Yeni bir ransomware ştammı faylları şifrələyir və onlara ".SaveTheQueen" uzantısını əlavə edərək, Active Directory domen kontrollerlərində SYSVOL şəbəkə qovluğu vasitəsilə yayılır.
Müştərilərimiz bu yaxınlarda bu zərərli proqramla qarşılaşdılar. Tam təhlilimizi, onun nəticələrini və qənaətlərini aşağıda təqdim edirik.
Kəşf
Müştərilərimizdən biri ətraflarında yeni şifrələnmiş fayllara ".SaveTheQueen" uzantısını əlavə edən yeni bir ransomware proqramı ilə qarşılaşdıqdan sonra bizimlə əlaqə saxladı.
Araşdırmamız zamanı, daha doğrusu yoluxma mənbələrinin axtarışı mərhələsində məlum oldu ki, yoluxmuş qurbanların paylanması və izlənməsi şəbəkə qovluğu SYSVOL müştərinin domen nəzarətçisində.
SYSVOL domendəki kompüterlərə Qrup Siyasəti Obyektlərini (GPO) və giriş və çıxış skriptlərini çatdırmaq üçün istifadə olunan hər bir domen nəzarətçisi üçün əsas qovluqdur. Bu qovluğun məzmunu bu məlumatları təşkilatın saytları arasında sinxronlaşdırmaq üçün domen nəzarətçiləri arasında təkrarlanır. SYSVOL-a yazmaq yüksək domen imtiyazları tələb edir, lakin bir dəfə güzəştə getdikdən sonra bu aktiv zərərli yükləri domen üzrə tez və səmərəli şəkildə yaymaq üçün ondan istifadə edə bilən təcavüzkarlar üçün güclü alətə çevrilir.
Varonis audit zənciri aşağıdakıları tez bir zamanda müəyyən etməyə kömək etdi:
- Yoluxmuş istifadəçi hesabı SYSVOL-da "saatlik" adlı fayl yaratdı
- SYSVOL-də çoxlu log faylları yaradılmışdır - hər biri domen cihazının adı ilə adlandırılmışdır
- Bir çox fərqli IP ünvanları "saatlik" fayla daxil olurdu
Qənaətə gəldik ki, jurnal faylları yeni cihazlarda yoluxma prosesini izləmək üçün istifadə edilib və bu, “saatlıq” Powershell skripti ilə yeni cihazlarda zərərli yükü yerinə yetirən planlaşdırılmış işdir – “v3” və “v4” nümunələri.
Təcavüzkar çox güman ki, SYSVOL-a fayl yazmaq üçün domen administratoru imtiyazları əldə edib və istifadə edib. Yoluxmuş hostlarda təcavüzkar zərərli proqramı açmaq, şifrəsini açmaq və işə salmaq üçün cədvəl işi yaradan PowerShell kodunu işlətdi.
Zərərli proqramın şifrəsinin açılması
Nümunələri deşifrə etməyin bir neçə yolunu sınadıq:
Möhtəşəmliyin “Sehrli” üsulunu sınamağa qərar verəndə, demək olar ki, imtina etməyə hazır idik
kommunal xidmətlər GCHQ tərəfindən. Magic müxtəlif şifrləmə növləri üçün parolları kobud şəkildə zorlamaq və entropiyanı ölçməklə faylın şifrələnməsini təxmin etməyə çalışır.
Tərcüməçinin qeydi Görmək и . Bu məqalə və şərhlər üçüncü tərəf və ya xüsusi proqram təminatında istifadə olunan metodların təfərrüatlarının müəlliflər tərəfindən müzakirəsini nəzərdə tutmur.
Magic müəyyən etdi ki, base64 kodlu GZip paketləyicisindən istifadə olunub, ona görə də biz faylı açaraq inyeksiya kodunu kəşf edə bildik.
Damlaçı: “Bölgədə epidemiya var! Ümumi peyvəndlər. Ayaq və ağız xəstəliyi”
Damcı heç bir mühafizəsi olmayan adi .NET faylı idi. ilə mənbə kodunu oxuduqdan sonra başa düşdük ki, onun yeganə məqsədi winlogon.exe prosesinə shellcode yeritməkdir.
Shellcode və ya sadə fəsadlar
Hexacorn müəllif alətindən istifadə etdik - qabıq kodunu sazlama və təhlil üçün icra edilə bilən fayla "tərtib etmək" üçün. Sonra onun həm 32, həm də 64 bitlik maşınlarda işlədiyini aşkar etdik.
Doğma montaj dilinə tərcümədə hətta sadə shellcode yazmaq çətin ola bilər, lakin hər iki sistem növündə işləyən tam shellcode yazmaq elit bacarıqlar tələb edir, ona görə də biz təcavüzkarın mürəkkəbliyinə heyran olmağa başladıq.
Biz istifadə edərək tərtib shellcode təhlil edərkən , yüklədiyini gördük .NET dinamik kitabxanaları clr.dll və mscoreei.dll kimi. Bu, bizə qəribə göründü - adətən təcavüzkarlar onları yükləmək əvəzinə yerli OS funksiyalarına zəng edərək shellcode-u mümkün qədər kiçik etməyə çalışırlar. Nə üçün hər kəs Windows funksionallığını birbaşa tələb əsasında çağırmaq əvəzinə shellcode daxil etməlidir?
