新しい種類のランサムウェアは、ファイルを暗号化し、ファイルに「.SaveTheQueen」拡張子を追加し、Active Directory ドメイン コントローラ上の SYSVOL ネットワーク フォルダを通じて拡散します。
当社のお客様は最近このマルウェアに遭遇しました。 以下に完全な分析、その結果、結論を示します。
検出
当社の顧客の XNUMX 人は、環境内の新しい暗号化ファイルに「.SaveTheQueen」拡張子を追加する新種のランサムウェアに遭遇したため、当社に問い合わせてきました。
私たちの調査中、または感染源を探索する段階で、感染被害者の配布と追跡が次の方法で行われていたことが判明しました。 ネットワークフォルダーSYSVOL 顧客のドメイン コントローラー上で。
SYSVOL は、グループ ポリシー オブジェクト (GPO) とログオンおよびログオフ スクリプトをドメイン内のコンピューターに配信するために使用される、各ドメイン コントローラーのキー フォルダーです。 このフォルダーの内容はドメイン コントローラー間でレプリケートされ、組織のサイト全体でこのデータが同期されます。 SYSVOL への書き込みには高いドメイン権限が必要ですが、この資産が侵害されると、攻撃者にとって強力なツールとなり、悪意のあるペイロードをドメイン全体に迅速かつ効率的に拡散することができます。
Varonis 監査チェーンは、以下を迅速に特定するのに役立ちました。
- 感染したユーザー アカウントは、SYSVOL に「hourly」というファイルを作成しました
- SYSVOL に多数のログ ファイルが作成され、それぞれにドメイン デバイスの名前が付けられました。
- 多くの異なる IP アドレスが「時間別」ファイルにアクセスしていました
私たちは、ログ ファイルは新しいデバイスの感染プロセスを追跡するために使用され、「毎時」は Powershell スクリプト (サンプル「v3」および「v4」) を使用して新しいデバイスで悪意のあるペイロードを実行するスケジュールされたジョブであると結論付けました。
攻撃者はドメイン管理者権限を取得して使用し、SYSVOL にファイルを書き込んだ可能性があります。 感染したホスト上で、攻撃者は、マルウェアを開いて復号化し、実行するスケジュール ジョブを作成する PowerShell コードを実行しました。
マルウェアの復号化
サンプルを解読するためにいくつかの方法を試しましたが、役に立ちませんでした。
諦めかけたとき、私たちは壮大な「魔法」の方法を試してみることにしました。
ユーティリティ GCHQによる。 Magic は、さまざまな暗号化タイプのパスワードを総当たり攻撃し、エントロピーを測定することによって、ファイルの暗号化を推測しようとします。
翻訳者のメモ 見る и 。 この記事とコメントには、サードパーティまたは独自のソフトウェアで使用される手法の詳細について、作成者側での議論は含まれていません。
Magic は、base64 でエンコードされた GZip パッカーが使用されていると判断したため、ファイルを解凍して挿入コードを発見することができました。
ドロッパー: 「この地域では疫病が流行しています! 一般的な予防接種。 口蹄疫」
ドロッパーは、保護されていない通常の .NET ファイルでした。 でソースコードを読んだ後、 その唯一の目的は、winlogon.exe プロセスにシェルコードを挿入することであることがわかりました。
シェルコードまたは単純な複雑さ
Hexacorn オーサリングツールを使用しました- デバッグと分析のためにシェルコードを実行可能ファイルに「コンパイル」します。 その後、それが 32 ビット マシンと 64 ビット マシンの両方で動作することがわかりました。
ネイティブのアセンブリ言語翻訳で単純なシェルコードを記述することさえ難しい場合がありますが、両方のタイプのシステムで動作する完全なシェルコードを記述するには高度なスキルが必要であるため、私たちは攻撃者の高度な技術に驚き始めました。
コンパイルされたシェルコードを次のように解析すると、 、私たちは彼がロードしていることに気づきました .NET動的ライブラリ 、clr.dll や mscoreei.dll など。 これは私たちにとって奇妙に思えました。通常、攻撃者はシェルコードをロードする代わりにネイティブ OS 関数を呼び出すことで、シェルコードをできるだけ小さくしようとします。 Windows の機能をオンデマンドで直接呼び出すのではなく、シェルコードに埋め込む必要があるのはなぜでしょうか?
