Une nouvelle souche de ransomware crypte les fichiers et leur ajoute une extension « .SaveTheQueen », se propageant via le dossier réseau SYSVOL sur les contrôleurs de domaine Active Directory.
Nos clients ont récemment rencontré ce malware. Nous présentons ci-dessous notre analyse complète, ses résultats et ses conclusions.
La détection
Un de nos clients nous a contactés après avoir rencontré une nouvelle souche de ransomware qui ajoutait l'extension « .SaveTheQueen » aux nouveaux fichiers cryptés dans son environnement.
Au cours de notre enquête, ou plutôt au stade de la recherche des sources d'infection, nous avons découvert que la répartition et le suivi des victimes infectées s'effectuaient à l'aide de dossier réseau SYSVOL sur le contrôleur de domaine du client.
SYSVOL est un dossier clé pour chaque contrôleur de domaine utilisé pour fournir des objets de stratégie de groupe (GPO) et des scripts de connexion et de déconnexion aux ordinateurs du domaine. Le contenu de ce dossier est répliqué entre les contrôleurs de domaine pour synchroniser ces données sur les sites de l'organisation. L'écriture sur SYSVOL nécessite des privilèges de domaine élevés. Cependant, une fois compromis, cet actif devient un outil puissant pour les attaquants qui peuvent l'utiliser pour propager rapidement et efficacement des charges utiles malveillantes sur un domaine.
La chaîne d’audit Varonis a permis d’identifier rapidement les éléments suivants :
- Le compte utilisateur infecté a créé un fichier appelé « horaire » dans SYSVOL
- De nombreux fichiers journaux ont été créés dans SYSVOL - chacun portant le nom d'un périphérique de domaine
- De nombreuses adresses IP différentes accédaient au fichier "horaire"
Nous avons conclu que les fichiers journaux étaient utilisés pour suivre le processus d'infection sur les nouveaux appareils et que « toutes les heures » était une tâche planifiée qui exécutait une charge malveillante sur les nouveaux appareils à l'aide d'un script Powershell - exemples « v3 » et « v4 ».
L'attaquant a probablement obtenu et utilisé les privilèges d'administrateur de domaine pour écrire des fichiers sur SYSVOL. Sur les hôtes infectés, l'attaquant a exécuté du code PowerShell qui a créé une tâche planifiée pour ouvrir, déchiffrer et exécuter le logiciel malveillant.
Décrypter le malware
Nous avons essayé plusieurs façons de déchiffrer les échantillons, en vain :
Nous étions presque prêts à abandonner lorsque nous avons décidé d'essayer la méthode « Magique » du magnifique
services publics par le GCHQ. Magic essaie de deviner le cryptage d'un fichier en forçant brutalement les mots de passe pour différents types de cryptage et en mesurant l'entropie.
Note du traducteur Voir и . Cet article et ces commentaires n'impliquent pas de discussion de la part des auteurs sur les détails des méthodes utilisées dans les logiciels tiers ou propriétaires.
Magic a déterminé qu'un packer GZip codé en base64 avait été utilisé, nous avons donc pu décompresser le fichier et découvrir le code d'injection.
Dropper : « Il y a une épidémie dans la région ! Vaccinations générales. Fièvre aphteuse"
Le compte-gouttes était un fichier .NET ordinaire sans aucune protection. Après avoir lu le code source avec nous avons réalisé que son seul but était d'injecter du shellcode dans le processus winlogon.exe.
Shellcode ou complications simples
Nous avons utilisé l'outil de création Hexacorn - afin de « compiler » le shellcode dans un fichier exécutable pour le débogage et l’analyse. Nous avons ensuite découvert qu'il fonctionnait aussi bien sur les machines 32 que 64 bits.
Écrire même un simple shellcode dans une traduction en langage assembleur natif peut être difficile, mais écrire un shellcode complet qui fonctionne sur les deux types de systèmes nécessite des compétences d'élite, nous avons donc commencé à nous émerveiller devant la sophistication de l'attaquant.
Lorsque nous avons analysé le shellcode compilé en utilisant , nous avons remarqué qu'il chargeait Bibliothèques dynamiques .NET , tels que clr.dll et mscoreei.dll. Cela nous a semblé étrange - généralement les attaquants essaient de rendre le shellcode aussi petit que possible en appelant les fonctions natives du système d'exploitation au lieu de les charger. Pourquoi aurait-on besoin d'intégrer la fonctionnalité Windows dans le shellcode au lieu de l'appeler directement à la demande ?
