Eine neue Art von Ransomware verschlüsselt Dateien und fügt ihnen die Erweiterung „.SaveTheQueen“ hinzu und verbreitet sich über den SYSVOL-Netzwerkordner auf Active Directory-Domänencontrollern.
Unsere Kunden sind kürzlich auf diese Malware gestoßen. Im Folgenden präsentieren wir unsere vollständige Analyse, ihre Ergebnisse und Schlussfolgerungen.
Erkennung
Einer unserer Kunden kontaktierte uns, nachdem er auf eine neue Art von Ransomware gestoßen war, die neuen verschlüsselten Dateien in ihrer Umgebung die Erweiterung „.SaveTheQueen“ hinzufügte.
Bei unserer Untersuchung, bzw. bei der Suche nach Infektionsquellen, haben wir herausgefunden, dass die Verteilung und Verfolgung infizierter Opfer mithilfe von durchgeführt wurde Netzwerkordner SYSVOL auf dem Domänencontroller des Kunden.
SYSVOL ist ein Schlüsselordner für jeden Domänencontroller, der zur Bereitstellung von Gruppenrichtlinienobjekten (GPOs) sowie An- und Abmeldeskripts an Computer in der Domäne verwendet wird. Der Inhalt dieses Ordners wird zwischen Domänencontrollern repliziert, um diese Daten an allen Standorten der Organisation zu synchronisieren. Das Schreiben in SYSVOL erfordert hohe Domänenrechte. Sobald dieses Asset jedoch kompromittiert ist, wird es zu einem leistungsstarken Werkzeug für Angreifer, die damit schnell und effizient bösartige Payloads über eine Domäne verteilen können.
Die Varonis-Auditkette hat dazu beigetragen, Folgendes schnell zu identifizieren:
- Das infizierte Benutzerkonto hat in SYSVOL eine Datei namens „hourly“ erstellt
- Viele Protokolldateien wurden in SYSVOL erstellt – jede mit dem Namen eines Domänengeräts benannt
- Viele verschiedene IP-Adressen griffen auf die „stündliche“ Datei zu
Wir kamen zu dem Schluss, dass die Protokolldateien zur Verfolgung des Infektionsprozesses auf neuen Geräten verwendet wurden und dass es sich bei „stündlich“ um einen geplanten Job handelte, der mithilfe eines Powershell-Skripts bösartige Nutzdaten auf neuen Geräten ausführte – Beispiele „v3“ und „v4“.
Der Angreifer hat sich wahrscheinlich Domänenadministratorrechte verschafft und diese genutzt, um Dateien in SYSVOL zu schreiben. Auf infizierten Hosts führte der Angreifer PowerShell-Code aus, der einen Zeitplanauftrag zum Öffnen, Entschlüsseln und Ausführen der Malware erstellte.
Entschlüsselung der Schadsoftware
Wir haben mehrere Möglichkeiten ausprobiert, Proben zu entschlüsseln, jedoch ohne Erfolg:
Wir waren fast bereit aufzugeben, als wir beschlossen, die „magische“ Methode des Großartigen auszuprobieren
Dienstprogramme von GCHQ. Magic versucht, die Verschlüsselung einer Datei zu erraten, indem es Passwörter für verschiedene Verschlüsselungstypen brutal erzwingt und die Entropie misst.
Anmerkung des Übersetzers Sehen и . Dieser Artikel und die Kommentare beinhalten keine Diskussion seitens der Autoren über die Einzelheiten der Methoden, die in Drittanbieter- oder proprietärer Software verwendet werden
Magic stellte fest, dass ein Base64-codierter GZip-Packer verwendet wurde, sodass wir die Datei dekomprimieren und den Injektionscode entdecken konnten.
Dropper: „In der Gegend gibt es eine Epidemie! Allgemeine Impfungen. Maul-und Klauenseuche"
Der Dropper war eine normale .NET-Datei ohne jeglichen Schutz. Nach dem Lesen des Quellcodes mit Wir erkannten, dass sein einziger Zweck darin bestand, Shellcode in den winlogon.exe-Prozess einzuschleusen.
Shellcode oder einfache Komplikationen
Wir haben das Autorentool Hexacorn verwendet um den Shellcode zum Debuggen und zur Analyse in eine ausführbare Datei zu „kompilieren“. Wir stellten dann fest, dass es sowohl auf 32- als auch auf 64-Bit-Rechnern funktionierte.
Selbst das Schreiben eines einfachen Shellcodes in einer nativen Assembler-Übersetzung kann schwierig sein, aber das Schreiben eines vollständigen Shellcodes, der auf beiden Systemtypen funktioniert, erfordert Elite-Fähigkeiten, und so begannen wir über die Raffinesse des Angreifers zu staunen.
Als wir den kompilierten Shellcode mit analysiert haben , wir bemerkten, dass er lud Dynamische .NET-Bibliotheken , wie clr.dll und mscoreei.dll. Das erschien uns seltsam – normalerweise versuchen Angreifer, den Shellcode so klein wie möglich zu machen, indem sie native Betriebssystemfunktionen aufrufen, anstatt sie zu laden. Warum sollte jemand Windows-Funktionalität in den Shellcode einbetten müssen, anstatt ihn direkt bei Bedarf aufzurufen?
