A galur anyar ransomware encrypts file lan nambah ".SaveTheQueen" extension kanggo wong-wong mau, nyebar liwat folder jaringan SYSVOL ing pengontrol domain Active Directory.
Pelanggan kita nemoni malware iki bubar. Kita nampilake analisis lengkap, asil lan kesimpulan ing ngisor iki.
Deteksi
Salah sawijining pelanggan ngubungi kita sawise nemoni galur ransomware anyar sing nambahake ekstensi ".SaveTheQueen" menyang file ndhelik anyar ing lingkungane.
Sajrone diselidiki, utawa luwih tepat ing tahap nggoleki sumber infeksi, kita nemokake manawa distribusi lan nelusuri korban sing kena infeksi ditindakake nggunakake folder jaringan SYSVOL ing kontroler domain pelanggan.
SYSVOL minangka folder kunci kanggo saben pengontrol domain sing digunakake kanggo ngirim Obyek Kebijakan Grup (GPO) lan skrip logon lan logoff menyang komputer ing domain kasebut. Isi folder iki ditiru antarane pengontrol domain kanggo nyinkronake data iki ing situs organisasi. Nulis menyang SYSVOL mbutuhake hak istimewa domain sing dhuwur, nanging, yen wis dikompromi, aset iki dadi alat sing kuat kanggo panyerang sing bisa nggunakake kanthi cepet lan efisien nyebarake muatan jahat ing domain.
Rantai audit Varonis mbantu kanthi cepet ngenali ing ngisor iki:
- Akun pangguna sing kena infeksi nggawe file sing diarani "saben jam" ing SYSVOL
- Akeh file log digawe ing SYSVOL - saben dijenengi kanthi jeneng piranti domain
- Akeh alamat IP sing beda-beda ngakses file "saben jam".
Kita nyimpulake manawa file log digunakake kanggo nglacak proses infeksi ing piranti anyar, lan "saben jam" minangka tugas sing dijadwalake sing nglakokake muatan angkoro ing piranti anyar nggunakake skrip Powershell - conto "v3" lan "v4".
Penyerang kemungkinan entuk lan nggunakake hak istimewa administrator domain kanggo nulis file menyang SYSVOL. Ing host sing kena infeksi, panyerang mbukak kode PowerShell sing nggawe jadwal kerja kanggo mbukak, dekripsi, lan mbukak malware.
Dekripsi malware
Kita nyoba sawetara cara kanggo decipher conto ora kasil:
Kita padha meh siap nyerah nalika kita mutusaké kanggo nyoba "Magic" cara apik banget
keperluan dening GCHQ. Magic nyoba kanggo guess enkripsi file dening brute-meksa sandhi kanggo macem-macem jinis enkripsi lan ngukur entropi.
Cathetan penerjemah Deleng и . Artikel lan komentar iki ora kalebu diskusi saka penulis babagan rincian metode sing digunakake ing piranti lunak pihak katelu utawa kepemilikan.
Piandel nemtokake manawa packer GZip sing dienkode base64 digunakake, mula kita bisa ngilangi file kasebut lan nemokake kode injeksi.
Dropper: "Ana epidemi ing wilayah kasebut! Vaksinasi umum. Penyakit sikil lan tutuk"
Dropper minangka file .NET biasa tanpa proteksi. Sawise maca kode sumber karo kita temen maujud sing siji waé iku kanggo inject shellcode menyang proses winlogon.exe.
Shellcode utawa sisah prasaja
Kita nggunakake alat authoring Hexacorn − kanggo "nglumpukake" shellcode menyang file eksekusi kanggo debugging lan analisis. Kita banjur nemokake manawa bisa digunakake ing mesin 32 lan 64 bit.
Nulis shellcode malah prasaja ing terjemahan basa assembly native bisa angel, nanging nulis shellcode lengkap sing bisa digunakake ing loro jinis sistem mbutuhake skills elit, supaya kita wiwit gumun ing kecanggihan saka panyerang.
Nalika kita parsing shellcode kompilasi nggunakake , kita ngeweruhi sing loading .NET perpustakaan dinamis , kayata clr.dll lan mscoreei.dll. Iki katon aneh kanggo kita - biasane panyerang nyoba nggawe shellcode sekecil mungkin kanthi nelpon fungsi OS asli tinimbang ngemot. Napa ana sing kudu nglebokake fungsi Windows menyang shellcode tinimbang nelpon langsung yen dikarepake?
