Ένα νέο στέλεχος ransomware κρυπτογραφεί τα αρχεία και προσθέτει μια επέκταση ".SaveTheQueen" σε αυτά, που εξαπλώνεται μέσω του φακέλου δικτύου SYSVOL στους ελεγκτές τομέα Active Directory.
Οι πελάτες μας αντιμετώπισαν πρόσφατα αυτό το κακόβουλο λογισμικό. Παρακάτω παρουσιάζουμε την πλήρη ανάλυσή μας, τα αποτελέσματα και τα συμπεράσματά της.
Ανίχνευση
Ένας από τους πελάτες μας επικοινώνησε μαζί μας αφού αντιμετώπισε ένα νέο στέλεχος ransomware που προσέθετε την επέκταση ".SaveTheQueen" σε νέα κρυπτογραφημένα αρχεία στο περιβάλλον τους.
Κατά τη διάρκεια της έρευνάς μας, ή μάλλον στο στάδιο της αναζήτησης πηγών μόλυνσης, διαπιστώσαμε ότι η διανομή και η παρακολούθηση των μολυσμένων θυμάτων πραγματοποιήθηκε με τη χρήση φάκελο δικτύου SYSVOL στον ελεγκτή τομέα του πελάτη.
Το SYSVOL είναι ένας φάκελος κλειδιού για κάθε ελεγκτή τομέα που χρησιμοποιείται για την παράδοση αντικειμένων πολιτικής ομάδας (GPO) και σεναρίων σύνδεσης και αποσύνδεσης σε υπολογιστές στον τομέα. Τα περιεχόμενα αυτού του φακέλου αναπαράγονται μεταξύ ελεγκτών τομέα για να συγχρονιστούν αυτά τα δεδομένα στους ιστότοπους του οργανισμού. Η εγγραφή στο SYSVOL απαιτεί υψηλά προνόμια τομέα, ωστόσο, αφού παραβιαστεί, αυτό το στοιχείο γίνεται ένα ισχυρό εργαλείο για τους εισβολείς που μπορούν να το χρησιμοποιήσουν για να διαδώσουν γρήγορα και αποτελεσματικά κακόβουλα ωφέλιμα φορτία σε έναν τομέα.
Η αλυσίδα ελέγχου Varonis βοήθησε να εντοπιστούν γρήγορα τα ακόλουθα:
- Ο μολυσμένος λογαριασμός χρήστη δημιούργησε ένα αρχείο που ονομάζεται "hourly" στο SYSVOL
- Πολλά αρχεία καταγραφής δημιουργήθηκαν στο SYSVOL - το καθένα ονομάστηκε με το όνομα μιας συσκευής τομέα
- Πολλές διαφορετικές διευθύνσεις IP είχαν πρόσβαση στο "ωριαίο" αρχείο
Καταλήξαμε στο συμπέρασμα ότι τα αρχεία καταγραφής χρησιμοποιήθηκαν για την παρακολούθηση της διαδικασίας μόλυνσης σε νέες συσκευές και ότι το "hourly" ήταν μια προγραμματισμένη εργασία που εκτελούσε κακόβουλο ωφέλιμο φορτίο σε νέες συσκευές χρησιμοποιώντας ένα σενάριο Powershell - δείγματα "v3" και "v4".
Ο εισβολέας πιθανότατα απέκτησε και χρησιμοποίησε δικαιώματα διαχειριστή τομέα για να γράψει αρχεία στο SYSVOL. Σε μολυσμένους κεντρικούς υπολογιστές, ο εισβολέας έτρεξε τον κώδικα PowerShell που δημιούργησε μια εργασία προγραμματισμού για το άνοιγμα, την αποκρυπτογράφηση και την εκτέλεση του κακόβουλου λογισμικού.
Αποκρυπτογράφηση του κακόβουλου λογισμικού
Δοκιμάσαμε πολλούς τρόπους για να αποκρυπτογραφήσουμε δείγματα χωρίς αποτέλεσμα:
Ήμασταν σχεδόν έτοιμοι να τα παρατήσουμε όταν αποφασίσαμε να δοκιμάσουμε τη μέθοδο «Magic» του υπέροχου
υπηρεσίες κοινής ωφέλειας από την GCHQ. Η Magic προσπαθεί να μαντέψει την κρυπτογράφηση ενός αρχείου με ωμή επιβολή κωδικών πρόσβασης για διαφορετικούς τύπους κρυπτογράφησης και μετρώντας την εντροπία.
