Nýr stofn lausnarhugbúnaðar dulkóðar skrár og bætir „.SaveTheQueen“ viðbót við þær og dreifist í gegnum SYSVOL netmöppuna á Active Directory lénsstýringum.
Viðskiptavinir okkar lentu í þessu spilliforriti nýlega. Við kynnum greiningu okkar í heild sinni, niðurstöður hennar og niðurstöður hér að neðan.
Uppgötvun
Einn af viðskiptavinum okkar hafði samband við okkur eftir að þeir lentu í nýjum stofni lausnarhugbúnaðar sem var að bæta ".SaveTheQueen" viðbótinni við nýjar dulkóðaðar skrár í umhverfi sínu.
Við rannsókn okkar, eða réttara sagt á stigi leitarinnar að smitupptökum, komumst við að því að dreifing og eftirlit með sýktum fórnarlömbum fór fram með netmöppu SYSVOL á lénsstýringu viðskiptavinarins.
SYSVOL er lykilmappa fyrir hvern lénsstýringu sem er notuð til að afhenda hópstefnuhluti (GPOs) og innskráningar- og útskráningarforskriftir á tölvur á léninu. Innihald þessarar möppu er afritað á milli lénsstýringa til að samstilla þessi gögn á vefsvæði fyrirtækisins. Að skrifa til SYSVOL krefst mikils lénsréttinda, en þegar henni hefur verið stefnt í hættu verður þessi eign öflugt tæki fyrir árásarmenn sem geta notað hana til að dreifa illgjarnri hleðslu á fljótlegan og skilvirkan hátt yfir lén.
Varonis endurskoðunarkeðjan hjálpaði fljótt að bera kennsl á eftirfarandi:
- Sýkti notendareikningurinn bjó til skrá sem heitir „klukkutíma fresti“ í SYSVOL
- Margar annálaskrár voru búnar til í SYSVOL - hver um sig nefnd með nafni lénstækis
- Mörg mismunandi IP tölur voru að fá aðgang að „klukkutíma fresti“ skránni
Við komumst að þeirri niðurstöðu að annálaskrárnar hafi verið notaðar til að rekja sýkingarferlið á nýjum tækjum og að „á klukkutíma fresti“ væri áætlunarvinna sem framkvæmdi illgjarn gagnálag á nýjum tækjum með Powershell skriftu - sýnishorn „v3“ og „v4“.
Árásarmaðurinn hefur líklega fengið og notað lénsstjóraréttindi til að skrifa skrár á SYSVOL. Á sýktum vélum rak árásarmaðurinn PowerShell kóða sem bjó til áætlunarvinnu til að opna, afkóða og keyra spilliforritið.
Afkóða spilliforritið
Við reyndum nokkrar leiðir til að ráða sýnishorn án árangurs:
Við vorum næstum tilbúin að gefast upp þegar við ákváðum að prófa „Magic“ aðferð hins stórfenglega
veitur eftir GCHQ. Magic reynir að giska á dulkóðun skráar með því að þvinga fram lykilorð fyrir mismunandi dulkóðunargerðir og mæla óreiðu.
Athugasemd þýðanda Sjá и . Þessi grein og athugasemdir fela ekki í sér umræðu af hálfu höfunda um upplýsingar um aðferðir sem notaðar eru í annaðhvort þriðja aðila eða eigin hugbúnaði
Magic ákvað að base64 kóðaður GZip pakkari var notaður, svo við gátum þjappað skrána niður og uppgötvað inndælingarkóðann.
Dropari: „Það er faraldur á svæðinu! Almennar bólusetningar. Gin- og klaufaveiki“
Droparinn var venjuleg .NET skrá án nokkurrar verndar. Eftir að hafa lesið frumkóðann með við komumst að því að eini tilgangur þess var að sprauta skelkóða inn í winlogon.exe ferlið.
Shellcode eða einfaldar flækjur
Við notuðum Hexacorn höfundarverkfærið - til þess að „safna“ skelkóðanum í keyrsluskrá til villuleitar og greiningar. Við komumst svo að því að það virkaði bæði á 32 og 64 bita vélum.
Það getur verið erfitt að skrifa jafnvel einfaldan skeljakóða í þýðingu á móðurmáli, en að skrifa heilan skelkóða sem virkar á báðar tegundir kerfa krefst úrvalskunnáttu, svo við fórum að undrast fágun árásarmannsins.
Þegar við þáttuðum saman skeljakóðann með því að nota , við tókum eftir því að hann var að ferma .NET kraftmikil bókasöfn , eins og clr.dll og mscoreei.dll. Þetta þótti okkur undarlegt - venjulega reyna árásarmenn að gera skeljakóðann eins lítinn og mögulegt er með því að kalla innfæddar stýrikerfisaðgerðir í stað þess að hlaða þeim. Af hverju þyrfti einhver að fella Windows virkni inn í skeljakóðann í stað þess að kalla hann beint eftir beiðni?
