Novus evolutionis emissionis encryptarum fasciculus et ".SaveTheQueen" extensio illis addit, per SYVOL retis folder in Active Directory domain moderatoris.
Clientes nostri hoc malware nuper congressi sunt. Nostram analysim plenam, eius eventus ac conclusiones infra exhibemus.
deprehensio
Unus e nostris clientibus nobis contingebat postquam novum contentionem redemptionis inveniebant quae ".SaveTheQueen" augebat ad novas tabulas encryptas in ambitu eorum.
In investigatione nostra, vel potius in spectaculo ad fontes contagionum invenimus peractam esse distributionem et vestigia victimarum infectarum. network folder SYVOL in elit scriptor domain moderatoris.
SYSVOL est clavis folder pro cuiusque dominii moderatore qui obiectos (GPOs) politicos Group (GPOs) et logon et scripta logoff ad computatores in dominico tradendos adhibetur. Contenta huius folder repplicantur inter moderatores dominii ut hanc datam synchronizem per sites organizationis. Scribens ad SYLVOL privilegia alta domain requirit, sed, semel suspectus, haec res instrumentum potens fit in oppugnatores qui ea uti possunt ad cito et efficaciter malignos stipendiis per ditionem divulgare.
Varonis audit catena adiuta celeriter sequentia recognoscunt;
- Ratio usoris infectis tabellam vocatam "horis" in SYVOL creavit
- Multae tabellae stipes in SYVOL creatae sunt - uterque cum nomine ditionis fabricae nominatus est
- Multae et variae IP inscriptiones accesserunt ad fasciculum "horis"
Conclusimus tabellas stipes adhibitas ad processum contagionis in novis machinis investigare, et "horis" officium esse scheduled quod malevolas poenas in novis machinis exercebat utentes scripturae Powershell - exemplaria "v3" et "v4".
Percussor verisimile obtinuit et administrator usus privilegii domain ad SYVOL tabulas scribendas. In hostiis infectis, oppugnator codicem PowerShell cucurrit, qui officium schedularum ad aperiendum, decryptam creavit, et malware currit.
Decrypting malware
Pluribus modis exempla investigare frustra conati sumus;
Prope eramus cedere parati cum rationem magnificae "Magicae" experiri decrevimus
utilitates by GCHQ. Magia encryptionem fasciculi coniecturare conatur per passwords bruta cogendo pro diversis generibus encryptionis et entropy metiendis.
Interpres note Vide. и . Articulus hic et commentationes non involvunt discussionem auctorum singularium methodorum adhibitorum in programmate sive tertia parte sive proprietaria.
Magia decrevit ut a basi64 codicilis GZip packente adhibita esset, tabellam deprimere et injectionem codici invenire potuimus.
Dropper: “Pestilentia est in area! General lacus. Morbi pede et faucibus"
Destillator fasciculus regularis erat .NET sine ullo praesidio. Post legere source code with Intelleximus unicum propositum eius fuisse ut putamen in winlogon.exe processum injiceret.
Shellcode sive simplex inpedimenta
Hexacorn authoring instrumentum usi sumus ut "compilare" in shellcode documentum exsecutabile pro debugging et analysi. Nos inde compertum habemus in utroque 32 et 64 bis machinis elaboratum esse.
Scribens etiam simplicem corticem in lingua vernacula translatum difficile esse potest, sed scripturam integram testamicam quae in utraque systematis specierum genere operas electas artes requirit, mirari coepimus ruditatis impugnantis.
Cum parsed Composuit shellcode usura animadvertimus eum oneraturam .NET dynamic libraries ut clr.dll et mscoreei.dll. Hoc nobis mirum videbatur - oppugnatores plerumque conantur testam quam minimam reddere, vocando functiones indigenas OS loco oneratam. Cur quisquam functionem in codicem shellcode inserere vellet? Windows, potius quam directe ad rogationem vocare?
