Төлемді бағдарламалық қамтамасыз етудің жаңа штаммы файлдарды шифрлайды және оларға Active Directory домен контроллерлеріндегі SYSVOL желі қалтасы арқылы таралатын ".SaveTheQueen" кеңейтімін қосады.
Біздің тұтынушылар бұл зиянды бағдарламаны жақында кездестірді. Төменде біз толық талдауымызды, оның нәтижелері мен қорытындыларын ұсынамыз.
Анықтау
Тұтынушылардың бірі өз ортасындағы жаңа шифрланған файлдарға ".SaveTheQueen" кеңейтімін қосатын төлем бағдарламасының жаңа штаммына тап болғаннан кейін бізбен хабарласты.
Тергеу барысында, дәлірек айтқанда, инфекция көздерін іздеу кезеңінде біз жұқтырған құрбандарды тарату және қадағалау желілік қалта SYSVOL тұтынушының домен контроллерінде.
SYSVOL — топтық саясат нысандарын (GPO) және домендегі компьютерлерге кіру және шығу сценарийлерін жеткізу үшін пайдаланылатын әрбір домен контроллеріне арналған негізгі қалта. Бұл деректерді ұйым сайттары арқылы үндестіру үшін бұл қалтаның мазмұны домен контроллері арасында көшіріледі. SYSVOL-ге жазу жоғары домендік артықшылықтарды қажет етеді, бірақ бұзылғаннан кейін бұл актив зиянды пайдалы жүктемелерді домен арқылы тез және тиімді тарату үшін пайдалана алатын шабуылдаушылар үшін қуатты құралға айналады.
Varonis аудит тізбегі келесілерді тез анықтауға көмектесті:
- Вирус жұққан пайдаланушы тіркелгісі SYSVOL ішінде "сағаттық" деп аталатын файлды жасады
- Көптеген журнал файлдары SYSVOL ішінде жасалды - әрқайсысы домен құрылғысының атымен аталған
- Көптеген әртүрлі IP мекенжайлары «сағаттық» файлға қатынасты
Біз журнал файлдары жаңа құрылғылардағы жұқтыру процесін бақылау үшін пайдаланылған және бұл «сағаттық» Powershell сценарийін – «v3» және «v4» үлгілері арқылы жаңа құрылғыларда зиянды пайдалы жүктемені орындайтын жоспарланған жұмыс деген қорытындыға келдік.
Шабуылдаушы SYSVOL файлына файлдарды жазу үшін домен әкімшісінің артықшылықтарын алған және пайдаланған болуы мүмкін. Вирус жұққан хосттарда шабуылдаушы зиянды бағдарламаны ашу, шифрын ашу және іске қосу үшін кесте тапсырмасын жасаған PowerShell кодын іске қосты.
Зиянды бағдарламаның шифрын шешу
Біз үлгілерді шешудің бірнеше әдісін қолданып көрдік, нәтиже болмады:
Біз кереметтің «Сиқырлы» әдісін қолданып көруді шешкен кезде бас тартуға дайын болдық
коммуналдық GCHQ бойынша. Magic әр түрлі шифрлау түрлеріне және энтропияны өлшеуге арналған құпия сөздерді дөрекі түрде мәжбүрлеу арқылы файлдың шифрлануын болжауға тырысады.
Аудармашының жазбасы Қараңыз и . Бұл мақала мен түсініктемелер авторлар тарапынан үшінші тараптың немесе жеке бағдарламалық жасақтамада қолданылатын әдістердің егжей-тегжейлерін талқылауды қамтымайды.
Magic base64 кодталған GZip бумасының пайдаланылғанын анықтады, сондықтан біз файлды ашып, инъекция кодын таба алдық.
Тамшылағыш: «Ауданда індет бар! Жалпы вакциналар. Аусыл ауруы»
Тамшылағыш ешқандай қорғаныссыз кәдімгі .NET файлы болды. Бастапқы кодты оқығаннан кейін оның жалғыз мақсаты winlogon.exe процесіне shellcode енгізу екенін түсіндік.
Shellcode немесе қарапайым қиындықтар
Біз Hexacorn авторлық құралын қолдандық - қабықша кодын жөндеу және талдау үшін орындалатын файлға «компиляциялау» үшін. Содан кейін біз оның 32 және 64 биттік машиналарда жұмыс істейтінін білдік.
Ассемблер тіліндегі аудармада қарапайым қабық кодын жазу қиын болуы мүмкін, бірақ жүйенің екі түрінде де жұмыс істейтін толық қабық кодын жазу элиталық дағдыларды талап етеді, сондықтан біз шабуылдаушының күрделілігіне таңдана бастадық.
Біз құрастырылған қабық кодын пайдаланып талдау жасағанда , жүктеп жатқанын байқадық .NET динамикалық кітапханалары clr.dll және mscoreei.dll сияқты. Бұл бізге оғаш болып көрінді - әдетте шабуылдаушылар оларды жүктеудің орнына жергілікті ОЖ функцияларын шақыру арқылы қабықша кодын мүмкіндігінше кішірек етуге тырысады. Неліктен біреуге Windows функционалдығын тікелей сұраныс бойынша шақырудың орнына shellcode ішіне енгізу қажет?
