Yon nouvo souch ransomware ankripte fichye yo epi li ajoute yon ekstansyon ".SaveTheQueen" pou yo, gaye nan katab rezo SYSVOL sou kontwolè domèn Active Directory.
Kliyan nou yo te rankontre malveyan sa a dènyèman. Nou prezante analiz konplè nou an, rezilta li yo ak konklizyon anba a.
Deteksyon
Youn nan kliyan nou yo te kontakte nou apre yo te rankontre yon nouvo souch ransomware ki te ajoute ekstansyon ".SaveTheQueen" nan nouvo dosye chiffres nan anviwònman yo.
Pandan envestigasyon nou an, oswa pito nan etap nan rechèch pou sous enfeksyon, nou te jwenn ke distribisyon an ak swiv nan viktim enfekte te fèt lè l sèvi avèk katab rezo SYSVOL sou kontwolè domèn kliyan an.
SYSVOL se yon katab kle pou chak kontwolè domèn ki itilize pou delivre Objè Règleman Gwoup (GPO) ak scripts pou konekte ak dekonekte sou òdinatè nan domèn nan. Sa ki nan katab sa a yo repwodui ant contrôleur domèn yo senkronize done sa yo atravè sit òganizasyon an. Ekri nan SYSVOL mande pou gwo privilèj domèn, sepandan, yon fwa konpwomèt, avantaj sa a vin tounen yon zouti pwisan pou atakè ki ka sèvi ak li rapidman ak efikas gaye move payloads atravè yon domèn.
Chèn odit Varonis la te ede byen vit idantifye bagay sa yo:
- Kont itilizatè ki enfekte a te kreye yon fichye ki rele "chak èdtan" nan SYSVOL
- Anpil fichye boutèy demi lit yo te kreye nan SYSVOL - chak yo te nonmen non yon aparèy domèn
- Anpil adrès IP diferan yo te jwenn aksè nan fichye "chak èdtan".
Nou te konkli ke dosye yo te itilize pou swiv pwosesis enfeksyon an sou nouvo aparèy, e ke "chak èdtan" se te yon travay pwograme ki egzekite chaj move sou nouvo aparèy lè l sèvi avèk yon script Powershell - echantiyon "v3" ak "v4".
Atakè a gen anpil chans jwenn epi itilize privilèj administratè domèn pou ekri fichye nan SYSVOL. Sou lame ki enfekte, atakè a te kouri kòd PowerShell ki te kreye yon travay orè pou louvri, dechifre, ak kouri malveyan an.
Dechifre malveyan an
Nou te eseye plizyè fason pou dechifre echantiyon yo san okenn rezilta:
Nou te prèske pare bay moute lè nou deside eseye "Majik" metòd la nan manyifik la
sèvis piblik yo pa GCHQ. Majik eseye devine chifreman yon dosye pa fòse modpas pou diferan kalite chifreman ak mezire antropi.
Nòt tradiktè a Al gade nan и . Atik sa a ak kòmantè yo pa enplike diskisyon sou pati otè yo sou detay yo sou metòd yo itilize nan swa twazyèm pati oswa lojisyèl propriétaires.
Majik te detèmine ke yo te itilize yon packer GZip kode baz64, kidonk nou te kapab dekonprese fichye a epi dekouvri kòd piki a.
Dropper: "Genyen yon epidemi nan zòn nan! Vaksen jeneral. Maladi pye ak bouch"
Dropper a se te yon dosye regilye .NET san okenn pwoteksyon. Apre ou fin li kòd sous la ak nou reyalize ke sèl objektif li se te enjekte shellcode nan pwosesis winlogon.exe la.
Shellcode oswa konplikasyon senp
Nou itilize zouti otè Hexacorn - yo nan lòd yo "konpile" shellcode a nan yon dosye ègzèkutabl pou debogaj ak analiz. Lè sa a, nou dekouvri ke li te travay sou tou de 32 ak 64 machin ti jan.
Ekri menm senp shellcode nan yon tradiksyon natif natal lang asanble ka difisil, men ekri shellcode konplè ki travay sou tou de kalite sistèm mande pou konpetans elit, kidonk nou te kòmanse sezi nan bagay konplike atakè a.
Lè nou analize shellcode a konpile lè l sèvi avèk , nou remake ke li te chaje Bibliyotèk dinamik .NET , tankou clr.dll ak mscoreei.dll. Sa a te sanble etranj pou nou - anjeneral atakè yo eseye fè shellcode a pi piti ke posib lè yo rele fonksyon natif natal OS olye pou yo chaje yo. Poukisa nenpòt moun ta bezwen entegre fonksyonalite Windows nan shellcode a olye pou yo rele li dirèkteman sou demann?
