តម្លៃលោះគឺដូចជាមហាក្សត្រីមួយ: Varonis ស៊ើបអង្កេតការរីករាលដាលយ៉ាងឆាប់រហ័ស "SaveTheQueen" ransomware

ប្រភេទថ្មីនៃ ransomware អ៊ិនគ្រីបឯកសារ និងបន្ថែមផ្នែកបន្ថែម ".SaveTheQueen" ដល់ពួកវា ដោយរីករាលដាលតាមរយៈថតបណ្តាញ SYSVOL នៅលើឧបករណ៍បញ្ជាដែន Active Directory ។

អតិថិជនរបស់យើងបានជួបប្រទះមេរោគនេះនាពេលថ្មីៗនេះ។ យើងបង្ហាញការវិភាគពេញលេញរបស់យើង លទ្ធផល និងការសន្និដ្ឋានរបស់វាខាងក្រោម។

ការរកឃើញ

អតិថិជនរបស់យើងម្នាក់បានទាក់ទងមកយើង បន្ទាប់ពីពួកគេបានជួបប្រទះមេរោគ ransomware ថ្មីដែលកំពុងបន្ថែមផ្នែកបន្ថែម ".SaveTheQueen" ទៅឯកសារដែលបានអ៊ិនគ្រីបថ្មីនៅក្នុងបរិស្ថានរបស់ពួកគេ។

ក្នុងអំឡុងពេលនៃការស៊ើបអង្កេតរបស់យើង ឬជាជាងនៅក្នុងដំណាក់កាលនៃការស្វែងរកប្រភពនៃការឆ្លង យើងបានរកឃើញថាការចែកចាយ និងការតាមដានជនរងគ្រោះដែលឆ្លងមេរោគត្រូវបានអនុវត្តដោយប្រើ ថតបណ្តាញ SYSVOL នៅលើឧបករណ៍បញ្ជាដែនរបស់អតិថិជន។

SYSVOL គឺជាថតឯកសារសំខាន់សម្រាប់ឧបករណ៍បញ្ជាដែននីមួយៗដែលត្រូវបានប្រើដើម្បីបញ្ជូនវត្ថុគោលការណ៍ក្រុម (GPOs) និងការចូល និងបិទស្គ្រីបទៅកុំព្យូទ័រក្នុងដែន។ មាតិកានៃថតនេះត្រូវបានចម្លងរវាងឧបករណ៍បញ្ជាដែនដើម្បីធ្វើសមកាលកម្មទិន្នន័យនេះនៅទូទាំងគេហទំព័ររបស់ស្ថាប័ន។ ការសរសេរទៅកាន់ SYSVOL ទាមទារសិទ្ធិដែនខ្ពស់ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែលត្រូវបានសម្របសម្រួល ទ្រព្យសម្បត្តិនេះនឹងក្លាយជាឧបករណ៍ដ៏មានឥទ្ធិពលសម្រាប់អ្នកវាយប្រហារដែលអាចប្រើវាដើម្បីចែកចាយបន្ទុកព្យាបាទយ៉ាងរហ័ស និងប្រកបដោយប្រសិទ្ធភាពនៅទូទាំងដែន។

ខ្សែសង្វាក់សវនកម្ម Varonis បានជួយកំណត់អត្តសញ្ញាណយ៉ាងរហ័សដូចខាងក្រោម:

• គណនីអ្នកប្រើប្រាស់ដែលមានមេរោគបានបង្កើតឯកសារមួយហៅថា "រៀងរាល់ម៉ោង" នៅក្នុង SYSVOL
• ឯកសារកំណត់ហេតុជាច្រើនត្រូវបានបង្កើតនៅក្នុង SYSVOL - នីមួយៗត្រូវបានដាក់ឈ្មោះដោយឈ្មោះឧបករណ៍ដែន
• អាសយដ្ឋាន IP ផ្សេងគ្នាជាច្រើនបានចូលប្រើឯកសារ "រៀងរាល់ម៉ោង"

យើងបានសន្និដ្ឋានថាឯកសារកំណត់ហេតុត្រូវបានប្រើដើម្បីតាមដានដំណើរការឆ្លងមេរោគនៅលើឧបករណ៍ថ្មី ហើយថា "រៀងរាល់ម៉ោង" គឺជាការងារដែលបានកំណត់ពេលដែលបានដំណើរការបន្ទុកព្យាបាទនៅលើឧបករណ៍ថ្មីដោយប្រើស្គ្រីប Powershell - គំរូ "v3" និង "v4" ។

