A zsarolóvírusok új törzse titkosítja a fájlokat, és ".SaveTheQueen" kiterjesztést ad hozzájuk, amely a SYSVOL hálózati mappán keresztül terjed az Active Directory tartományvezérlőkön.
Ügyfeleink a közelmúltban találkoztak ezzel a rosszindulatú programmal. Az alábbiakban bemutatjuk teljes elemzésünket, annak eredményeit és következtetéseit.
Érzékelés
Egyik ügyfelünk felvette velünk a kapcsolatot, miután a zsarolóprogramok új törzsével találkozott, amely a ".SaveTheQueen" kiterjesztést adta a környezetükben található új titkosított fájlokhoz.
Vizsgálatunk során, pontosabban a fertőzési források felkutatásának szakaszában megállapítottuk, hogy a fertőzött áldozatok terjesztése és nyomon követése a hálózati mappa SYSVOL az ügyfél tartományvezérlőjén.
A SYSVOL az egyes tartományvezérlők kulcsmappa, amely csoportházirend-objektumok (GPO-k), valamint bejelentkezési és kijelentkezési parancsfájlok kézbesítésére szolgál a tartomány számítógépeire. A mappa tartalma replikálódik a tartományvezérlők között az adatok szinkronizálása érdekében a szervezet webhelyein. A SYSVOL-ba való írás magas tartományjogosultságokat igényel, azonban a feltört eszköz hatékony eszközzé válik a támadók számára, akik segítségével gyorsan és hatékonyan terjeszthetik a rosszindulatú terheléseket a tartományon belül.
A Varonis auditlánc segített gyorsan azonosítani a következőket:
- A fertőzött felhasználói fiók létrehozta a "hourly" nevű fájlt a SYSVOL-ban
- Sok naplófájlt hoztak létre a SYSVOL-ban – mindegyiket egy tartományeszköz nevével nevezték el
- Sok különböző IP-cím hozzáfért az „óránkénti” fájlhoz
Arra a következtetésre jutottunk, hogy a naplófájlokat az új eszközök fertőzési folyamatának nyomon követésére használták, és az „óránkénti” egy ütemezett feladat, amely rosszindulatú terhelést hajtott végre az új eszközökön Powershell-szkript segítségével – „v3” és „v4” minták.
A támadó valószínűleg megszerezte és használta a tartományadminisztrátori jogosultságokat, hogy fájlokat írjon a SYSVOL-ba. A fertőzött gazdagépeken a támadó PowerShell-kódot futtatott, amely ütemezési feladatot hozott létre a rosszindulatú program megnyitásához, visszafejtéséhez és futtatásához.
A rosszindulatú program visszafejtése
Többféle módon is megpróbáltuk megfejteni a mintákat, sikertelenül:
Már majdnem feladtuk, amikor úgy döntöttünk, hogy kipróbáljuk a pompás „Varázslatos” módszerét
segédprogramok a GCHQ által. A Magic megpróbálja kitalálni a fájl titkosítását a különféle titkosítási típusokhoz használt durva jelszavak és az entrópia mérésével.
A fordító megjegyzése Lát и . Ez a cikk és a megjegyzések nem tartalmaznak vitát a szerzők részéről a harmadik féltől származó vagy a védett szoftverekben használt módszerek részleteiről
A Magic megállapította, hogy egy base64 kódolású GZip csomagolót használtak, így ki tudtuk bontani a fájlt, és felfedeztük az injekciós kódot.
Dropper: „Járvány van a környéken! Általános védőoltások. Láb és szájbetegség"
A dropper egy normál .NET fájl volt, mindenféle védelem nélkül. Miután elolvasta a forráskódot azzal rájöttünk, hogy az egyetlen célja az volt, hogy shellkódot illesszen be a winlogon.exe folyamatba.
Shellcode vagy egyszerű komplikációk
A Hexacorn szerzői eszközt használtuk − annak érdekében, hogy a shellkódot végrehajtható fájlba „fordítsák” hibakeresés és elemzés céljából. Aztán rájöttünk, hogy 32 és 64 bites gépeken is működik.
Még egyszerű shellkódot is megírni anyanyelvi fordításban nehéz lehet, de a teljes shellkód megírása, amely mindkét rendszertípuson működik, elit készségeket igényel, így elkezdtünk csodálkozni a támadó kifinomultságán.
Amikor a lefordított shellkódot a segítségével elemeztük , észrevettük, hogy tölt .NET dinamikus könyvtárak , mint például a clr.dll és az mscoreei.dll. Ez furcsának tűnt számunkra – a támadók általában a natív operációs rendszer függvényeinek meghívásával próbálják a lehető legkisebbre csökkenteni a shellkódot, ahelyett, hogy betöltenék őket. Miért kellene bárkinek Windows-funkciókat beágyaznia a shellkódba, ahelyett, hogy igény szerint hívná meg?
