Un nuovo ceppo di ransomware crittografa i file e aggiunge loro l'estensione ".SaveTheQueen", diffondendosi attraverso la cartella di rete SYSVOL sui controller di dominio Active Directory.
I nostri clienti hanno riscontrato questo malware di recente. Di seguito presentiamo la nostra analisi completa, i suoi risultati e le conclusioni.
rivelazione
Uno dei nostri clienti ci ha contattato dopo aver riscontrato un nuovo ceppo di ransomware che aggiungeva l'estensione ".SaveTheQueen" a nuovi file crittografati nel suo ambiente.
Nel corso della nostra indagine, ovvero nella fase di ricerca delle fonti di infezione, abbiamo scoperto che la distribuzione e il tracciamento delle vittime infette è stata effettuata utilizzando cartella di rete SYSVOL sul controller di dominio del cliente.
SYSVOL è una cartella chiave per ogni controller di dominio utilizzata per fornire oggetti Criteri di gruppo (GPO) e script di accesso e disconnessione ai computer del dominio. Il contenuto di questa cartella viene replicato tra i controller di dominio per sincronizzare questi dati tra i siti dell'organizzazione. La scrittura su SYSVOL richiede privilegi di dominio elevati, tuttavia, una volta compromessa, questa risorsa diventa un potente strumento per gli aggressori che possono utilizzarla per diffondere in modo rapido ed efficiente payload dannosi in un dominio.
La catena di audit Varonis ha contribuito a identificare rapidamente quanto segue:
- L'account utente infetto ha creato un file chiamato "ogni ora" in SYSVOL
- Molti file di registro sono stati creati in SYSVOL, ciascuno denominato con il nome di un dispositivo di dominio
- Molti indirizzi IP diversi accedevano al file "orario".
Abbiamo concluso che i file di registro venivano utilizzati per tenere traccia del processo di infezione sui nuovi dispositivi e che "ogni ora" era un lavoro pianificato che eseguiva un payload dannoso sui nuovi dispositivi utilizzando uno script Powershell - esempi "v3" e "v4".
È probabile che l'aggressore abbia ottenuto e utilizzato i privilegi di amministratore di dominio per scrivere file su SYSVOL. Sugli host infetti, l'aggressore ha eseguito il codice PowerShell che ha creato un processo di pianificazione per aprire, decrittografare ed eseguire il malware.
Decifrare il malware
Abbiamo provato diversi modi per decifrare i campioni senza alcun risultato:
Eravamo quasi sul punto di arrenderci quando abbiamo deciso di provare il metodo “Magico” dei magnifici
utilità da GCHQ. Magic cerca di indovinare la crittografia di un file forzando brutalmente le password per diversi tipi di crittografia e misurando l'entropia.
Nota del traduttore Vedere и . Questo articolo e i commenti non implicano la discussione da parte degli autori dei dettagli dei metodi utilizzati nel software di terze parti o proprietario
Magic ha stabilito che è stato utilizzato un packer GZip con codifica base64, quindi siamo stati in grado di decomprimere il file e scoprire il codice di iniezione.
Dropper: “C'è un'epidemia nella zona! Vaccinazioni generali. Afta epizootica"
Il dropper era un normale file .NET senza alcuna protezione. Dopo aver letto il codice sorgente con ci siamo resi conto che il suo unico scopo era inserire lo shellcode nel processo winlogon.exe.
Shellcode o semplici complicazioni
Abbiamo utilizzato lo strumento di creazione Hexacorn − per "compilare" lo shellcode in un file eseguibile per il debug e l'analisi. Abbiamo poi scoperto che funzionava sia su macchine a 32 che a 64 bit.
Scrivere anche un semplice shellcode in una traduzione in linguaggio assembly nativo può essere difficile, ma scrivere uno shellcode completo che funzioni su entrambi i tipi di sistemi richiede competenze d'élite, quindi abbiamo iniziato a meravigliarci della sofisticatezza dell'aggressore.
Quando abbiamo analizzato lo shellcode compilato utilizzando , abbiamo notato che stava caricando Librerie dinamiche .NET , come clr.dll e mscoreei.dll. Questo ci è sembrato strano: di solito gli aggressori cercano di ridurre il più possibile lo shellcode richiamando le funzioni native del sistema operativo invece di caricarle. Perché qualcuno dovrebbe incorporare la funzionalità di Windows nello shellcode invece di chiamarlo direttamente su richiesta?
