Ransomware mota berri batek fitxategiak enkriptatzen ditu eta ".SaveTheQueen" luzapena gehitzen die, Active Directory domeinu-kontrolatzaileetako SYSVOL sareko karpetan hedatuz.
Gure bezeroek malware hau aurkitu dute duela gutxi. Jarraian gure analisi osoa, bere emaitzak eta ondorioak aurkezten ditugu.
Detekzioa
Gure bezeroetako bat gurekin harremanetan jarri zen bere inguruneko enkriptatutako fitxategi berriei ".SaveTheQueen" luzapena gehitzen ari zen ransomware mota berri bat aurkitu ostean.
Gure ikerketan, edo hobeto esanda, infekzio-iturriak bilatzeko fasean, jakin genuen kutsatutako biktimen banaketa eta jarraipena erabiliz egiten zela. sareko karpeta SYSVOL bezeroaren domeinu-kontrolatzailean.
SYSVOL domeinu-kontrolatzaile bakoitzeko gako-karpeta bat da, eta talde-politikaren objektuak (GPO) eta saioa hasteko eta amaitzeko script-ak domeinuko ordenagailuetara bidaltzeko erabiltzen dena. Karpeta honen edukia domeinu-kontrolatzaileen artean erreplikatzen da datu horiek erakundearen guneetan sinkronizatzeko. SYSVOL-en idazteak domeinu-pribilegio handiak behar ditu, baina, arriskuan jarri ondoren, aktibo hau tresna indartsua bihurtzen da erasotzaileentzat, domeinu batean karga gaiztoak azkar eta eraginkortasunez zabaltzeko erabil dezaketen erasotzaileentzat.
Varonis auditoretza-kateak honako hauek azkar identifikatzen lagundu zuen:
- Kutsatutako erabiltzaile-kontuak "orduko" izeneko fitxategi bat sortu zuen SYSVOL-en
- SYSVOL-en erregistro-fitxategi asko sortu ziren - bakoitza domeinu-gailu baten izenarekin
- IP helbide ezberdin asko "orduko" fitxategira sartzen ari ziren
Erregistro-fitxategiak gailu berrietan infekzio-prozesuaren jarraipena egiteko erabiltzen zirela ondorioztatu genuen, eta "orduka" programatutako lana zela gailu berrietan karga gaiztoa exekutatzen zuen Powershell script bat erabiliz - "v3" eta "v4" laginak.
Erasotzaileak ziurrenik domeinu-administratzaile-pribilegioak lortu eta erabili zituen SYSVOL-en fitxategiak idazteko. Kutsatutako ostalarietan, erasotzaileak malwarea ireki, deszifratu eta exekutatzeko programazio-lan bat sortu zuen PowerShell kodea abiarazi zuen.
Malware deszifratzea
Laginak deszifratzeko hainbat modu probatu ditugu alferrik:
Ia amore emateko prest geunden bikainen “Magia” metodoa probatzea erabaki genuenean
utilitateak GCHQ-ren eskutik. Magic fitxategi baten enkriptatzea asmatzen saiatzen da enkriptazio mota desberdinetarako pasahitzak bortxatuz eta entropia neurtuz.
Itzultzailearen oharra Ikusi и . Artikulu honek eta iruzkinek ez dute egileen aldetik hirugarrenen edo jabedun softwarean erabiltzen diren metodoen xehetasunen inguruko eztabaidarik.
Magic-ek zehaztu zuen base64 kodetutako GZip pakete bat erabiltzen zela, beraz, fitxategia deskonprimitu eta injekzio kodea aurkitu ahal izan genuen.
Dropper: “Inguruan epidemia bat dago! Txerto orokorrak. afia eta ahoko gaixotasuna"
Dropper-a .NET fitxategi arrunt bat zen, inolako babesik gabe. Iturburu-kodea irakurri ondoren bere helburu bakarra winlogon.exe prozesuan shellcode injektatzea zela konturatu ginen.
Shellcode edo konplikazio sinpleak
Hexacorn egile-tresna erabili dugu − shellcode-a arazketa eta analisirako fitxategi exekutagarri batean "konpilatzeko". Orduan aurkitu genuen 32 eta 64 biteko makinetan funtzionatzen zuela.
Nahiz eta shellcode soila idaztea jatorrizko asanblea-hizkuntzako itzulpen batean zaila izan daiteke, baina bi sistemetan funtzionatzen duen shellcode osoa idazteak eliteko trebetasunak behar ditu, beraz, erasotzailearen sofistikazioarekin harritzen hasi ginen.
Konpilatutako shellcode erabiliz analizatu genuenean , kargatzen ari zela ohartu ginen .NET liburutegi dinamikoak , hala nola clr.dll eta mscoreei.dll. Hau arraroa iruditu zitzaigun - normalean erasotzaileak shellcode ahalik eta txikiena egiten saiatzen dira sistema eragilearen jatorrizko funtzioei deituz haiek kargatu beharrean. Zergatik behar luke edonork Windows-en funtzionalitateak shellcode-an txertatu beharrean, eskaeraren arabera zuzenean deitu beharrean?
