Nova vrsta ransomwarea šifrira datoteke i dodaje im ekstenziju ".SaveTheQueen", šireći se mrežnom mapom SYSVOL na kontrolerima domene Active Directory.
Naši su se korisnici nedavno susreli s ovim zlonamjernim softverom. U nastavku predstavljamo našu cjelovitu analizu, njezine rezultate i zaključke.
otkrivanje
Jedan od naših kupaca kontaktirao nas je nakon što je naišao na novu vrstu ransomwarea koji je dodavao ekstenziju ".SaveTheQueen" novim šifriranim datotekama u njihovom okruženju.
Tijekom naše istrage, odnosno u fazi potrage za izvorima zaraze, saznali smo da se distribucija i praćenje zaraženih žrtava vršilo pomoću mrežna mapa SYSVOL na kupčevom kontroleru domene.
SYSVOL je ključna mapa za svaki kontroler domene koja se koristi za isporuku objekata pravila grupe (GPO) i skripti za prijavu i odjavu računalima u domeni. Sadržaj ove mape replicira se između kontrolera domene kako bi se ti podaci sinkronizirali na web-mjestima organizacije. Zapisivanje u SYSVOL zahtijeva visoke privilegije domene, međutim, jednom kada je ugroženo, ovo sredstvo postaje moćan alat za napadače koji ga mogu koristiti za brzo i učinkovito širenje zlonamjernog sadržaja po domeni.
Lanac revizije Varonisa pomogao je brzo identificirati sljedeće:
- Zaraženi korisnički račun stvorio je datoteku pod nazivom "po satu" u SYSVOL-u
- Mnoge datoteke dnevnika stvorene su u SYSVOL-u - svaka je nazvana imenom uređaja domene
- Mnoge različite IP adrese pristupale su "satnoj" datoteci
Zaključili smo da su log datoteke korištene za praćenje procesa zaraze na novim uređajima i da je "po satu" planirani posao koji je izvršavao zlonamjerni teret na novim uređajima pomoću skripte Powershell - uzorci "v3" i "v4".
Napadač je vjerojatno dobio i koristio ovlasti administratora domene za pisanje datoteka u SYSVOL. Na zaraženim hostovima napadač je pokrenuo PowerShell kod koji je stvorio raspored za otvaranje, dešifriranje i pokretanje zlonamjernog softvera.
Dešifriranje zlonamjernog softvera
Bezuspješno smo pokušali dešifrirati uzorke na nekoliko načina:
Bili smo gotovo spremni odustati kada smo odlučili isprobati “Magic” metodu veličanstvenih
komunalije od GCHQ. Magic pokušava pogoditi enkripciju datoteke grubim forsiranjem lozinki za različite vrste enkripcije i mjerenjem entropije.
Napomena prevoditelja Vidjeti и . Ovaj članak i komentari ne uključuju raspravu od strane autora o detaljima metoda korištenih u softveru trećih strana ili u vlasničkom softveru
Magic je utvrdio da je korišten GZip paker kodiran base64, pa smo uspjeli dekomprimirati datoteku i otkriti kod za ubacivanje.
Dropper: “U okolici je epidemija! Opća cijepljenja. Slinavka i šap"
Kapaljka je bila obična .NET datoteka bez ikakve zaštite. Nakon čitanja izvornog koda sa shvatili smo da je njegova jedina svrha ubaciti shellcode u proces winlogon.exe.
Shellcode ili jednostavne komplikacije
Koristili smo Hexacorn autorski alat − kako bi se "kompilirao" shellcode u izvršnu datoteku za otklanjanje pogrešaka i analizu. Zatim smo otkrili da radi i na 32 i na 64 bitnim strojevima.
Pisanje čak i jednostavnog shellcodea u izvornom asemblerskom jeziku može biti teško, ali pisanje kompletnog shellcodea koji radi na obje vrste sustava zahtijeva vrhunske vještine, pa smo se počeli čuditi sofisticiranosti napadača.
Kada smo analizirali kompajlirani shellcode pomoću , primijetili smo da se učitava .NET dinamičke biblioteke , kao što su clr.dll i mscoreei.dll. Ovo nam se činilo čudnim - obično napadači pokušavaju shellcode učiniti što je moguće manjim pozivanjem izvornih OS funkcija umjesto da ih učitavaju. Zašto bi itko trebao ugraditi funkcionalnost sustava Windows u shellcode umjesto da ga poziva izravno na zahtjev?
