Ib hom tshiab ntawm ransomware encrypts cov ntaub ntawv thiab ntxiv ".SaveTheQueen" txuas ntxiv rau lawv, nthuav tawm los ntawm SYSVOL network folder ntawm Active Directory domain controllers.
Peb cov neeg siv khoom tau ntsib qhov malware tsis ntev los no. Peb nthuav qhia peb cov kev txheeb xyuas tag nrho, nws cov txiaj ntsig thiab cov lus xaus hauv qab no.
Nrhiav kom paub
Ib tug ntawm peb cov neeg muas zaub tau hu rau peb tom qab lawv ntsib ib tug tshiab hom ntawm ransomware uas tau ntxiv qhov ".SaveTheQueen" extension rau tshiab encrypted ntaub ntawv nyob rau hauv lawv ib puag ncig.
Thaum peb tshawb nrhiav, lossis theej nyob rau theem ntawm kev tshawb nrhiav qhov chaw muaj tus kabmob, peb pom tias kev faib tawm thiab taug qab cov neeg raug mob raug coj los siv. network folder SYSVOL ntawm tus neeg siv khoom tus tswj hwm.
SYSVOL yog cov ntawv tseem ceeb rau txhua tus tswj hwm uas tau siv los xa Pawg Txoj Cai Khoom (GPOs) thiab lub logon thiab logoff scripts rau cov khoos phis tawj hauv lub npe. Cov ntsiab lus ntawm daim nplaub tshev no yog rov ua dua ntawm cov tswj hwm sau npe kom synchronize cov ntaub ntawv no hla lub koom haum cov chaw. Kev sau ntawv rau SYSVOL yuav tsum muaj cov cai tswj hwm siab, txawm li cas los xij, ib zaug cuam tshuam, cov cuab tam no dhau los ua cov cuab yeej muaj zog rau cov neeg tawm tsam uas tuaj yeem siv nws kom sai thiab muaj txiaj ntsig kis cov nyiaj tsis zoo thoob plaws ib lub npe.
Varonis audit chain pab sai sai txheeb xyuas cov hauv qab no:
- Tus neeg siv tus as khauj tau tsim cov ntaub ntawv hu ua "teev teev" hauv SYSVOL
- Ntau cov ntaub ntawv teev npe tau tsim hauv SYSVOL - txhua lub npe nrog lub npe ntawm lub tshuab sau npe
- Ntau qhov chaw IP sib txawv tau nkag mus rau "hloov" cov ntaub ntawv
Peb tau txiav txim siab tias cov ntaub ntawv teev tseg tau siv los taug qab cov txheej txheem kis kab mob ntawm cov khoom siv tshiab, thiab "teev teev" yog ib txoj haujlwm teem tseg uas tau tua cov neeg ua phem rau ntawm cov khoom siv tshiab uas siv Powershell tsab ntawv - cov qauv "v3" thiab "v4".
Tus neeg tawm tsam yuav tau txais thiab siv cov cai tswj hwm tus thawj tswj hwm los sau cov ntaub ntawv rau SYSVOL. Ntawm cov neeg muaj kab mob, tus neeg tawm tsam tau khiav PowerShell code uas tsim lub sijhawm ua haujlwm qhib, txiav txim siab, thiab khiav cov malware.
Decrypting lub malware
Peb sim ntau txoj hauv kev los txiav txim cov qauv kom tsis muaj txiaj ntsig:
Peb yuav luag npaj siab tso tseg thaum peb txiav txim siab sim "Magic" txoj kev zoo kawg nkaus
khoom siv los ntawm GCHQ. Khawv koob sim twv cov ntaub ntawv encryption los ntawm brute-forcing passwords rau ntau hom encryption thiab ntsuas entropy.
Tus neeg txhais lus sau tseg Saib и . Cov kab lus no thiab cov lus pom tsis cuam tshuam nrog kev sib tham ntawm ib feem ntawm cov kws sau ntawv ntawm cov ntsiab lus ntawm cov txheej txheem siv nyob rau hauv tog thib peb lossis tus tswv software
Khawv koob txiav txim siab tias base64 encoded GZip packer tau siv, yog li peb muaj peev xwm decompress cov ntaub ntawv thiab nrhiav pom cov cai txhaj tshuaj.