Σημείωμα μεταφραστή Βλέπω и . Αυτό το άρθρο και τα σχόλια δεν περιλαμβάνουν συζήτηση εκ μέρους των συγγραφέων σχετικά με τις λεπτομέρειες των μεθόδων που χρησιμοποιούνται είτε σε λογισμικό τρίτων είτε σε ιδιόκτητο λογισμικό
Η Magic προσδιόρισε ότι χρησιμοποιήθηκε ένα πακέτο GZip με κωδικοποίηση base64, έτσι μπορέσαμε να αποσυμπιέσουμε το αρχείο και να ανακαλύψουμε τον κωδικό έγχυσης.
Dropper: «Υπάρχει επιδημία στην περιοχή! Γενικοί εμβολιασμοί. Αρρώστεια των ποδιών και του στόματος"
Το dropper ήταν ένα κανονικό αρχείο .NET χωρίς καμία προστασία. Αφού διαβάσετε τον πηγαίο κώδικα με συνειδητοποιήσαμε ότι ο μοναδικός σκοπός του ήταν να εισάγει shellcode στη διαδικασία winlogon.exe.
Shellcode ή απλές επιπλοκές
Χρησιμοποιήσαμε το εργαλείο συγγραφής Hexacorn − προκειμένου να «μεταγλωττιστεί» ο shellcode σε ένα εκτελέσιμο αρχείο για εντοπισμό σφαλμάτων και ανάλυση. Στη συνέχεια ανακαλύψαμε ότι λειτουργούσε και σε μηχανές 32 και 64 bit.
Η σύνταξη ακόμη και απλού shellcode σε μετάφραση γλώσσας συναρμολόγησης μπορεί να είναι δύσκολη, αλλά η σύνταξη πλήρους κώδικα shellcode που λειτουργεί και στους δύο τύπους συστημάτων απαιτεί ελίτ δεξιότητες, οπότε αρχίσαμε να θαυμάζουμε την πολυπλοκότητα του εισβολέα.
Όταν αναλύσαμε τον μεταγλωττισμένο shellcode χρησιμοποιώντας , παρατηρήσαμε ότι φόρτωνε Δυναμικές βιβλιοθήκες .NET , όπως clr.dll και mscoreei.dll. Αυτό μας φάνηκε περίεργο - συνήθως οι εισβολείς προσπαθούν να κάνουν τον shellcode όσο το δυνατόν μικρότερο καλώντας τις εγγενείς λειτουργίες του λειτουργικού συστήματος αντί να τις φορτώσουν. Γιατί κάποιος θα πρέπει να ενσωματώσει τη λειτουργικότητα των Windows στον shellcode αντί να την καλεί απευθείας κατά παραγγελία;
Όπως αποδείχθηκε, ο συγγραφέας του κακόβουλου λογισμικού δεν έγραψε καθόλου αυτόν τον πολύπλοκο κώδικα shellcode - το λογισμικό ειδικό για αυτήν την εργασία χρησιμοποιήθηκε για τη μετάφραση εκτελέσιμων αρχείων και σεναρίων σε shellcode.
Βρήκαμε ένα εργαλείο , το οποίο πιστεύαμε ότι θα μπορούσε να συντάξει έναν παρόμοιο κώδικα shell. Εδώ είναι η περιγραφή του από το GitHub:
Το Donut δημιουργεί κέλυφος x86 ή x64 από VBScript, JScript, EXE, DLL (συμπεριλαμβανομένων συγκροτημάτων .NET). Αυτός ο κώδικας φλοιού μπορεί να εισαχθεί σε οποιαδήποτε διαδικασία των Windows που πρόκειται να εκτελεστεί
μνήμη τυχαίας προσπέλασης.
Για να επιβεβαιώσουμε τη θεωρία μας, συντάξαμε τον δικό μας κώδικα χρησιμοποιώντας το Donut και τον συγκρίναμε με το δείγμα - και... ναι, ανακαλύψαμε ένα άλλο στοιχείο της εργαλειοθήκης που χρησιμοποιήθηκε. Μετά από αυτό, μπορέσαμε να εξαγάγουμε και να αναλύσουμε το αρχικό εκτελέσιμο αρχείο .NET.
Προστασία κωδικών
Αυτό το αρχείο έχει συσκοτιστεί χρησιμοποιώντας :
Το ConfuserEx είναι ένα έργο ανοιχτού κώδικα .NET για την προστασία του κώδικα άλλων εξελίξεων. Αυτή η κατηγορία λογισμικού επιτρέπει στους προγραμματιστές να προστατεύουν τον κώδικά τους από την αντίστροφη μηχανική χρησιμοποιώντας μεθόδους όπως η αντικατάσταση χαρακτήρων, η κάλυψη ροής εντολών ελέγχου και η απόκρυψη μεθόδου αναφοράς. Οι συντάκτες κακόβουλου λογισμικού χρησιμοποιούν σκιαγραφητές για να αποφύγουν τον εντοπισμό και να κάνουν την αντίστροφη μηχανική πιο δύσκολη.
