Una nova varietat de ransomware xifra els fitxers i els hi afegeix una extensió ".SaveTheQueen", que s'estén per la carpeta de xarxa SYSVOL als controladors de domini Active Directory.
Els nostres clients han trobat aquest programari maliciós recentment. Presentem la nostra anàlisi completa, els seus resultats i conclusions a continuació.
Detecció
Un dels nostres clients es va posar en contacte amb nosaltres després de trobar una nova varietat de ransomware que estava afegint l'extensió ".SaveTheQueen" als nous fitxers xifrats del seu entorn.
Durant la nostra investigació, o més aviat en l'etapa de recerca de fonts d'infecció, vam descobrir que la distribució i el seguiment de les víctimes infectades es realitzava mitjançant carpeta de xarxa SYSVOL al controlador de domini del client.
SYSVOL és una carpeta clau per a cada controlador de domini que s'utilitza per lliurar objectes de política de grup (GPO) i scripts d'inici de sessió i tancament de sessió als ordinadors del domini. El contingut d'aquesta carpeta es replica entre controladors de domini per sincronitzar aquestes dades entre els llocs de l'organització. Escriure a SYSVOL requereix privilegis de domini elevats, però, un cop compromès, aquest actiu es converteix en una eina poderosa per als atacants que poden utilitzar-lo per difondre de manera ràpida i eficient càrregues útils malicioses a través d'un domini.
La cadena d'auditoria de Varonis va ajudar a identificar ràpidament el següent:
- El compte d'usuari infectat va crear un fitxer anomenat "horària" a SYSVOL
- Es van crear molts fitxers de registre a SYSVOL, cadascun anomenat amb el nom d'un dispositiu de domini
- Moltes adreces IP diferents estaven accedint al fitxer "horària".
Vam concloure que els fitxers de registre s'utilitzaven per fer un seguiment del procés d'infecció en dispositius nous i que "cada hora" era un treball programat que executava càrrega útil maliciosa en dispositius nous mitjançant un script de Powershell: mostres "v3" i "v4".
És probable que l'atacant hagi obtingut i utilitzat privilegis d'administrador de domini per escriure fitxers a SYSVOL. En amfitrions infectats, l'atacant va executar el codi de PowerShell que va crear un treball de programació per obrir, desxifrar i executar el programari maliciós.
Desxifrar el programari maliciós
Hem provat diverses maneres de desxifrar mostres sense èxit:
Estàvem gairebé a punt per rendir-nos quan vam decidir provar el mètode "Màgic" del magnífic
serveis públics per GCHQ. Magic intenta endevinar el xifratge d'un fitxer forçant contrasenyes per a diferents tipus de xifratge i mesurant l'entropia.
Nota del traductor Veure и . Aquest article i els comentaris no impliquen discussió per part dels autors dels detalls dels mètodes utilitzats en programari de tercers o propietari.
Magic va determinar que s'utilitzava un empaquetador GZip codificat en base64, de manera que vam poder descomprimir el fitxer i descobrir el codi d'injecció.
Dropper: "Hi ha una epidèmia a la zona! Vacunes generals. febre aftosa"
El comptagotes era un fitxer .NET normal sense cap protecció. Després de llegir el codi font amb ens vam adonar que el seu únic propòsit era injectar shellcode al procés winlogon.exe.
Shellcode o complicacions simples
Hem utilitzat l'eina de creació personalitzada Hexacorn − per tal de "compilar" l'shellcode en un fitxer executable per a la depuració i l'anàlisi. Aleshores vam descobrir que funcionava tant en màquines de 32 com en 64 bits.
Escriure fins i tot un codi shell simple en una traducció en llenguatge ensamblador nadiu pot ser difícil, però escriure codi shell complet que funcioni en ambdós tipus de sistemes requereix habilitats d'elit, així que vam començar a meravellar-nos amb la sofisticació de l'atacant.
Quan vam analitzar el codi de comandament compilat utilitzant , vam notar que estava carregant Biblioteques dinàmiques .NET , com ara clr.dll i mscoreei.dll. Això ens va semblar estrany: normalment els atacants intenten que el codi d'intèrpret d'ordres sigui el més petit possible trucant a funcions natives del sistema operatiu en lloc de carregar-les. Per què algú hauria d'incrustar la funcionalitat de Windows al codi d'intèrpret d'ordres en lloc de trucar-lo directament a demanda?