Ternyata, penulis malware ora nulis shellcode kompleks iki - piranti lunak khusus kanggo tugas iki digunakake kanggo nerjemahake file lan skrip sing bisa dieksekusi menyang shellcode.
Kita nemokake alat , sing kita pikir bisa ngumpulake shellcode sing padha. Mangkene katrangan saka GitHub:
Donut ngasilake x86 utawa x64 shellcode saka VBScript, JScript, EXE, DLL (kalebu .NET rakitan). Shellcode iki bisa disuntikake menyang proses Windows apa wae sing bakal dieksekusi
memori akses acak.
Kanggo ngonfirmasi teori kita, kita nyusun kode dhewe nggunakake Donut lan mbandhingake karo sampel - lan ... ya, kita nemokake komponen liyane saka toolkit sing digunakake. Sawise iki, kita wis bisa ngekstrak lan nganalisa file eksekusi .NET asli.
Proteksi kode
Berkas iki wis dibuwang nganggo :
ConfuserEx minangka proyek open source .NET kanggo nglindhungi kode pangembangan liyane. Piranti lunak kelas iki ngidini pangembang nglindhungi kode saka rekayasa terbalik kanthi nggunakake metode kayata substitusi karakter, masking aliran perintah kontrol, lan metode referensi ndhelikake. Penulis malware nggunakake obfuscator kanggo nyingkiri deteksi lan nggawe reverse engineering luwih angel.
Thanks kita mbukak kode:
Asil - muatan
Payload sing diasilake yaiku virus ransomware sing prasaja banget. Ora ana mekanisme kanggo mesthekake ngarsane ing sistem, ora ana sambungan menyang pusat komando - mung enkripsi asimetris lawas sing apik kanggo nggawe data korban ora bisa diwaca.
Fungsi utama milih baris ing ngisor iki minangka paramèter:
- Ekstensi file sing bakal digunakake sawise enkripsi (SaveTheQueen)
- Email penulis kanggo diselehake ing file cathetan tebusan
- Kunci umum digunakake kanggo ndhelik file
Proses kasebut dhewe katon kaya iki:
- Malware mriksa drive lokal lan disambungake ing piranti korban
- Nggoleki file kanggo enkripsi
- Nyoba kanggo mungkasi proses sing nggunakake file sing arep dienkripsi
- Ganti jeneng file dadi "OriginalFileName.SaveTheQueenING" nggunakake fungsi MoveFile lan enkripsi
- Sawise file dienkripsi nganggo kunci umum penulis, malware kasebut ngganti jeneng maneh, saiki dadi "Original FileName.SaveTheQueen"
- Berkas kanthi panjaluk tebusan ditulis ing folder sing padha
Adhedhasar panggunaan fungsi "CreateDecryptor" asli, salah sawijining fungsi malware katon minangka parameter mekanisme dekripsi sing mbutuhake kunci pribadi.
Ransomware virus Ora ngenkripsi file, disimpen ing direktori:
C: windows
C: File Program
C: File Program (x86)
C:Users\AppData
C: inetpub
Dheweke uga Ora ngenkripsi jinis file ing ngisor iki:EXE, DLL, MSI, ISO, SYS, CAB.
Asil lan kesimpulan
Sanajan ransomware dhewe ora ngemot fitur sing ora biasa, panyerang kanthi kreatif nggunakake Active Directory kanggo nyebarake dropper, lan malware kasebut dhewe menehi alangan sing menarik, yen pungkasane ora rumit, sajrone analisa.
Kita mikir manawa penulis malware yaiku:
- Nulis virus ransomware kanthi injeksi sing dibangun ing proses winlogon.exe, uga
enkripsi file lan fungsi dekripsi - Nyamar kode jahat nggunakake ConfuserEx, ngowahi asil nggunakake Donut lan tambahan ndhelikake dropper base64 Gzip
- Entuk hak istimewa sing luwih dhuwur ing domain korban lan digunakake kanggo nyalin
malware sing dienkripsi lan proyek sing dijadwalake menyang folder jaringan SYSVOL pengontrol domain - Jalanake skrip PowerShell ing piranti domain kanggo nyebar malware lan ngrekam kemajuan serangan ing log ing SYSVOL
Yen sampeyan duwe pitakon babagan varian virus ransomware iki, utawa investigasi kedadeyan forensik lan keamanan siber liyane sing ditindakake dening tim kita, utawa njaluk , ing ngendi kita tansah mangsuli pitakon ing sesi Q&A.
Source: www.habr.com