In nije stam fan ransomware fersiferet triemmen en foeget in ".SaveTheQueen" tafoeging oan harren, fersprieden troch de SYSVOL netwurk map op Active Directory domein controllers.
Us klanten tsjinkamen dizze malware koartlyn. Wy presintearje ús folsleine analyze, syn resultaten en konklúzjes hjirûnder.
Deteksje
Ien fan ús klanten naam kontakt mei ús op neidat se in nije stam fan ransomware tsjinkamen dy't de ".SaveTheQueen" tafoeging taheakke oan nije fersifere bestannen yn har omjouwing.
Tidens ús ûndersyk, of leaver op it poadium fan it sykjen nei boarnen fan ynfeksje, fûnen wy dat de distribúsje en folgjen fan ynfekteare slachtoffers waard útfierd mei netwurk map SYSVOL op de domeincontroller fan de klant.
SYSVOL is in kaaimap foar elke domeincontroller dy't brûkt wurdt om Group Policy Objects (GPO's) en oanmeld- en ôfmeldskripts te leverjen oan kompjûters yn it domein. De ynhâld fan dizze map wurdt replikearre tusken domeincontrollers om dizze gegevens te syngronisearjen oer de siden fan 'e organisaasje. Skriuwen nei SYSVOL fereasket hege domeinrjochten, lykwols, ienris kompromittearre, wurdt dizze asset in krêftich ark foar oanfallers dy't it brûke kinne om fluch en effisjint kweade ladingen oer in domein te fersprieden.
De Varonis-kontrôleketen holp it folgjende fluch te identifisearjen:
- It ynfekteare brûkersaccount makke in bestân mei de namme "hourly" yn SYSVOL
- In protte logtriemmen binne makke yn SYSVOL - elk neamd mei de namme fan in domeinapparaat
- In protte ferskillende IP-adressen wiene tagong ta it "oeren" bestân
Wy konkludearren dat de logtriemmen waarden brûkt om it ynfeksjeproses op nije apparaten te folgjen, en dat "per oere" in plande taak wie dy't kweade lading op nije apparaten útfierde mei in Powershell-skript - samples "v3" en "v4".
De oanfaller hat wierskynlik domeinbehearderrjochten krigen en brûkt om bestannen nei SYSVOL te skriuwen. Op ynfekteare hosts rûn de oanfaller PowerShell-koade út dy't in skemataak makke om de malware te iepenjen, te ûntsiferjen en út te fieren.
It ûntsiferjen fan de malware
Wy hawwe ferskate manieren besocht om samples te ûntsiferjen sûnder sukses:
Wy wiene hast ree om op te jaan doe't wy besletten om te besykjen de "Magic" metoade fan de prachtige
nutsbedriuwen troch GCHQ. Magic besiket de fersifering fan in bestân te rieden troch brute-forcing wachtwurden foar ferskate fersiferingstypen en entropy te mjitten.
Oersetter syn notysje Sjoch и . Dit artikel en opmerkings befetsje gjin diskusje fan 'e kant fan' e auteurs oer de details fan metoaden brûkt yn software fan tredden as proprietêre
Magic bepaalde dat in base64-kodearre GZip-pakker waard brûkt, sadat wy it bestân dekomprimearje kinne en de ynjeksjekoade ûntdekke.
Dropper: "Der is in epidemy yn it gebiet! Algemiene faksinaasjes. Mond- en mûlesykte"
De dropper wie in gewoane .NET-bestân sûnder beskerming. Nei it lêzen fan de boarne koade mei wy realisearre dat it iennichste doel wie om shellcode te ynjeksje yn it winlogon.exe-proses.
Shellcode of ienfâldige komplikaasjes
Wy brûkten it Hexacorn-authoring-ark - om de shellcode te "kompilearjen" yn in útfierber bestân foar debuggen en analyse. Wy ûntdutsen doe dat it wurke op sawol 32 as 64 bit masines.
It skriuwen fan sels ienfâldige shellcode yn in oersetting fan 'e memmetaal assemblage kin lestich wêze, mar it skriuwen fan folsleine shellcode dy't wurket op beide soarten systemen fereasket elitefeardigens, dus wy begûnen te fernuverjen oer de sofistikaasje fan 'e oanfaller.
Doe't wy de kompilearre shellcode parsearden mei , wy fernaam dat hy wie laden .NET dynamyske biblioteken , lykas clr.dll en mscoreei.dll. Dit like ús frjemd - meastentiids besykje oanfallers de shellkoade sa lyts mooglik te meitsjen troch native OS-funksjes op te roppen ynstee fan se te laden. Wêrom soe immen Windows-funksjonaliteit moatte ynbêde yn 'e shellcode ynstee fan it direkt op oanfraach te neamen?
