Otkupnina je poput kraljice: Varonis istražuje brzo šireći ransomware "SaveTheQueen"

Nova vrsta ransomware-a šifrira datoteke i dodaje im ekstenziju ".SaveTheQueen", šireći se kroz SYSVOL mrežnu mapu na Active Directory domenskim kontrolerima.

Naši klijenti su se nedavno susreli sa ovim zlonamjernim softverom. U nastavku predstavljamo našu potpunu analizu, njene rezultate i zaključke.

Otkrivanje

Jedan od naših klijenata nas je kontaktirao nakon što je naišao na novu vrstu ransomwarea koji je dodavao ekstenziju ".SaveTheQueen" novim šifriranim datotekama u njihovom okruženju.

Tokom naše istrage, odnosno u fazi traženja izvora zaraze, saznali smo da se distribucija i praćenje zaraženih žrtava vrši pomoću mrežni folder SYSVOL na klijentovom kontroleru domene.

SYSVOL je ključna fascikla za svaki kontroler domena koja se koristi za isporuku objekata grupne politike (GPO) i skripti za prijavu i odjavu računarima u domenu. Sadržaj ove mape se replicira između kontrolora domena kako bi se ti podaci sinhronizirali na web lokacijama organizacije. Pisanje u SYSVOL zahtijeva visoke domenske privilegije, međutim, kada se jednom kompromituje, ovo sredstvo postaje moćno oruđe za napadače koji ga mogu koristiti za brzo i efikasno širenje zlonamjernog sadržaja po domeni.

Varonis lanac revizije pomogao je da se brzo identifikuju sljedeće:

• Zaraženi korisnički nalog je kreirao datoteku pod nazivom "na sat" u SYSVOL-u
• Mnoge datoteke evidencije su kreirane u SYSVOL-u - svaka je imenovana imenom uređaja domene
• Mnogo različitih IP adresa je pristupalo datoteci "po satu".

Zaključili smo da su log datoteke korištene za praćenje procesa infekcije na novim uređajima, te da je "po satu" zakazan posao koji je izvršavao zlonamjerno opterećenje na novim uređajima koristeći Powershell skriptu - uzorke "v3" i "v4".

Napadač je vjerovatno dobio i koristio privilegije administratora domene za pisanje datoteka u SYSVOL. Na zaraženim hostovima, napadač je pokrenuo PowerShell kod koji je kreirao raspored za otvaranje, dešifriranje i pokretanje zlonamjernog softvera.

Dešifriranje zlonamjernog softvera

Pokušali smo na nekoliko načina da dešifrujemo uzorke bezuspješno:

Bili smo skoro spremni da odustanemo kada smo odlučili da isprobamo “Magični” metod veličanstvenih
komunalne usluge Cyberchef od GCHQ. Magic pokušava pogoditi enkripciju datoteke brutalnim korištenjem lozinki za različite tipove šifriranja i mjerenjem entropije.

Napomena prevodioca ViditeDiferencijalna entropija и Entropija u teoriji informacija. Ovaj članak i komentari ne uključuju raspravu od strane autora o detaljima metoda koje se koriste bilo u softveru treće strane ili u vlasničkom softveru


Magic je utvrdio da je korišten base64 kodiran GZip packer, tako da smo uspjeli dekomprimirati datoteku i otkriti injekcioni kod.

Dropper: „Epidemija je u ovoj oblasti! Opšte vakcinacije. slinavka i šapa"

Dropper je bio običan .NET fajl bez ikakve zaštite. Nakon čitanja izvornog koda sa DNSpy shvatili smo da je njegova jedina svrha da ubaci shellcode u proces winlogon.exe.

Shellcode ili jednostavne komplikacije

Koristili smo Hexacorn autorski alat − shellcode2exe kako bi se "kompilirao" shellcode u izvršni fajl za otklanjanje grešaka i analizu. Tada smo otkrili da radi i na 32-bitnim i na 64-bitnim mašinama.

Pisanje čak i jednostavnog shell koda u prijevodu izvornog asemblerskog jezika može biti teško, ali pisanje kompletnog shell koda koji radi na oba tipa sistema zahtijeva elitne vještine, pa smo se počeli čuditi sofisticiranosti napadača.

Kada smo raščlanili kompajlirani shellcode koristeći x64dbg, primijetili smo da je utovario .NET dinamičke biblioteke , kao što su clr.dll i mscoreei.dll. Ovo nam se činilo čudnim - obično napadači pokušavaju da shellcode učine što manjim pozivanjem izvornih OS funkcija umjesto da ih učitavaju. Zašto bi neko morao da ugradi Windows funkcionalnost u shellcode umesto da ga poziva direktno na zahtev?