Com a resultat, l'autor del programari maliciós no va escriure aquest codi complex d'intèrpret d'ordres: es va utilitzar programari específic per a aquesta tasca per traduir fitxers executables i scripts en codi d'intèrpret d'ordres.
Hem trobat una eina , que pensàvem que podria compilar un codi d'intèrpret d'ordres similar. Aquesta és la seva descripció de GitHub:
Donut genera shellcode x86 o x64 a partir de VBScript, JScript, EXE, DLL (inclosos els assemblatges .NET). Aquest codi shell es pot injectar a qualsevol procés de Windows per executar-lo
memòria d'accés aleatori.
Per confirmar la nostra teoria, vam compilar el nostre propi codi amb Donut i el vam comparar amb la mostra, i... sí, vam descobrir un altre component del conjunt d'eines utilitzat. Després d'això, ja vam poder extreure i analitzar el fitxer executable .NET original.
Codi de protecció
Aquest fitxer s'ha ofuscat utilitzant :
ConfuserEx és un projecte .NET de codi obert per protegir el codi d'altres desenvolupaments. Aquesta classe de programari permet als desenvolupadors protegir el seu codi de l'enginyeria inversa mitjançant mètodes com la substitució de caràcters, l'emmascarament del flux d'ordres de control i l'ocultació de mètodes de referència. Els autors de programari maliciós utilitzen ofuscadors per evadir la detecció i per dificultar l'enginyeria inversa.
gràcies vam desempaquetar el codi:
Resultat: càrrega útil
La càrrega útil resultant és un virus de ransomware molt simple. Cap mecanisme per garantir la presència al sistema, no hi ha connexions al centre de comandaments: només un bon xifrat asimètric antic per fer que les dades de la víctima siguin il·legibles.
La funció principal selecciona les línies següents com a paràmetres:
- Extensió de fitxer per utilitzar després del xifratge (SaveTheQueen)
- Correu electrònic de l'autor per col·locar-lo al fitxer de nota de rescat
- Clau pública utilitzada per xifrar fitxers
El procés en si té aquest aspecte:
- El programari maliciós examina les unitats locals i connectades al dispositiu de la víctima
- Cerca fitxers per xifrar
- Intenta finalitzar un procés que utilitza un fitxer que està a punt de xifrar
- Canvia el nom del fitxer a "OriginalFileName.SaveTheQueenING" mitjançant la funció MoveFile i el xifra
- Després de xifrar el fitxer amb la clau pública de l'autor, el programari maliciós el canvia el nom de nou, ara a "Original FileName.SaveTheQueen".
- Un fitxer amb una demanda de rescat s'escriu a la mateixa carpeta
A partir de l'ús de la funció nativa "CreateDecryptor", una de les funcions del programari maliciós sembla contenir com a paràmetre un mecanisme de desxifrat que requereix una clau privada.
virus de ransomware NO xifra els fitxers, emmagatzemat en directoris:
C: Windows
C: fitxers de programa
C: Fitxers de programa (x86)
C:Usuaris\AppData
C:inetpub
Ell també NO xifra els tipus de fitxer següents:EXE, DLL, MSI, ISO, SYS, CAB.
Resultats i conclusions
Tot i que el ransomware en si no contenia cap característica inusual, l'atacant va utilitzar de manera creativa Active Directory per distribuir el comptegotes, i el mateix programari maliciós ens va presentar obstacles interessants, encara que en última instància, sense complicacions durant l'anàlisi.
Creiem que l'autor del programari maliciós és:
- Va escriure un virus de ransomware amb injecció integrada al procés winlogon.exe, així com
funcionalitat de xifratge i desxifrat de fitxers - Va dissimular el codi maliciós amb ConfuserEx, va convertir el resultat amb Donut i, a més, va amagar el comptagotes Gzip base64
- Va obtenir privilegis elevats al domini de la víctima i els va utilitzar per copiar
programari maliciós xifrat i treballs programats a la carpeta de xarxa SYSVOL dels controladors de domini - Executeu un script de PowerShell als dispositius de domini per difondre programari maliciós i registrar el progrés de l'atac als registres de SYSVOL
Si teniu preguntes sobre aquesta variant del virus de ransomware o sobre qualsevol altra investigació d'incidents forenses i de ciberseguretat realitzada pels nostres equips, o petició , on sempre responem preguntes en una sessió de preguntes i respostes.
Font: www.habr.com