Eins og það kom í ljós skrifaði höfundur spilliforritsins alls ekki þennan flókna skeljakóða - hugbúnaður sem var sérstakur fyrir þetta verkefni var notaður til að þýða keyranlegar skrár og forskriftir yfir í skelkóða.
Við fundum tæki , sem við héldum að gæti sett saman svipaðan skeljakóða. Hér er lýsing þess frá GitHub:
Donut býr til x86 eða x64 skelkóða úr VBScript, JScript, EXE, DLL (þar á meðal .NET samsetningum). Þessum skeljakóða er hægt að sprauta inn í hvaða Windows ferli sem er til að keyra í
Vinnsluminni.
Til að staðfesta kenninguna okkar tókum við saman okkar eigin kóða með því að nota Donut og bárum hann saman við sýnishornið - og... já, við uppgötvuðum annan þátt í verkfærakistunni sem notað var. Eftir þetta gátum við þegar dregið út og greint upprunalegu .NET keyrsluskrána.
Kóðavernd
Þessi skrá hefur verið þokuð með því að nota :
ConfuserEx er opið .NET verkefni til að vernda kóða annarrar þróunar. Þessi flokkur hugbúnaðar gerir forriturum kleift að vernda kóðann sinn gegn öfugþróun með því að nota aðferðir eins og stafiskipti, grímu fyrir stýriskipanaflæði og felu tilvísunaraðferða. Malware höfundar nota obfuscators til að komast hjá uppgötvun og gera öfuga verkfræði erfiðara.
Með við tókum upp kóðann:
Niðurstaða - farmur
Afleiðingin sem myndast er mjög einföld lausnarhugbúnaðarvírus. Engin vélbúnaður til að tryggja viðveru í kerfinu, engar tengingar við stjórnstöð - bara gamla góða ósamhverf dulkóðun til að gera gögn fórnarlambsins ólæsileg.
Aðalaðgerðin velur eftirfarandi línur sem færibreytur:
- Skráarviðbót til notkunar eftir dulkóðun (SaveTheQueen)
- Tölvupóstur höfundar til að setja í lausnargjaldsskrá
- Opinn lykill notaður til að dulkóða skrár
Ferlið sjálft lítur svona út:
- Spilliforritið skoðar staðbundin og tengd drif á tæki fórnarlambsins
- Leitar að skrám til að dulkóða
- Reynir að stöðva ferli sem notar skrá sem það er að fara að dulkóða
- Endurnefnir skrána í "OriginalFileName.SaveTheQueenING" með því að nota MoveFile aðgerðina og dulkóðar hana
- Eftir að skráin hefur verið dulkóðuð með opinberum lykli höfundar, endurnefnir spilliforritið hana aftur, nú í "Original FileName.SaveTheQueen"
- Skrá með kröfu um lausnargjald er skrifuð í sömu möppu
Byggt á notkun innfæddu „CreateDecryptor“ aðgerðarinnar virðist ein af aðgerðum spilliforritsins innihalda sem færibreytu afkóðunarkerfi sem krefst einkalykils.
ransomware vírus EKKI dulkóðar skrár, geymt í möppum:
C: gluggar
C: Forritaskrár
C: Program Files (x86)
C:Notendur\AppData
C:inetpub
Hann líka EKKI dulkóðar eftirfarandi skráargerðir:EXE, DLL, MSI, ISO, SYS, CAB.
Niðurstöður og niðurstöður
Þrátt fyrir að lausnarhugbúnaðurinn sjálfur hafi ekki innihaldið neina óvenjulega eiginleika, notaði árásarmaðurinn Active Directory á skapandi hátt til að dreifa droparanum og spilliforritið sjálft lagði okkur fram áhugaverðar, ef á endanum óbrotnar, hindranir við greiningu.
Við teljum að höfundur spilliforritsins sé:
- Skrifaði lausnarhugbúnaðarvírus með innbyggðri innspýtingu í winlogon.exe ferlið, sem og
skráar dulkóðun og afkóðunarvirkni - Dulaði illgjarna kóðann með ConfuserEx, breytti niðurstöðunni með Donut og faldi að auki base64 Gzip droparann
- Fékk aukin réttindi á léni fórnarlambsins og notaði þau til að afrita
dulkóðuð spilliforrit og áætluð störf í SYSVOL netmöppu lénsstýringa - Keyra PowerShell skriftu á lénstækjum til að dreifa spilliforritum og skrá framvindu árása í annálum í SYSVOL
Ef þú hefur spurningar um þetta afbrigði af lausnarhugbúnaðarvírusnum, eða einhverjar aðrar rannsóknir á réttar- og netöryggisatvikum sem teymi okkar hafa framkvæmt, eða beiðni , þar sem við svörum alltaf spurningum í spurningum og svörum.
Heimild: www.habr.com