As it die bliken, skreau de skriuwer fan 'e malware dizze komplekse shellcode hielendal net - software spesifyk foar dizze taak waard brûkt om útfierbere bestannen en skripts oer te setten yn shellcode.
Wy fûnen in ark , dy't wy tochten in ferlykbere shellcode te kompilearjen. Hjir is de beskriuwing fan GitHub:
Donut genereart x86 of x64 shellcode út VBScript, JScript, EXE, DLL (ynklusyf .NET assemblies). Dizze shellcode kin wurde ynjeksje yn elk Windows-proses om yn te fieren
willekeurige tagong ûnthâld.
Om ús teory te befêstigjen, hawwe wy ús eigen koade gearstald mei Donut en fergelike it mei it stekproef - en ... ja, wy ûntdutsen in oare komponint fan 'e brûkte toolkit. Hjirnei koenen wy it orizjinele .NET útfierbere bestân al útpakke en analysearje.
Koade beskerming
Dizze triem is obfuscated brûkend :
ConfuserEx is in iepen boarne .NET-projekt foar it beskermjen fan de koade fan oare ûntjouwings. Dizze klasse software lit ûntwikkelders har koade beskermje tsjin reverse engineering mei metoaden lykas karakterferfanging, kontrôlekommandostreammaskering en ferbergjen fan referinsjemetoade. Malware-auteurs brûke obfuscators om deteksje te ûntkommen en reverse engineering dreger te meitsjen.
Thanks wy hawwe de koade útpakt:
Resultaat - lading
De resultearjende lading is in heul ienfâldich ransomware-firus. Gjin meganisme om oanwêzigens yn it systeem te garandearjen, gjin ferbiningen mei it kommandosintrum - gewoan goede âlde asymmetryske fersifering om de gegevens fan it slachtoffer net te lêzen.
De haadfunksje selekteart de folgjende rigels as parameter:
- Bestânsútwreiding om te brûken nei fersifering (SaveTheQueen)
- E-post fan auteur om te pleatsen yn bestân fan losgeldnota
- Iepenbiere kaai brûkt om bestannen te fersiferjen
It proses sels sjocht der sa út:
- De malware ûndersiket lokale en ferbûne skiven op it apparaat fan it slachtoffer
- Sykje nei bestannen om te fersiferjen
- Besiket in proses te beëinigjen dat in bestân brûkt dat it op it punt is te fersiferjen
- Fernammet it bestân nei "OriginalFileName.SaveTheQueenING" mei de MoveFile-funksje en fersiferet it
- Nei't it bestân fersifere is mei de publike kaai fan 'e skriuwer, feroaret de malware it opnij, no nei "Original FileName.SaveTheQueen"
- In triem mei in eask foar losjild wurdt skreaun nei deselde map
Op grûn fan it gebrûk fan 'e native "CreateDecryptor"-funksje, liket ien fan 'e malware's funksjes as parameter in ûntsifermeganisme te befetsjen dat in privee kaai fereasket.
Ransomware firus NET fersiferje triemmen, opslein yn mappen:
C: finsters
C: Programma-bestannen
C: Program Files (x86)
C:Users\AppData
C: inetpub
Hy ek NET fersiferje de folgjende triemtypen:EXE, DLL, MSI, ISO, SYS, CAB.
Resultaten en konklúzjes
Hoewol de ransomware sels gjin ungewoane funksjes befette, brûkte de oanfaller kreatyf Active Directory om de dropper te fersprieden, en de malware sels presintearre ús ynteressante, as úteinlik ûnkomplisearre, obstakels by analyse.
Wy tinke dat de skriuwer fan 'e malware is:
- Skreau in ransomware-firus mei ynboude ynjeksje yn it winlogon.exe-proses, lykas ek
triem fersifering en ûntsiferjen funksjonaliteit - Ferklaaid de kweade koade mei ConfuserEx, konvertearre it resultaat mei Donut en ferburgen boppedat de base64 Gzip dropper
- Krige ferhege privileezjes yn it domein fan it slachtoffer en brûkte se om te kopiearjen
fersifere malware en plande banen nei de SYSVOL netwurk map fan domein controllers - In PowerShell-skript útfiere op domeinapparaten om malware te fersprieden en oanfalfoargong op te nimmen yn logs yn SYSVOL
As jo fragen hawwe oer dizze fariant fan it ransomware-firus, of oare forensyske en cyberfeiligensûndersiken útfierd troch ús teams, of fersyk , dêr't wy altyd fragen beantwurdzje yn in Q&A-sesje.
Boarne: www.habr.com