Jenis ransomware baru mengenkripsi file dan menambahkan ekstensi ".SaveTheQueen" ke dalamnya, menyebar melalui folder jaringan SYSVOL pada pengontrol domain Direktori Aktif.
Pelanggan kami menemukan malware ini baru-baru ini. Kami menyajikan analisis lengkap kami, hasil dan kesimpulannya di bawah ini.
Deteksi
Salah satu pelanggan kami menghubungi kami setelah mereka menemukan jenis ransomware baru yang menambahkan ekstensi ".SaveTheQueen" ke file terenkripsi baru di lingkungan mereka.
Selama penyelidikan kami, atau tepatnya pada tahap pencarian sumber penularan, kami menemukan bahwa distribusi dan pelacakan korban yang terinfeksi dilakukan dengan menggunakan folder jaringan SYSVOL pada pengontrol domain pelanggan.
SYSVOL adalah folder kunci untuk setiap pengontrol domain yang digunakan untuk mengirimkan Objek Kebijakan Grup (GPO) dan skrip masuk dan keluar ke komputer di domain. Isi folder ini direplikasi antara pengontrol domain untuk menyinkronkan data ini di seluruh situs organisasi. Menulis ke SYSVOL memerlukan hak istimewa domain yang tinggi, namun, setelah disusupi, aset ini menjadi alat yang ampuh bagi penyerang yang dapat menggunakannya untuk menyebarkan muatan berbahaya ke seluruh domain dengan cepat dan efisien.
Rantai audit Varonis membantu dengan cepat mengidentifikasi hal-hal berikut:
- Akun pengguna yang terinfeksi membuat file bernama "setiap jam" di SYSVOL
- Banyak file log dibuat di SYSVOL - masing-masing diberi nama dengan nama perangkat domain
- Banyak alamat IP berbeda yang mengakses file "setiap jam".
Kami menyimpulkan bahwa file log digunakan untuk melacak proses infeksi pada perangkat baru, dan bahwa "setiap jam" adalah pekerjaan terjadwal yang mengeksekusi muatan berbahaya pada perangkat baru menggunakan skrip Powershell - contoh "v3" dan "v4".
Penyerang kemungkinan memperoleh dan menggunakan hak administrator domain untuk menulis file ke SYSVOL. Pada host yang terinfeksi, penyerang menjalankan kode PowerShell yang membuat tugas terjadwal untuk membuka, mendekripsi, dan menjalankan malware.
Mendekripsi malware
Kami mencoba beberapa cara untuk menguraikan sampel tetapi tidak berhasil:
Kami hampir siap untuk menyerah ketika kami memutuskan untuk mencoba metode “Ajaib” yang luar biasa
keperluan oleh GCHQ. Magic mencoba menebak enkripsi file dengan memaksa kata sandi untuk berbagai jenis enkripsi dan mengukur entropi.
Catatan penerjemah Lihat и . Artikel dan komentar ini tidak melibatkan diskusi penulis tentang perincian metode yang digunakan dalam perangkat lunak pihak ketiga atau berpemilik
Magic menentukan bahwa pengemas GZip berkode base64 digunakan, sehingga kami dapat mendekompresi file dan menemukan kode injeksi.
Dropper: “Ada epidemi di daerah ini! Vaksinasi umum. Penyakit kaki dan mulut"
Droppernya adalah file .NET biasa tanpa perlindungan apa pun. Setelah membaca kode sumber dengan kami menyadari bahwa tujuan utamanya adalah memasukkan kode shell ke dalam proses winlogon.exe.
Shellcode atau komplikasi sederhana
Kami menggunakan alat pembuat Hexacorn - untuk "mengkompilasi" kode shell menjadi file yang dapat dieksekusi untuk debugging dan analisis. Kami kemudian menemukan bahwa ini berfungsi pada mesin 32 dan 64 bit.
Menulis kode shell sederhana sekalipun dalam terjemahan bahasa assembly asli bisa jadi sulit, tetapi menulis kode shell lengkap yang berfungsi pada kedua jenis sistem memerlukan keterampilan elit, jadi kami mulai mengagumi kecanggihan penyerang.
Saat kami mengurai kode shell yang dikompilasi menggunakan , kami memperhatikan bahwa dia sedang memuat Perpustakaan dinamis .NET , seperti clr.dll dan mscoreei.dll. Ini tampak aneh bagi kami - biasanya penyerang mencoba membuat kode shell sekecil mungkin dengan memanggil fungsi asli OS alih-alih memuatnya. Mengapa ada orang yang perlu menanamkan fungsionalitas Windows ke dalam shellcode alih-alih memanggilnya langsung sesuai permintaan?
