Usa ka bag-ong strain sa ransomware ang nag-encrypt sa mga file ug nagdugang og ".SaveTheQueen" nga extension ngadto kanila, nga mikaylap pinaagi sa SYSVOL network folder sa Active Directory domain controllers.
Ang among mga kustomer nakasugat niining malware bag-o lang. Gipresentar namon ang among bug-os nga pag-analisar, ang mga resulta ug mga konklusyon niini sa ubos.
Pagpangita
Usa sa among mga kustomer mikontak kanamo human sila makasugat og bag-ong strain sa ransomware nga nagdugang sa ".SaveTheQueen" nga extension sa bag-ong naka-encrypt nga mga file sa ilang palibot.
Atol sa among imbestigasyon, o sa yugto sa pagpangita sa mga tinubdan sa impeksyon, among nahibal-an nga ang pag-apod-apod ug pagsubay sa mga nataptan nga biktima gihimo gamit ang network folder SYSVOL sa domain controller sa kustomer.
Ang SYSVOL kay usa ka yawe nga folder para sa matag domain controller nga gigamit sa paghatud sa Group Policy Objects (GPOs) ug logon ug logoff scripts sa mga computer sa domain. Ang mga sulud niini nga folder gikopya tali sa mga tigkontrol sa domain aron i-synchronize kini nga datos sa mga site sa organisasyon. Ang pagsulat sa SYSVOL nanginahanglan ug taas nga mga pribilehiyo sa domain, bisan pa, sa higayon nga makompromiso, kini nga asset mahimong usa ka kusgan nga himan alang sa mga tig-atake nga magamit kini aron dali ug epektibo nga ipakaylap ang makadaot nga mga payload sa usa ka domain.
Ang kadena sa pag-audit sa Varonis nakatabang dayon sa pag-ila sa mosunod:
- Ang nataptan nga user account naghimo og file nga gitawag og "hourly" sa SYSVOL
- Daghang mga log file ang gihimo sa SYSVOL - ang matag usa gihinganlan sa ngalan sa usa ka domain device
- Daghang lain-laing mga IP adres ang nag-access sa "oras-oras" nga file
Kami nakahinapos nga ang mga file sa log gigamit sa pagsubay sa proseso sa impeksyon sa bag-ong mga himan, ug nga ang "oras-oras" usa ka naka-iskedyul nga trabaho nga nagpatuman sa malisyosong payload sa mga bag-ong device gamit ang Powershell script - mga sample "v3" ug "v4".
Ang tig-atake lagmit nakakuha ug naggamit sa mga pribilehiyo sa tagdumala sa domain sa pagsulat sa mga file sa SYSVOL. Sa nataptan nga mga host, ang tig-atake nagpadagan sa PowerShell code nga naghimo ug iskedyul nga trabaho aron maablihan, i-decrypt, ug ipadagan ang malware.
Pag-decrypt sa malware
Gisulayan namo ang pipila ka mga paagi sa paghubad sa mga sampol nga walay kapuslanan:
Kami hapit andam nga mohunong sa diha nga kami nakahukom nga sulayan ang "Magic" nga pamaagi sa matahum
mga kagamitan pinaagi sa GCHQ. Gisulayan sa Magic ang pagtag-an sa encryption sa usa ka file pinaagi sa brute-force nga mga password alang sa lain-laing mga tipo sa encryption ug pagsukod sa entropy.
Mubo nga sulat sa maghuhubad Tan-awa и . Kini nga artikulo ug mga komentaryo wala maglakip sa panaghisgot sa bahin sa mga tagsulat sa mga detalye sa mga pamaagi nga gigamit sa ikatulo nga partido o proprietary software.
Gitino sa Magic nga gigamit ang base64 nga naka-encode nga GZip packer, mao nga na-decompress namo ang file ug nadiskubrehan ang injection code.
Dropper: “Adunay epidemya sa lugar! Kinatibuk-ang mga pagbakuna. Sakit sa tiil ug baba"
Ang dropper kay usa ka regular nga .NET file nga walay bisan unsa nga proteksyon. Human sa pagbasa sa source code uban sa nakaamgo kami nga ang bugtong katuyoan niini mao ang pag-inject sa shellcode sa proseso sa winlogon.exe.
Shellcode o yanong komplikasyon
Gigamit namo ang himan sa pagsulat sa Hexacorn − aron "pag-compile" ang shellcode ngadto sa usa ka executable file alang sa pag-debug ug pagtuki. Among nadiskobrehan nga kini nagtrabaho sa 32 ug 64 bit nga mga makina.
Ang pagsulat bisan sa yano nga shellcode sa usa ka lumad nga paghubad sa sinultian nga asembliya mahimong lisud, apan ang pagsulat sa kompleto nga shellcode nga magamit sa parehas nga mga klase sa mga sistema nanginahanglan mga elite nga kahanas, mao nga nagsugod kami katingala sa kaarang sa pag-atake.
Sa dihang gi-parse namo ang gihugpong nga shellcode gamit , nakabantay mi nga nag loading siya .NET dinamikong mga librarya , sama sa clr.dll ug mscoreei.dll. Morag katingad-an kini kanamo - kasagaran ang mga tig-atake mosulay sa paghimo sa shellcode nga gamay kutob sa mahimo pinaagi sa pagtawag sa mga function sa lumad nga OS imbis nga i-load kini. Ngano nga adunay kinahanglan nga i-embed ang Windows functionality sa shellcode imbis nga tawagan kini nga direkta kung gipangayo?
