ቤዛ ልክ እንደ ንግስት ነው፡ ቫሮኒስ በፍጥነት እየተሰራጨ ያለውን “SaveTheQueen” ቤዛዌርን ይመረምራል።

አዲስ የቤዛ ዌር ዝርያ ፋይሎችን ኢንክሪፕት ያደርጋል እና ለእነሱ የ«.SaveTheQueen» ቅጥያ በSYSVOL አውታረ መረብ አቃፊ በActive Directory ጎራ ተቆጣጣሪዎች ውስጥ ይሰራጫል።

ደንበኞቻችን ይህን ማልዌር በቅርቡ አጋጥመውታል። ሙሉ ትንታኔያችንን, ውጤቶቹን እና መደምደሚያችንን ከዚህ በታች አቅርበናል.

ማወቅ

ከደንበኞቻችን አንዱ የ".SaveTheQueen" ቅጥያ በአካባቢያቸው ውስጥ ባሉ አዲስ የተመሰጠሩ ፋይሎች ላይ የሚጨምር አዲስ የራንሰምዌር አይነት ካጋጠማቸው በኋላ አነጋግሮናል።

በምርመራችን ወቅት ወይም ይልቁንም የኢንፌክሽን ምንጮችን በመፈለግ ደረጃ ላይ ፣ በበሽታው የተጠቁ ተጎጂዎችን የማሰራጨት እና የመከታተል ሂደት የተከናወነው በመጠቀም ነው ። የአውታረ መረብ አቃፊ SYSVOL በደንበኛው የጎራ መቆጣጠሪያ ላይ.

SYSVOL የቡድን ፖሊሲ ነገሮች (ጂፒኦዎች) እና የሎግ እና የሎጎፍ ስክሪፕቶችን በጎራው ውስጥ ላሉ ኮምፒውተሮች ለማድረስ የሚያገለግል ለእያንዳንዱ የጎራ ተቆጣጣሪ ቁልፍ አቃፊ ነው። ይህንን ውሂብ በድርጅቱ ጣቢያዎች ላይ ለማመሳሰል የዚህ አቃፊ ይዘቶች በጎራ ተቆጣጣሪዎች መካከል ይባዛሉ። ለSYSVOL መጻፍ ከፍተኛ የጎራ ልዩ መብቶችን ይፈልጋል፣ነገር ግን አንዴ ከተበላሸ፣ይህ ንብረት በአንድ ጎራ ላይ ተንኮል አዘል ሸክሞችን በፍጥነት እና በብቃት ለማሰራጨት ለሚጠቀሙ አጥቂዎች ኃይለኛ መሳሪያ ይሆናል።

የቫሮኒስ ኦዲት ሰንሰለት የሚከተሉትን በፍጥነት ለመለየት ረድቷል፡

• የተበከለው የተጠቃሚ መለያ በSYSVOL ውስጥ "ሰዓት" የሚባል ፋይል ፈጥሯል።
• በSYSVOL ውስጥ ብዙ የምዝግብ ማስታወሻዎች ተፈጥረዋል - እያንዳንዳቸው በጎራ መሣሪያ ስም ተሰይመዋል
• ብዙ የተለያዩ አይፒ አድራሻዎች የ"ሰዓት" ፋይሉን እየደረሱ ነበር።

የሎግ ፋይሎቹ የኢንፌክሽኑን ሂደት በአዲስ መሳሪያዎች ላይ ለመከታተል ጥቅም ላይ እንደዋሉ እና "በሰዓት" በ Powershell ስክሪፕት - ናሙናዎች "v3" እና "v4" በመጠቀም በአዲስ መሳሪያዎች ላይ ተንኮል አዘል ጭነት የሚፈጽም የታቀደ ሥራ ነው ብለን ደመደምን።

አጥቂው ወደ SYSVOL ፋይሎችን ለመፃፍ የጎራ አስተዳዳሪ ልዩ መብቶችን አግኝቶ ሳይጠቀም አልቀረም። በተበከሉ አስተናጋጆች ላይ፣ አጥቂው ማልዌር ለመክፈት፣ ዲክሪፕት ለማድረግ እና ለማስኬድ የጊዜ ሰሌዳ ስራ የፈጠረውን የPowerShell ኮድ አስሮ ነበር።

ማልዌርን መፍታት

ናሙናዎችን ከንቱ ለማድረግ ብዙ መንገዶችን ሞክረናል፡-

የግርማውን “Magic” ዘዴን ለመሞከር ስንወስን ለመተው ተዘጋጅተናል
መገልገያዎች ሳይበርሼፍ በ GCHQ. አስማት ለተለያዩ የኢንክሪፕሽን አይነቶች የይለፍ ቃላትን በማስገደድ እና ኢንትሮፒን በመለካት የፋይሉን ምስጠራ ለመገመት ይሞክራል።

የአስተርጓሚ ማስታወሻ ተመልከትልዩነት entropy и ኢንትሮፒ በመረጃ ፅንሰ-ሀሳብ. ይህ ጽሑፍ እና አስተያየቶች በሶስተኛ ወገንም ሆነ በባለቤትነት በተሰራ ሶፍትዌር ውስጥ ጥቅም ላይ የዋሉትን ዘዴዎች ዝርዝሮች በደራሲዎች ላይ ውይይትን አያካትትም.


