
Ένα νέο στέλεχος ransomware κρυπτογραφεί αρχεία και προσθέτει σε αυτά την επέκταση ".SaveTheQueen", εξαπλώνοντας τον φάκελο δικτύου του συστήματος SYSVOL σε ελεγκτές τομέα Active Directory.
Οι πελάτες μας αντιμετώπισαν πρόσφατα αυτό το κακόβουλο λογισμικό. Παρακάτω παρέχουμε την πλήρη ανάλυσή μας, τα αποτελέσματα και τα συμπεράσματά μας.
Ανίχνευση
Ένας από τους πελάτες μας επικοινώνησε μαζί μας αφού αντιμετώπισε ένα νέο στέλεχος ransomware που πρόσθεταν την επέκταση ".SaveTheQueen" σε νέα κρυπτογραφημένα αρχεία στο περιβάλλον του.
Κατά τη διάρκεια της έρευνάς μας, ή πιο συγκεκριμένα στο στάδιο της αναζήτησης πηγών μόλυνσης, διαπιστώσαμε ότι η κατανομή και η παρακολούθηση των μολυσμένων θυμάτων πραγματοποιήθηκε χρησιμοποιώντας φάκελος δικτύου SYSVOL στον ελεγκτή τομέα του πελάτη.
Το SYSVOL είναι ένας φάκελος κλειδιών για κάθε ελεγκτή τομέα, που χρησιμοποιείται για την παράδοση Αντικειμένων Πολιτικής Ομάδας (GPO) και σεναρίων σύνδεσης και αποσύνδεσης σε υπολογιστές στον τομέα. Τα περιεχόμενα αυτού του φακέλου αναπαράγονται μεταξύ των ελεγκτών τομέα για τον συγχρονισμό αυτών των δεδομένων σε όλες τις τοποθεσίες του οργανισμού. Η εγγραφή στο SYSVOL απαιτεί υψηλά δικαιώματα τομέα, αλλά μόλις παραβιαστεί, αυτό το περιουσιακό στοιχείο γίνεται ένα ισχυρό εργαλείο για τους εισβολείς που μπορούν να το χρησιμοποιήσουν για να διανείμουν γρήγορα και αποτελεσματικά κακόβουλα φορτία σε ολόκληρο τον τομέα.
Η αλυσίδα ελέγχου Varonis βοήθησε στον γρήγορο εντοπισμό των ακόλουθων:
- Ο μολυσμένος λογαριασμός χρήστη δημιούργησε ένα αρχείο με το όνομα "hourly" στο SYSVOL
- Πολλά αρχεία καταγραφής δημιουργήθηκαν στο SYSVOL - το καθένα πήρε το όνομά του από τη συσκευή τομέα
- Πολλές διαφορετικές διευθύνσεις IP είχαν πρόσβαση στο αρχείο "ανά ώρα"
Καταλήξαμε στο συμπέρασμα ότι τα αρχεία καταγραφής χρησιμοποιήθηκαν για την παρακολούθηση της προόδου της μόλυνσης σε νέες συσκευές και ότι η "ωριαία" ήταν μια προγραμματισμένη εργασία που εκτελούσε το φορτίο κακόβουλου λογισμικού σε νέες συσκευές χρησιμοποιώντας ένα σενάριο Powershell - δείγματα "v3" και "v4".
Ο εισβολέας πιθανότατα απέκτησε και χρησιμοποίησε δικαιώματα διαχειριστή τομέα για να γράψει αρχεία στο SYSVOL. Σε μολυσμένους κεντρικούς υπολογιστές, ο εισβολέας εκτέλεσε κώδικα PowerShell που δημιούργησε μια εργασία προγραμματισμού για το άνοιγμα, την αποκρυπτογράφηση και την εκτέλεση του κακόβουλου λογισμικού.
Αποκρυπτογράφηση του κακόβουλου λογισμικού
Δοκιμάσαμε διάφορες μεθόδους για να αποκρυπτογραφήσουμε τα δείγματα χωρίς επιτυχία:

Ήμασταν σχεδόν έτοιμοι να τα παρατήσουμε όταν αποφασίσαμε να δοκιμάσουμε τη «Μαγική» μέθοδο του υπέροχου
υπηρεσίες κοινής ωφέλειας από την GCHQ. Το "Magic" προσπαθεί να μαντέψει την κρυπτογράφηση ενός αρχείου δοκιμάζοντας κωδικούς πρόσβασης για διαφορετικούς τύπους κρυπτογράφησης και μετρώντας την εντροπία.
Σημείωμα μεταφραστή Βλέπω и Αυτό το άρθρο και τα σχόλια δεν προβλέπουν συζήτηση από τους συντάκτες σχετικά με τις λεπτομέρειες των μεθόδων που χρησιμοποιούνται είτε σε λογισμικό τρίτων είτε σε ιδιόκτητο λογισμικό.