Come si è scoperto, l'autore del malware non ha scritto affatto questo complesso shellcode: è stato utilizzato un software specifico per questa attività per tradurre file eseguibili e script in shellcode.
Abbiamo trovato uno strumento , che pensavamo potesse compilare uno shellcode simile. Ecco la sua descrizione da GitHub:
Donut genera shellcode x86 o x64 da VBScript, JScript, EXE, DLL (inclusi gli assembly .NET). Questo shellcode può essere inserito in qualsiasi processo Windows per essere eseguito
memoria ad accesso casuale.
Per confermare la nostra teoria, abbiamo compilato il nostro codice utilizzando Donut e lo abbiamo confrontato con il campione - e... sì, abbiamo scoperto un altro componente del toolkit utilizzato. Successivamente, siamo già stati in grado di estrarre e analizzare il file eseguibile .NET originale.
Protezione del codice
Questo file è stato offuscato utilizzando :
ConfuserEx è un progetto .NET open source per proteggere il codice di altri sviluppi. Questa classe di software consente agli sviluppatori di proteggere il proprio codice dal reverse engineering utilizzando metodi come la sostituzione dei caratteri, il mascheramento del flusso dei comandi di controllo e l'occultamento del metodo di riferimento. Gli autori di malware utilizzano offuscatori per eludere il rilevamento e rendere più difficile il reverse engineering.
Attraverso abbiamo decompresso il codice:
Risultato: carico utile
Il carico utile risultante è un virus ransomware molto semplice. Nessun meccanismo per garantire la presenza nel sistema, nessuna connessione al centro di comando: solo la buona vecchia crittografia asimmetrica per rendere illeggibili i dati della vittima.
La funzione main seleziona le seguenti righe come parametri:
- Estensione del file da utilizzare dopo la crittografia (SaveTheQueen)
- E-mail dell'autore da inserire nel file della richiesta di riscatto
- Chiave pubblica utilizzata per crittografare i file
Il processo stesso si presenta così:
- Il malware esamina le unità locali e connesse sul dispositivo della vittima
- Cerca i file da crittografare
- Tenta di terminare un processo che utilizza un file che sta per crittografare
- Rinomina il file in "OriginalFileName.SaveTheQueenING" utilizzando la funzione MoveFile e lo crittografa
- Dopo che il file è stato crittografato con la chiave pubblica dell'autore, il malware lo rinomina nuovamente, ora in "Original FileName.SaveTheQueen"
- Un file con una richiesta di riscatto viene scritto nella stessa cartella
Basandosi sull'utilizzo della funzione nativa "CreateDecryptor", una delle funzioni del malware sembra contenere come parametro un meccanismo di decrittazione che richiede una chiave privata.
virus ransomware NON crittografa i file, archiviato nelle directory:
C: finestre
C: Program Files
C: Program Files (x86)
C:Utenti\AppData
C:inetpub
Anche lui NON crittografa i seguenti tipi di file:EXE, DLL, MSI, ISO, SYS, CAB.
Risultati e conclusioni
Sebbene il ransomware stesso non contenesse caratteristiche insolite, l'aggressore ha utilizzato in modo creativo Active Directory per distribuire il dropper e il malware stesso ci ha presentato ostacoli interessanti, anche se in definitiva semplici, durante l'analisi.
Pensiamo che l'autore del malware sia:
- Ha scritto un virus ransomware con iniezione incorporata nel processo winlogon.exe, oltre a
funzionalità di crittografia e decrittografia dei file - Mascherato il codice dannoso utilizzando ConfuserEx, convertito il risultato utilizzando Donut e inoltre nascosto il dropper Gzip base64
- Hai ottenuto privilegi elevati nel dominio della vittima e li hai utilizzati per copiare
malware crittografato e processi pianificati nella cartella di rete SYSVOL dei controller di dominio - Esegui uno script PowerShell sui dispositivi del dominio per diffondere malware e registrare l'avanzamento dell'attacco nei log in SYSVOL
Se hai domande su questa variante del virus ransomware o su qualsiasi altra indagine forense e sugli incidenti di sicurezza informatica eseguita dai nostri team, o richiesta , dove rispondiamo sempre alle domande in una sessione di domande e risposte.
Fonte: habr.com