አስማት ቤዝ64 ኢንኮድ የተደረገ GZip ፓከር ጥቅም ላይ እንደዋለ ወስኗል፣ ስለዚህ ፋይሉን መፍታት እና የክትባት ኮድ ማግኘት ቻልን።

ጠብታ፡ “በአካባቢው ወረርሽኝ አለ! አጠቃላይ ክትባቶች. የእግር እና የአፍ በሽታ"

ጠብታው ምንም ጥበቃ ሳይደረግለት መደበኛ የ NET ፋይል ነበር። የምንጭ ኮዱን ካነበቡ በኋላ ዲኤንኤስፒ ብቸኛው አላማው ሼልኮድን በ winlogon.exe ሂደት ውስጥ ማስገባት እንደሆነ ተገነዘብን።

Shellcode ወይም ቀላል ውስብስቦች

የሄክሳኮርን ደራሲ መሳሪያን ተጠቀምን - shellcode2exe ለማረም እና ለመተንተን የሼልኮድ ኮድ ወደ ተፈጻሚነት ያለው ፋይል "ለመጠቅለል"። ከዚያም በሁለቱም 32 እና 64 ቢት ማሽኖች ላይ እንደሚሰራ ደርሰንበታል።

በአፍ መፍቻ ቋንቋ ትርጉም ውስጥ ቀላል ሼልኮድ እንኳን መጻፍ ከባድ ሊሆን ይችላል ነገር ግን በሁለቱም ስርዓቶች ላይ የሚሰራ ሙሉ የሼል ኮድ መጻፍ የላቀ ችሎታን ይጠይቃል, ስለዚህ በአጥቂው ውስብስብነት መደነቅ ጀመርን.

በመጠቀም የተጠናቀረውን የሼል ኮድ ስንተነተን x64dbgእየጫነ መሆኑን አስተውለናል። NET ተለዋዋጭ ቤተ-መጻሕፍት እንደ clr.dll እና mscoreei.dll ያሉ። ይህ ለእኛ እንግዳ መስሎ ነበር - ብዙውን ጊዜ አጥቂዎች እነሱን ከመጫን ይልቅ ቤተኛ OS ተግባራትን በመጥራት የሼልኮድ ኮድን በተቻለ መጠን ትንሽ ለማድረግ ይሞክራሉ። ለምንድነው ማንም ሰው የዊንዶውን ተግባር በቀጥታ በፍላጎት ከመጥራት ይልቅ ወደ ሼልኮድ መክተት የሚያስፈልገው?

እንደ ተለወጠ፣ የማልዌር ጸሃፊው ይህንን ውስብስብ የሼልኮድ ኮድ በጭራሽ አልፃፈውም - ለዚህ ተግባር የተለየ ሶፍትዌር ሊተገበሩ የሚችሉ ፋይሎችን እና ስክሪፕቶችን ወደ ሼል ኮድ ለመተርጎም ጥቅም ላይ ውሏል።

መሳሪያ አግኝተናል ዶናትተመሳሳይ የሼልኮድ ኮድ ያጠናቅራል ብለን ያሰብነው። ከ GitHub የሰጠው መግለጫ ይኸውና፡-

ዶናት x86 ወይም x64 ሼልኮድ ከVBScript፣ JScript፣ EXE፣ DLL (.NET assembliesን ጨምሮ) ያመነጫል። ይህ ሼል ኮድ በማንኛውም የዊንዶውስ ሂደት ውስጥ ሊተገበር ይችላል።
ማህደረ ትውስታ.

ሀሳባችንን ለማረጋገጥ ዶናት በመጠቀም የራሳችንን ኮድ አዘጋጅተናል እና ከናሙናው ጋር አነጻጽረን - እና... አዎ፣ ሌላ ጥቅም ላይ የዋለው የመሳሪያ ኪት አካል አግኝተናል። ከዚህ በኋላ ዋናውን የ NET executable ፋይል አውጥተን መተንተን ችለናል።

ኮድ ጥበቃ

ይህ ፋይል ተጠቅሞ ተደብቋል ConfuserEx:

ConfuserEx የሌሎች እድገቶችን ኮድ ለመጠበቅ ክፍት ምንጭ .NET ፕሮጀክት ነው። ይህ የሶፍትዌር ክፍል ገንቢዎች እንደ የቁምፊ ምትክ፣ የቁጥጥር ትዕዛዝ ፍሰት ጭንብል እና የማጣቀሻ ዘዴን የመሳሰሉ ዘዴዎችን በመጠቀም ኮዳቸውን ከተገላቢጦሽ ምህንድስና እንዲጠብቁ ያስችላቸዋል። የማልዌር ደራሲዎች ፈልጎ ማግኘትን ለማምለጥ እና የተገላቢጦሽ ምህንድስናን የበለጠ አስቸጋሪ ለማድረግ ኦፊስካተሮችን ይጠቀማሉ።

እናመሰግናለን ElektroKill ማራገፊያ ኮዱን አውጥተናል፡-

ውጤት - ጭነት

የተገኘው ክፍያ በጣም ቀላል የሆነ ራንሰምዌር ቫይረስ ነው። በስርዓቱ ውስጥ መገኘትን ለማረጋገጥ ምንም ዘዴ የለም, ከትዕዛዝ ማእከል ጋር ምንም ግንኙነት የለም - የተጎጂውን ውሂብ የማይነበብ ለማድረግ ጥሩ የድሮ asymmetric ምስጠራ.