Kako se ispostavilo, autor zlonamjernog softvera uopće nije napisao ovaj složeni shellcode - softver specifičan za ovaj zadatak korišten je za prevođenje izvršnih datoteka i skripti u shellcode.

Našli smo alat uštipak, za koji smo mislili da može kompajlirati sličan shellcode. Evo njegovog opisa sa GitHub-a:

Donut generiše x86 ili x64 shellcode iz VBScript, JScript, EXE, DLL (uključujući .NET sklopove). Ovaj shellcode se može ubaciti u bilo koji Windows proces u kojem će se izvršiti
memorije.

Da bismo potvrdili našu teoriju, sastavili smo vlastiti kod koristeći Donut i uporedili ga sa uzorkom - i... da, otkrili smo još jednu komponentu korištenog alata. Nakon toga, već smo mogli da izdvojimo i analiziramo originalnu .NET izvršnu datoteku.

Zaštita koda

Ovaj fajl je zamaskiran upotrebom ConfuserEx:

ConfuserEx je .NET projekat otvorenog koda za zaštitu koda drugih razvoja. Ova klasa softvera omogućava programerima da zaštite svoj kod od obrnutog inženjeringa koristeći metode kao što su zamjena znakova, maskiranje toka kontrolnih komandi i skrivanje referentnih metoda. Autori zlonamjernog softvera koriste obfuskatore kako bi izbjegli otkrivanje i otežali obrnuti inženjering.

Hvala ElektroKill Unpacker raspakovali smo kod:

Rezultat - nosivost

Rezultirajući korisni teret je vrlo jednostavan ransomware virus. Nema mehanizma koji bi osigurao prisustvo u sistemu, nema konekcija sa komandnim centrom - samo dobra stara asimetrična enkripcija kako bi podaci žrtve bili nečitljivi.

Glavna funkcija bira sljedeće linije kao parametre:

• Ekstenzija datoteke za korištenje nakon šifriranja (SaveTheQueen)
• E-mail autora da se stavi u datoteku s bilješkom o otkupnini
• Javni ključ koji se koristi za šifriranje datoteka

Sam proces izgleda ovako:

1. Zlonamjerni softver ispituje lokalne i povezane diskove na uređaju žrtve

   

2. Traži datoteke za šifriranje

   

3. Pokušava prekinuti proces koji koristi datoteku koju će šifrirati
4. Preimenuje datoteku u "OriginalFileName.SaveTheQueenING" pomoću funkcije MoveFile i šifrira je
5. Nakon što je datoteka šifrirana javnim ključem autora, zlonamjerni softver je ponovo preimenuje, sada u "Original FileName.SaveTheQueen"
6. Datoteka sa zahtjevom za otkupninom upisuje se u isti folder

   

Na osnovu upotrebe izvorne funkcije "CreateDecryptor", čini se da jedna od funkcija zlonamjernog softvera kao parametar sadrži mehanizam za dešifriranje koji zahtijeva privatni ključ.

Ransomware virus NE šifrira fajlove, pohranjen u direktorijima:

C: windows
C: Programske datoteke
C: Programske datoteke (x86)
C:Korisnici\AppData
C:inetpub

On takodje NE šifrira sljedeće tipove datoteka:EXE, DLL, MSI, ISO, SYS, CAB.

Rezultati i zaključci

Iako sam ransomware nije sadržavao nikakve neobične karakteristike, napadač je kreativno koristio Active Directory za distribuciju droppera, a sam zlonamjerni softver nam je predstavljao zanimljive, iako na kraju jednostavne, prepreke tokom analize.

Mislimo da je autor zlonamjernog softvera:

1. Napisao ransomware virus sa ugrađenom injekcijom u proces winlogon.exe, kao i
   funkcionalnost šifriranja i dešifriranja datoteka
2. Prikrio zlonamjerni kod pomoću ConfuserExa, konvertirao rezultat koristeći Donut i dodatno sakrio base64 Gzip dropper
3. Dobio je povišene privilegije u domenu žrtve i koristio ih za kopiranje
   šifrirani zlonamjerni softver i zakazani poslovi u SYSVOL mrežni folder kontrolera domena
4. Pokrenite PowerShell skriptu na uređajima domene da širite zlonamjerni softver i zabilježite napredak napada u zapisnicima u SYSVOL-u

Ako imate pitanja o ovoj varijanti ransomware virusa ili bilo kojoj drugoj forenzičkoj istrazi i istragama kibernetičke sigurnosti koje su izvršili naši timovi, Kontaktiraj nas ili zahtjev demonstracija odgovora na napade uživo, gdje uvijek odgovaramo na pitanja u sesiji pitanja i odgovora.

izvor: www.habr.com