سلالة جديدة من برامج الفدية تقوم بتشفير الملفات وإضافة ملحق ".SaveTheQueen" إليها، وتنتشر عبر مجلد شبكة SYSVOL على وحدات تحكم مجال Active Directory.
واجه عملاؤنا هذه البرامج الضارة مؤخرًا. نقدم تحليلنا الكامل ونتائجه واستنتاجاته أدناه.
كشف
اتصل بنا أحد عملائنا بعد أن واجهوا سلالة جديدة من برامج الفدية التي كانت تضيف الامتداد ".SaveTheQueen" إلى الملفات المشفرة الجديدة في بيئتهم.
خلال تحقيقنا، أو بالأحرى في مرحلة البحث عن مصادر العدوى، تبين لنا أن توزيع وتتبع الضحايا المصابين تم باستخدام مجلد الشبكة SYSVOL على وحدة تحكم المجال الخاصة بالعميل.
SYSVOL هو مجلد رئيسي لكل وحدة تحكم مجال يتم استخدامه لتسليم كائنات نهج المجموعة (GPOs) والبرامج النصية لتسجيل الدخول والخروج إلى أجهزة الكمبيوتر في المجال. يتم نسخ محتويات هذا المجلد بين وحدات تحكم المجال لمزامنة هذه البيانات عبر مواقع المؤسسة. تتطلب الكتابة إلى SYSVOL امتيازات نطاق عالية، ومع ذلك، بمجرد اختراقها، تصبح هذه الأصول أداة قوية للمهاجمين الذين يمكنهم استخدامها لنشر الحمولات الضارة بسرعة وكفاءة عبر النطاق.
ساعدت سلسلة تدقيق Varonis في تحديد ما يلي بسرعة:
- قام حساب المستخدم المصاب بإنشاء ملف يسمى "كل ساعة" في SYSVOL
- تم إنشاء العديد من ملفات السجل في SYSVOL - تم تسمية كل منها باسم جهاز المجال
- كانت العديد من عناوين IP المختلفة تصل إلى الملف "كل ساعة".
لقد خلصنا إلى أنه تم استخدام ملفات السجل لتتبع عملية الإصابة على الأجهزة الجديدة، وأن "كل ساعة" كانت مهمة مجدولة لتنفيذ حمولة ضارة على الأجهزة الجديدة باستخدام برنامج Powershell النصي - عينات "v3" و"v4".
من المحتمل أن يكون المهاجم قد حصل على امتيازات مسؤول المجال واستخدمها لكتابة الملفات إلى SYSVOL. على الأجهزة المضيفة المصابة، قام المهاجم بتشغيل تعليمات برمجية PowerShell التي أنشأت مهمة جدولة لفتح البرامج الضارة وفك تشفيرها وتشغيلها.
فك تشفير البرامج الضارة
لقد جربنا عدة طرق لفك تشفير العينات دون جدوى:
كنا على وشك الاستسلام عندما قررنا تجربة الطريقة "السحرية" الرائعة
خدمات
ملاحظة المترجم شاهد
قرر Magic أنه تم استخدام برنامج GZip المشفر باستخدام قاعدة 64، لذلك تمكنا من فك ضغط الملف واكتشاف رمز الحقن.
القطارة: "هناك وباء في المنطقة! التطعيمات العامة. مرض الحمى القلاعية "
كان القطارة عبارة عن ملف .NET عادي دون أي حماية. بعد قراءة الكود المصدري مع
كود القشرة أو المضاعفات البسيطة
استخدمنا أداة التأليف Hexacorn -
قد تكون كتابة كود القشرة البسيط في ترجمة لغة التجميع الأصلية أمرًا صعبًا، لكن كتابة كود القشرة الكامل الذي يعمل على كلا النوعين من الأنظمة يتطلب مهارات النخبة، لذلك بدأنا نتعجب من تعقيد المهاجم.
عندما قمنا بتحليل كود القشرة المترجم باستخدام
كما اتضح فيما بعد، لم يكتب مؤلف البرنامج الضار رمز القشرة المعقد هذا على الإطلاق - فقد تم استخدام برنامج خاص بهذه المهمة لترجمة الملفات والبرامج النصية القابلة للتنفيذ إلى كود القشرة.
لقد وجدنا أداة
يقوم Donut بإنشاء كود القشرة x86 أو x64 من VBScript وJScript وEXE وDLL (بما في ذلك تجميعات .NET). يمكن إدخال كود القشرة هذا في أي عملية Windows ليتم تنفيذها
ذاكرة الوصول العشوائي.