Dropper: “Muaj kab mob sib kis hauv cheeb tsam! Kev txhaj tshuaj tiv thaiv dav dav. Ko taw thiab qhov ncauj kab mob "
Lub dropper yog ib txwm .NET cov ntaub ntawv tsis muaj kev tiv thaiv. Tom qab nyeem ntawv qhov chaws nrog peb pom tau hais tias nws lub hom phiaj ib leeg yog txhaj shellcode rau hauv cov txheej txheem winlogon.exe.
Shellcode lossis cov teeb meem yooj yim
Peb siv Hexacorn sau cov cuab yeej - nyob rau hauv thiaj li yuav "compile" lub shellcode rau hauv ib tug executable ntaub ntawv rau debugging thiab tsom xam. Tom qab ntawd peb pom tias nws ua haujlwm ntawm ob lub tshuab 32 thiab 64 ntsis.
Kev sau ntawv txawm tias yooj yim shellcode nyob rau hauv ib haiv neeg cov lus txhais lus tuaj yeem nyuaj, tab sis sau tag nrho shellcode uas ua haujlwm ntawm ob hom kab ke yuav tsum muaj cov txuj ci tseem ceeb, yog li peb pib xav tsis thoob ntawm qhov kev xav ntawm tus neeg tawm tsam.
Thaum peb parsed lub compiled shellcode siv , peb pom tias nws tab tom thauj khoom .NET dynamic qiv , xws li clr.dll thiab mscoreei.dll. Qhov no zoo li coj txawv txawv rau peb - feem ntau cov neeg tawm tsam sim ua kom cov shellcode me me raws li qhov ua tau los ntawm kev hu xov tooj rau OS ua haujlwm tsis yog thauj khoom. Vim li cas ib tug neeg yuav tsum tau embed Windows functionality rau hauv shellcode es tsis txhob hu nws ncaj qha ntawm kev thov?
Raws li nws tau muab tawm, tus sau ntawm malware tsis tau sau qhov nyuaj shellcode txhua - software tshwj xeeb rau txoj haujlwm no tau siv los txhais cov ntaub ntawv executable thiab scripts rau hauv shellcode.
Peb nrhiav tau ib lub cuab yeej , uas peb xav tias tuaj yeem suav tau zoo ib yam li shellcode. Nov yog nws cov lus piav qhia los ntawm GitHub:
Donut generates x86 lossis x64 shellcode los ntawm VBScript, JScript, EXE, DLL (xws li .NET cov rooj sib txoos). Cov shellcode no tuaj yeem raug txhaj rau hauv txhua qhov txheej txheem Windows kom ua tiav hauv
random nkag nco.
Txhawm rau kom paub meej tias peb txoj kev xav, peb tau sau peb tus kheej cov cai siv Donut thiab muab piv rau cov qauv - thiab ... yog, peb tau tshawb pom lwm qhov ntawm cov cuab yeej siv. Tom qab no, peb twb muaj peev xwm rho tawm thiab txheeb xyuas tus thawj .NET executable cov ntaub ntawv.
Code tiv thaiv
Cov ntaub ntawv no tau obfuscated siv :
ConfuserEx yog qhov qhib qhov .NET project los tiv thaiv cov cai ntawm lwm yam kev tsim kho. Cov chav kawm ntawm software no tso cai rau cov neeg tsim khoom los tiv thaiv lawv cov cai los ntawm kev rov qab engineering siv txoj hauv kev xws li kev hloov pauv tus cwj pwm, tswj cov lus txib ntws npog, thiab siv txoj kev zais. Cov kws sau ntawv Malware siv obfuscators los khiav tawm kev tshawb nrhiav thiab ua rau rov qab engineering nyuaj dua.