Mint kiderült, a kártevő szerzője egyáltalán nem ezt az összetett shellkódot írta – erre a feladatra specifikus szoftvert használtak a végrehajtható fájlok és szkriptek shellkódba fordítására.
Találtunk egy eszközt , amelyről úgy gondoltuk, hogy egy hasonló shellkódot fordíthat le. Itt van a leírása a GitHubról:
A Donut x86 vagy x64 shellkódot állít elő VBScript-ből, JScript-ből, EXE-ből, DLL-ből (beleértve a .NET-szerelvényeket is). Ez a shellkód bármely Windows-folyamatba beilleszthető, amelyben végrehajtható
véletlen hozzáférésű memória.
Elméletünk megerősítésére a Donut segítségével összeállítottuk a saját kódunkat, és összehasonlítottuk a mintával – és... igen, felfedeztük a használt eszköztár egy másik összetevőjét. Ezt követően sikerült kibontani és elemezni az eredeti .NET futtatható fájlt.
Kódvédelem
Ezt a fájlt a következővel homályosították el :
A ConfuserEx egy nyílt forráskódú .NET projekt más fejlesztések kódjának védelmére. Ez a szoftverosztály lehetővé teszi a fejlesztők számára, hogy megvédjék kódjukat a visszafejtéstől olyan módszerekkel, mint a karakterhelyettesítés, a vezérlőparancs-folyamat maszkolása és a referenciamódszer elrejtése. A rosszindulatú programok szerzői obfuszkátorokat használnak az észlelés elkerülésére, és megnehezítik a visszafejtést.
köszönöm kibontottuk a kódot:
Eredmény - hasznos teher
Az így kapott hasznos teher egy nagyon egyszerű zsarolóvírus. Nincs olyan mechanizmus, amely biztosítaná a jelenlétet a rendszerben, nincs kapcsolat a parancsnoki központtal – csak a jó öreg aszimmetrikus titkosítás, amely olvashatatlanná teszi az áldozat adatait.
A fő funkció a következő sorokat választja ki paraméterként:
- A titkosítás után használható fájlkiterjesztés (SaveTheQueen)
- A szerző e-mail címe, amelyet a váltságdíj-jegyzetfájlba kell helyezni
- A fájlok titkosításához használt nyilvános kulcs
Maga a folyamat így néz ki:
- A rosszindulatú program megvizsgálja az áldozat eszközén lévő helyi és csatlakoztatott meghajtókat
- Megkeresi a titkosítandó fájlokat
- Megpróbál leállítani egy olyan folyamatot, amely egy titkosítani készülő fájlt használ
- A MoveFile függvény segítségével átnevezi a fájlt "OriginalFileName.SaveTheQueenING"-re, és titkosítja
- Miután a fájl titkosításra került a szerző nyilvános kulcsával, a rosszindulatú program újra átnevezi, immár "Eredeti fájlnév.SaveTheQueen" névre.
- A váltságdíjat követelő fájl ugyanabba a mappába kerül
A natív "CreateDecryptor" függvény használata alapján úgy tűnik, hogy a rosszindulatú program egyik funkciója paraméterként tartalmaz egy titkos kulcsot igénylő visszafejtési mechanizmust.
ransomware vírus NEM titkosítja a fájlokat, könyvtárakban tárolva:
C: windows
C: Program fájlok
C: Programfájlok (x86)
C:Users\AppData
C:inetpub
Ő is NEM titkosítja a következő fájltípusokat:EXE, DLL, MSI, ISO, SYS, CAB.
Eredmények és következtetések
Bár maga a zsarolóprogram nem tartalmazott szokatlan funkciókat, a támadó kreatívan az Active Directoryt használta a dropper terjesztésére, és maga a kártevő érdekes, bár végső soron egyszerű akadályok elé állított bennünket az elemzés során.
Úgy gondoljuk, hogy a rosszindulatú program szerzője:
- Írt egy ransomware vírust beépített injekcióval a winlogon.exe folyamatba, valamint
fájl titkosítási és visszafejtési funkció - A ConfuserEx segítségével álcázta a rosszindulatú kódot, a Donut segítségével konvertálta az eredményt, és elrejtette a base64 Gzip droppert
- Emelt jogosultságokat szerzett az áldozat tartományában, és másolásra használta őket
titkosított rosszindulatú programokat és ütemezett feladatokat a tartományvezérlők SYSVOL hálózati mappájába - Futtasson PowerShell-szkriptet a tartományi eszközökön a rosszindulatú programok terjesztéséhez és a támadások előrehaladásának rögzítéséhez a SYSVOL naplóiban
Ha kérdése van a ransomware vírus ezen változatával vagy bármely más, a csapataink által végzett kriminalisztikai és kiberbiztonsági incidens vizsgálattal kapcsolatban, vagy kérjen , ahol mindig válaszolunk a kérdésekre egy Q&A szekcióban.
Forrás: will.com