Փրկագին ծրագրերի նոր տեսակը գաղտնագրում է ֆայլերը և դրանցում ավելացնում «.SaveTheQueen» ընդլայնումը՝ տարածվելով Active Directory տիրույթի կարգավորիչների SYSVOL ցանցի պանակով:
Մեր հաճախորդները վերջերս հանդիպել են այս չարամիտ ծրագրին: Ստորև ներկայացնում ենք մեր ամբողջական վերլուծությունը, դրա արդյունքներն ու եզրակացությունները.
Բացահայտում
Մեր հաճախորդներից մեկը կապվեց մեզ հետ այն բանից հետո, երբ նրանք հանդիպեցին փրկագինի նոր տեսակի, որն ավելացնում էր «.SaveTheQueen» ընդլայնումը նոր գաղտնագրված ֆայլերին իրենց միջավայրում:
Մեր հետաքննության ընթացքում, ավելի ճիշտ՝ վարակի աղբյուրների որոնման փուլում, պարզեցինք, որ վարակված տուժածների բաշխումն ու հետևումն իրականացվել է ցանցային թղթապանակ SYSVOL հաճախորդի տիրույթի վերահսկիչի վրա:
SYSVOL-ը առանցքային թղթապանակ է յուրաքանչյուր տիրույթի վերահսկիչի համար, որն օգտագործվում է տիրույթում գտնվող համակարգիչներին խմբային քաղաքականության օբյեկտներ (GPO) և մուտքի և դուրս գալու սկրիպտներ առաքելու համար: Այս թղթապանակի բովանդակությունը կրկնօրինակվում է տիրույթի կարգավորիչների միջև՝ այս տվյալները կազմակերպության կայքերում համաժամացնելու համար: SYSVOL-ին գրելը պահանջում է տիրույթի բարձր արտոնություններ, սակայն, երբ վտանգի ենթարկվի, այս ակտիվը դառնում է հզոր գործիք հարձակվողների համար, ովքեր կարող են օգտագործել այն՝ արագ և արդյունավետ կերպով վնասակար բեռները տարածելու տիրույթում:
Varonis աուդիտի շղթան օգնեց արագ բացահայտել հետևյալը.
- Վարակված օգտվողի հաշիվը SYSVOL-ում ստեղծել է «ժամյա» անվանումով ֆայլ
- SYSVOL-ում ստեղծվել են բազմաթիվ մատյան ֆայլեր, որոնցից յուրաքանչյուրը անվանվել է տիրույթի սարքի անունով
- Շատ տարբեր IP հասցեներ մուտք էին գործում «ժամյա» ֆայլ
Մենք եզրակացրինք, որ գրանցամատյանների ֆայլերն օգտագործվել են նոր սարքերում վարակման գործընթացին հետևելու համար, և որ «ժամային»-ը պլանավորված աշխատանք է, որը վնասակար ծանրաբեռնվածություն է գործադրում նոր սարքերի վրա՝ օգտագործելով Powershell սկրիպտը՝ «v3» և «v4» նմուշները:
Հարձակվողը, հավանաբար, ստացել և օգտագործել է տիրույթի ադմինիստրատորի արտոնություններ՝ ֆայլերը SYSVOL-ում գրելու համար: Վարակված սերվերների վրա հարձակվողը գործարկել է PowerShell կոդը, որը ստեղծել է ժամանակացույցի աշխատանք չարամիտ ծրագիրը բացելու, վերծանելու և գործարկելու համար:
Չարամիտ ծրագրի վերծանում
Մենք փորձեցինք նմուշները վերծանելու մի քանի եղանակներ՝ անօգուտ.
