En ny stamme af ransomware krypterer filer og tilføjer en ".SaveTheQueen"-udvidelse til dem, der spredes gennem SYSVOL-netværksmappen på Active Directory-domænecontrollere.
Vores kunder stødte på denne malware for nylig. Vi præsenterer vores fulde analyse, dens resultater og konklusioner nedenfor.
detektion
En af vores kunder kontaktede os, efter at de stødte på en ny stamme af ransomware, der tilføjede ".SaveTheQueen"-udvidelsen til nye krypterede filer i deres miljø.
Under vores undersøgelse, eller rettere på stadiet med søgningen efter smittekilder, fandt vi ud af, at distribution og sporing af inficerede ofre blev udført vha. netværksmappe SYSVOL på kundens domænecontroller.
SYSVOL er en nøglemappe for hver domænecontroller, der bruges til at levere gruppepolitikobjekter (GPO'er) og logon- og logoff-scripts til computere i domænet. Indholdet af denne mappe replikeres mellem domænecontrollere for at synkronisere disse data på tværs af organisationens websteder. At skrive til SYSVOL kræver høje domæneprivilegier, men når det først er kompromitteret, bliver dette aktiv et kraftfuldt værktøj for angribere, der kan bruge det til hurtigt og effektivt at sprede ondsindede nyttelaster på tværs af et domæne.
Varonis revisionskæde hjalp hurtigt med at identificere følgende:
- Den inficerede brugerkonto oprettede en fil kaldet "timelig" i SYSVOL
- Mange logfiler blev oprettet i SYSVOL - hver navngivet med navnet på en domæneenhed
- Mange forskellige IP-adresser fik adgang til "time"-filen
Vi konkluderede, at logfilerne blev brugt til at spore infektionsprocessen på nye enheder, og at "hver time" var et planlagt job, der udførte ondsindet nyttelast på nye enheder ved hjælp af et Powershell-script - eksempler "v3" og "v4".
Angriberen har sandsynligvis opnået og brugt domæneadministratorrettigheder til at skrive filer til SYSVOL. På inficerede værter kørte angriberen PowerShell-kode, der skabte et planlægningsjob til at åbne, dekryptere og køre malwaren.
Dekryptering af malware
Vi har forsøgt flere måder at dechifrere prøver på uden held:
Vi var næsten klar til at give op, da vi besluttede at prøve den storslåedes "Magiske" metode
forsyningsselskaber af GCHQ. Magic forsøger at gætte en fils kryptering ved at fremtvinge adgangskoder til forskellige krypteringstyper og måle entropi.
Oversætterens bemærkning Se и . Denne artikel og kommentarer involverer ikke diskussion fra forfatternes side af detaljerne i metoder, der anvendes i hverken tredjeparts- eller proprietær software
Magic fandt ud af, at der blev brugt en base64-kodet GZip-pakker, så vi var i stand til at dekomprimere filen og opdage injektionskoden.
Dropper: "Der er en epidemi i området! Generelle vaccinationer. mund- og klovsyge"
Dropperen var en almindelig .NET-fil uden nogen beskyttelse. Efter at have læst kildekoden med vi indså, at dens eneste formål var at injicere shellcode i winlogon.exe-processen.
Shellcode eller simple komplikationer
Vi brugte Hexacorn-forfatterværktøjet − for at "kompilere" shellkoden til en eksekverbar fil til fejlretning og analyse. Vi opdagede så, at det virkede på både 32 og 64 bit maskiner.
Det kan være svært at skrive selv simpel shellcode i en native assembly-oversættelse, men at skrive komplet shellcode, der fungerer på begge typer systemer, kræver elitefærdigheder, så vi begyndte at undre os over angriberens sofistikerede.
Da vi analyserede den kompilerede shellkode ved hjælp af , lagde vi mærke til, at han læssede .NET dynamiske biblioteker , såsom clr.dll og mscoreei.dll. Dette virkede mærkeligt for os - som regel forsøger angribere at gøre shellkoden så lille som muligt ved at kalde native OS-funktioner i stedet for at indlæse dem. Hvorfor skulle nogen være nødt til at indlejre Windows-funktionalitet i shell-koden i stedet for at kalde den direkte på efterspørgsel?