لتأكيد نظريتنا، قمنا بتجميع التعليمات البرمجية الخاصة بنا باستخدام Donut ومقارنتها بالعينة - و... نعم، اكتشفنا مكونًا آخر من مجموعة الأدوات المستخدمة. بعد ذلك، أصبحنا قادرين بالفعل على استخراج وتحليل الملف القابل للتنفيذ .NET الأصلي.
حماية الكود
لقد تم تشويش هذا الملف باستخدام
ConfuserEx هو مشروع .NET مفتوح المصدر لحماية كود التطورات الأخرى. تتيح هذه الفئة من البرامج للمطورين حماية التعليمات البرمجية الخاصة بهم من الهندسة العكسية باستخدام طرق مثل استبدال الأحرف وإخفاء تدفق أوامر التحكم وإخفاء الطريقة المرجعية. يستخدم مؤلفو البرامج الضارة أدوات التعتيم لتفادي اكتشافها وجعل الهندسة العكسية أكثر صعوبة.
من خلال
النتيجة - الحمولة
الحمولة الناتجة هي فيروس فدية بسيط للغاية. لا توجد آلية لضمان التواجد في النظام، ولا توجد اتصالات بمركز القيادة - فقط تشفير قديم غير متماثل جيد لجعل بيانات الضحية غير قابلة للقراءة.
تحدد الوظيفة الرئيسية الأسطر التالية كمعلمات:
- امتداد الملف الذي سيتم استخدامه بعد التشفير (SaveTheQueen)
- البريد الإلكتروني للمؤلف لوضعه في ملف مذكرة الفدية
- المفتاح العام المستخدم لتشفير الملفات
تبدو العملية نفسها كما يلي:
- تقوم البرمجيات الخبيثة بفحص محركات الأقراص المحلية والمتصلة على جهاز الضحية
- يبحث عن الملفات لتشفيرها
- يحاول إنهاء عملية تستخدم ملفًا على وشك تشفيره
- إعادة تسمية الملف إلى "OriginalFileName.SaveTheQueenING" باستخدام وظيفة MoveFile وتشفيره
- بعد تشفير الملف باستخدام المفتاح العام للمؤلف، تقوم البرامج الضارة بإعادة تسميته مرة أخرى، الآن إلى "Original FileName.SaveTheQueen"
- تتم كتابة ملف طلب فدية في نفس المجلد
واستنادًا إلى استخدام وظيفة "CreateDecryptor" الأصلية، يبدو أن إحدى وظائف البرامج الضارة تحتوي على آلية فك التشفير التي تتطلب مفتاحًا خاصًا كمعلمة.
فيروس رانسومواري لا يقوم بتشفير الملفات، المخزنة في الدلائل:
ج: النوافذ
C: ملفات البرنامج
ج: ملفات البرنامج (x86)
ج: المستخدمون\AppData
ج:inetpub
هو أيضا لا يقوم بتشفير أنواع الملفات التالية:EXE، DLL، MSI، ISO، SYS، CAB.
النتائج والاستنتاجات
على الرغم من أن برنامج الفدية نفسه لم يحتوي على أي ميزات غير عادية، إلا أن المهاجم استخدم Active Directory بشكل إبداعي لتوزيع القطارة، وقد قدمت لنا البرامج الضارة نفسها عقبات مثيرة للاهتمام، وإن كانت غير معقدة في النهاية، أثناء التحليل.
نعتقد أن مؤلف البرمجيات الخبيثة هو:
- كتب فيروس فدية مع حقن مدمج في عملية winlogon.exe، وكذلك
وظيفة تشفير وفك تشفير الملفات - تم إخفاء التعليمات البرمجية الضارة باستخدام ConfuserEx، وتحويل النتيجة باستخدام Donut بالإضافة إلى إخفاء قطارة base64 Gzip
- حصلت على امتيازات مرتفعة في مجال الضحية واستخدمتها للنسخ
البرامج الضارة المشفرة والمهام المجدولة إلى مجلد شبكة SYSVOL لوحدات تحكم المجال - قم بتشغيل برنامج PowerShell النصي على أجهزة المجال لنشر البرامج الضارة وتسجيل تقدم الهجوم في السجلات في SYSVOL
إذا كانت لديك أسئلة حول هذا النوع من فيروس برامج الفدية، أو أي تحقيقات أخرى في حوادث الطب الشرعي والأمن السيبراني تجريها فرقنا،
المصدر: www.habr.com