Ternyata, pembuat malware sama sekali tidak menulis kode shell yang rumit ini - perangkat lunak khusus untuk tugas ini digunakan untuk menerjemahkan file dan skrip yang dapat dieksekusi ke dalam kode shell.
Kami menemukan alat , yang kami pikir dapat mengkompilasi kode shell serupa. Berikut deskripsinya dari GitHub:
Donut menghasilkan shellcode x86 atau x64 dari VBScript, JScript, EXE, DLL (termasuk rakitan .NET). Shellcode ini dapat dimasukkan ke dalam proses Windows apa pun untuk dieksekusi
memori akses acak.
Untuk mengkonfirmasi teori kami, kami menyusun kode kami sendiri menggunakan Donut dan membandingkannya dengan sampel - dan... ya, kami menemukan komponen lain dari toolkit yang digunakan. Setelah ini, kami sudah dapat mengekstrak dan menganalisis file .NET asli yang dapat dieksekusi.
Perlindungan kode
File ini telah dikaburkan menggunakan :
ConfuserEx adalah proyek .NET sumber terbuka untuk melindungi kode pengembangan lainnya. Kelas perangkat lunak ini memungkinkan pengembang untuk melindungi kode mereka dari rekayasa balik menggunakan metode seperti substitusi karakter, penyembunyian aliran perintah kontrol, dan penyembunyian metode referensi. Pembuat malware menggunakan obfuscator untuk menghindari deteksi dan mempersulit rekayasa balik.
Melalui kami membongkar kode:
Hasilnya adalah muatan
Muatan yang dihasilkan adalah virus ransomware yang sangat sederhana. Tidak ada mekanisme untuk memastikan kehadiran dalam sistem, tidak ada koneksi ke pusat komando - hanya enkripsi asimetris lama yang bagus untuk membuat data korban tidak dapat dibaca.
Fungsi utama memilih baris berikut sebagai parameter:
- Ekstensi file untuk digunakan setelah enkripsi (SaveTheQueen)
- Email penulis untuk ditempatkan di file catatan tebusan
- Kunci publik digunakan untuk mengenkripsi file
Prosesnya sendiri terlihat seperti ini:
- Malware memeriksa drive lokal dan terhubung pada perangkat korban
- Mencari file untuk dienkripsi
- Mencoba menghentikan proses yang menggunakan file yang akan dienkripsi
- Ganti nama file menjadi "OriginalFileName.SaveTheQueenING" menggunakan fungsi MoveFile dan mengenkripsinya
- Setelah file dienkripsi dengan kunci publik pembuatnya, malware mengganti namanya lagi, sekarang menjadi "Nama File Asli.SaveTheQueen"
- File dengan permintaan tebusan ditulis ke folder yang sama
Berdasarkan penggunaan fungsi asli "CreateDecryptor", salah satu fungsi malware tampaknya berisi parameter mekanisme dekripsi yang memerlukan kunci pribadi.
virus ransomware TIDAK mengenkripsi file, disimpan dalam direktori:
C:jendela
C: Program Files
C: Program Files (x86)
C:Pengguna\Data Aplikasi
C:inetpub
Dia juga TIDAK mengenkripsi jenis file berikut:EXE, DLL, MSI, ISO, SYS, CAB.
Hasil dan kesimpulan
Meskipun ransomware itu sendiri tidak mengandung fitur yang tidak biasa, penyerang secara kreatif menggunakan Active Directory untuk mendistribusikan dropper, dan malware itu sendiri menghadirkan hambatan yang menarik, meski pada akhirnya tidak rumit, selama analisis.
Menurut kami pembuat malware tersebut adalah:
- Menulis virus ransomware dengan injeksi bawaan ke dalam proses winlogon.exe, juga
fungsi enkripsi dan dekripsi file - Menyamarkan kode berbahaya menggunakan ConfuserEx, mengonversi hasilnya menggunakan Donut dan juga menyembunyikan dropper Gzip base64
- Memperoleh hak istimewa yang lebih tinggi di domain korban dan menggunakannya untuk menyalin
malware terenkripsi dan pekerjaan terjadwal ke folder jaringan SYSVOL pengontrol domain - Jalankan skrip PowerShell pada perangkat domain untuk menyebarkan malware dan mencatat kemajuan serangan dalam log di SYSVOL
Jika Anda memiliki pertanyaan tentang varian virus ransomware ini, atau investigasi forensik dan insiden keamanan siber lainnya yang dilakukan oleh tim kami, atau permintaan , dimana kami selalu menjawab pertanyaan dalam sesi tanya jawab.
Sumber: www.habr.com