'n Nuwe soort losprysware enkripteer lêers en voeg 'n ".SaveTheQueen"-uitbreiding daarby, wat deur die SYSVOL-netwerklêergids op Active Directory-domeinbeheerders versprei.
Ons kliënte het hierdie wanware onlangs teëgekom. Ons bied ons volledige ontleding, sy resultate en gevolgtrekkings hieronder aan.
Opsporing
Een van ons kliënte het ons gekontak nadat hulle 'n nuwe soort losprysware teëgekom het wat die ".SaveTheQueen"-uitbreiding by nuwe geënkripteerde lêers in hul omgewing gevoeg het.
Tydens ons ondersoek, of liewer op die stadium van soeke na bronne van infeksie, het ons uitgevind dat die verspreiding en opsporing van besmette slagoffers uitgevoer is met behulp van netwerkmap SYSVOL op die kliënt se domeinbeheerder.
SYSVOL is 'n sleutellêergids vir elke domeinbeheerder wat gebruik word om Groepbeleidsvoorwerpe (GPO's) en aanmeld- en afmeldskrifte na rekenaars in die domein te lewer. Die inhoud van hierdie vouer word tussen domeinbeheerders gerepliseer om hierdie data oor die organisasie se werwe te sinchroniseer. Om aan SYSVOL te skryf vereis hoë domeinvoorregte, maar sodra dit gekompromitteer is, word hierdie bate 'n kragtige hulpmiddel vir aanvallers wat dit kan gebruik om kwaadwillige loonvragte vinnig en doeltreffend oor 'n domein te versprei.
Die Varonis-ouditketting het gehelp om die volgende vinnig te identifiseer:
- Die besmette gebruikersrekening het 'n lêer genaamd "uurliks" in SYSVOL geskep
- Baie loglêers is in SYSVOL geskep - elkeen met die naam van 'n domeintoestel genoem
- Baie verskillende IP-adresse het toegang tot die "uurlikse" lêer gehad
Ons het tot die gevolgtrekking gekom dat die loglêers gebruik is om die infeksieproses op nuwe toestelle na te spoor, en dat "uurliks" 'n geskeduleerde taak was wat kwaadwillige loonvrag op nuwe toestelle uitgevoer het deur 'n Powershell-skrip te gebruik - voorbeelde "v3" en "v4".
Die aanvaller het waarskynlik domeinadministrateurregte verkry en gebruik om lêers na SYSVOL te skryf. Op besmette gashere het die aanvaller PowerShell-kode uitgevoer wat 'n skedule-taak geskep het om die wanware oop te maak, te dekripteer en uit te voer.
Dekripteer die malware
Ons het verskeie maniere probeer om monsters te ontsyfer tevergeefs:
Ons was amper gereed om tou op te gooi toe ons besluit het om die “Magic”-metode van die manjifieke te probeer
nutsdienste deur GCHQ. Magic probeer om 'n lêer se enkripsie te raai deur wagwoorde vir verskillende enkripsietipes brute te dwing en entropie te meet.
Vertaler se nota Sien и . Hierdie artikel en opmerkings behels nie bespreking aan die kant van die skrywers van die besonderhede van metodes wat in derdeparty- of eie sagteware gebruik word nie
Magic het vasgestel dat 'n base64-gekodeerde GZip-verpakker gebruik is, sodat ons die lêer kon dekomprimeer en die inspuitkode ontdek.
Dropper: “Daar is 'n epidemie in die area! Algemene inentings. Bek-en-klouseer"
Die dropper was 'n gewone .NET-lêer sonder enige beskerming. Na die lees van die bronkode met ons het besef dat die enigste doel daarvan was om dopkode in die winlogon.exe-proses in te spuit.
Shellcode of eenvoudige komplikasies
Ons het die Hexacorn-outeursinstrument gebruik − om die dopkode in 'n uitvoerbare lêer te "saamstel" vir ontfouting en ontleding. Ons het toe ontdek dat dit op beide 32- en 64-bis-masjiene werk.
Om selfs eenvoudige dopkode in 'n inheemse samestellingstaalvertaling te skryf, kan moeilik wees, maar die skryf van volledige dopkode wat op beide tipes stelsels werk, vereis elite-vaardighede, so ons het begin verwonder aan die gesofistikeerdheid van die aanvaller.
Toe ons die saamgestelde dopkode ontleed het met behulp van , het ons opgemerk dat hy besig was om te laai .NET dinamiese biblioteke , soos clr.dll en mscoreei.dll. Dit het vir ons vreemd gelyk - gewoonlik probeer aanvallers om die dopkode so klein as moontlik te maak deur inheemse OS-funksies te bel in plaas daarvan om dit te laai. Hoekom sal iemand Windows-funksionaliteit in die dopkode moet insluit in plaas daarvan om dit direk op aanvraag te bel?
