Hoʻopili ka ransomware hou i nā faila a hoʻohui i kahi hoʻonui ".SaveTheQueen" iā lākou, e laha ana ma ka waihona pūnaewele SYSVOL ma nā mea hoʻokele domain Active Directory.
Ua loaʻa i kā mākou mea kūʻai aku kēia polokalamu malware i kēia manawa. Hōʻike mākou i kā mākou loiloi piha, nā hopena a me nā hopena ma lalo nei.
ʻImi
Hoʻokaʻaʻike mai kekahi o kā mākou mea kūʻai mai iā mākou ma hope o ka loaʻa ʻana o kahi ransomware hou e hoʻohui ana i ka hoʻonui ".SaveTheQueen" i nā faila i hoʻopili ʻia i ko lākou kaiapuni.
I ka wā o kā mākou noiʻi ʻana, a i ʻole ma ke kahua o ka ʻimi ʻana i nā kumu o ka maʻi, ua ʻike mākou ua lawe ʻia ka hoʻolaha ʻana a me ka nānā ʻana i nā mea i hoʻopilikia ʻia me ka hoʻohana ʻana. waihona pūnaewele SYSVOL ma luna o ka mea kūʻai aku ka mana kikowaena.
He waihona koʻikoʻi ʻo SYSVOL no kēlā me kēia mea hoʻoponopono domain i hoʻohana ʻia no ka hoʻopuka ʻana i nā Group Policy Objects (GPOs) a me ka logon a logoff scripts i nā kamepiula i loko o ka waihona. Hoʻopili hou ʻia nā ʻike o kēia waihona ma waena o nā mea hoʻokele domain e hoʻonohonoho i kēia ʻikepili ma nā pūnaewele o ka hui. Pono ke kākau ʻana iā SYSVOL i nā pono domain kiʻekiʻe, akā naʻe, i ka wā i hoʻopaʻapaʻa ʻia, lilo kēia waiwai i mea hana ikaika no ka poʻe hoʻouka ʻia e hiki ke hoʻohana iā ia e hoʻolaha wikiwiki a maikaʻi i nā uku ʻino ma waena o kahi kikowaena.
Ua kōkua koke ke kaulahao loiloi Varonis i kēia mau mea:
- Ua hana ka moʻokāki mea hoʻohana maʻi i kahi faila i kapa ʻia ʻo "hourly" ma SYSVOL
- Nui nā faila log i hana ʻia ma SYSVOL - ua kapa ʻia kēlā me kēia me ka inoa o kahi mea kikowaena
- Nui nā helu IP ʻokoʻa i komo i ka faila "hola".
Ua hoʻoholo mākou ua hoʻohana ʻia nā faila log e nānā i ke kaʻina hana maʻi ma nā polokalamu hou, a ʻo kēlā "hola" kahi hana i hoʻopaʻa ʻia e hoʻokō i ka uku ʻino i nā mea hou me ka hoʻohana ʻana i kahi palapala Powershell - nā laʻana "v3" a me "v4".
Loaʻa a hoʻohana paha ka mea hoʻouka i nā kuleana luna hoʻomalu e kākau i nā faila iā SYSVOL. Ma luna o nā pūʻali maʻi, holo ka mea hoʻouka i ke code PowerShell i hana i kahi papa hana e wehe, wehe, a holo i ka malware.
Wehewehe i ka polokalamu kiloʻino
Ua hoʻāʻo mākou i kekahi mau ala e wehewehe i nā laʻana me ka loaʻa ʻole o ka hopena:
Ua aneane mākou e haʻalele i ka wā i hoʻoholo ai mākou e hoʻāʻo i ke ʻano "Magic" o ka nani
ʻaha hui uila na GCHQ. Ke hoʻāʻo nei ʻo Magic e kuhi i ka hoʻopili ʻana o kahi faila ma o ka hoʻoweliweli ʻana i nā ʻōlelo huna no nā ʻano hoʻopili like ʻole a me ke ana ʻana i ka entropy.
Palapala unuhi E nānā и . ʻAʻole pili kēia ʻatikala a me nā manaʻo i ka kūkākūkā ʻana ma ka ʻaoʻao o nā mea kākau i nā kikoʻī o nā ʻano i hoʻohana ʻia ma nā polokalamu ʻaoʻao ʻekolu a i ʻole nā polokalamu pono.