អ្នកវាយប្រហារទំនងជាទទួលបាន និងប្រើសិទ្ធិអ្នកគ្រប់គ្រងដែនដើម្បីសរសេរឯកសារទៅ SYSVOL ។ នៅលើម៉ាស៊ីនដែលមានមេរោគ អ្នកវាយប្រហារបានដំណើរការកូដ PowerShell ដែលបង្កើតការងារកំណត់ពេលដើម្បីបើក ឌិគ្រីប និងដំណើរការមេរោគ។

ការឌិគ្រីបមេរោគ

យើង​បាន​ព្យាយាម​វិធី​ជា​ច្រើន​ដើម្បី​ឌិគ្រីប​គំរូ​ដើម្បី​មិន​បាន​ផល៖

យើងស្ទើរតែត្រៀមខ្លួនរួចជាស្រេចដើម្បីបោះបង់នៅពេលដែលយើងសម្រេចចិត្តសាកល្បងវិធីសាស្ត្រ "វេទមន្ត" ដ៏អស្ចារ្យ
ឧបករណ៍ប្រើប្រាស់ Cyberchef ដោយ GCHQ ។ វេទមន្តព្យាយាមទស្សន៍ទាយការអ៊ិនគ្រីបរបស់ឯកសារដោយពាក្យសម្ងាត់បង្ខំដោយ brute-forcing សម្រាប់ប្រភេទការអ៊ិនគ្រីបផ្សេងៗ និងការវាស់ស្ទង់ entropy ។

កំណត់ចំណាំរបស់អ្នកបកប្រែ សូមមើលentropy ឌីផេរ៉ង់ស្យែល и Entropy ក្នុងទ្រឹស្តីព័ត៌មាន. អត្ថបទ និងមតិយោបល់នេះមិនពាក់ព័ន្ធនឹងការពិភាក្សាលើផ្នែកនៃអ្នកនិពន្ធអំពីព័ត៌មានលម្អិតនៃវិធីសាស្រ្តដែលប្រើនៅក្នុងកម្មវិធីភាគីទីបី ឬកម្មសិទ្ធិនោះទេ។


វេទមន្តបានកំណត់ថាឧបករណ៍វេចខ្ចប់ GZip ដែលបានអ៊ិនកូដ base64 ត្រូវបានប្រើ ដូច្នេះយើងអាចបង្រួមឯកសារ និងស្វែងរកលេខកូដចាក់។

Dropper៖“ មានការរីករាលដាលនៅក្នុងតំបន់! ការចាក់ថ្នាំបង្ការទូទៅ។ ជំងឺ​ជើង​និង​មាត់"

ឧបករណ៍ទម្លាក់គឺជាឯកសារ .NET ធម្មតាដោយគ្មានការការពារណាមួយឡើយ។ បន្ទាប់ពីអានកូដប្រភពជាមួយ DNSpy យើងបានដឹងថាគោលបំណងតែមួយគត់របស់វាគឺដើម្បីបញ្ចូល shellcode ទៅក្នុងដំណើរការ winlogon.exe ។

Shellcode ឬភាពស្មុគស្មាញសាមញ្ញ

យើងបានប្រើឧបករណ៍និពន្ធ Hexacorn − shellcode2exe ដើម្បី "ចងក្រង" កូដសែលទៅក្នុងឯកសារដែលអាចប្រតិបត្តិបានសម្រាប់ការបំបាត់កំហុស និងការវិភាគ។ បន្ទាប់មកយើងបានរកឃើញថាវាដំណើរការលើម៉ាស៊ីនទាំង 32 និង 64 ប៊ីត។

ការសរសេរសូម្បីតែ shellcode សាមញ្ញក្នុងការបកប្រែភាសាដើមកំណើតអាចជាការពិបាក ប៉ុន្តែការសរសេរកូដសែលពេញលេញដែលដំណើរការលើប្រព័ន្ធទាំងពីរប្រភេទនេះទាមទារជំនាញវរជន ដូច្នេះហើយយើងចាប់ផ្តើមភ្ញាក់ផ្អើលជាមួយនឹងភាពទំនើបរបស់អ្នកវាយប្រហារ។

នៅពេលដែលយើងញែកកូដសែលដែលបានចងក្រងដោយប្រើ x64dbgយើងកត់សំគាល់ថាគាត់កំពុងផ្ទុក បណ្ណាល័យថាមវន្ត .NET ដូចជា clr.dll និង mscoreei.dll ។ វាហាក់ដូចជាចំឡែកសម្រាប់ពួកយើង - ជាធម្មតាអ្នកវាយប្រហារព្យាយាមធ្វើឱ្យកូដសែលតូចតាមដែលអាចធ្វើទៅបានដោយហៅមុខងារ OS ដើមជំនួសឱ្យការផ្ទុកពួកវា។ ហេតុអ្វីបានជានរណាម្នាក់ត្រូវបញ្ចូលមុខងារ Windows ទៅក្នុង shellcode ជំនួសឱ្យការហៅវាដោយផ្ទាល់តាមតម្រូវការ?

