Eng nei Stamm vu Ransomware verschlësselt Dateien a füügt eng ".SaveTheQueen" Extensioun un hinnen, verbreet duerch den SYSVOL Netzwierk Dossier op Active Directory Domain Controller.
Eis Clienten hunn dës Malware viru kuerzem begéint. Mir presentéieren eis voll Analyse, hir Resultater a Conclusiounen ënnert.
Entdeckung
Ee vun eise Clienten huet eis kontaktéiert nodeems se eng nei Stamm vu Ransomware begéint hunn, déi d'".SaveTheQueen" Extensioun fir nei verschlësselte Dateien an hirem Ëmfeld bäigefüügt huet.
Wärend eiser Enquête, oder éischter op der Etapp vun der Sich no Infektiounsquellen, hu mir erausfonnt datt d'Verdeelung an d'Verfollegung vun infizéierten Affer duerchgefouert gouf Netzwierk Dossier SYSVOL op dem Client säi Domain Controller.
SYSVOL ass e Schlëssel Dossier fir all Domain Controller dee benotzt gëtt fir Group Policy Objects (GPOs) a Logon a Logoff Scripten op Computeren an der Domain ze liwweren. Den Inhalt vun dësem Dossier gëtt tëscht Domain Controller replizéiert fir dës Donnéeën iwwer d'Organisatiounssäiten ze synchroniséieren. Schreiwen op SYSVOL erfuerdert héich Domain Privilegien, awer wann et kompromittéiert ass, gëtt dësen Verméigen e mächtegt Tool fir Ugräifer déi et benotze kënne fir séier an effizient béiswëlleg Notzlaascht iwwer eng Domain ze verbreeden.
D'Varonis Auditkette huet gehollef séier déi folgend z'identifizéieren:
- Den infizéierte Benotzerkont huet e Fichier mam Numm "Stonn" am SYSVOL erstallt
- Vill Logbicher goufen am SYSVOL erstallt - jidderee mam Numm vun engem Domain-Apparat genannt
- Vill verschidden IP Adressen hunn Zougang zu der "Stonn" Datei
Mir hunn ofgeschloss datt d'Logdateien benotzt gi fir den Infektiounsprozess op neien Apparater ze verfolgen, an datt "Stonn" eng geplangten Aarbecht war déi béiswëlleg Notzlaascht op nei Apparater mat engem Powershell Skript ausgefouert huet - Echantillon "v3" an "v4".
Den Ugräifer huet méiglecherweis Domain Administrator Privilegien kritt a benotzt fir Dateien op SYSVOL ze schreiwen. Op infizéierte Hosten huet den Ugräifer PowerShell Code ausgeführt, deen eng Zäitplangjob erstallt huet fir d'Malware opzemaachen, entschlësselen an auszeféieren.
Entschlësselung vun der Malware
Mir hu verschidde Weeër probéiert Proben ze entzifferen ouni Erfolleg:
Mir ware bal prett opzeginn, wéi mir décidéiert hunn d'Methode "Magic" vun der herrlecher ze probéieren
Utilitéite vum GCHQ. Magic probéiert d'Verschlësselung vun enger Datei ze roden duerch brute-Forcing Passwierder fir verschidden Verschlësselungstypen an d'Entropie ze moossen.
Iwwersetzer Notiz Kuckt и . Dësen Artikel an d'Kommentaren enthalen keng Diskussioun vum Deel vun den Autoren iwwer d'Detailer vu Methoden, déi an Drëtt Partei oder propriétaire Software benotzt ginn
Magic huet festgestallt datt e base64 kodéierte GZip Packer benotzt gouf, sou datt mir d'Datei dekompriméiere konnten an den Injektiounscode entdecken.
Dropper: „Et gëtt eng Epidemie an der Géigend! Allgemeng Impfungen. Fouss a Mond Krankheet"
Den Dropper war eng regulär .NET Datei ouni Schutz. No der Quelltext liesen mat Mir hu gemierkt datt säin eenzegen Zweck war Shellcode an de winlogon.exe Prozess ze sprëtzen.
Shellcode oder einfache Komplikatiounen
Mir hunn den Hexacorn Authoring Tool benotzt - fir de Shellcode an eng ausführbar Datei fir Debugging an Analyse ze "kompiléieren". Mir hunn dunn entdeckt datt et op 32 an 64 Bit Maschinnen funktionnéiert.
