Nova vrsta ransomware-a šifrira datoteke i dodaje im ekstenziju ".SaveTheQueen", šireći se kroz SYSVOL mrežnu mapu na Active Directory domenskim kontrolerima.
Naši klijenti su se nedavno susreli sa ovim zlonamjernim softverom. U nastavku predstavljamo našu potpunu analizu, njene rezultate i zaključke.
Otkrivanje
Jedan od naših klijenata nas je kontaktirao nakon što je naišao na novu vrstu ransomwarea koji je dodavao ekstenziju ".SaveTheQueen" novim šifriranim datotekama u njihovom okruženju.
Tokom naše istrage, odnosno u fazi traženja izvora zaraze, saznali smo da se distribucija i praćenje zaraženih žrtava vrši pomoću mrežni folder SYSVOL na klijentovom kontroleru domene.
SYSVOL je ključna fascikla za svaki kontroler domena koja se koristi za isporuku objekata grupne politike (GPO) i skripti za prijavu i odjavu računarima u domenu. Sadržaj ove mape se replicira između kontrolora domena kako bi se ti podaci sinhronizirali na web lokacijama organizacije. Pisanje u SYSVOL zahtijeva visoke domenske privilegije, međutim, kada se jednom kompromituje, ovo sredstvo postaje moćno oruđe za napadače koji ga mogu koristiti za brzo i efikasno širenje zlonamjernog sadržaja po domeni.
Varonis lanac revizije pomogao je da se brzo identifikuju sljedeće:
- Zaraženi korisnički nalog je kreirao datoteku pod nazivom "na sat" u SYSVOL-u
- Mnoge datoteke evidencije su kreirane u SYSVOL-u - svaka je imenovana imenom uređaja domene
- Mnogo različitih IP adresa je pristupalo datoteci "po satu".
Zaključili smo da su log datoteke korištene za praćenje procesa infekcije na novim uređajima, te da je "po satu" zakazan posao koji je izvršavao zlonamjerno opterećenje na novim uređajima koristeći Powershell skriptu - uzorke "v3" i "v4".
Napadač je vjerovatno dobio i koristio privilegije administratora domene za pisanje datoteka u SYSVOL. Na zaraženim hostovima, napadač je pokrenuo PowerShell kod koji je kreirao raspored za otvaranje, dešifriranje i pokretanje zlonamjernog softvera.
Dešifriranje zlonamjernog softvera
Pokušali smo na nekoliko načina da dešifrujemo uzorke bezuspješno:
Bili smo skoro spremni da odustanemo kada smo odlučili da isprobamo “Magični” metod veličanstvenih
komunalne usluge
Napomena prevodioca Vidite
Magic je utvrdio da je korišten base64 kodiran GZip packer, tako da smo uspjeli dekomprimirati datoteku i otkriti injekcioni kod.
Dropper: „Epidemija je u ovoj oblasti! Opšte vakcinacije. slinavka i šapa"
Dropper je bio običan .NET fajl bez ikakve zaštite. Nakon čitanja izvornog koda sa
Shellcode ili jednostavne komplikacije
Koristili smo Hexacorn autorski alat −
Pisanje čak i jednostavnog shell koda u prijevodu izvornog asemblerskog jezika može biti teško, ali pisanje kompletnog shell koda koji radi na oba tipa sistema zahtijeva elitne vještine, pa smo se počeli čuditi sofisticiranosti napadača.
Kada smo raščlanili kompajlirani shellcode koristeći
Kako se ispostavilo, autor zlonamjernog softvera uopće nije napisao ovaj složeni shellcode - softver specifičan za ovaj zadatak korišten je za prevođenje izvršnih datoteka i skripti u shellcode.
Našli smo alat
Donut generiše x86 ili x64 shellcode iz VBScript, JScript, EXE, DLL (uključujući .NET sklopove). Ovaj shellcode se može ubaciti u bilo koji Windows proces u kojem će se izvršiti
memorije.