ευχαριστίες αποσυσκευάσαμε τον κωδικό:
Αποτέλεσμα - ωφέλιμο φορτίο
Το ωφέλιμο φορτίο που προκύπτει είναι ένας πολύ απλός ιός ransomware. Κανένας μηχανισμός που να διασφαλίζει την παρουσία στο σύστημα, καμία σύνδεση με το κέντρο εντολών - απλώς παλιά καλή ασύμμετρη κρυπτογράφηση για να κάνει τα δεδομένα του θύματος δυσανάγνωστα.
Η κύρια συνάρτηση επιλέγει τις ακόλουθες γραμμές ως παραμέτρους:
- Επέκταση αρχείου για χρήση μετά την κρυπτογράφηση (SaveTheQueen)
- Μήνυμα ηλεκτρονικού ταχυδρομείου του συγγραφέα για τοποθέτηση στο αρχείο σημειώσεων λύτρων
- Δημόσιο κλειδί που χρησιμοποιείται για την κρυπτογράφηση αρχείων
Η ίδια η διαδικασία μοιάζει με αυτό:
- Το κακόβουλο λογισμικό εξετάζει τοπικές και συνδεδεμένες μονάδες δίσκου στη συσκευή του θύματος
- Αναζητά αρχεία για κρυπτογράφηση
- Προσπαθεί να τερματίσει μια διαδικασία που χρησιμοποιεί ένα αρχείο που πρόκειται να κρυπτογραφήσει
- Μετονομάζει το αρχείο σε "OriginalFileName.SaveTheQueenING" χρησιμοποιώντας τη συνάρτηση MoveFile και το κρυπτογραφεί
- Αφού το αρχείο κρυπτογραφηθεί με το δημόσιο κλειδί του συγγραφέα, το κακόβουλο λογισμικό το μετονομάζει ξανά, τώρα σε "Original FileName.SaveTheQueen"
- Ένα αρχείο με απαίτηση λύτρων γράφεται στον ίδιο φάκελο
Με βάση τη χρήση της εγγενούς συνάρτησης "CreateDecryptor", μία από τις λειτουργίες του κακόβουλου λογισμικού φαίνεται να περιέχει ως παράμετρο έναν μηχανισμό αποκρυπτογράφησης που απαιτεί ιδιωτικό κλειδί.
ιός ransomware ΔΕΝ κρυπτογραφεί αρχεία, αποθηκευμένο σε καταλόγους:
Γ: παράθυρα
C: Program Files
C: Αρχεία προγράμματος (x86)
C:Users\AppData
C:inetpub
Αυτος επισης ΔΕΝ κρυπτογραφεί τους ακόλουθους τύπους αρχείων:EXE, DLL, MSI, ISO, SYS, CAB.
Αποτελέσματα και συμπεράσματα
Αν και το ίδιο το ransomware δεν περιείχε ασυνήθιστα χαρακτηριστικά, ο εισβολέας χρησιμοποίησε δημιουργικά την Active Directory για να διανείμει το dropper και το ίδιο το κακόβουλο λογισμικό μας παρουσίασε ενδιαφέροντα, αν και τελικά απλά, εμπόδια κατά την ανάλυση.
Πιστεύουμε ότι ο συγγραφέας του κακόβουλου λογισμικού είναι:
- Έγραψε έναν ιό ransomware με ενσωματωμένη ένεση στη διαδικασία winlogon.exe, καθώς και
λειτουργία κρυπτογράφησης και αποκρυπτογράφησης αρχείων - Απόκρυψε τον κακόβουλο κώδικα χρησιμοποιώντας το ConfuserEx, μετέτρεψε το αποτέλεσμα χρησιμοποιώντας Donut και έκρυψε επιπλέον το σταγονόμετρο base64 Gzip
- Απέκτησε αυξημένα προνόμια στον τομέα του θύματος και τα χρησιμοποίησε για αντιγραφή
κρυπτογραφημένο κακόβουλο λογισμικό και προγραμματισμένες εργασίες στον φάκελο δικτύου SYSVOL των ελεγκτών τομέα - Εκτελέστε ένα σενάριο PowerShell σε συσκευές τομέα για να διαδώσετε κακόβουλο λογισμικό και να καταγράψετε την πρόοδο της επίθεσης σε αρχεία καταγραφής στο SYSVOL
Εάν έχετε ερωτήσεις σχετικά με αυτήν την παραλλαγή του ιού ransomware ή οποιεσδήποτε άλλες έρευνες εγκληματολογίας και περιστατικών κυβερνοασφάλειας που πραγματοποιούνται από τις ομάδες μας, ή αίτημα , όπου απαντάμε πάντα σε ερωτήσεις σε μια συνεδρία Q&A.
Πηγή: www.habr.com