Новая разнавіднасць шкоднаснага ПА класа вірусаў-вымагальнікаў зашыфроўвае файлы і дадае да іх пашырэнне ".SaveTheQueen", распаўсюджваючыся праз сістэмную сеткавую тэчку SYSVOL на кантролерах даменаў Active Directory.
Нашы заказчыкі сутыкнуліся з гэтым шкоднасам нядаўна. Падаем наш поўны аналіз, яго вынікі і высновы ніжэй.
выяўленне
Адзін з нашых заказчыкаў звязаўся з намі пасля таго, як яны сутыкнуліся з новым відам шыфравальшчыка-вымагальніка, які дадаваў пашырэнне ".SaveTheQueen" да новых зашыфраваных файлаў у іх асяроддзі.
Падчас нашага расследавання, а дакладней на этапе пошуку крыніц заражэння, мы высветлілі, што распаўсюджванне і адсочванне заражаных ахвяр рабілася з дапамогай выкарыстання. сеткавай тэчкі SYSVOL на кантролеры дамена заказчыка.
SYSVOL – гэта ключавая тэчка для кожнага кантролера дамена, выкарыстоўваная для дастаўкі аб'ектаў групавых палітык (GPO) і скрыптоў уваходу і вынахаду з сістэмы на кампутары дамена. Змест дадзенай тэчкі рэплікуецца паміж кантролерамі дамена для сінхранізацыі гэтых дадзеных на сайтах арганізацыі. Запіс у SYSVOL патрабуе высокіх даменных прывілеяў, аднак, пасля кампраметацыі, гэты актыў становіцца магутнай прыладай для атакавалых, якія могуць выкарыстаць яго для хуткага і эфектыўнага распаўсюджвання шкоднаснай нагрузкі па дамене.
Ланцужок аўдыту Varonis дапамог хутка выявіць наступнае:
- Інфікаваны ўліковы запіс карыстальніка ствараў файл з імем «hourly» у SYSVOL
- Шмат файлаў часопісаў ствараліся ў SYSVOL - кожны названы імем даменнай прылады
- Шмат розных IP-адрасоў атрымлівалі доступ да файла hourly
Мы заключылі, што файлы часопісаў выкарыстоўваліся для адсочвання працэсу заражэння на новых прыладах, і што "hourly" - гэта заданне, якое запускаецца па раскладзе, якое выконвала шкоднасную нагрузку на новых прыладах, выкарыстоўваючы скрыпт Powershell - узоры "v3" і "v4".
Верагодна, атакавалы атрымаў і выкарыстоўваў прывілеі адміністратара дамена для запісу файлаў у SYSVOL. На інфікаваных вузлах атакавалы запускаў код PowerShell, які ствараў заданне раскладу для таго, што адкрыць, расшыфраваць і запусціць шкоднаснае ПЗ.
Расшыфроўка шкоднасу
Мы безвынікова апрабавалі некалькі спосабаў расшыфроўкі узораў:
Мы ўжо амаль гатовыя былі здацца, калі вырашылі паспрабаваць спосаб «Magic» цудоўнай.
утыліты аўтарства GCHQ. "Magic" спрабуе адгадаць шыфраванне файла, выкарыстоўваючы перабор пароляў для розных тыпаў шыфравання і вымяраючы энтрапію.
Заўвага перакладчыка Гл. и . Гэты артыкул і каментарыі не прадугледжваюць абмеркавання з боку аўтараў дэталяў метадаў, выкарыстаных як проста ў іншым, так і ў прапрыетарным ПЗ
Magic вызначыў, што быў выкарыстаны пакавальнік GZip з кадоўкай base64, дзякуючы чаму мы змаглі распакаваць файл і выявіць код для ўкаранення інжэктар .
Дроппер: «У раёне эпідэмія! Пагалоўныя прышчэпкі. Яшчур»
Дроппер уяўляў сабой звычайны файл. NET без якой-небудзь абароны. Пасля чытання зыходнага кода з дапамогай мы зразумелі, што яго адзінай мэтай было ўкараненне шелл-кода ў працэс winlogon.exe.
Шэл-код або простыя складанасці
Мы выкарыстоўвалі інструмент аўтарства Hexacorn. для таго, каб «скампіляваць» шелл-код у выкананы файл для адладкі і аналізу. Затым мы выявілі, што яна працаваў як на 32-, так і на 64-бітных машынах.
Напісанне нават простага шелл-кода ў натыўнай трансляцыі з асэмблера можа быць складаным, напісанне ж поўнага шелл-кода, які працуе на абодвух відах сістэм, патрабуе элітных навыкаў, таму мы пачалі дзівіцца выдасканаленасці атакавалага.
Калі ж мы разабралі скампіляваны шелл-код з дапамогай , мы заўважылі, што ён падгружаў дынамічныя бібліятэкі. , такія як clr.dll і mscoreei.dll. Гэта падалося нам дзіўным - звычайна зламыснікі імкнуцца зрабіць шелл-код настолькі маленькім, наколькі гэта наогул магчыма, выклікаючы натыўныя функцыі АС замест іх загрузкі. Навошта каму-небудзь трэба ўбудоўваць у шелл-код функцыянал Windows, замест прамога выкліку па запыце?