Մենք գրեթե պատրաստ էինք հանձնվել, երբ որոշեցինք փորձել «Magic» մեթոդը հոյակապ
կոմունալ GCHQ-ի կողմից։ Magic-ը փորձում է գուշակել ֆայլի գաղտնագրումը տարբեր տեսակի գաղտնաբառերի կոպիտ պարտադրման միջոցով և չափելով էնտրոպիան:
Թարգմանչի գրառումը Տեսնել и . Այս հոդվածը և մեկնաբանությունները չեն ներառում հեղինակների կողմից երրորդ կողմի կամ սեփական ծրագրային ապահովման մեջ օգտագործվող մեթոդների մանրամասների քննարկում
Magic-ը որոշեց, որ օգտագործվում է base64 կոդավորված GZip փաթեթավորիչ, այնպես որ մենք կարողացանք ապասեղմել ֆայլը և հայտնաբերել ներարկման կոդը:
Dropper. «Տարածքում համաճարակ կա: Ընդհանուր պատվաստումներ. Ոտնաթաթի և բերանի հիվանդություն»
The dropper-ը սովորական .NET ֆայլ էր՝ առանց որևէ պաշտպանության: Աղբյուրի կոդը կարդալուց հետո մենք հասկացանք, որ դրա միակ նպատակն է ներարկել shellcode-ը winlogon.exe գործընթացում:
Shellcode կամ պարզ բարդություններ
Մենք օգտագործեցինք Hexacorn հեղինակային գործիքը − shellcode-ը «կազմելու» գործարկվող ֆայլում՝ վրիպազերծման և վերլուծության համար: Հետո մենք հայտնաբերեցինք, որ այն աշխատում էր և՛ 32, և՛ 64 բիթանոց մեքենաների վրա:
Նույնիսկ պարզ shellcode-ը մայրենի անսամբլի լեզվով թարգմանությամբ գրելը կարող է դժվար լինել, բայց ամբողջական shellcode գրելը, որն աշխատում է երկու տեսակի համակարգերի վրա, պահանջում է էլիտար հմտություններ, ուստի մենք սկսեցինք հիանալ հարձակվողի բարդությամբ:
Երբ մենք վերլուծեցինք կազմված shellcode-ը, օգտագործելով , նկատեցինք, որ նա բեռնում է .NET դինամիկ գրադարաններ , ինչպիսիք են clr.dll-ը և mscoreei.dll-ը: Սա մեզ տարօրինակ թվաց. սովորաբար հարձակվողները փորձում են հնարավորինս փոքրացնել shellcode-ը՝ դրանք բեռնելու փոխարեն զանգահարելով OS-ի բնիկ գործառույթները: Ինչու՞ որևէ մեկին պետք է Windows-ի ֆունկցիոնալությունը ներդնել shellcode-ի մեջ՝ այն ուղղակիորեն ըստ պահանջի զանգահարելու փոխարեն:
Ինչպես պարզվեց, չարամիտ ծրագրի հեղինակն ընդհանրապես չի գրել այս բարդ shellcode-ը. այս առաջադրանքին հատուկ ծրագրակազմն օգտագործվել է գործարկվող ֆայլերը և սցենարները shellcode-ի թարգմանելու համար:
Մենք գտանք գործիք , որը մենք կարծում էինք, որ կարող է կազմել նմանատիպ shellcode: Ահա դրա նկարագրությունը GitHub-ից.
Donut-ը ստեղծում է x86 կամ x64 shellcode VBScript-ից, JScript-ից, EXE-ից, DLL-ից (ներառյալ .NET հավաքները): Այս shellcode-ը կարող է ներարկվել Windows-ի ցանկացած գործընթացի մեջ, որը պետք է կատարվի
RAM հիշողություն:
Մեր տեսությունը հաստատելու համար մենք կազմեցինք մեր սեփական կոդը՝ օգտագործելով Donut-ը և համեմատեցինք այն նմուշի հետ, և... այո, մենք հայտնաբերեցինք օգտագործվող գործիքակազմի մեկ այլ բաղադրիչ: Դրանից հետո մենք արդեն կարողացանք հանել և վերլուծել բնօրինակ .NET գործարկվող ֆայլը:
Կոդի պաշտպանություն
Այս ֆայլը շփոթվել է, օգտագործելով :
ConfuserEx-ը բաց կոդով .NET նախագիծ է՝ այլ մշակումների ծածկագիրը պաշտպանելու համար: Ծրագրային ապահովման այս դասը ծրագրավորողներին թույլ է տալիս պաշտպանել իրենց կոդը հակադարձ ճարտարագիտությունից՝ օգտագործելով այնպիսի մեթոդներ, ինչպիսիք են նիշերի փոխարինումը, վերահսկման հրամանների հոսքի քողարկումը և հղումային մեթոդի թաքցումը: Չարամիտ ծրագրերի հեղինակները օգտագործում են խաբեբաներ՝ հայտնաբերելուց խուսափելու և հակադարձ ճարտարագիտությունը ավելի դժվարացնելու համար:
Միջոցով մենք բացեցինք կոդը.