Som det viste sig, skrev forfatteren af malwaren slet ikke denne komplekse shellcode - software, der var specifik for denne opgave, blev brugt til at oversætte eksekverbare filer og scripts til shellcode.
Vi fandt et værktøj , som vi troede kunne kompilere en lignende shellcode. Her er dens beskrivelse fra GitHub:
Donut genererer x86 eller x64 shellcode fra VBScript, JScript, EXE, DLL (inklusive .NET assemblies). Denne shellkode kan injiceres i enhver Windows-proces, der skal udføres i
Random Access Memory.
For at bekræfte vores teori kompilerede vi vores egen kode ved hjælp af Donut og sammenlignede den med prøven - og... ja, vi opdagede en anden komponent i det anvendte værktøjssæt. Efter dette var vi allerede i stand til at udpakke og analysere den originale .NET eksekverbare fil.
Kodebeskyttelse
Denne fil er blevet sløret vha :
ConfuserEx er et open source .NET-projekt til beskyttelse af koden for andre udviklinger. Denne softwareklasse giver udviklere mulighed for at beskytte deres kode mod reverse engineering ved hjælp af metoder såsom tegnsubstitution, kontrolkommandoflowmaskering og referencemetodeskjul. Malware-forfattere bruger obfuscatorer til at undgå registrering og gøre reverse engineering vanskeligere.
tak vi pakkede koden ud:
Resultat - nyttelast
Den resulterende nyttelast er en meget simpel ransomware-virus. Ingen mekanisme til at sikre tilstedeværelse i systemet, ingen forbindelser til kommandocentralen - bare god gammel asymmetrisk kryptering for at gøre ofrets data ulæselige.
Hovedfunktionen vælger følgende linjer som parametre:
- Filtypenavn til brug efter kryptering (SaveTheQueen)
- Forfatterens e-mail, der skal placeres i løsesumsnotatfilen
- Offentlig nøgle bruges til at kryptere filer
Selve processen ser sådan ud:
- Malwaren undersøger lokale og tilsluttede drev på ofrets enhed
- Søger efter filer, der skal krypteres
- Forsøger at afslutte en proces, der bruger en fil, som den er ved at kryptere
- Omdøber filen til "OriginalFileName.SaveTheQueenING" ved hjælp af MoveFile-funktionen og krypterer den
- Efter at filen er krypteret med forfatterens offentlige nøgle, omdøber malwaren den igen, nu til "Original FileName.SaveTheQueen"
- En fil med krav om løsesum skrives til den samme mappe
Baseret på brugen af den indbyggede "CreateDecryptor"-funktion, ser en af malwarens funktioner ud til at indeholde som parameter en dekrypteringsmekanisme, der kræver en privat nøgle.
ransomware virus Krypterer IKKE filer, gemt i mapper:
C: windows
C: Program Files
C: Programfiler (x86)
C:Brugere\AppData
C:inetpub
Også ham Krypterer IKKE følgende filtyper:EXE, DLL, MSI, ISO, SYS, CAB.
Resumé og konklusioner
Selvom selve ransomwaren ikke indeholdt nogen usædvanlige funktioner, brugte angriberen kreativt Active Directory til at distribuere dropperen, og selve malwaren præsenterede os for interessante, om end ukomplicerede, forhindringer under analysen.
Vi tror, at forfatteren til malwaren er:
- Skrev en ransomware-virus med indbygget injektion i winlogon.exe-processen, samt
filkryptering og dekrypteringsfunktionalitet - Forklædte den ondsindede kode ved hjælp af ConfuserEx, konverterede resultatet ved hjælp af Donut og skjulte desuden base64 Gzip-dråberen
- Opnåede forhøjede privilegier på offerets domæne og brugte dem til at kopiere
krypteret malware og planlagte job til SYSVOL-netværksmappen af domænecontrollere - Kør et PowerShell-script på domæneenheder for at sprede malware og registrere angrebsfremskridt i logfiler i SYSVOL
Hvis du har spørgsmål om denne variant af ransomware-virussen eller andre efterforskninger af retsmedicin og cybersikkerhedshændelser udført af vores teams, eller anmodning , hvor vi altid besvarer spørgsmål i en Q&A-session.
Kilde: www.habr.com