Нов вид ransomware криптира файлове и добавя към тях разширение „.SaveTheQueen“, разпространявайки се през мрежовата папка SYSVOL на домейн контролери на Active Directory.
Нашите клиенти се сблъскаха с този зловреден софтуер наскоро. По-долу представяме нашия пълен анализ, неговите резултати и заключения.
откриване
Един от нашите клиенти се свърза с нас, след като се натъкна на нов щам рансъмуер, който добавяше разширението „.SaveTheQueen“ към нови криптирани файлове в тяхната среда.
По време на нашето разследване, или по-скоро на етапа на търсене на източници на инфекция, установихме, че разпространението и проследяването на заразени жертви е извършено с помощта на мрежова папка SYSVOL на домейн контролера на клиента.
SYSVOL е ключова папка за всеки домейн контролер, който се използва за доставяне на обекти на групови правила (GPO) и скриптове за влизане и излизане на компютрите в домейна. Съдържанието на тази папка се репликира между домейн контролери, за да се синхронизират тези данни в сайтовете на организацията. Записването в SYSVOL изисква високи привилегии на домейна, но след като бъде компрометиран, този актив се превръща в мощен инструмент за нападателите, които могат да го използват за бързо и ефективно разпространение на злонамерени полезни товари в домейн.
Одитната верига на Varonis помогна бързо да идентифицира следното:
- Заразеният потребителски акаунт създаде файл, наречен "почасово" в SYSVOL
- Много регистрационни файлове бяха създадени в SYSVOL - всеки наименуван с името на домейн устройство
- Много различни IP адреси имаха достъп до „почасовия“ файл
Заключихме, че регистрационните файлове са използвани за проследяване на процеса на заразяване на нови устройства и че „почасово“ е планирана задача, която изпълнява злонамерен полезен товар на нови устройства с помощта на Powershell скрипт – примери „v3“ и „v4“.
Нападателят вероятно е получил и използвал администраторски права на домейн, за да записва файлове в SYSVOL. На заразени хостове атакуващият е стартирал код на PowerShell, който е създал задание по график за отваряне, дешифриране и стартиране на злонамерения софтуер.
Дешифриране на зловреден софтуер
Опитахме няколко начина да дешифрираме образци без резултат:
Бяхме почти готови да се откажем, когато решихме да изпробваме „Магическия” метод на великолепните
комунални услуги от GCHQ. Magic се опитва да отгатне криптирането на файл чрез грубо форсиране на пароли за различни типове криптиране и измерване на ентропията.
Бележка на преводача Виждам и . Тази статия и коментарите не включват обсъждане от страна на авторите на подробностите за методите, използвани в софтуера на трета страна или патентован софтуер
Magic установи, че е използван GZip пакет, кодиран base64, така че успяхме да декомпресираме файла и да открием кода за инжектиране.
Капкомер: „В района има епидемия! Общи ваксинации. Шап"
Капкомерът беше обикновен .NET файл без никаква защита. След като прочетете изходния код с разбрахме, че единствената му цел е да инжектира shellcode в процеса winlogon.exe.
Shellcode или прости усложнения
Използвахме инструмента за създаване на Hexacorn − за да „компилира“ шелкода в изпълним файл за отстраняване на грешки и анализ. След това открихме, че работи както на 32, така и на 64 битови машини.
Писането дори на прост шелкод в превод на роден асемблер може да бъде трудно, но писането на пълен шелкод, който работи и на двата типа системи, изисква елитни умения, така че започнахме да се чудим на изтънчеността на нападателя.
Когато анализирахме компилирания шелкод с помощта на , забелязахме, че зарежда .NET динамични библиотеки , като clr.dll и mscoreei.dll. Това ни се стори странно - обикновено нападателите се опитват да направят шелкода възможно най-малък, като извикват собствени функции на ОС, вместо да ги зареждат. Защо някой ще трябва да вгражда функционалност на Windows в шелкода, вместо да го извиква директно при поискване?