ዋናው ተግባር የሚከተሉትን መስመሮች እንደ መለኪያዎች ይመርጣል:

• ከማመስጠር በኋላ ጥቅም ላይ የሚውለው የፋይል ቅጥያ (SaveTheQueen)
• በቤዛ ማስታወሻ ፋይል ውስጥ ለማስቀመጥ የደራሲው ኢሜይል
• የወል ቁልፍ ፋይሎችን ለማመስጠር ስራ ላይ ይውላል

ሂደቱ ራሱ ይህን ይመስላል:

1. ተንኮል አዘል ዌር በተጠቂው መሣሪያ ላይ የአካባቢ እና የተገናኙ ድራይቮችን ይመረምራል።

   

2. ለማመስጠር ፋይሎችን ይፈልጋል

   

3. ሊመሰጥርበት ያለውን ፋይል እየተጠቀመ ያለውን ሂደት ለማቋረጥ ይሞክራል።
4. የMoveFile ተግባርን በመጠቀም ፋይሉን ወደ "ኦሪጂናል ፋይል ስም.SaveTheQueenING" እንደገና ሰይሞታል እና ምስጥር ያደርገዋል።
5. ፋይሉ በጸሐፊው የአደባባይ ቁልፍ ከተመሰጠረ በኋላ ማልዌሩ እንደገና ስሙን አሁን ወደ "ኦሪጅናል ፋይል ስም.SaveTheQueen" ይለውጠዋል።
6. የቤዛ ጥያቄ ያለው ፋይል ወደዚያው አቃፊ ይጻፋል

   

ቤተኛ "CreateDecryptor" ተግባርን መሰረት በማድረግ ከማልዌር ተግባራት አንዱ የግል ቁልፍ የሚያስፈልገው የዲክሪፕት ዘዴ እንደ መለኪያ የያዘ ይመስላል።

Ransomware ቫይረስ ፋይሎችን አያመሰጥርም።, በማውጫዎች ውስጥ የተከማቸ:

ሲ: ዊንዶውስ
ሐ. የፕሮግራም ፋይሎች
ሐ፡ የፕሮግራም ፋይሎች (x86)
C: ተጠቃሚዎች መተግበሪያ ዳታ
C: inetpub

እሱ ደግሞ የሚከተሉትን የፋይል አይነቶች አያመሰጥርምEXE፣ DLL፣ MSI፣ ISO፣ SYS፣ CAB

ውጤቶች እና መደምደሚያዎች

ምንም እንኳን ራንሰምዌር በራሱ ምንም አይነት ያልተለመዱ ባህሪያትን ባይይዝም አጥቂው በፈጠራ አክቲቭ ዳይሬክተሩን ተጠቅሞ ጠብታውን ለማሰራጨት የተጠቀመ ሲሆን ማልዌሩ እራሱ በመተንተን ወቅት የሚያደናቅፉ፣ በመጨረሻ ያልተወሳሰበ ከሆነ አጓጊ አድርጎናል።

የማልዌር ጸሃፊው የሚከተለው ነው ብለን እናስባለን።

1. የ ransomware ቫይረስ በ winlogon.exe ሂደት ውስጥ አብሮ በተሰራ መርፌ እና እንዲሁም ጽፏል
   የፋይል ምስጠራ እና የመፍታት ተግባር
2. ConfuserExን በመጠቀም ተንኮል-አዘል ኮድን በመደበቅ ውጤቱን ዶናት በመጠቀም ለውጦ የ base64 Gzip dropperን ደበቀ።
3. በተጎጂው ጎራ ውስጥ ከፍ ያለ ልዩ መብቶችን አግኝተው ለመቅዳት ተጠቅመውባቸዋል
   የተመሰጠረ ማልዌር እና የታቀዱ ስራዎች ወደ SYSVOL የአውታረ መረብ አቃፊ የጎራ ተቆጣጣሪዎች
4. ማልዌርን ለማሰራጨት እና የጥቃት ሂደትን በSYSVOL ውስጥ ለመመዝገብ የPowerShell ስክሪፕት በጎራ መሳሪያዎች ላይ ያሂዱ

ስለዚህ የራንሰምዌር ቫይረስ አይነት፣ ወይም በቡድኖቻችን ስለሚደረጉ ሌሎች የፎረንሲኮች እና የሳይበር ደህንነት አደጋ ምርመራዎች ጥያቄዎች ካሉዎት፣ አግኙን ወይም ጥያቄ ለጥቃቶች ምላሽ የቀጥታ ማሳያበጥያቄ እና መልስ ክፍለ ጊዜ ሁሌም ጥያቄዎችን የምንመልስበት።

ምንጭ: hab.com