Արդյունք - օգտակար բեռ
Ստացված ծանրաբեռնվածությունը շատ պարզ փրկագին վիրուս է: Համակարգում ներկայությունն ապահովելու մեխանիզմ չկա, հրամանատարական կենտրոնի հետ կապեր չկան. պարզապես հին լավ ասիմետրիկ գաղտնագրում է զոհի տվյալները անընթեռնելի դարձնելու համար:
Հիմնական գործառույթը որպես պարամետրեր ընտրում է հետևյալ տողերը.
- Ֆայլի ընդլայնում կոդավորումից հետո օգտագործելու համար (SaveTheQueen)
- Փրկագնի նշումների ֆայլում տեղադրելու հեղինակի էլ
- Հանրային բանալին օգտագործվում է ֆայլերը գաղտնագրելու համար
Գործընթացն ինքնին այսպիսի տեսք ունի.
- Չարամիտ ծրագիրը ուսումնասիրում է տուժածի սարքի տեղական և միացված կրիչներ
- Որոնում է ֆայլեր գաղտնագրման համար
- Փորձում է դադարեցնել գործընթացը, որն օգտագործում է ֆայլ, որը պատրաստվում է գաղտնագրել
- Վերանվանում է ֆայլը «OriginalFileName.SaveTheQueenING»՝ օգտագործելով MoveFile ֆունկցիան և գաղտնագրում է այն:
- Այն բանից հետո, երբ ֆայլը կոդավորված է հեղինակի հանրային բանալիով, չարամիտ ծրագիրը կրկին վերանվանում է այն՝ այժմ «Original FileName.SaveTheQueen»:
- Փրկագնի պահանջով ֆայլը գրված է նույն թղթապանակում
Հիմնվելով բնիկ «CreateDecryptor» ֆունկցիայի օգտագործման վրա՝ չարամիտ ծրագրի գործառույթներից մեկը, ըստ երևույթին, պարունակում է որպես պարամետր գաղտնազերծման մեխանիզմ, որը պահանջում է մասնավոր բանալի:
Ransomware վիրուս ՉԻ գաղտնագրում ֆայլերը, պահվում է գրացուցակներում՝
C: պատուհաններ
C: Ծրագրային ֆայլեր
C: Ծրագրային ֆայլեր (x86)
C: Users\AppData
C:inetpub
Նա նույնպես ՉԻ գաղտնագրում հետևյալ ֆայլերի տեսակները.EXE, DLL, MSI, ISO, SYS, CAB:
Ամփոփում և եզրակացություններ
Թեև փրկագինն ինքնին որևէ արտասովոր առանձնահատկություն չուներ, հարձակվողը ստեղծագործաբար օգտագործեց Active Directory-ը կաթիլը տարածելու համար, և չարամիտ ծրագիրը մեզ ներկայացրեց հետաքրքիր, եթե, ի վերջո, ոչ բարդ, խոչընդոտներ վերլուծության ընթացքում:
Մենք կարծում ենք, որ չարամիտ ծրագրի հեղինակն է.
- Գրել է փրկագին վիրուս՝ ներկառուցված ներարկումով winlogon.exe գործընթացում, ինչպես նաև
ֆայլերի գաղտնագրման և գաղտնազերծման գործառույթը - Քողարկեց վնասակար կոդը ConfuserEx-ի միջոցով, փոխարկեց արդյունքը Donut-ի միջոցով և լրացուցիչ թաքցրեց base64 Gzip կաթիլիչը
- Տուժողի տիրույթում ձեռք բերեց բարձր արտոնություններ և օգտագործեց դրանք պատճենելու համար
գաղտնագրված չարամիտ ծրագրեր և պլանավորված աշխատանքներ տիրույթի կարգավորիչների SYSVOL ցանցի թղթապանակում - Գործարկեք PowerShell սկրիպտը տիրույթի սարքերում՝ չարամիտ ծրագրեր տարածելու և SYSVOL-ում գրոհի առաջընթացը գրանցելու համար
Եթե հարցեր ունեք փրկագին վիրուսի այս տարբերակի կամ մեր թիմերի կողմից իրականացվող դատաբժշկական և կիբերանվտանգության միջադեպերի հետաքննության վերաբերյալ, կամ խնդրանք , որտեղ մենք միշտ պատասխանում ենք հարցերին հարցուպատասխանի ժամանակ:
Source: www.habr.com