Wie sich herausstellte, hat der Autor der Malware diesen komplexen Shellcode überhaupt nicht geschrieben – eine für diese Aufgabe spezifische Software wurde verwendet, um ausführbare Dateien und Skripte in Shellcode zu übersetzen.
Wir haben ein Werkzeug gefunden , von dem wir dachten, dass er einen ähnlichen Shellcode kompilieren könnte. Hier ist die Beschreibung von GitHub:
Donut generiert x86- oder x64-Shellcode aus VBScript, JScript, EXE, DLL (einschließlich .NET-Assemblys). Dieser Shellcode kann in jeden Windows-Prozess eingefügt und dort ausgeführt werden
Arbeitsspeicher.
Um unsere Theorie zu bestätigen, haben wir mit Donut unseren eigenen Code kompiliert und ihn mit dem Beispiel verglichen – und ... ja, wir haben eine weitere Komponente des verwendeten Toolkits entdeckt. Danach konnten wir die ursprüngliche ausführbare .NET-Datei extrahieren und analysieren.
Codeschutz
Diese Datei wurde mit verschleiert :
ConfuserEx ist ein Open-Source-.NET-Projekt zum Schutz des Codes anderer Entwicklungen. Mit dieser Softwareklasse können Entwickler ihren Code mithilfe von Methoden wie Zeichenersetzung, Steuerungsbefehlsflussmaskierung und Ausblenden von Referenzmethoden vor Reverse Engineering schützen. Malware-Autoren nutzen Verschleierer, um der Entdeckung zu entgehen und das Reverse Engineering zu erschweren.
Durch Wir haben den Code entpackt:
Ergebnis - Nutzlast
Die resultierende Nutzlast ist ein sehr einfacher Ransomware-Virus. Kein Mechanismus, um die Präsenz im System sicherzustellen, keine Verbindungen zur Kommandozentrale – nur die gute alte asymmetrische Verschlüsselung, um die Daten des Opfers unlesbar zu machen.
Die Hauptfunktion wählt die folgenden Zeilen als Parameter aus:
- Dateierweiterung zur Verwendung nach der Verschlüsselung (SaveTheQueen)
- E-Mail des Autors zur Aufnahme in die Lösegeldforderungsdatei
- Öffentlicher Schlüssel, der zum Verschlüsseln von Dateien verwendet wird
Der Prozess selbst sieht so aus:
- Die Malware untersucht lokale und verbundene Laufwerke auf dem Gerät des Opfers
- Sucht nach zu verschlüsselnden Dateien
- Versucht, einen Prozess zu beenden, der eine Datei verwendet, die verschlüsselt werden soll
- Benennt die Datei mithilfe der MoveFile-Funktion in „OriginalFileName.SaveTheQueenING“ um und verschlüsselt sie
- Nachdem die Datei mit dem öffentlichen Schlüssel des Autors verschlüsselt wurde, benennt die Malware sie erneut um, nun in „Original FileName.SaveTheQueen“.
- Eine Datei mit einer Lösegeldforderung wird in denselben Ordner geschrieben
Basierend auf der Verwendung der nativen Funktion „CreateDecryptor“ scheint eine der Funktionen der Malware als Parameter einen Entschlüsselungsmechanismus zu enthalten, der einen privaten Schlüssel erfordert.
Ransomware-Virus Verschlüsselt Dateien NICHT, gespeichert in Verzeichnissen:
C:Windows
C: Program Files
C: Programmdateien (x86)
C:Benutzer\AppData
C:inetpub
Auch er Die folgenden Dateitypen werden NICHT verschlüsselt:EXE, DLL, MSI, ISO, SYS, CAB.
Ergebnisse und Schlussfolgerungen
Obwohl die Ransomware selbst keine ungewöhnlichen Funktionen enthielt, nutzte der Angreifer auf kreative Weise Active Directory, um den Dropper zu verteilen, und die Malware selbst stellte uns bei der Analyse vor interessante, wenn auch letztlich unkomplizierte Hindernisse.
Wir glauben, dass der Autor der Malware ist:
- Hat einen Ransomware-Virus mit integrierter Injektion in den winlogon.exe-Prozess geschrieben, außerdem
Funktionalität zur Dateiverschlüsselung und -entschlüsselung - Verschleierte den Schadcode mit ConfuserEx, konvertierte das Ergebnis mit Donut und versteckte zusätzlich den Base64-Gzip-Dropper
- Erlangte erhöhte Berechtigungen in der Domäne des Opfers und nutzte diese zum Kopieren
verschlüsselte Malware und geplante Jobs in den SYSVOL-Netzwerkordner von Domänencontrollern - Führen Sie ein PowerShell-Skript auf Domänengeräten aus, um Malware zu verbreiten und den Angriffsfortschritt in Protokollen in SYSVOL aufzuzeichnen
Wenn Sie Fragen zu dieser Variante des Ransomware-Virus oder zu anderen von unseren Teams durchgeführten forensischen und Cybersicherheitsvorfallsuntersuchungen haben, wenden Sie sich bitte an uns. oder Anfrage , wo wir Fragen immer in einer Frage-und-Antwort-Runde beantworten.
Source: habr.com