Як высветлілася, аўтар шкоднасу наогул не пісаў гэты складаны шелл-код – было выкарыстана характэрнае для дадзенай задачы ПЗ з мэтай перакладу выкананых файлаў і скрыптоў у шелл-код.
Мы знайшлі інструмент , Які, як нам здалося, мог скампіляваць падобны шелл-код. Вось яго апісанне з GitHub:
Donut генеруе шоў-код x86 або x64 з VBScript, JScript, EXE, DLL (уключаючы зборкі. NET). Гэты-шелл-код можа быць укаранёны ў любы працэс Windows для выканання ў
аператыўнай памяці.
Для пацверджання нашай тэорыі мы скампілявалі наш уласны код, выкарыстоўваючы Donut, і параўналі яго з узорам - і… так, мы выявілі яшчэ адзін кампанент выкарыстанага інструментара. Пасля гэтага, мы ўжо змаглі атрымаць і прааналізаваць арыгінальны выкананы файл на. NET.
Абарона кода
Гэты файл быў абфуцаваны з дапамогай :
ConfuserEx - гэта. NET праект з адкрытым кодам для абароны кода іншых распрацовак. ПА гэтага класа дазваляе распрацоўнікам абараняць свой код ад рэверс-інжынірынгу з дапамогай такіх спосабаў, як: замена знакаў, маскіроўка струменя каманд кіравання і ўтойванне спасылкавага метаду. Аўтары шкоднаснага ПА выкарыстоўваюць обфускаторы з мэтай пазбягання выяўлення і каб зрабіць цяжэйшай задачу рэверс-інжынірынгу.
Дзякуючы мы распакавалі код:
Вынік - карысная нагрузка
Атрыманая ў выніку пераўтварэнняў карысная нагрузка - гэта вельмі просты вірус-вымальнік. Ніякага механізму забеспячэння прысутнасці ў сістэме, ніякіх злучэнняў з камандным цэнтрам - толькі старое добрае асіметрычнае шыфраванне, для таго, каб зрабіць дадзеныя ахвяры нечытэльнымі.
Галоўная функцыя выбірае ў якасці параметраў наступныя радкі:
- Пашырэнне файла для выкарыстання пасля шыфравання (SaveTheQueen)
- Email аўтара, каб змясціць у файл-запіску з патрабаваннем выкупу
- Адкрыты ключ, які выкарыстоўваецца для шыфравання файлаў
Сам працэс выглядае наступным чынам:
- Шкоднас вывучае лакальныя і падлучаныя дыскі на прыладзе ахвяры
- Шукае файлы для шыфравання
- Спрабуе завяршыць працэс, які выкарыстоўвае файл, які ён збіраецца зашыфраваць
- Пераназывае файл у "Зыходнае_імя_файла. SaveTheQueenING", выкарыстоўваючы функцыю MoveFile, і зашыфроўвае яго
- Пасля таго, як файл зашыфраваны адкрытым ключом аўтара, шкоднас зноў пераназывае яго, зараз у " Зыходнае_імя_файла. SaveTheQueen"
- Адбываецца запіс файла з патрабаваннем выкупу ў тую ж тэчку
Грунтуючыся на выкарыстанні натыўнай функцыі "CreateDecryptor", адна з функцый шкоднасу, падобна, утрымоўвае ў якасці параметру механізм расшыфроўкі, які патрабуе зачыненага ключа.
Вірус-шыфравальшчык НЕ шыфруе файлы, якія захоўваюцца ў дырэкторыях:
C:windows
C: Program Files
C: Program Files (x86)
C:Users\AppData
C:inetpub
Таксама ён НЕ шыфруе наступныя тыпы файлаў:EXE, DLL, MSI, ISO, SYS, CAB.
Вынікі і высновы
Нягледзячы на тое, што сам вірус-вымагальнік не змяшчаў ніякіх незвычайных функцый, атакавалы крэатыўна выкарыстаў Active Directory для распаўсюджвання дроппера, а само шкоднаснае ПА падало нам цікавыя, хай у выніку і не складаныя, перашкоды падчас аналізу.
Мы думаем, што аўтар шкоднасу:
- Напісаў вірус-вымагальнік з убудаваным укараненнем у працэс winlogon.exe, а таксама
функцыянальнасцю шыфравання і расшыфроўкі файлаў - Замаскіраваў шкоднасны код з дапамогай ConfuserEx, пераўтварыў вынік з дапамогай Donut і дадаткова схаваў дроппер base64 Gzip
- Атрымаў павышаныя прывілеі ў дамене ахвяры і выкарыстоўваў іх для капіявання
зашыфраванага шкоднасу і заданняў па раскладзе ў сеткавую тэчку SYSVOL кантролераў дамена - Запусціў скрыпт PowerShell на прыладах дамена для распаўсюджвання шкоднасу і запісы прагрэсу нападу ў часопісы ў SYSVOL
Калі ў Вас ёсць пытанні аб гэтым варыянце віруса-вымагальніка, або любой іншай праведзенай нашымі камандамі форензікі і расследаванні ИБ-інцыдэнтаў, ці запытайце , дзе мы заўсёды адказваем на пытанні ў рамках сесіі пытанняў і адказаў.
Крыніца: habr.com