🥇אם תפדה, תפדה את המלכה: ורוניס חוקר את תוכנת הכופר "SaveTheQueen" המתפשטת במהירות

זן חדש של תוכנת כופר מצפין קבצים ומוסיף להם את הסיומת ".SaveTheQueen", ומתפשט דרך שיתוף הרשת של מערכת SYSVOL בבקרי תחום של Active Directory.

לקוחותינו נתקלו לאחרונה בתוכנה זדונית זו. אנו מציגים את הניתוח המלא שלנו, תוצאותינו ומסקנותינו להלן.

איתור

אחד הלקוחות שלנו יצר איתנו קשר לאחר שנתקל בזן חדש של תוכנת כופר שהוסיף את הסיומת ".SaveTheQueen" לקבצים שהוצפנו לאחרונה בסביבה שלהם.

במהלך החקירה שלנו, או ליתר דיוק בשלב חיפוש מקורות ההדבקה, גילינו כי הפיזור והמעקב אחר קורבנות נגועים בוצעו באמצעות תיקיית הרשת SYSVOL בבקר התחום של הלקוח.

SYSVOL היא תיקיית מפתח עבור כל בקר תחום, המשמשת להעברת אובייקטי מדיניות קבוצתית (GPO) וסקריפטים של כניסה ויציאה למחשבי תחום. תוכן תיקייה זו משוכפל בין בקרי תחום כדי לסנכרן נתונים אלה בין אתרי הארגון. כתיבה ל-SYSVOL דורשת הרשאות תחום גבוהות; עם זאת, לאחר שנפגע, נכס זה הופך לכלי רב עוצמה עבור תוקפים, שיכולים להשתמש בו כדי להפיץ במהירות וביעילות עומסי הגנה זדוניים ברחבי התחום.

שרשרת הביקורת של Varonis סייעה לזהות במהירות את הדברים הבאים:

חשבון המשתמש הנגוע יצר קובץ בשם "hourly" ב-SYSVOL.
קבצי יומן רבים נוצרו ב-SYSVOL, כל אחד מהם נקרא על שם התקן הדומיין
כתובות IP רבות ושונות ניגשו לקובץ "השעתי"

הסקנו שקבצי היומן שימשו למעקב אחר תהליך ההדבקה במכשירים חדשים, וכי "שעה" הייתה משימה מתוזמנת שהפעילה את מטען התוכנה הזדונית במכשירים חדשים באמצעות סקריפט Powershell - דוגמאות "v3" ו-"v4".

ככל הנראה, התוקף השיג והשתמש בהרשאות מנהל דומיין כדי לכתוב קבצים ל-SYSVOL. במחשבים נגועים, התוקף הפעיל קוד PowerShell שיצר משימה מתוזמנת לפתיחה, פענוח והפעלה של התוכנה הזדונית.

פענוח תוכנה זדונית

ניסינו מספר שיטות לפענח את הדגימות ללא הצלחה:

כמעט היינו מוכנים לוותר כשהחלטנו לנסות את שיטת ה"קסם" של המפואר
כלי עזר סייבר שף "קסם", שנכתב על ידי GCHQ, מנסה לנחש הצפנת קבצים על ידי כפיית סיסמאות עבור סוגי הצפנה שונים ומדידת אנטרופיה.

הערת המתרגם לראותאנטרופיה דיפרנציאלית и אנטרופיה בתורת המידעמאמר זה וההערות אינם מאפשרים דיון מצד המחברים על פרטי השיטות בהן נעשה שימוש בתוכנה של צד שלישי או בתוכנה קניינית.

מג'יק קבעה כי נעשה שימוש בפקר GZip עם קידוד base64, מה שאפשר לנו לפרוק את הקובץ ולאתר את קוד ההזרקה.

טפטפת: "יש מגפה באזור! חיסונים כלליים. מחלת הפה והטלפיים"

הקובץ המטפטף היה קובץ .NET רגיל ללא כל הגנה. לאחר קריאת קוד המקור באמצעות DNSSpy הבנו שמטרתו היחידה הייתה להחדיר קוד מעטפת לתהליך winlogon.exe.

קוד מעטפת או מורכבויות פשוטות

השתמשנו בכלי של Hexacorn - shellcode2exe כדי "לקמפל" קוד מעטפת לקובץ הרצה לצורך ניפוי שגיאות וניתוח. לאחר מכן גילינו שזה עבד גם על מכונות 32 וגם על מכונות 64 סיביות.

כתיבת אפילו shellcode פשוט בתרגום אסמבלי מקורי יכולה להיות קשה, אבל כתיבת shellcode מלא שעובד על שני סוגי המערכות דורשת כישורים עילית, אז התחלנו להיות נדהמים מהתחכום של התוקף.

כאשר ניתחנו את קוד המעטפת המהודר באמצעות x64dbgשמנו לב שהוא טוען ספריות דינמיות של .NET , כגון clr.dll ו-mscoreei.dll. זה נראה לנו מוזר - תוקפים בדרך כלל מנסים להקטין את קוד המעטפת ככל האפשר על ידי קריאה לפונקציות מערכת הפעלה מקוריות במקום לטעון אותן. Зачем кому-либо нужно встраивать в шелл-код функционал Windows, вместо прямого вызова по запросу?

