🥇כופר זה כמו מלכה: ורוניס חוקר את תוכנת הכופר המתפשטת במהירות "SaveTheQueen"

זן חדש של תוכנות כופר מצפין קבצים ומוסיף להם סיומת ".SaveTheQueen", המתפשטת דרך תיקיית הרשת SYSVOL בבקרי תחום Active Directory.

הלקוחות שלנו נתקלו בתוכנה זדונית זו לאחרונה. אנו מציגים את הניתוח המלא שלנו, תוצאותיו ומסקנותיו להלן.

איתור

אחד הלקוחות שלנו פנה אלינו לאחר שנתקל בזן חדש של תוכנת כופר שהוסיפה את התוסף ".SaveTheQueen" לקבצים מוצפנים חדשים בסביבתם.

במהלך החקירה שלנו, או ליתר דיוק בשלב החיפוש אחר מקורות הדבקה, גילינו שההפצה והמעקב אחר נפגעים נגועים בוצעו באמצעות תיקיית רשת SYSVOL בבקר הדומיין של הלקוח.

SYSVOL היא תיקיית מפתח עבור כל בקר תחום המשמשת להעברת אובייקטי מדיניות קבוצתית (GPOs) וסקריפטי כניסה והתנתקות למחשבים בדומיין. התוכן של תיקיה זו משוכפל בין בקרי תחום כדי לסנכרן נתונים אלו בין אתרי הארגון. כתיבה ל-SYSVOL דורשת הרשאות דומיין גבוהות, עם זאת, ברגע שנפרץ, נכס זה הופך לכלי רב עוצמה עבור תוקפים שיכולים להשתמש בו כדי להפיץ במהירות וביעילות עומסים זדוניים על פני תחום.

שרשרת הביקורת של Varonis עזרה לזהות במהירות את הדברים הבאים:

חשבון המשתמש הנגוע יצר קובץ בשם "שעה" ב-SYSVOL
קובצי יומן רבים נוצרו ב-SYSVOL - כל אחד נקרא בשם של מכשיר דומיין
כתובות IP רבות ושונות ניגשו לקובץ "לשעה".

הגענו למסקנה שקובצי היומן שימשו למעקב אחר תהליך ההדבקה במכשירים חדשים, וש"לשעה" הייתה עבודה מתוזמנת שהוציאה לפועל מטען זדוני במכשירים חדשים באמצעות סקריפט Powershell - דוגמאות "v3" ו-"v4".

ככל הנראה התוקף השיג והשתמש בהרשאות מנהל דומיין כדי לכתוב קבצים ל-SYSVOL. במארחים נגועים, התוקף הפעיל קוד PowerShell שיצר עבודת תזמון לפתיחה, פענוח והרצה של התוכנה הזדונית.

פענוח התוכנה הזדונית

ניסינו מספר דרכים לפענח דוגמאות ללא הועיל:

כמעט היינו מוכנים לוותר כשהחלטנו לנסות את שיטת ה"קסם" של המפוארים
כלי עזר סייברשף מאת GCHQ. מג'יק מנסה לנחש את ההצפנה של קובץ על ידי הפעלת סיסמאות לסוגי הצפנה שונים ומדידת אנטרופיה.

הערת המתרגם לראותאנטרופיה דיפרנציאלית и אנטרופיה בתורת המידע. מאמר זה והערות אינם כרוכים בדיון מצד המחברים בפרטי השיטות המשמשות בתוכנה של צד שלישי או קניינית

מג'יק קבעה שנעשה שימוש בפוקר GZip מקודד של base64, אז הצלחנו לפרק את הקובץ ולגלות את קוד ההזרקה.

טפטפת: "יש מגיפה באזור! חיסונים כלליים. מחלת הפה והטלפיים"

הטפטפת הייתה קובץ NET רגיל ללא כל הגנה. לאחר קריאת קוד המקור עם DNSpy הבנו שהמטרה היחידה שלו היא להחדיר קוד shell לתהליך winlogon.exe.

Shellcode או סיבוכים פשוטים

השתמשנו בכלי הכתיבה Hexacorn - shellcode2exe על מנת "לקמפל" את קוד ה- shell לקובץ הפעלה לצורך איתור באגים וניתוח. אז גילינו שזה עובד גם על מכונות 32 וגם על 64 סיביות.

כתיבת קוד מעטפת פשוט בתרגום שפת אסמבלי מקומית יכולה להיות קשה, אבל כתיבת קוד מעטפת שלם שעובד על שני סוגי המערכות דורשת כישורי עילית, אז התחלנו להתפעל מהתחכום של התוקף.

כאשר פרשנו את קוד ה- shell-compiled באמצעות x64dbg, שמנו לב שהוא טוען ספריות דינמיות של .NET , כגון clr.dll ו-mscoreei.dll. זה נראה לנו מוזר - בדרך כלל תוקפים מנסים להפוך את קוד המעטפת לקטן ככל האפשר על ידי קריאה לפונקציות OS מקוריות במקום לטעון אותן. למה שמישהו יצטרך להטמיע פונקציונליות של Windows בקוד המעטפת במקום לקרוא לו ישירות לפי דרישה?