Məlum olub ki, zərərli proqramın müəllifi bu mürəkkəb qabıq kodunu ümumiyyətlə yazmayıb - icra olunan faylları və skriptləri shellkoda çevirmək üçün bu tapşırıq üçün xüsusi proqram təminatından istifadə edilib.
Bir alət tapdıq , oxşar qabıq kodunu tərtib edə biləcəyini düşündüyümüz. GitHub-dan onun təsviri budur:
Donut x86 və ya x64 qabıq kodunu VBScript, JScript, EXE, DLL-dən (.NET montajları daxil olmaqla) yaradır. Bu qabıq kodu icra olunmaq üçün istənilən Windows prosesinə daxil edilə bilər
yaddaş.
Nəzəriyyəmizi təsdiqləmək üçün Donut-dan istifadə edərək öz kodumuzu tərtib etdik və onu nümunə ilə müqayisə etdik - və... bəli, istifadə olunan alət dəstinin başqa bir komponentini kəşf etdik. Bundan sonra biz artıq orijinal .NET icra edilə bilən faylını çıxara və təhlil edə bildik.
Kod mühafizəsi
Bu fayl istifadə edilərək gizlədilib :
ConfuserEx, digər inkişafların kodunu qorumaq üçün açıq mənbəli .NET layihəsidir. Bu proqram sinfi tərtibatçılara simvolların dəyişdirilməsi, idarəetmə əmrlərinin axını maskalanması və istinad metodunun gizlədilməsi kimi üsullardan istifadə edərək kodlarını tərs mühəndislikdən qorumağa imkan verir. Zərərli proqram müəllifləri aşkarlanmadan yayınmaq və tərs mühəndisliyi çətinləşdirmək üçün obfuscatorlardan istifadə edirlər.
təşəkkür kodu açdıq:
Nəticə - faydalı yük
Nəticədə ortaya çıxan faydalı yük çox sadə bir ransomware virusudur. Sistemdə mövcudluğu təmin etmək üçün heç bir mexanizm, komanda mərkəzinə heç bir əlaqə yoxdur - qurbanın məlumatlarını oxunmaz etmək üçün yalnız yaxşı köhnə asimmetrik şifrələmə.
Əsas funksiya aşağıdakı sətirləri parametr kimi seçir:
- Şifrələmədən sonra istifadə ediləcək fayl uzantısı (SaveTheQueen)
- Fidyə qeydi faylına yerləşdirmək üçün müəllifin e-poçtu
- Faylları şifrələmək üçün istifadə olunan açıq açar
Prosesin özü belə görünür:
- Zərərli proqram qurbanın cihazındakı yerli və əlaqəli sürücüləri yoxlayır
- Şifrələmək üçün faylları axtarır
- Şifrələmək üzrə olduğu fayldan istifadə edən prosesi dayandırmağa çalışır
- MoveFile funksiyasından istifadə edərək faylın adını "OriginalFileName.SaveTheQueenING" olaraq dəyişdirir və onu şifrələyir
- Fayl müəllifin açıq açarı ilə şifrələndikdən sonra zərərli proqram onun adını yenidən "Original FileName.SaveTheQueen" olaraq dəyişdirir.
- Fidyə tələbi olan fayl eyni qovluğa yazılır
Yerli "CreateDecryptor" funksiyasının istifadəsinə əsaslanaraq, zərərli proqramın funksiyalarından biri parametr kimi şəxsi açar tələb edən şifrənin açılması mexanizmini ehtiva edir.
Ransomware virusu faylları şifrələmir, kataloqlarda saxlanılır:
C: pəncərələr
C: Proqram Dosyaları
C: Proqram Dosyaları (x86)
C: İstifadəçilər\AppData
C:inetpub
O da Aşağıdakı fayl növlərini şifrələməz:EXE, DLL, MSI, ISO, SYS, CAB.
Xülasə və Nəticələr
Ransomware-nin özündə heç bir qeyri-adi xüsusiyyətlər olmasa da, təcavüzkar damcıları yaymaq üçün Active Directory-dən yaradıcı şəkildə istifadə etdi və zərərli proqram özü təhlil zamanı bizə maraqlı, hətta mürəkkəb olmasa da, əngəllər təqdim etdi.
Zərərli proqramın müəllifinin:
- Winlogon.exe prosesinə daxili inyeksiya ilə ransomware virusu yazdı, həmçinin
faylların şifrələnməsi və şifrənin açılması funksiyası - ConfuserEx istifadə edərək zərərli kodu gizlətdi, Donut istifadə edərək nəticəni çevirdi və əlavə olaraq base64 Gzip damcısını gizlətdi.
- Qurbanın domenində yüksək imtiyazlar əldə etdi və onları kopyalamaq üçün istifadə etdi
domen nəzarətçiləri SYSVOL şəbəkə qovluğuna şifrələnmiş zərərli proqram və planlaşdırılmış işləri - Zərərli proqramı yaymaq və hücumun gedişatını SYSVOL-də qeydlərdə qeyd etmək üçün domen cihazlarında PowerShell skriptini işə salın
Ransomware virusunun bu variantı və ya komandalarımız tərəfindən həyata keçirilən hər hansı digər məhkəmə ekspertizası və kibertəhlükəsizlik insidentləri ilə bağlı suallarınız varsa, və ya sorğu , burada biz həmişə sual-cavab sessiyasında suallara cavab veririk.
Mənbə: www.habr.com