Ua hoʻoholo ʻo Magic ua hoʻohana ʻia kahi packer GZip i hoʻopaʻa ʻia base64, no laila hiki iā mākou ke decompress i ka faila a ʻike i ke code injection.
Dropper: “Aia he ahulau ma ia wahi! Nā lāʻau lapaʻau maʻamau. ʻO ka maʻi wāwae a me ka waha"
He waihona .NET maʻamau ka dropper me ka pale ʻole. Ma hope o ka heluhelu ʻana i ke code kumu me Ua ʻike mākou ʻo kāna kumu wale nō e hoʻokomo i ka shellcode i ke kaʻina hana winlogon.exe.
Shellcode a i ʻole nā pilikia maʻalahi
Ua hoʻohana mākou i ka mea hana kākau Hexacorn − i mea e "hoʻohui" i ka shellcode i loko o kahi faila hoʻokō no ka debugging a me ka nānā ʻana. A laila ʻike mākou ua hana ia ma nā mīkini 32 a me 64 bit.
He mea paʻakikī paha ke kākau ʻana i ka shellcode maʻalahi i ka unuhi ʻōlelo ʻōiwi, akā pono ke kākau ʻana i ka shellcode piha e hana ana ma nā ʻano ʻōnaehana ʻelua, no laila ua hoʻomaka mākou e kahaha i ka maʻalahi o ka mea hoʻouka.
I ko mākou hoʻokaʻawale ʻana i ka shellcode i hoʻohui ʻia me ka hoʻohana ʻana , ʻike mākou e hoʻouka ana ʻo ia .NET hale waihona puke , e like me clr.dll a me mscoreei.dll. He mea ʻē kēia iā mākou - hoʻāʻo pinepine ka poʻe hoʻouka e hana i ka shellcode me ka liʻiliʻi ma ke kāhea ʻana i nā hana OS maoli ma mua o ka hoʻouka ʻana iā lākou. No ke aha e pono ai kekahi e hoʻokomo i ka hana Windows i loko o ka shellcode ma mua o ke kāhea pololei ʻana i ke koi?
E like me ka mea i ʻike ʻia, ʻaʻole i kākau ka mea kākau o ka malware i kēia shellcode paʻakikī - ua hoʻohana ʻia nā polokalamu kikoʻī no kēia hana e unuhi i nā faila a me nā palapala i ka shellcode.
Ua loaʻa iā mākou kahi mea hana , a mākou i manaʻo ai e hiki ke hoʻopili i kahi shellcode like. Eia kāna wehewehe ʻana mai GitHub:
Hoʻopuka ʻo Donut i ka shellcode x86 a i ʻole x64 mai VBScript, JScript, EXE, DLL (me nā hui .NET). Hiki ke hoʻokomo ʻia kēia shellcode i kekahi kaʻina hana Windows e hoʻokō ʻia ai
Hoʻomanaʻo RAM.
No ka hōʻoia ʻana i kā mākou kumumanaʻo, ua hōʻuluʻulu mākou i kā mākou code ponoʻī me ka hoʻohana ʻana iā Donut a hoʻohālikelike ʻia me ka laʻana - a ... ʻae, ua ʻike mākou i kahi ʻāpana ʻē aʻe o ka pahu hana i hoʻohana ʻia. Ma hope o kēia, ua hiki iā mākou ke unuhi a kālailai i ka faila .NET hoʻokō.
Palekana code
Ua uhi ʻia kēia faila me ka hoʻohana ʻana :
ʻO ConfuserEx kahi papahana .NET open source no ka pale ʻana i ke code o nā hoʻomohala ʻē aʻe. Hiki i kēia papa polokalamu i nā mea hoʻomohala ke pale aku i kā lākou code mai ka hoʻohana ʻana i nā ʻano e like me ka hoʻololi ʻana i ke ʻano, ka masking kahe kauoha, a me ke ʻano huna huna. Hoʻohana nā mea kākau Malware i nā obfuscators e pale aku i ka ʻike ʻana a hoʻolilo i ka ʻenehana hoʻohuli i ka paʻakikī.