ដូចដែលវាបានប្រែក្លាយ អ្នកនិពន្ធនៃមេរោគមិនបានសរសេរកូដសែលស្មុគស្មាញនេះទាល់តែសោះ - កម្មវិធីជាក់លាក់ចំពោះកិច្ចការនេះត្រូវបានប្រើដើម្បីបកប្រែឯកសារ និងស្គ្រីបដែលអាចប្រតិបត្តិបានទៅជាសែលកូដ។

យើងបានរកឃើញឧបករណ៍មួយ។ ដូណាត់ដែលយើងគិតថាអាចចងក្រងលេខកូដសែលស្រដៀងគ្នា។ នេះគឺជាការពិពណ៌នារបស់វាពី GitHub៖

ដូណាត់ បង្កើតកូដសែល x86 ឬ x64 ពី VBScript, JScript, EXE, DLL (រួមទាំង .NET assemblies)។ កូដសែលនេះអាចត្រូវបានចាក់ចូលទៅក្នុងដំណើរការវីនដូណាមួយដែលត្រូវប្រតិបត្តិក្នុង
សតិចូលដោយចៃដន្យ។

ដើម្បីបញ្ជាក់ទ្រឹស្ដីរបស់យើង យើងបានចងក្រងកូដផ្ទាល់ខ្លួនរបស់យើងដោយប្រើ Donut ហើយប្រៀបធៀបវាទៅនឹងគំរូ ហើយ... បាទ យើងបានរកឃើញសមាសធាតុមួយផ្សេងទៀតនៃប្រអប់ឧបករណ៍ដែលបានប្រើ។ បន្ទាប់ពីនេះ យើងអាចទាញយក និងវិភាគឯកសារដែលអាចប្រតិបត្តិបាន .NET ដើមរួចហើយ។

ការការពារលេខកូដ

ឯកសារនេះត្រូវបានបំភាន់ដោយប្រើ ConfuserEx:

ConfuserEx គឺជាគម្រោង .NET ប្រភពបើកចំហសម្រាប់ការពារកូដនៃការអភិវឌ្ឍន៍ផ្សេងៗ។ ថ្នាក់នៃកម្មវិធីនេះអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍ការពារកូដរបស់ពួកគេពីវិស្វកម្មបញ្ច្រាសដោយប្រើវិធីសាស្រ្តដូចជាការជំនួសតួអក្សរ ការបិទបាំងលំហូរពាក្យបញ្ជា និងការលាក់វិធីសាស្ត្រយោង។ អ្នកនិពន្ធមេរោគប្រើឧបករណ៍បំភាន់ដើម្បីគេចពីការរកឃើញ និងធ្វើឱ្យវិស្វកម្មបញ្ច្រាសកាន់តែពិបាក។

អរគុណ ElektroKill Unpacker យើងស្រាយលេខកូដ៖

លទ្ធផល - បន្ទុក

បន្ទុកលទ្ធផលគឺជាមេរោគ ransomware ដ៏សាមញ្ញបំផុត។ គ្មានយន្តការដើម្បីធានាវត្តមាននៅក្នុងប្រព័ន្ធ គ្មានការតភ្ជាប់ទៅមជ្ឈមណ្ឌលបញ្ជា - គ្រាន់តែការអ៊ិនគ្រីប asymmetric ចាស់ដ៏ល្អដើម្បីធ្វើឱ្យទិន្នន័យរបស់ជនរងគ្រោះមិនអាចអានបាន។

មុខងារចម្បងជ្រើសរើសបន្ទាត់ខាងក្រោមជាប៉ារ៉ាម៉ែត្រ៖

• ផ្នែកបន្ថែមឯកសារដែលត្រូវប្រើបន្ទាប់ពីការអ៊ិនគ្រីប (SaveTheQueen)
• អ៊ីមែលរបស់អ្នកនិពន្ធត្រូវដាក់ក្នុងឯកសារកំណត់ចំណាំតម្លៃលោះ
• សោសាធារណៈប្រើដើម្បីអ៊ិនគ្រីបឯកសារ

ដំណើរការខ្លួនវាមើលទៅដូចនេះ:

1. មេរោគពិនិត្យមើលដ្រាយក្នុងតំបន់ និងដែលបានភ្ជាប់នៅលើឧបករណ៍របស់ជនរងគ្រោះ

   