Белгілі болғандай, зиянды бағдарламаның авторы бұл күрделі қабық кодын мүлде жазбаған - орындалатын файлдар мен сценарийлерді қабық кодына аудару үшін осы тапсырмаға тән бағдарламалық құрал пайдаланылған.
Біз құрал таптық , ол ұқсас қабық кодын құрастыра алады деп ойладық. Міне, оның GitHub-тен сипаттамасы:
Donut VBScript, JScript, EXE, DLL (.NET жинақтарын қоса) ішінен x86 немесе x64 қабық кодын жасайды. Бұл қабық кодын орындау үшін кез келген Windows процесіне енгізуге болады
жады.
Теориямызды растау үшін біз Donut көмегімен өз кодымызды құрастырдық және оны үлгімен салыстырдық - және... иә, біз пайдаланылған құралдар жинағының басқа құрамдас бөлігін таптық. Осыдан кейін біз бастапқы .NET орындалатын файлын шығарып, талдай алдық.
Кодты қорғау
Бұл файл қолдану арқылы түсініксіз болды :
ConfuserEx – басқа әзірлемелердің кодын қорғауға арналған ашық бастапқы .NET жобасы. Бағдарламалық құралдың бұл класы әзірлеушілерге таңбаларды ауыстыру, басқару пәрмендері ағынын бүркемелеу және сілтеме әдісін жасыру сияқты әдістерді қолдана отырып, өз кодын кері инженериядан қорғауға мүмкіндік береді. Зиянды бағдарлама авторлары анықтаудан жалтару және кері инженерияны қиындату үшін обфускаторларды пайдаланады.
рахмет біз кодты аштық:
Нәтиже – пайдалы жүктеме
Алынған пайдалы жүктеме өте қарапайым ransomware вирусы болып табылады. Жүйеде болуын қамтамасыз ететін механизм жоқ, командалық орталыққа қосылымдар жоқ - жәбірленушінің деректерін оқылмайтын ету үшін жақсы ескі асимметриялық шифрлау жеткілікті.
Негізгі функция келесі жолдарды параметр ретінде таңдайды:
- Шифрлаудан кейін пайдаланылатын файл кеңейтімі (SaveTheQueen)
- Төлем жазбасы файлында орналастыру үшін автордың электрондық поштасы
- Файлдарды шифрлау үшін пайдаланылатын ашық кілт
Процестің өзі келесідей көрінеді:
- Зиянды бағдарлама жәбірленушінің құрылғысындағы жергілікті және қосылған дискілерді тексереді
- Шифрлау үшін файлдарды іздейді
- Шифрланғалы жатқан файлды пайдаланып жатқан процесті тоқтатуға тырысады
- MoveFile функциясын пайдаланып файлдың атын "OriginalFileName.SaveTheQueenING" етіп өзгертеді және оны шифрлайды
- Файл автордың ашық кілтімен шифрланған соң, зиянды бағдарлама оның атын енді "Original FileName.SaveTheQueen" деп өзгертеді.
- Төлемді талап ететін файл сол қалтаға жазылады
Жергілікті "CreateDecryptor" функциясын пайдалану негізінде зиянды бағдарлама функцияларының бірінде параметр ретінде жеке кілтті қажет ететін шифрды шешу механизмі бар сияқты.
ransomware вирусы файлдарды шифрламайды, каталогтарда сақталады:
C: терезелер
C: Бағдарлама файлдары
C: Бағдарлама файлдары (x86)
C: Users\AppData
C: inetpub
Ол да Келесі файл түрлерін ШИФРЛАЙМАЙДЫ:EXE, DLL, MSI, ISO, SYS, CAB.
Қорытындылар мен қорытындылар
Төлемдік бағдарламалық жасақтаманың өзінде ерекше мүмкіндіктер болмаса да, шабуылдаушы тамшылатқышты тарату үшін Active Directory қолданбасын шығармашылықпен пайдаланды, ал зиянды бағдарламаның өзі талдау кезінде бізге қызықты, тіпті күрделі болмаса да, кедергілерді ұсынды.
Біздің ойымызша, зиянды бағдарламаның авторы:
- Winlogon.exe процесіне кірістірілген инъекциясы бар ransomware вирусын жазды, сонымен қатар
файлды шифрлау және шифрды шешу мүмкіндігі - ConfuserEx көмегімен зиянды кодты жасырып, нәтижені Donut көмегімен түрлендірді және base64 Gzip тамшысын қосымша жасырды.
- Жәбірленушінің доменінде жоғары артықшылықтарға ие болды және оларды көшіру үшін пайдаланды
шифрланған зиянды бағдарламаны және жоспарланған тапсырмаларды домен контроллерінің SYSVOL желілік қалтасына - Зиянды бағдарламаны тарату және SYSVOL журналдарында шабуыл барысын жазу үшін домен құрылғыларында PowerShell сценарийін іске қосыңыз
Егер сізде төлемдік бағдарлама вирусының осы нұсқасы немесе біздің командалар жүргізетін кез келген басқа криминалистикалық және киберқауіпсіздік инциденттері туралы сұрақтарыңыз болса, немесе сұрау , мұнда біз әрқашан сұрақ-жауап сессиясында сұрақтарға жауап береміз.
Ақпарат көзі: www.habr.com