Cum evenit, auctor malware non scripsit hunc concham complexum omnino - programmatum specificum ad hoc negotium adhibitum ut documenta exsecutabilia et scripta in shellcode interpretaretur.
Instrumentum invenimus quem nos consimilem testam compilare posse putavimus. Eius descriptio hic est a GitHub;
Donut codicem intertextum (shellcode) x86 vel x64 ex VBScript, JScript, EXE, DLL (inclusa programmata .NET) generat. Hic codex intertextus in quemlibet processum iniici potest. Windows agere in
temere accessum memoria.
Ad nostram theoriam confirmandam, codicem nostrum Donut utentem compigimus atque eam ad specimen comparavimus - et... etiam, aliud instrumentum instrumenti adhibiti invenimus. Post hoc iam potuimus .NET documentum exsecutabile excerpere et analydere.
Code praesidium
Hoc lima est utens obfuscated :
ConfuserEx fons apertus est .NET consilium pro tuendo codicem aliarum explicationum. Hoc genus programmatum permittit tincidunt ut codicem suum defendat a rationibus contra machinationem adhibitis, sicut substitutio characteris, imperium personatus fluit imperium, et modus occultans referat. Auctores malware obfuscatos utuntur ad deprehensionem evadere et contra machinationem difficiliorem reddere.
gratias ago pacto codicem dabimus:
Exitus - payload
Ex payload virus valde simplex est. Nulla mechanismus est ut praesentia in systemate curet, nullae nexus ad centrum praecepti - sicut bonum vetus encryption asymmetricum ut notitias unreadabiles victimae efficiat.
Praecipuum munus hos versus parametri eligit:
- File extensio ut post encryption (SaveTheQueen)
- Auctoris inscriptio est in note file redemptio
- Publica clavis ad encrypt files
Ipse processus sic similis est:
- Malware locale explorat et conexum agit de fabrica victimae
- Quaero lima encrypt
- Processum terminare conatur, qui lima utens est ut encrypt
- Renominat tabella ad "OriginalFileName.SaveTheQueenING" usus ad munus et encrypts MoveFile
- Postquam tabella in clavis publica auctoris encrypta est, malware illud iterum appellat, nunc ad "Original FileName.SaveTheQueen"
- Fasciculus cum redemptione postulatio ad eundem folder . scriptum est
Fundatur in usu functionis indigenae "CreateDecryptor", unum e malware functionibus continere videtur ut modulus mechanismi decryptionis quae clavis privatam requirit.
Virus Ransomware Non encrypt filesin directoriis reposita;
C: fenestras
C: Lima
C:Programma Tabulariorum (x86)
C: Users\ AppData
C: inetpub
Etiam Non encrypt sequenti generum fasciculi:EXE, DLL, MSI, ISO, SYS, CAB.
Results et conclusiones
Etsi ipsum redemptio nullas notas inusitatas continebat, oppugnator Active Directory usus est ut dropperem divideret, et ipse malware nos iucunda, si tandem uncomplicata, impedimenta in analysi nobis obtulit.
Auctorem malware is putamus;
- Scripsit virus redemptionis cum injectione in processu winlogon.exe constructo, tum
file encryption et decryption functionality - Dissimulavit codicem malignum utens ConfuserEx, usus effectus Doughnut convertit, et insuper basi64 Gzip dropper abscondit.
- Privilegia elevata in dominio victimae consecuta sunt et ea imitati sunt
encrypted malware et accedant jobs ad SYVOL network folder of domain moderatoris - Curre a PowerShell scriptorum in ditione inventa ad dilatandum malware et recordum oppugnationis progressus in lignis in SYVOL
Si quaestiones habes de hoc variantibus viri redemptivi, vel alias quaslibet quaestiones forenses et cybersecu- ritates incidentes a nostris iugis peractas, aut petitionem , ubi semper in sessione Q&A interrogata respondemus.
Source: www.habr.com