2. ស្វែងរកឯកសារដើម្បីអ៊ិនគ្រីប

   

3. ព្យាយាមបញ្ចប់ដំណើរការដែលកំពុងប្រើឯកសារដែលវាហៀបនឹងអ៊ិនគ្រីប
4. ប្តូរឈ្មោះឯកសារទៅជា "OriginalFileName.SaveTheQueenING" ដោយប្រើមុខងារ MoveFile ហើយអ៊ិនគ្រីបវា
5. បន្ទាប់ពីឯកសារត្រូវបានអ៊ិនគ្រីបដោយប្រើសោសាធារណៈរបស់អ្នកនិពន្ធ មេរោគនឹងប្តូរឈ្មោះវាម្តងទៀត ឥឡូវនេះទៅជា "Original FileName.SaveTheQueen"
6. ឯកសារដែលមានតម្រូវការលោះត្រូវបានសរសេរទៅថតដូចគ្នា។

   

ដោយផ្អែកលើការប្រើប្រាស់មុខងារ "CreateDecryptor" ដើម មុខងារមួយរបស់មេរោគហាក់ដូចជាមានប៉ារ៉ាម៉ែត្រយន្តការឌិគ្រីបដែលទាមទារសោឯកជន។

មេរោគ Ransomware មិនអ៊ិនគ្រីបឯកសាររក្សាទុកក្នុងថតឯកសារ៖

C: បង្អួច
គ: ឯកសារកម្មវិធី
C: ឯកសារកម្មវិធី (x៨៦)
C: អ្នកប្រើប្រាស់ \\ AppData
C: inetpub

គាត់​ផង​ដែរ មិនអ៊ិនគ្រីបប្រភេទឯកសារខាងក្រោម៖EXE, DLL, MSI, ISO, SYS, CAB ។

លទ្ធផលនិងការសន្និដ្ឋាន

ទោះបីជា ransomware ខ្លួនវាមិនមានលក្ខណៈពិសេសមិនធម្មតាក៏ដោយ ក៏អ្នកវាយប្រហារបានប្រើ Active Directory ប្រកបដោយភាពច្នៃប្រឌិត ដើម្បីចែកចាយ dropper ហើយ malware ខ្លួនវាបានបង្ហាញឱ្យយើងនូវគួរឱ្យចាប់អារម្មណ៍ ប្រសិនបើចុងក្រោយមិនស្មុគស្មាញ ឧបសគ្គអំឡុងពេលវិភាគ។

យើងគិតថាអ្នកនិពន្ធនៃមេរោគនេះគឺ៖

1. បានសរសេរមេរោគ ransomware ជាមួយនឹងការចាក់បញ្ចូលទៅក្នុងដំណើរការ winlogon.exe ក៏ដូចជា
   ការអ៊ិនគ្រីបឯកសារ និងមុខងារឌិគ្រីប
2. ក្លែង​កូដ​ព្យាបាទ​ដោយ​ប្រើ ConfuserEx បំប្លែង​លទ្ធផល​ដោយ​ប្រើ Donut ហើយ​ថែម​ទាំង​លាក់​ dropper base64 Gzip
3. ទទួលបានសិទ្ធិខ្ពស់នៅក្នុងដែនរបស់ជនរងគ្រោះ និងប្រើប្រាស់ពួកវាដើម្បីចម្លង
   មេរោគដែលបានអ៊ិនគ្រីប និងការងារដែលបានកំណត់ពេលទៅថតបណ្តាញ SYSVOL របស់ឧបករណ៍បញ្ជាដែន
4. ដំណើរការស្គ្រីប PowerShell នៅលើឧបករណ៍ដែន ដើម្បីផ្សព្វផ្សាយមេរោគ និងកត់ត្រាដំណើរការនៃការវាយប្រហារនៅក្នុងកំណត់ហេតុនៅក្នុង SYSVOL

ប្រសិនបើអ្នកមានសំណួរអំពីវ៉ារ្យ៉ង់នៃមេរោគ ransomware នេះ ឬការស៊ើបអង្កេតឧប្បត្តិហេតុផ្នែកកោសល្យវិច្ច័យ និងការស៊ើបអង្កេតតាមអ៊ីនធឺណិតដែលធ្វើឡើងដោយក្រុមរបស់យើង ទាក់ទង​មក​ពួក​យើង ឬស្នើសុំ ការបង្ហាញផ្ទាល់នៃការឆ្លើយតបទៅនឹងការវាយប្រហារដែលជាកន្លែងដែលយើងតែងតែឆ្លើយសំណួរនៅក្នុងវគ្គ Q&A ។

ប្រភព: www.habr.com