Kako se pokazalo, autor zlonamjernog softvera uopće nije napisao ovaj složeni shellcode - softver specifičan za ovaj zadatak korišten je za prevođenje izvršnih datoteka i skripti u shellcode.
Našli smo alat , za koji smo mislili da može sastaviti sličan shellcode. Evo njegovog opisa s GitHuba:
Donut generira x86 ili x64 shellcode iz VBScript, JScript, EXE, DLL (uključujući .NET sklopove). Ovaj se shellcode može ubaciti u bilo koji Windows proces da bi se u njemu izvršio
RAM memorija.
Kako bismo potvrdili našu teoriju, sastavili smo vlastiti kod koristeći Donut i usporedili ga s uzorkom - i... da, otkrili smo još jednu komponentu korištenog alata. Nakon toga već smo bili u mogućnosti izdvojiti i analizirati izvornu .NET izvršnu datoteku.
Zaštita koda
Ova je datoteka prikrivena korištenjem :
ConfuserEx je .NET projekt otvorenog koda za zaštitu koda drugih razvoja. Ova klasa softvera omogućuje razvojnim programerima da zaštite svoj kod od obrnutog inženjeringa korištenjem metoda kao što su zamjena znakova, maskiranje toka kontrolnih naredbi i skrivanje referentne metode. Autori zlonamjernog softvera koriste zamagljivače kako bi izbjegli otkrivanje i otežali obrnuti inženjering.
Hvala raspakirali smo kod:
Rezultat - nosivost
Dobiveni korisni sadržaj je vrlo jednostavan ransomware virus. Nema mehanizma koji bi osigurao prisutnost u sustavu, nema veza sa zapovjednim centrom - samo dobra stara asimetrična enkripcija koja podatke žrtve čini nečitljivima.
Glavna funkcija odabire sljedeće retke kao parametre:
- Ekstenzija datoteke za korištenje nakon šifriranja (SaveTheQueen)
- E-pošta autora koju treba staviti u datoteku s porukom o otkupnini
- Javni ključ koji se koristi za šifriranje datoteka
Sam proces izgleda ovako:
- Zlonamjerni softver ispituje lokalne i povezane diskove na žrtvinom uređaju
- Traži datoteke za šifriranje
- Pokušava prekinuti proces koji koristi datoteku koju će šifrirati
- Preimenuje datoteku u "OriginalFileName.SaveTheQueenING" pomoću funkcije MoveFile i šifrira je
- Nakon što je datoteka šifrirana autorovim javnim ključem, zlonamjerni softver je ponovno preimenuje, sada u "Original FileName.SaveTheQueen"
- Datoteka sa zahtjevom za otkupninom zapisuje se u istu mapu
Na temelju upotrebe izvorne funkcije "CreateDecryptor", čini se da jedna od funkcija zlonamjernog softvera sadrži kao parametar mehanizam dešifriranja koji zahtijeva privatni ključ.
Ransomware virus NE šifrira datoteke, pohranjeno u imenicima:
C: prozori
C: Programske datoteke
C: Programske datoteke (x86)
C:Korisnici\AppData
C:inetpub
On također NE šifrira sljedeće vrste datoteka:EXE, DLL, MSI, ISO, SYS, CAB.
Rezultati i zaključci
Iako sam ransomware nije sadržavao nikakve neobične značajke, napadač je kreativno iskoristio Active Directory za distribuciju droppera, a sam zlonamjerni softver predstavljao nam je zanimljive, iako u konačnici nekomplicirane, prepreke tijekom analize.
Smatramo da je autor zlonamjernog softvera:
- Napisao je ransomware virus s ugrađenim ubacivanjem u proces winlogon.exe, kao i
funkcionalnost enkripcije i dešifriranja datoteka - Prikrio zlonamjerni kod pomoću ConfuserEx-a, konvertirao rezultat pomoću Donut-a i dodatno sakrio base64 Gzip dropper
- Dobio povišene privilegije u domeni žrtve i koristio ih za kopiranje
šifrirani zlonamjerni softver i zakazane poslove u mrežnu mapu SYSVOL kontrolera domene - Pokrenite skriptu PowerShell na uređajima domene za širenje zlonamjernog softvera i zabilježite napredak napada u zapisima u SYSVOL-u
Ako imate pitanja o ovoj varijanti ransomware virusa ili bilo kojoj drugoj forenzičkoj istrazi i istrazi kibernetičke sigurnosti koju provode naši timovi, ili zahtjev , gdje uvijek odgovaramo na pitanja u sesiji pitanja i odgovora.
Izvor: www.habr.com