Tsaug peb unpacked code:
Qhov tshwm sim - payload
Qhov tshwm sim payload yog tus kab mob ransomware yooj yim heev. Tsis muaj lub tswv yim los xyuas kom muaj nyob hauv lub cev, tsis muaj kev sib txuas rau qhov chaw hais kom ua - tsuas yog zoo qub asymmetric encryption ua rau tus neeg raug tsim txom cov ntaub ntawv nyeem tsis tau.
Lub luag haujlwm tseem ceeb xaiv cov kab hauv qab no raws li qhov tsis muaj:
- Cov ntaub ntawv txuas ntxiv siv tom qab encryption (SaveTheQueen)
- Tus sau tus email muab tso rau hauv cov ntaub ntawv nqe txhiv
- Public key siv los encrypt cov ntaub ntawv
Cov txheej txheem nws tus kheej zoo li no:
- Lub malware tshuaj xyuas cov tsav tsheb hauv zos thiab txuas nrog ntawm tus neeg raug tsim txom lub cuab yeej
- Nrhiav cov ntaub ntawv los encrypt
- Nws sim txiav tawm cov txheej txheem uas siv cov ntaub ntawv uas nws tab tom yuav encrypt
- Renames cov ntaub ntawv rau "OriginalFileName.SaveTheQueenING" siv lub MoveFile muaj nuj nqi thiab encrypts nws
- Tom qab cov ntaub ntawv tau encrypted nrog tus sau tus yuam sij rau pej xeem, malware renames nws dua, tam sim no mus rau "Original FileName.SaveTheQueen"
- Ib cov ntaub ntawv nrog tus nqe txhiv yog sau rau tib lub nplaub tshev
Raws li kev siv ntawm haiv neeg "CreateDecryptor" muaj nuj nqi, ib qho ntawm cov malware lub luag haujlwm zoo li muaj qhov tsis muaj lub tshuab decryption uas yuav tsum muaj tus yuam sij ntiag tug.
Tus kab mob Ransomware TSIS TAU encrypt cov ntaub ntawv, khaws cia hauv phau ntawv qhia:
C: windows
C: Cov Ntaub Ntawv Zov Me Nyuam
C:Program Files (x86)
C:Users\AppData
C: tsis pub
Nws kuj TSIS TXHOB encrypt cov hom ntaub ntawv hauv qab no:EXE, DLL, MSI, ISO, SYS, CAB.
Cov txiaj ntsig thiab cov lus xaus
Txawm hais tias tus ransomware nws tus kheej tsis muaj cov yam ntxwv txawv txawv, tus neeg tawm tsam muaj tswv yim siv Active Directory los faib cov dropper, thiab cov malware nws tus kheej tau nthuav qhia peb nrog kev nthuav dav, yog tias qhov kawg tsis yooj yim, teeb meem thaum tshawb xyuas.
Peb xav tias tus sau ntawm malware yog:
- Sau tus kab mob ransomware nrog kev txhaj tshuaj built-in rau hauv cov txheej txheem winlogon.exe, nrog rau
file encryption thiab decryption functionality - Disguised lub siab phem code siv ConfuserEx, hloov dua siab tshiab tshwm sim siv Donut thiab ntxiv mus nkaum lub base64 Gzip dropper
- Tau txais cov cai tshwj xeeb hauv tus neeg raug tsim txom lub npe thiab siv lawv los luam
encrypted malware thiab teem caij ua haujlwm rau SYSVOL network nplaub tshev ntawm cov tswj hwm - Khiav ib tsab ntawv PowerShell ntawm cov khoom siv sau npe txhawm rau kis tus kab mob malware thiab sau cov kev tawm tsam hauv cov cav hauv SYSVOL
Yog tias koj muaj lus nug txog qhov txawv ntawm tus kab mob ransomware, lossis lwm yam kev tshawb fawb txog kev nyab xeeb thiab kev nyab xeeb ntawm kev tshawb nrhiav los ntawm peb pab pawg, los yog thov , qhov twg peb ib txwm teb cov lus nug hauv Q&A kev sib tham.
Tau qhov twg los: www.hab.com