Mahalo wehe mākou i ke code:
Ka hopena - uku
ʻO ka loaʻa ʻana o ka uku he maʻalahi ransomware virus. ʻAʻohe mea hana e hōʻoia i ka noho ʻana i loko o ka ʻōnaehana, ʻaʻohe pili i ke kikowaena kauoha - maikaʻi wale ka hoʻopunipuni asymmetric kahiko i hiki ʻole ke heluhelu ʻia ka ʻikepili o ka mea i pepehi ʻia.
Koho ka hana nui i nā laina e like me nā ʻāpana:
- E hoʻohana ʻia ka hoʻonui faila ma hope o ka hoʻopili ʻana (SaveTheQueen)
- Ka leka uila a ka mea kākau e hoʻokomo i loko o ka waihona memo ransom
- Hoʻohana ʻia ke kī lehulehu no ka hoʻopili ʻana i nā faila
ʻO ke kaʻina hana ponoʻī e like me kēia:
- Nānā ka polokalamu kino i nā drive kūloko a pili pū i ka polokalamu o ka mea pōʻino
- Huli i nā faila e hoʻopili ai
- Ke ho'āʻo nei e hoʻopau i kahi kaʻina hana e hoʻohana ana i kahi faila e hoʻopili ana
- Hoʻololi i ka faila i "OriginalFileName.SaveTheQueenING" me ka hoʻohana ʻana i ka hana MoveFile a hoʻopili iā ia
- Ma hope o ka hoʻopili ʻia ʻana o ka faila me ke kī lehulehu o ka mea kākau, hoʻololi hou ka polokalamu iā ia i kēia manawa i "Original FileName.SaveTheQueen"
- Ua kākau ʻia kahi faila me kahi koi pānaʻi i ka waihona like
Ma muli o ka hoʻohana ʻana i ka hana "CreateDecryptor" maoli, ʻike ʻia kekahi o nā hana a ka polokalamu malware ma ke ʻano he ʻāpana he ʻano hana decryption e koi ana i kahi kī pilikino.
ransomware virus ʻAʻole hoʻopili i nā faila, mālama ʻia ma nā papa kuhikuhi:
C: nā puka makani
C: Kōnae Polokalamu
C: Kōnae Polokalamu (x86)
C: mea hoʻohana\AppData
C:inetpub
ʻO ia kekahi ʻAʻole hoʻopili i nā ʻano faila penei:EXE, DLL, MSI, ISO, SYS, CAB.
ʻO ka hōʻuluʻulu a me nā manaʻo
ʻOiai ʻaʻole i loaʻa i ka ransomware kekahi mau hiʻohiʻona maʻamau, ua hoʻohana ka mea hoʻouka i ka Active Directory e puʻunaue i ka dropper, a ua hōʻike mai ka malware iā mākou i nā mea hoihoi, inā ʻaʻole paʻakikī, nā pilikia i ka wā o ka nānā ʻana.
Manaʻo mākou ʻo ka mea kākau o ka malware ʻo:
- Ua kākau i kahi virus ransomware me ka hoʻokomo ʻia i loko o ke kaʻina hana winlogon.exe, a me
hoʻopili waihona a me ka hana decryption - Hoʻololi i ka code hewa me ka hoʻohana ʻana iā ConfuserEx, hoʻololi i ka hopena me ka hoʻohana ʻana iā Donut a hūnā hoʻi i ka base64 Gzip dropper
- Loaʻa i nā pono kiʻekiʻe ma ka ʻaoʻao o ka mea i pepehi ʻia a hoʻohana iā lākou e kope
i hoʻopili ʻia nā polokalamu ʻino a me nā hana i hoʻonohonoho ʻia i ka waihona pūnaewele SYSVOL o nā mea hoʻokele domain - E holo i kahi palapala PowerShell ma nā ʻaoʻao pūnaewele e hoʻolaha i ka polokalamu malware a hoʻopaʻa i ka holomua o ka hoʻouka kaua ʻana ma nā lāʻau ma SYSVOL
Inā he mau nīnau kāu e pili ana i kēia ʻano like ʻole o ka ransomware virus, a i ʻole nā mea hoʻokolokolo forensics a me ka cybersecurity i hana ʻia e kā mākou hui, a i ʻole noi , kahi e pane mau ai mākou i nā nīnau ma kahi hālāwai Q&A.
Source: www.habr.com