כפי שהתברר, מחבר התוכנה הזדונית כלל לא כתב את קוד המעטפת המורכב הזה - תוכנה ספציפית למשימה זו שימשה לתרגום קבצי הפעלה וסקריפטים לקוד מעטפת.

מצאנו כלי סופגנייה, שחשבנו שיכול להרכיב קוד מעטפת דומה. הנה התיאור שלו מ-GitHub:

סופגנייה מייצרת x86 או x64 shellcode מ-VBScript, JScript, EXE, DLL (כולל מכלולי NET). ניתן להחדיר קוד מעטפת זה לכל תהליך של Windows שיבוצע בו
זיכרון זיכרון RAM.

כדי לאשש את התיאוריה שלנו, הרכבנו את הקוד שלנו באמצעות דונאט והשווינו אותו לדוגמא - ו... כן, גילינו מרכיב נוסף של ערכת הכלים שבה נעשה שימוש. לאחר מכן, כבר הצלחנו לחלץ ולנתח את קובץ ההפעלה המקורי של NET.

הגנת קוד

קובץ זה הוסתר באמצעות ConfuserEx:

ConfuserEx הוא פרויקט .NET בקוד פתוח להגנה על הקוד של פיתוחים אחרים. סוג זה של תוכנה מאפשר למפתחים להגן על הקוד שלהם מפני הנדסה לאחור באמצעות שיטות כגון החלפת תווים, מיסוך זרימת פקודות בקרה והסתרת שיטות התייחסות. מחברי תוכנות זדוניות משתמשים במעורפלים כדי להתחמק מזיהוי ולהקשות על הנדסה לאחור.

דרך ElektroKill Unpacker פירקנו את הקוד:

תוצאה - מטען

המטען המתקבל הוא וירוס כופר פשוט מאוד. אין מנגנון להבטיח נוכחות במערכת, אין חיבורים למרכז הפיקוד - רק הצפנה א-סימטרית ישנה וטובה כדי להפוך את הנתונים של הקורבן לבלתי קריאים.

הפונקציה הראשית בוחרת את השורות הבאות כפרמטרים:

סיומת קובץ לשימוש לאחר הצפנה (SaveTheQueen)
הודעת דוא"ל של המחבר למקם בקובץ הערת כופר
מפתח ציבורי המשמש להצפנת קבצים

התהליך עצמו נראה כך:

התוכנה הזדונית בוחנת כוננים מקומיים ומחוברים במכשיר של הקורבן
מחפש קבצים להצפנה
מנסה לסיים תהליך שמשתמש בקובץ שהוא עומד להצפין
משנה את שם הקובץ ל-"OriginalFileName.SaveTheQueenING" באמצעות הפונקציה MoveFile ומצפין אותו
לאחר שהקובץ מוצפן עם המפתח הציבורי של המחבר, התוכנה הזדונית משנה את שמו שוב, כעת ל"Original FileName.SaveTheQueen"
קובץ עם דרישת כופר נכתב לאותה תיקייה

בהתבסס על השימוש בפונקציה המקורית "CreateDecryptor", נראה שאחת הפונקציות של התוכנה הזדונית מכילה כפרמטר מנגנון פענוח הדורש מפתח פרטי.

וירוס כופר אינו מצפין קבצים, מאוחסן בספריות:

C: windows
C: קבצי תוכנה
C: קובצי תוכנית (x86)
C:Users\AppData
C:inetpub

הוא גם אינו מצפין את סוגי הקבצים הבאים:EXE, DLL, MSI, ISO, SYS, CAB.

סיכום ומסקנות

למרות שתוכנת הכופר עצמה לא הכילה מאפיינים חריגים, התוקף השתמש ב-Active Directory באופן יצירתי כדי להפיץ את הטפטפת, והתוכנה הזדונית עצמה הציגה בפנינו מכשולים מעניינים, אם בסופו של דבר לא מסובכים, במהלך הניתוח.

אנו חושבים שהמחבר של התוכנה הזדונית הוא:

כתב וירוס כופר עם הזרקה מובנית לתהליך winlogon.exe, כמו גם
פונקציונליות של הצפנת קבצים ופענוח
הסוו את הקוד הזדוני באמצעות ConfuserEx, המיר את התוצאה באמצעות דונאט ובנוסף הסתיר את הטפטפת base64 Gzip
השיג הרשאות מוגברות בתחום הקורבן והשתמש בהן כדי להעתיק
תוכנות זדוניות מוצפנות ועבודות מתוזמנות לתיקיית הרשת SYSVOL של בקרי תחום
הפעל סקריפט PowerShell במכשירי תחום כדי להפיץ תוכנות זדוניות ולתעד התקדמות התקיפה ביומנים ב-SYSVOL

אם יש לך שאלות לגבי גרסה זו של וירוס הכופר, או כל חקירות פורנזיות ואבטחת סייבר אחרת שבוצעו על ידי הצוותים שלנו, צור קשר או בקשה הדגמה חיה של תגובה לפיגועים, שבו אנחנו תמיד עונים על שאלות בפגישת שאלות ותשובות.

מקור: www.habr.com

כופר הוא כמו מלכה: ורוניס חוקר את תוכנת הכופר "SaveTheQueen" המתפשטת במהירות