Gertatu zenez, malwarearen egileak ez zuen batere idatzi shellcode konplexu hau; zeregin horretarako berariazko softwarea erabili zen fitxategi exekutagarriak eta scriptak shellcode bihurtzeko.
Tresna bat aurkitu dugu , shellcode antzeko bat konpila zezakeela uste genuen. Hona hemen bere deskribapena GitHub-en:
Donut-ek x86 edo x64 shellcode sortzen du VBScript, JScript, EXE, DLL (.NET muntaiak barne). Shellcode hau edozein Windows prozesutan txerta daiteke exekutatu nahi den
ausazko sarbide memoria.
Gure teoria berresteko, Donut erabiliz gure kodea osatu dugu eta laginarekin alderatu dugu -eta... bai, erabilitako tresna-tresnaren beste osagai bat aurkitu dugu. Honen ostean, jadanik .NET fitxategi exekutagarria originala atera eta aztertu ahal izan genuen.
Kodearen babesa
Fitxategi hau lausotu egin da erabiliz :
ConfuserEx beste garapen batzuen kodea babesteko kode irekiko .NET proiektu bat da. Software-klase honek garatzaileek beren kodea alderantzizko ingeniaritzatik babesteko aukera ematen die karaktereen ordezkapena, kontrol-agindu-fluxuaren maskaratzea eta erreferentzia-metodoa ezkutatzea bezalako metodoak erabiliz. Malware egileek disimulatzaileak erabiltzen dituzte detekzioa saihesteko eta alderantzizko ingeniaritza zailago egiteko.
Bidez kodea deskonprimitu dugu:
Emaitza - karga erabilgarria
Sortzen den karga ransomware birus sinplea da. Ez dago sisteman presentzia ziurtatzeko mekanismorik, ez komando zentrorako konexiorik - enkriptazio asimetriko zahar ona besterik ez, biktimaren datuak irakurezinak izan daitezen.
Funtzio nagusiak lerro hauek hautatzen ditu parametro gisa:
- Enkriptatutako ondoren erabiltzeko fitxategi-luzapena (SaveTheQueen)
- Egilearen posta elektronikoa erreskate-oharraren fitxategian jartzeko
- Fitxategiak enkriptatzeko erabiltzen den gako publikoa
Prozesua bera honelakoa da:
- Malwareak biktimaren gailuko unitate lokalak eta konektatutako unitateak aztertzen ditu
- Zifratzeko fitxategiak bilatzen ditu
- Enkriptatzear dagoen fitxategi bat erabiltzen ari den prozesu bat amaitzen saiatzen da
- Fitxategiari izena aldatzen dio "OriginalFileName.SaveTheQueenING" MoveFile funtzioa erabiliz eta enkriptatzen du
- Fitxategia egilearen gako publikoarekin zifratu ondoren, malwareak berriro izena aldatzen dio, orain "Original FileName.SaveTheQueen" gisa.
- Erreskate eskaera duen fitxategi bat karpeta berean idazten da
Sortu "CreateDecryptor" funtzioaren erabileran oinarrituta, malwarearen funtzioetako batek parametro gisa gako pribatua behar duen deszifratze-mekanismoa duela dirudi.
Ransomware birusa EZ DITU fitxategiak enkriptatzen, direktorioetan gordeta:
C: leihoak
C: Programaren fitxategiak
C:Programa-fitxategiak (x86)
C: Erabiltzaileak\AppData
C:inetpub
Berak ere EZ DITU fitxategi mota hauek enkriptatzen:EXE, DLL, MSI, ISO, SYS, CAB.
Emaitzak eta ondorioak
Ransomwareak berak ez zuen ezaugarri ezohikorik izan arren, erasotzaileak sormenez erabili zuen Active Directory tantaka banatzeko, eta malwareak berak oztopo interesgarriak aurkeztu zizkigun, azken finean, konplexurik gabeak, analisian zehar.
Malwarearen egilea dela uste dugu:
- Ransomware birus bat idatzi zuen winlogon.exe prozesuan injekzio integratua duena, baita
fitxategiak zifratzeko eta deszifratzeko funtzionaltasuna - Kode gaiztoa ConfuserEx erabiliz mozorrotu, emaitza Donut erabiliz bihurtu eta, gainera, base64 Gzip dropper ezkutatu zuen
- Biktimaren domeinuan pribilegio handituak lortu eta kopiatzeko erabili zituen
enkriptatutako malwarea eta programatutako lanak domeinu-kontrolatzaileen SYSVOL sareko karpetara - Exekutatu PowerShell script bat domeinuko gailuetan malwarea zabaltzeko eta erasoen aurrerapena SYSVOL-en erregistroetan erregistratzeko
Ransomware birusaren aldaera honi buruzko galderarik baduzu, edo gure taldeek egindako auzitegiko eta zibersegurtasuneko gertakarien ikerketei buruz, edo eskaera , non beti erantzuten ditugun galderak eta erantzunak saio batean.
Iturria: www.habr.com