Da bismo potvrdili našu teoriju, sastavili smo vlastiti kod koristeći Donut i uporedili ga sa uzorkom - i... da, otkrili smo još jednu komponentu korištenog alata. Nakon toga, već smo mogli da izdvojimo i analiziramo originalnu .NET izvršnu datoteku.
Zaštita koda
Ovaj fajl je zamaskiran upotrebom
ConfuserEx je .NET projekat otvorenog koda za zaštitu koda drugih razvoja. Ova klasa softvera omogućava programerima da zaštite svoj kod od obrnutog inženjeringa koristeći metode kao što su zamjena znakova, maskiranje toka kontrolnih komandi i skrivanje referentnih metoda. Autori zlonamjernog softvera koriste obfuskatore kako bi izbjegli otkrivanje i otežali obrnuti inženjering.
Hvala
Rezultat - nosivost
Rezultirajući korisni teret je vrlo jednostavan ransomware virus. Nema mehanizma koji bi osigurao prisustvo u sistemu, nema konekcija sa komandnim centrom - samo dobra stara asimetrična enkripcija kako bi podaci žrtve bili nečitljivi.
Glavna funkcija bira sljedeće linije kao parametre:
- Ekstenzija datoteke za korištenje nakon šifriranja (SaveTheQueen)
- E-mail autora da se stavi u datoteku s bilješkom o otkupnini
- Javni ključ koji se koristi za šifriranje datoteka
Sam proces izgleda ovako:
- Zlonamjerni softver ispituje lokalne i povezane diskove na uređaju žrtve
- Traži datoteke za šifriranje
- Pokušava prekinuti proces koji koristi datoteku koju će šifrirati
- Preimenuje datoteku u "OriginalFileName.SaveTheQueenING" pomoću funkcije MoveFile i šifrira je
- Nakon što je datoteka šifrirana javnim ključem autora, zlonamjerni softver je ponovo preimenuje, sada u "Original FileName.SaveTheQueen"
- Datoteka sa zahtjevom za otkupninom upisuje se u isti folder
Na osnovu upotrebe izvorne funkcije "CreateDecryptor", čini se da jedna od funkcija zlonamjernog softvera kao parametar sadrži mehanizam za dešifriranje koji zahtijeva privatni ključ.
Ransomware virus NE šifrira fajlove, pohranjen u direktorijima:
C: windows
C: Programske datoteke
C: Programske datoteke (x86)
C:Korisnici\AppData
C:inetpub
On takodje NE šifrira sljedeće tipove datoteka:EXE, DLL, MSI, ISO, SYS, CAB.
Rezultati i zaključci
Iako sam ransomware nije sadržavao nikakve neobične karakteristike, napadač je kreativno koristio Active Directory za distribuciju droppera, a sam zlonamjerni softver nam je predstavljao zanimljive, iako na kraju jednostavne, prepreke tokom analize.
Mislimo da je autor zlonamjernog softvera:
- Napisao ransomware virus sa ugrađenom injekcijom u proces winlogon.exe, kao i
funkcionalnost šifriranja i dešifriranja datoteka - Prikrio zlonamjerni kod pomoću ConfuserExa, konvertirao rezultat koristeći Donut i dodatno sakrio base64 Gzip dropper
- Dobio je povišene privilegije u domenu žrtve i koristio ih za kopiranje
šifrirani zlonamjerni softver i zakazani poslovi u SYSVOL mrežni folder kontrolera domena - Pokrenite PowerShell skriptu na uređajima domene da širite zlonamjerni softver i zabilježite napredak napada u zapisnicima u SYSVOL-u
Ako imate pitanja o ovoj varijanti ransomware virusa ili bilo kojoj drugoj forenzičkoj istrazi i istragama kibernetičke sigurnosti koje su izvršili naši timovi,
izvor: www.habr.com