כפי שמתברר, מחבר הנוזקה לא כתב כלל את קוד המעטפת המורכב הזה; במקום זאת, הוא השתמש בתוכנה ספציפית למשימה זו כדי להמיר קבצי הפעלה וסקריפטים לקוד מעטפת.

מצאנו את הכלי סופגנייה, אשר האמנו שיכול לקמפל קוד מעטפת דומה. הנה התיאור שלו מ-GitHub:

Donut генерирует шелл-код x86 или x64 из VBScript, JScript, EXE, DLL (включая сборки .NET). Этот-шелл-код может быть внедрён в любой процесс Windows для выполнения в
זיכרון זיכרון RAM.

כדי לאשר את התיאוריה שלנו, קומפלנו קוד משלנו באמצעות Donut והשווינו אותו לדוגמה - וכן, מצאנו רכיב נוסף בערכת הכלים. לאחר מכן, הצלחנו לחלץ ולנתח את קובץ ה-.NET המקורי.

הגנה על קוד

קובץ זה הוסתר באמצעות ConfuserEx:

ConfuserEx הוא פרויקט .NET בקוד פתוח להגנה על קוד של מפתחים אחרים. סוג תוכנה זה מאפשר למפתחים להגן על הקוד שלהם מפני הנדסה לאחור באמצעות טכניקות כגון החלפת סמלים, ערפול זרימת בקרה והסתרת הפניות למתודה. מחברי תוכנות זדוניות משתמשים בערפלנים כדי להתחמק מגילוי ולהקשות על הנדסה לאחור.

דרך אלקטרוקיל פורק פירקנו את הקוד:

השורה התחתונה היא המטען

המטען שנוצר הוא תוכנת כופר פשוטה מאוד. אין מנגנון שמירה, אין חיבור שליטה ובקרה - רק הצפנה אסימטרית ישנה וטובה כדי להפוך את נתוני הקורבן לבלתי קריאים.

הפונקציה הראשית מקבלת את המחרוזות הבאות כפרמטרים:

סיומת קובץ לשימוש לאחר הצפנה (SaveTheQueen)
כתובת הדוא"ל של המחבר לכלול בקובץ כופר
המפתח הציבורי המשמש להצפנת קבצים

התהליך עצמו נראה כך:

הנוזקה בוחנת כוננים מקומיים וכוננים ממופים במכשיר של הקורבן.
מחפש קבצים להצפנה
מנסה לסיים את התהליך המשתמש בקובץ שהוא עומד להצפין.
משנה את שם הקובץ ל-"Original_file_name.SaveTheQueenING" באמצעות הפונקציה MoveFile ומצפין אותו
לאחר שהקובץ מוצפן באמצעות המפתח הציבורי של המחבר, התוכנה הזדונית משנה את שמו שוב, הפעם ל-"Original_file_name.SaveTheQueen"
הודעת כופר נכתבת לאותה תיקייה.

בהתבסס על השימוש בפונקציה המקורית "CreateDecryptor", נראה שאחת מפונקציות הנוזקה מכילה מנגנון פענוח כפרמטר הדורש מפתח פרטי.

וירוס כופר לא מצפין קבצים, מאוחסן בספריות:

C:\windows
C: קבצי תוכנה
C: קובצי תוכנית (x86)
C:\משתמשים\נתוני אפליקציות
C:inetpub

הוא גם לא מצפין את סוגי הקבצים הבאים:EXE, DLL, MSI, ISO, SYS, CAB.

סיכום ומסקנות

בעוד שהתוכנה הזדונית עצמה לא הכילה תכונות יוצאות דופן, התוקף השתמש באופן יצירתי ב-Active Directory כדי להפיץ את ה-dropper, והתוכנה הזדונית עצמה הציבה בפנינו אתגרים מעניינים, אם כי בסופו של דבר פשוטים, במהלך הניתוח.

אנו סבורים שיוצר תוכנת הזדונית הוא:

כתב וירוס כופר עם הזרקה מובנית לתהליך winlogon.exe, וכן
פונקציונליות הצפנת ופענוח קבצים
הסוואתי את הקוד הזדוני באמצעות ConfuserEx, המירו את התוצאה באמצעות Donut, ובנוסף הסתירו את קובץ ה-dropper של base64 Gzip.
השיג הרשאות מוגברות בדומיין של הקורבן והשתמש בהן כדי להעתיק
תוכנות זדוניות מוצפנות ומשימות מתוזמנות לשיתוף הרשת SYSVOL של בקרי תחום
הפעלת סקריפט PowerShell על התקני תחום כדי להפיץ תוכנות זדוניות ולתעד את התקדמות ההתקפה ביומני SYSVOL.

אם יש לכם שאלות לגבי גרסת כופר זו, או כל עבודת חקירת אירועי משפטיים ואבטחה אחרת שבוצעה על ידי הצוותים שלנו, צור קשר או בקשה הדגמה חיה של תגובת התקפה, שבו אנו תמיד עונים על שאלות במהלך מפגש השאלות והתשובות.

מקור: www.habr.com