set rule group="Remote Desktop" new enable=yes
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v "UserAuthentication" /t REG_DWORD /d 0 /f
Использование BAT скрипта для получения доступа по протоколу RDP
Для удаленного выполнения скриптов операторы ProLock используют еще один популярный инструмент – утилиту PsExec из пакета Sysinternals Suite.

Запуск ProLock на хостах осуществляется с помощью WMIC, представляющего собой интерфейс командной строки для работы с подсистемой Windows Management Instrumentation. Данный инструмент также приобретает все большую популярность среди операторов программ-вымогателей.
Сбор данных
Как и многие другие операторы шифровальщиков, группа, использующая ProLock, собирает данные из скомпрометированной сети, чтобы повысить свои шансы на получение выкупа. Перед эксфильтрацией собранные данные архивируются с помощью утилиты 7Zip.
Эксфильтрация
Для выгрузки данных операторы ProLock используют Rclone – инструмент командной строки, предназначенный для синхронизации файлов с различными облачными хранилищами, такими как OneDrive, Google Drive, Mega и др. Злоумышленники всегда переименовывают исполняемый файл, чтоб он был похож на легитимные системные файлы.

В отличие от своих «коллег по цеху», операторы ProLock до сих пор не имеют собственного веб-сайта для публикации украденных данных, принадлежащих компаниям, которые отказались платить выкуп.

Достижение конечной цели
После эксфильтрации данных группа развертывает ProLock по всей сети предприятия. Бинарный файл извлекается из файла с расширением PNG или JPG с помощью PowerShell и внедряется в память:
PowerShell скрипт
Прежде всего, ProLock завершает процессы, указанные во встроенном списке (интересно, что он использует только шесть букв из имени процесса, например, «winwor»), и завершает службы, включая те, которые связаны с безопасностью, например, CSFalconService (CrowdStrike Falcon), с помощью команды net stop.

Затем, как и в случае многих других семейств вымогателей, атакующие используют vssadmin для удаления теневых копий Windows и ограничения их размера, благодаря чему новые копии не будут создаваться:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=C: /on=C: /maxsize=unbounded
Удаление теневых копий Windows
ProLock добавляет расширение .proLock, .pr0Lock или .proL0ck к каждому зашифрованному файлу и помещает файл [HOW TO RECOVER FILES].TXT в каждую папку. Этот файл содержит инструкции о том, как расшифровать файлы, включая ссылку на сайт, где жертва должна ввести уникальный идентификатор и получить платежную информацию:
Figure 6: ProLock Ransom Note
Каждый экземпляр ProLock содержит информацию о сумме выкупа – в данном случае это 35 биткоинов, что составляет примерно 312 000 долларов США.
Заключение
Многие операторы программ-вымогателей используют схожие методы для достижения своих целей. В то же время некоторые техники являются уникальными для каждой группы. В настоящее время растет число киберпреступных групп, использующих шифровальщики в своих кампаниях. В некоторых случаях одни и те же операторы могут участвовать в атаках с использованием разных семейств вымогателей, поэтому мы будем все чаще наблюдать пересечения в используемых тактиках, техниках и процедурах.
MITRE ATT&CK Mapping