結局のところ、マルウェアの作成者はこの複雑なシェルコードをまったく書いていませんでした。このタスクに固有のソフトウェアを使用して、実行可能ファイルとスクリプトをシェルコードに変換しました。
ツールを見つけました 、同様のシェルコードをコンパイルできると考えられました。 GitHub からの説明は次のとおりです。
Donut は、VBScript、JScript、EXE、DLL (.NET アセンブリを含む) から x86 または x64 シェルコードを生成します。 このシェルコードは、任意の Windows プロセスに挿入して実行できます。
ランダム・アクセス・メモリ。
私たちの理論を確認するために、Donut を使用して独自のコードをコンパイルし、サンプルと比較しました。そして... はい、使用されているツールキットの別のコンポーネントを発見しました。 この後、元の .NET 実行可能ファイルを抽出して分析することができました。
コード保護
このファイルは次の方法で難読化されています :
ConfuserEx は、他の開発コードを保護するためのオープン ソース .NET プロジェクトです。 このクラスのソフトウェアを使用すると、開発者は、文字置換、制御コマンド フロー マスキング、参照メソッドの隠蔽などの方法を使用して、コードをリバース エンジニアリングから保護できます。 マルウェア作成者は難読化ツールを使用して検出を回避し、リバース エンジニアリングをより困難にします。
スルー コードを解凍しました。
結果 - ペイロード
結果として得られるペイロードは、非常に単純なランサムウェア ウイルスです。 システム内での存在を保証するメカニズムもコマンドセンターへの接続もありません。被害者のデータを読み取れなくするために古き良き非対称暗号化が行われているだけです。
main 関数は、パラメータとして次の行を選択します。
- 暗号化後に使用するファイル拡張子 (SaveTheQueen)
- 身代金メモファイルに含める作成者の電子メール
- ファイルの暗号化に使用される公開キー
プロセス自体は次のようになります。
- マルウェアは、被害者のデバイス上のローカル ドライブと接続されたドライブを検査します。
- 暗号化するファイルを検索します
- 暗号化しようとしているファイルを使用しているプロセスを終了しようとします
- MoveFile 関数を使用してファイルの名前を「OriginalFileName.SaveTheQueenING」に変更し、暗号化します。
- ファイルが作成者の公開キーで暗号化された後、マルウェアはファイルの名前を再び「Original FileName.SaveTheQueen」に変更します。
- 身代金要求のあるファイルは同じフォルダーに書き込まれます
ネイティブの「CreateDecryptor」関数の使用に基づいて、マルウェアの関数の XNUMX つに、秘密キーを必要とする復号化メカニズムがパラメータとして含まれているようです。
ランサムウェア ウイルス ファイルは暗号化されません、ディレクトリに保存されます:
C:窓
C:プログラムファイル
C:プログラムファイル(x86)
C:ユーザー\AppData
C:inetpub
また彼 次の種類のファイルは暗号化されません。EXE、DLL、MSI、ISO、SYS、CAB。
結果と結論
ランサムウェア自体には異常な機能は含まれていませんでしたが、攻撃者は Active Directory を創造的に使用してドロッパーを配布し、マルウェア自体は、分析中に、最終的には単純ではあるものの、興味深い障害を私たちに提示しました。
このマルウェアの作成者は次のとおりであると考えられます。
- winlogon.exe プロセスへの組み込みインジェクションを含むランサムウェア ウイルスを作成しました。
ファイルの暗号化および復号化機能 - ConfuserEx を使用して悪意のあるコードを偽装し、Donut を使用して結果を変換し、さらに Base64 Gzip ドロッパーを隠しました。
- 被害者のドメインで昇格された権限を取得し、それを使用してコピーした
暗号化されたマルウェアとスケジュールされたジョブをドメイン コントローラーの SYSVOL ネットワーク フォルダーに送信する - ドメイン デバイスで PowerShell スクリプトを実行してマルウェアを拡散し、攻撃の進行状況を SYSVOL のログに記録します。
この亜種のランサムウェア ウイルス、または当社チームが実施するその他のフォレンジックおよびサイバーセキュリティ インシデント調査についてご質問がある場合は、 またはリクエスト では、常に Q&A セッションで質問に答えます。
出所: habr.com