Ingon sa nahimo, ang tagsulat sa malware wala gyud magsulat niining komplikado nga shellcode - ang software nga espesipiko niini nga buluhaton gigamit sa paghubad sa mga executable nga mga file ug mga script ngadto sa shellcode.
Nakakita mig himan , nga among gihunahuna nga makahimo og susama nga shellcode. Ania ang paghulagway niini gikan sa GitHub:
Ang Donut nagmugna og x86 o x64 shellcode gikan sa VBScript, JScript, EXE, DLL (lakip ang .NET assemblies). Kini nga shellcode mahimong ma-inject sa bisan unsang proseso sa Windows nga ipatuman
random nga pag-access sa panumduman.
Aron makumpirma ang among teorya, among gi-compile ang among kaugalingon nga code gamit ang Donut ug gitandi kini sa sample - ug ... oo, nadiskobrehan namon ang lain nga sangkap sa toolkit nga gigamit. Human niini, nakahimo kami sa pagkuha ug pag-analisar sa orihinal nga .NET executable file.
Proteksyon sa code
Kini nga payl na-obfuscate gamit :
Ang ConfuserEx usa ka open source .NET nga proyekto alang sa pagpanalipod sa code sa ubang mga kalamboan. Kini nga klase sa software nagtugot sa mga developers sa pagpanalipod sa ilang code gikan sa reverse engineering gamit ang mga pamaagi sama sa character substitution, control command flow masking, ug reference method pagtago. Ang mga tagsulat sa malware naggamit og mga obfuscator aron makalikay sa pag-detect ug aron mas lisud ang reverse engineering.
Salamat gi-unpack namo ang code:
Resulta - payload
Ang resulta nga payload kay simple ra kaayo nga ransomware virus. Walay mekanismo aron maseguro ang presensya sa sistema, walay koneksyon sa command center - maayo lang nga daan nga asymmetric encryption aron dili mabasa ang datos sa biktima.
Ang nag-unang function nagpili sa mosunod nga mga linya isip mga parameter:
- Ang extension sa file nga gamiton human sa pag-encrypt (SaveTheQueen)
- Ang email sa tagsulat nga ibutang sa ransom note file
- Ang yawe sa publiko nga gigamit sa pag-encrypt sa mga file
Ang proseso mismo ingon niini:
- Gisusi sa malware ang lokal ug konektado nga mga drive sa aparato sa biktima
- Pagpangita alang sa mga file aron ma-encrypt
- Misulay sa pagtapos sa usa ka proseso nga naggamit sa usa ka file nga hapit na kini i-encrypt
- Giusab ang ngalan sa file ngadto sa "OriginalFileName.SaveTheQueenING" gamit ang MoveFile function ug gi-encrypt kini
- Human ma-encrypt ang file gamit ang public key sa tagsulat, ang malware nag-ilis niini og ngalan, karon ngadto sa "Original FileName.SaveTheQueen"
- Ang usa ka file nga adunay gipangayo nga lukat gisulat sa parehas nga folder
Base sa paggamit sa lumad nga "CreateDecryptor" function, ang usa sa mga function sa malware makita nga adunay sulod isip parameter ug decryption mechanism nga nagkinahanglan ug private key.
Ransomware virus DILI i-encrypt ang mga file, gitipigan sa mga direktoryo:
C: mga bintana
C: Program Files
C:Program Files (x86)
C:Users\AppData
C: inetpub
Siya usab DILI i-encrypt ang mosunod nga mga tipo sa file:EXE, DLL, MSI, ISO, SYS, CAB.
Mga sangputanan ug konklusyon
Bisan kung ang ransomware mismo wala maglangkob sa bisan unsang dili kasagaran nga mga bahin, ang tig-atake mamugnaon nga naggamit sa Active Directory aron ipang-apod-apod ang dropper, ug ang malware mismo nagpakita kanamo nga makapaikag, kung sa katapusan dili komplikado, mga babag sa panahon sa pag-analisar.
Naghunahuna kami nga ang tagsulat sa malware mao ang:
- Nagsulat usa ka ransomware virus nga adunay built-in nga injection sa proseso sa winlogon.exe, ingon man
file encryption ug decryption functionality - Gitagoan ang malisyoso nga code gamit ang ConfuserEx, gi-convert ang resulta gamit ang Donut ug gitago usab ang base64 Gzip dropper
- Nakakuha ug taas nga mga pribilehiyo sa domain sa biktima ug gigamit kini sa pagkopya
naka-encrypt nga malware ug naka-iskedyul nga mga trabaho sa SYSVOL network folder sa mga tigkontrol sa domain - Pagdalag PowerShell script sa mga device sa domain aron ipakaylap ang malware ug irekord ang pag-uswag sa pag-atake sa mga log sa SYSVOL
Kung naa kay pangutana bahin sa kini nga variant sa ransomware virus, o bisan unsang uban pang forensics ug cybersecurity nga imbestigasyon sa insidente nga gihimo sa among mga team, o hangyo , diin kanunay namong tubagon ang mga pangutana sa usa ka sesyon sa Q&A.
Source: www.habr.com