Soos dit geblyk het, het die skrywer van die wanware glad nie hierdie komplekse dopkode geskryf nie - sagteware spesifiek vir hierdie taak is gebruik om uitvoerbare lêers en skrifte in dopkode te vertaal.
Ons het 'n hulpmiddel gevind , wat ons gedink het 'n soortgelyke dopkode kan saamstel. Hier is die beskrywing van GitHub:
Donut genereer x86- of x64-dopkode vanaf VBScript, JScript, EXE, DLL (insluitend .NET-samestellings). Hierdie dopkode kan in enige Windows-proses ingespuit word om in uitgevoer te word
RAM.
Om ons teorie te bevestig, het ons ons eie kode saamgestel deur gebruik te maak van Donut en dit met die voorbeeld vergelyk - en ... ja, ons het 'n ander komponent van die gereedskapstel wat gebruik is, ontdek. Hierna kon ons die oorspronklike .NET-uitvoerbare lêer onttrek en ontleed.
Kodebeskerming
Hierdie lêer is verduister met behulp van :
ConfuserEx is 'n oopbron .NET-projek om die kode van ander ontwikkelings te beskerm. Hierdie klas sagteware stel ontwikkelaars in staat om hul kode te beskerm teen omgekeerde ingenieurswese deur metodes soos karaktervervanging, beheeropdragvloeimaskering en verwysingsmetode wegsteek. Malware-outeurs gebruik obfuscators om opsporing te ontduik en omgekeerde ingenieurswese moeiliker te maak.
dankie ons het die kode uitgepak:
Resultaat - loonvrag
Die gevolglike loonvrag is 'n baie eenvoudige ransomware-virus. Geen meganisme om teenwoordigheid in die stelsel te verseker nie, geen verbindings met die bevelsentrum nie - net goeie ou asimmetriese enkripsie om die slagoffer se data onleesbaar te maak.
Die hooffunksie kies die volgende reëls as parameters:
- Lêeruitbreiding om te gebruik na enkripsie (SaveTheQueen)
- Skrywer se e-pos om in losprysnota-lêer te plaas
- Publieke sleutel wat gebruik word om lêers te enkripteer
Die proses self lyk soos volg:
- Die wanware ondersoek plaaslike en gekoppelde aandrywers op die slagoffer se toestel
- Soek na lêers om te enkripteer
- Probeer om 'n proses te beëindig wat 'n lêer gebruik wat dit gaan om te enkripteer
- Hernoem die lêer na "OriginalFileName.SaveTheQueenING" deur die MoveFile-funksie te gebruik en enkripteer dit
- Nadat die lêer met die skrywer se publieke sleutel geënkripteer is, hernoem die wanware dit weer, nou na "Original FileName.SaveTheQueen"
- 'n Lêer met 'n lospryseis word na dieselfde vouer geskryf
Gebaseer op die gebruik van die inheemse "CreateDecryptor"-funksie, blyk dit dat een van die wanware se funksies as 'n parameter 'n dekripsiemeganisme bevat wat 'n private sleutel vereis.
Ransomware virus ENkripteer NIE lêers nie, gestoor in dopgehou:
C: vensters
C: Programlêers
C: Programlêers (x86)
C:Gebruikers\AppData
C:inetpub
Hy ook ENkripteer NIE die volgende lêertipes nie:EXE, DLL, MSI, ISO, SYS, CAB.
Samevatting en gevolgtrekkings
Alhoewel die ransomware self geen ongewone kenmerke bevat het nie, het die aanvaller Active Directory kreatief gebruik om die dropper te versprei, en die malware self het ons interessante, indien uiteindelik ongekompliseerde, struikelblokke tydens ontleding voorgehou.
Ons dink dat die skrywer van die wanware is:
- Het 'n ransomware-virus met ingeboude inspuiting in die winlogon.exe-proses geskryf, sowel as
lêer enkripsie en dekripsie funksionaliteit - Vermom die kwaadwillige kode met ConfuserEx, omskep die resultaat met behulp van Donut en versteek ook die base64 Gzip dropper
- Verhoogde voorregte in die slagoffer se domein verkry en dit gebruik om te kopieer
geïnkripteer wanware en geskeduleerde take na die SYSVOL-netwerkgids van domeinbeheerders - Begin 'n PowerShell-skrip op domeintoestelle om wanware te versprei en aanvalvordering in logs in SYSVOL aan te teken
As jy vrae het oor hierdie variant van die ransomware-virus, of enige ander forensiese en kuberveiligheidsvoorvalondersoeke wat deur ons spanne uitgevoer is, of versoek , waar ons altyd vrae in 'n V&A-sessie beantwoord.
Bron: will.com