Το Magic διαπίστωσε ότι χρησιμοποιήθηκε το πρόγραμμα packer GZip με κωδικοποίηση base64, επιτρέποντάς μας να αποσυμπιέσουμε το αρχείο και να βρούμε τον κώδικα έγχυσης.

Ντρόπερ: «Υπάρχει επιδημία στην περιοχή! Γενικοί εμβολιασμοί. Αφθώδης πυρετός»
Το dropper ήταν ένα κανονικό αρχείο .NET χωρίς καμία προστασία. Αφού διαβάσατε τον πηγαίο κώδικα με Συνειδητοποιήσαμε ότι ο μόνος σκοπός του ήταν να εισάγει shellcode στη διεργασία winlogon.exe.


Shellcode ή απλές πολυπλοκότητες
Χρησιμοποιήσαμε ένα εργαλείο της Hexacorn - να "μεταγλωττίσουμε" τον κώδικα shell σε ένα εκτελέσιμο αρχείο για εντοπισμό σφαλμάτων και ανάλυση. Στη συνέχεια, ανακαλύψαμε ότι λειτουργούσε τόσο σε μηχανήματα 32 όσο και σε 64-bit.

Η σύνταξη ακόμη και απλού shellcode σε native assembly μετάφραση μπορεί να είναι δύσκολη, αλλά η σύνταξη πλήρους shellcode που λειτουργεί και στους δύο τύπους συστημάτων απαιτεί εξαιρετικές δεξιότητες, οπότε αρχίσαμε να εκπλήσσουμε με την πολυπλοκότητα του εισβολέα.
Όταν αναλύσαμε τον μεταγλωττισμένο κώδικα shell χρησιμοποιώντας , παρατηρήσαμε ότι φορτώνει Δυναμικές βιβλιοθήκες .NET , όπως τα clr.dll και mscoreei.dll. Αυτό μας φάνηκε περίεργο - συνήθως οι εισβολείς προσπαθούν να κάνουν τον κώδικα shell όσο το δυνατόν μικρότερο, καλώντας εγγενείς συναρτήσεις του λειτουργικού συστήματος αντί να τις φορτώνουν. Γιατί κάποιος να θέλει να ενσωματώσει λειτουργικότητα σε shellcode; Windows, αντί να καλείτε απευθείας κατόπιν αιτήματος;
Όπως αποδείχθηκε, ο δημιουργός του κακόβουλου λογισμικού δεν έγραψε καθόλου αυτόν τον πολύπλοκο κώδικα shell – χρησιμοποιήθηκε λογισμικό ειδικό για αυτήν την εργασία για τη μετατροπή εκτελέσιμων αρχείων και σεναρίων σε κώδικα shell.
Βρήκαμε το εργαλείο , το οποίο πιστεύαμε ότι θα μπορούσε να μεταγλωττίσει παρόμοιο shellcode. Ακολουθεί η περιγραφή του από το GitHub:
Το Donut δημιουργεί shellcode x86 ή x64 από VBScript, JScript, EXE, DLL (συμπεριλαμβανομένων των assembly .NET). Αυτός ο shellcode μπορεί να εισαχθεί σε οποιαδήποτε διεργασία. Windows να εμφανιστεί σε
μνήμη τυχαίας προσπέλασης.
Για να επιβεβαιώσουμε τη θεωρία μας, μεταγλωττίσαμε τον δικό μας κώδικα χρησιμοποιώντας το Donut και τον συγκρίναμε με το δείγμα – και… ναι, βρήκαμε ένα άλλο στοιχείο του κιτ εργαλείων που χρησιμοποιήθηκε. Μετά από αυτό, καταφέραμε να εξαγάγουμε και να αναλύσουμε το αρχικό εκτελέσιμο αρχείο .NET.
Προστασία με κωδικό
Αυτό το αρχείο έχει αποκρυπτογραφηθεί χρησιμοποιώντας :


Το ConfuserEx είναι ένα έργο .NET ανοιχτού κώδικα για την προστασία του κώδικα άλλων προγραμματιστών. Αυτή η κατηγορία λογισμικού επιτρέπει στους προγραμματιστές να προστατεύουν τον κώδικά τους από την αντίστροφη μηχανική χρησιμοποιώντας τεχνικές όπως: αντικατάσταση συμβόλων, απόκρυψη ροής ελέγχου και απόκρυψη μεθόδου αναφοράς. Οι δημιουργοί κακόβουλου λογισμικού χρησιμοποιούν αποκρυπτογραφητές για να αποφύγουν την ανίχνευση και να δυσκολέψουν την αντίστροφη μηχανική.
ευχαριστίες αποσυμπιέσαμε τον κώδικα:

Το αποτέλεσμα είναι ένα ωφέλιμο φορτίο
Το προκύπτον ωφέλιμο φορτίο είναι ένα πολύ απλό ransomware. Χωρίς μηχανισμό persistence, χωρίς συνδέσεις εντολών και ελέγχου – απλώς καλή παλιά ασύμμετρη κρυπτογράφηση για να καταστούν τα δεδομένα του θύματος μη αναγνώσιμα.
Η συνάρτηση main δέχεται τις ακόλουθες συμβολοσειρές ως παραμέτρους:
- Επέκταση αρχείου που θα χρησιμοποιηθεί μετά την κρυπτογράφηση (SaveTheQueen)
- Ηλεκτρονικό ταχυδρομείο του συντάκτη που θα συμπεριληφθεί στο αρχείο σημείωσης λύτρων
- Το δημόσιο κλειδί που χρησιμοποιείται για την κρυπτογράφηση αρχείων

Η ίδια η διαδικασία μοιάζει με αυτό:
- Το κακόβουλο λογισμικό εξετάζει τοπικές και αντιστοιχισμένες μονάδες δίσκου στη συσκευή του θύματος.
- Αναζητά αρχεία για κρυπτογράφηση
- Επιχειρεί να τερματίσει τη διεργασία που χρησιμοποιεί το αρχείο που πρόκειται να κρυπτογραφήσει.
- Μετονομάζει το αρχείο σε "Original_file_name.SaveTheQueenING" χρησιμοποιώντας τη συνάρτηση MoveFile και το κρυπτογραφεί
- Αφού το αρχείο κρυπτογραφηθεί με το δημόσιο κλειδί του δημιουργού, το κακόβουλο λογισμικό το μετονομάζει ξανά, αυτή τη φορά σε "Original_file_name.SaveTheQueen"
- Ένα αρχείο αιτήματος λύτρων εγγράφεται στον ίδιο φάκελο
Με βάση τη χρήση της εγγενούς συνάρτησης "CreateDecryptor", μία από τις λειτουργίες του κακόβουλου λογισμικού φαίνεται να περιέχει έναν μηχανισμό αποκρυπτογράφησης ως παράμετρο που απαιτεί ιδιωτικό κλειδί.
Ιός ransomware ΔΕΝ κρυπτογραφεί αρχεία, αποθηκευμένα σε καταλόγους:
C:windows
C: Program Files
C: Αρχεία προγράμματος (x86)
C:Users\AppData
C:inetpub
Αυτός επίσης ΔΕΝ κρυπτογραφεί τους ακόλουθους τύπους αρχείων:EXE, DLL, MSI, ISO, SYS, CAB.
Αποτελέσματα και συμπεράσματα
Ενώ το ίδιο το ransomware δεν περιείχε ασυνήθιστα χαρακτηριστικά, ο εισβολέας έκανε δημιουργική χρήση του Active Directory για να διανείμει το dropper και το ίδιο το κακόβουλο λογισμικό μας παρουσίασε ενδιαφέροντα, αν και τελικά απλά, εμπόδια κατά την ανάλυσή μας.
Πιστεύουμε ότι ο δημιουργός του κακόβουλου λογισμικού:
- Έγραψε έναν ιό ransomware με ενσωματωμένη εφαρμογή στη διεργασία winlogon.exe, καθώς και
λειτουργικότητα για κρυπτογράφηση και αποκρυπτογράφηση αρχείων - Καμουφλάρισα τον κακόβουλο κώδικα με το ConfuserEx, μετέτρεψα το αποτέλεσμα με το Donut και επιπλέον έκρυψα το dropper base64 Gzip.
- Απέκτησε αυξημένα δικαιώματα στον τομέα του θύματος και τα χρησιμοποίησε για αντιγραφή
κρυπτογραφημένο κακόβουλο λογισμικό και προγραμματισμένες εργασίες στον φάκελο δικτύου SYSVOL των ελεγκτών τομέα - Εκτελέστε ένα σενάριο PowerShell σε συσκευές τομέα για να διανείμετε κακόβουλο λογισμικό και να καταγράψετε την πρόοδο της επίθεσης σε αρχεία καταγραφής στο SYSVOL

Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με αυτήν την παραλλαγή ransomware ή οποιεσδήποτε άλλες έρευνες εγκληματολογίας και περιστατικών ασφαλείας που πραγματοποιούνται από τις ομάδες μας, ή αίτημα , όπου απαντάμε πάντα σε ερωτήσεις κατά τη διάρκεια μιας συνεδρίας ερωτήσεων και απαντήσεων.
Πηγή: www.habr.com