Както се оказа, авторът на злонамерения софтуер изобщо не е написал този сложен шелкод - софтуер, специфичен за тази задача, е използван за превод на изпълними файлове и скриптове в шелкод.
Намерихме инструмент , за който смятахме, че може да компилира подобен шелкод. Ето описанието му от GitHub:
Donut генерира x86 или x64 shellcode от VBScript, JScript, EXE, DLL (включително .NET асембли). Този шелкод може да бъде инжектиран във всеки процес на Windows, за да бъде изпълнен
оперативна памет.
За да потвърдим нашата теория, компилирахме наш собствен код с помощта на Donut и го сравнихме с извадката - и... да, открихме друг компонент от използвания инструментариум. След това успяхме да извлечем и анализираме оригиналния .NET изпълним файл.
Защита на кода
Този файл е скрит с помощта на :
ConfuserEx е .NET проект с отворен код за защита на кода на други разработки. Този клас софтуер позволява на разработчиците да защитят кода си от обратно инженерство, използвайки методи като заместване на знаци, маскиране на потока на контролни команди и скриване на референтен метод. Авторите на зловреден софтуер използват обфускатори, за да избегнат откриването и да направят обратното инженерство по-трудно.
Благодарение на разопаковахме кода:
Резултат - полезен товар
Полученият полезен товар е много прост ransomware вирус. Без механизъм за осигуряване на присъствие в системата, без връзки с командния център - само доброто старо асиметрично криптиране, което да направи данните на жертвата нечетими.
Основната функция избира следните редове като параметри:
- Файлово разширение за използване след криптиране (SaveTheQueen)
- Имейлът на автора за поставяне във файла с бележка за откуп
- Публичен ключ, използван за криптиране на файлове
Самият процес изглежда така:
- Зловреден софтуер изследва локални и свързани дискове на устройството на жертвата
- Търси файлове за шифроване
- Опитва се да прекрати процес, който използва файл, който е на път да шифрова
- Преименува файла на "OriginalFileName.SaveTheQueenING" с помощта на функцията MoveFile и го шифрова
- След като файлът е шифрован с публичния ключ на автора, зловредният софтуер го преименува отново, сега на „Original FileName.SaveTheQueen“
- В същата папка се записва файл с искане за откуп
Въз основа на използването на собствената функция „CreateDecryptor“, една от функциите на злонамерения софтуер изглежда съдържа като параметър механизъм за декриптиране, който изисква частен ключ.
ransomware вирус НЕ шифрова файлове, съхранявани в директории:
C: прозорци
C: Program Files
C: Програмни файлове (x86)
C:Users\AppData
C:inetpub
Той също НЕ шифрова следните типове файлове:EXE, DLL, MSI, ISO, SYS, CAB.
Резултати и заключения
Въпреки че самият рансъмуер не съдържа необичайни функции, атакуващият креативно използва Active Directory, за да разпространи капкомера, а самият зловреден софтуер ни изправи пред интересни, макар и в крайна сметка неусложнени, препятствия по време на анализа.
Смятаме, че авторът на зловреден софтуер е:
- Написа ransomware вирус с вградено инжектиране в процеса winlogon.exe, както и
функционалност за криптиране и декриптиране на файлове - Маскира злонамерения код с помощта на ConfuserEx, преобразува резултата с помощта на Donut и допълнително скрива base64 Gzip dropper
- Получава повишени привилегии в домейна на жертвата и ги използва за копиране
шифрован зловреден софтуер и планирани задания към мрежовата папка SYSVOL на домейн контролерите - Изпълнете скрипт на PowerShell на устройства с домейн, за да разпространявате зловреден софтуер и да записвате напредъка на атаката в регистрационните файлове в SYSVOL
Ако имате въпроси относно този вариант на вируса рансъмуер или всякакви други съдебни разследвания и разследвания на инциденти в киберсигурността, извършвани от нашите екипи, или искане , където винаги отговаряме на въпроси в сесия с въпроси и отговори.
Източник: www.habr.com