Kòm li te tounen soti, otè a nan malveyan an pa t 'ekri shellcode konplèks sa a ditou - yo te itilize lojisyèl espesifik nan travay sa a pou tradui dosye ègzèkutabl ak scripts nan shellcode.
Nou jwenn yon zouti , ki nou te panse ta ka konpile yon shellcode menm jan an. Isit la se deskripsyon li soti nan GitHub:
Donut jenere x86 oswa x64 shellcode soti nan VBScript, JScript, EXE, DLL (ki gen ladan asanble .NET). Sa a ka shellcode dwe enjekte nan nenpòt pwosesis Windows yo dwe egzekite nan
memwa aksè o aza.
Pou konfime teyori nou an, nou konpile pwòp kòd nou an lè l sèvi avèk Donut epi konpare li ak echantiyon an - ak ... wi, nou dekouvri yon lòt eleman nan bwat zouti yo itilize a. Apre sa, nou te deja kapab ekstrè ak analize orijinal .NET ègzèkutabl dosye a.
Pwoteksyon kòd
Fichye sa a te bouche lè l sèvi avèk :
ConfuserEx se yon sous louvri pwojè .NET pou pwoteje kòd lòt devlopman yo. Klas lojisyèl sa a pèmèt devlopè yo pwoteje kòd yo kont jeni ranvèse lè l sèvi avèk metòd tankou sibstitisyon karaktè, maskin koule kòmand kontwòl, ak metòd referans kache. Otè malveyan yo itilize obfuscators pou evite deteksyon epi fè jeni ranvèse pi difisil.
Atravè nou depake kòd la:
Rezilta - chaj
Chaj la ki kapab lakòz se yon viris ransomware trè senp. Pa gen mekanis asire prezans nan sistèm nan, pa gen okenn koneksyon ak sant la kòmand - jis bon ansyen chifreman asimetri pou fè done viktim nan lizib.
Fonksyon prensipal la chwazi liy sa yo kòm paramèt:
- Ekstansyon dosye pou itilize apre chifreman (SaveTheQueen)
- Imèl otè a pou mete nan dosye nòt ranson
- Kle piblik yo itilize pou ankripte dosye yo
Pwosesis la tèt li sanble sa a:
- Malveyan an egzamine kondui lokal ak konekte sou aparèy viktim nan
- Chèche dosye yo ankripte
- Eseye mete fen nan yon pwosesis ki ap itilize yon dosye ke li se sou ankripte
- Chanje non fichye a an "OriginalFileName.SaveTheQueenING" lè l sèvi avèk fonksyon MoveFile a epi ankripte li.
- Apre yo fin chiffres fichye a ak kle piblik otè a, malveyan an chanje non li ankò, kounye a nan "Original FileName.SaveTheQueen"
- Yon dosye ki gen yon demann ranson ekri nan menm katab la
Dapre itilizasyon fonksyon natif natal "CreateDecryptor", youn nan fonksyon malveyan yo parèt genyen kòm yon paramèt yon mekanis dechifre ki mande yon kle prive.
viris ransomware PA ankripte dosye yo, ki estoke nan anyè:
C: Windows
C: Pwogram Files
C: Dosye Pwogram (x86)
C:Itilizatè\AppData
C:inetpub
Li menm tou PA ankripte kalite dosye sa yo:EXE, DLL, MSI, ISO, SYS, CAB.
Rezilta ak konklizyon
Malgre ke ransomware nan tèt li pa t 'gen ladann okenn karakteristik etranj, atakè a kreyativman itilize Active Directory pou distribye gout la, ak malveyan nan tèt li prezante nou ak enteresan, si finalman senp, obstak pandan analiz.
Nou panse ke otè malveyan an se:
- Ekri yon viris ransomware ak piki entegre nan pwosesis winlogon.exe, osi byen ke
dosye chifreman ak dechifre fonksyonalite - Degize kòd move a lè l sèvi avèk ConfuserEx, konvèti rezilta a lè l sèvi avèk Donut epi anplis kache gout Gzip base64 la.
- Jwenn privilèj elve nan domèn viktim nan epi itilize yo pou kopye
malveyan chiffres ak travay pwograme nan katab rezo SYSVOL nan contrôleur domèn - Kouri yon script PowerShell sou aparèy domèn pou gaye malveyan epi anrejistre pwogrè atak nan mòso bwa nan SYSVOL.
Si w gen kesyon sou variant sa a nan viris ransomware la, oswa nenpòt lòt envestigasyon ensidan legal ak sekirite cybersecurity ekip nou yo fè, oswa mande , kote nou toujou reponn kesyon nan yon sesyon Q&A.
Sous: www.habr.com