Il s'est avéré que l'auteur du malware n'a pas du tout écrit ce shellcode complexe : un logiciel spécifique à cette tâche a été utilisé pour traduire les fichiers exécutables et les scripts en shellcode.
Nous avons trouvé un outil , dont nous pensions qu'il pourrait compiler un shellcode similaire. Voici sa description depuis GitHub :
Donut génère du shellcode x86 ou x64 à partir de VBScript, JScript, EXE, DLL (y compris les assemblys .NET). Ce shellcode peut être injecté dans n'importe quel processus Windows pour être exécuté dans
mémoire vive.
Pour confirmer notre théorie, nous avons compilé notre propre code à l'aide de Donut et l'avons comparé à l'échantillon - et... oui, nous avons découvert un autre composant de la boîte à outils utilisée. Après cela, nous avons pu extraire et analyser le fichier exécutable .NET original.
Protection des codes
Ce fichier a été masqué à l'aide :
ConfuserEx est un projet open source .NET permettant de protéger le code d'autres développements. Cette classe de logiciels permet aux développeurs de protéger leur code contre l'ingénierie inverse à l'aide de méthodes telles que la substitution de caractères, le masquage du flux de commandes de contrôle et le masquage des méthodes de référence. Les auteurs de logiciels malveillants utilisent des obfuscateurs pour échapper à la détection et rendre l'ingénierie inverse plus difficile.
À travers nous avons décompressé le code :
Résultat - charge utile
La charge utile qui en résulte est un virus ransomware très simple. Aucun mécanisme pour assurer la présence dans le système, aucune connexion au centre de commande – juste le bon vieux cryptage asymétrique pour rendre illisibles les données de la victime.
La fonction main sélectionne les lignes suivantes comme paramètres :
- Extension de fichier à utiliser après le cryptage (SaveTheQueen)
- E-mail de l'auteur à placer dans le fichier de demande de rançon
- Clé publique utilisée pour chiffrer les fichiers
Le processus lui-même ressemble à ceci :
- Le malware examine les lecteurs locaux et connectés sur l’appareil de la victime
- Recherche les fichiers à chiffrer
- Tente de mettre fin à un processus qui utilise un fichier qu'il est sur le point de chiffrer
- Renomme le fichier en "OriginalFileName.SaveTheQueenING" à l'aide de la fonction MoveFile et le crypte
- Une fois le fichier chiffré avec la clé publique de l'auteur, le malware le renomme à nouveau, désormais en "Original FileName.SaveTheQueen".
- Un fichier avec une demande de rançon est écrit dans le même dossier
Basée sur l'utilisation de la fonction native "CreateDecryptor", une des fonctions du malware semble contenir en paramètre un mécanisme de décryptage nécessitant une clé privée.
Virus rançongiciel NE crypte PAS les fichiers, stocké dans des répertoires :
C:Windows
C: Program Files
C: Fichiers de programme (x86)
C:Utilisateurs\AppData
C:inetpub
Aussi il NE crypte PAS les types de fichiers suivants :EXE, DLL, MSI, ISO, SYS, CAB.
Résultats et conclusions
Bien que le ransomware lui-même ne contienne aucune fonctionnalité inhabituelle, l’attaquant a utilisé de manière créative Active Directory pour distribuer le compte-gouttes, et le malware lui-même nous a présenté des obstacles intéressants, quoique finalement simples, lors de l’analyse.
Nous pensons que l'auteur du malware est :
- A écrit un virus ransomware avec injection intégrée dans le processus winlogon.exe, ainsi que
fonctionnalité de cryptage et de décryptage de fichiers - Déguisement du code malveillant à l'aide de ConfuserEx, conversion du résultat à l'aide de Donut et masquage du compte-gouttes Gzip base64
- Obtention de privilèges élevés dans le domaine de la victime et utilisation de ceux-ci pour copier
logiciels malveillants chiffrés et tâches planifiées dans le dossier réseau SYSVOL des contrôleurs de domaine - Exécutez un script PowerShell sur les appareils du domaine pour propager des logiciels malveillants et enregistrer la progression de l'attaque dans les journaux de SYSVOL.
Si vous avez des questions sur cette variante du virus ransomware, ou sur toute autre enquête médico-légale et incident de cybersécurité réalisée par nos équipes, ou demander , où nous répondons toujours aux questions lors d'une session de questions-réponses.
Source: habr.com