Och einfache Shellcode an enger Mammesprooch Iwwersetzung ze schreiwen kann schwéier sinn, awer e komplette Shellcode ze schreiwen deen op béid Aarte vu Systemer funktionnéiert erfuerdert Elite Fäegkeeten, sou datt mir ugefaang hunn iwwer d'Raffinesséierung vum Ugräifer ze wonneren.
Wa mir de kompiléierte Shellcode mat Hëllef , mir gemierkt, datt hien Luede .NET dynamesch Bibliothéiken , wéi clr.dll an mscoreei.dll. Dëst war komesch fir eis - normalerweis probéieren Ugräifer de Shellcode sou kleng wéi méiglech ze maachen andeems se gebierteg OS Funktiounen uruffen anstatt se ze lueden. Firwat brauch iergendeen Windows Funktionalitéit an de Shellcode anzebezéien anstatt et direkt op Ufro ze ruffen?
Wéi et sech erausstellt, huet den Auteur vun der Malware dëse komplexe Shellcode guer net geschriwwen - Software spezifesch fir dës Aufgab gouf benotzt fir ausführbar Dateien a Skripte an Shellcode ze iwwersetzen.
Mir hunn en Tool fonnt , déi mir geduecht hunn en ähnlechen Shellcode ze kompiléieren. Hei ass seng Beschreiwung vu GitHub:
Donut generéiert x86 oder x64 Shellcode vu VBScript, JScript, EXE, DLL (inklusiv .NET Versammlungen). Dëse Shellcode kann an all Windows Prozess injizéiert ginn fir auszeféieren
zoufälleg Zougang Erënnerung.
Fir eis Theorie ze bestätegen, hu mir eisen eegene Code mat Donut zesummegestallt an et mat der Probe verglach - an ... jo, mir hunn en anere Bestanddeel vum benotzte Toolkit entdeckt. Duerno konnte mir schonn d'Original .NET ausführbar Datei extrahéieren an analyséieren.
Code Schutz
Dëse Fichier gouf verstoppt benotzt :
ConfuserEx ass en Open Source .NET Projet fir de Code vun aneren Entwécklungen ze schützen. Dës Klass vu Software erlaabt d'Entwéckler hire Code vu Reverse Engineering ze schützen mat Methoden wéi Charaktersubstitutioun, Kontrollkommando Flow Masking, a Referenzmethod verstoppt. Malware Autoren benotzen Obfuscatoren fir d'Erkennung z'evitéieren an d'Reverse Engineering méi schwéier ze maachen.
Merci mir hunn de Code ausgepackt:
Resultat - Notzlaascht
Déi resultéierend Notzlaascht ass e ganz einfache Ransomware Virus. Kee Mechanismus fir d'Präsenz am System ze garantéieren, keng Verbindunge mam Kommandozenter - just gutt al asymmetresch Verschlësselung fir d'Donnéeën vum Affer onliesbar ze maachen.
D'Haaptfunktioun wielt déi folgend Zeilen als Parameter:
- Dateierweiterung fir no der Verschlësselung ze benotzen (SaveTheQueen)
- E-Mail vum Auteur fir an der Ransom Notiz Datei ze setzen
- Ëffentleche Schlëssel benotzt fir Dateien ze verschlësselen
De Prozess selwer gesäit esou aus:
- De Malware iwwerpréift lokal a verbonne Drive op dem Apparat vum Affer
- Sicht no Dateien fir ze verschlësselen
- Probéiert e Prozess ofzeschléissen deen eng Datei benotzt déi et amgaang ass ze verschlësselen
- Benennt de Fichier op "OriginalFileName.SaveTheQueenING" mat der MoveFile Funktioun a verschlësselt se
- Nodeems d'Datei mat dem ëffentleche Schlëssel vum Auteur verschlësselt ass, ëmbenannt d'Malware se erëm, elo op "Original FileName.SaveTheQueen"
- E Fichier mat enger Léisegeldfuerderung gëtt an deeselwechten Dossier geschriwwe
Baséierend op d'Benotzung vun der gebierteg "CreateDecryptor" Funktioun, schéngt eng vun de Malware Funktiounen als Parameter en Entschlësselungsmechanismus ze enthalen deen e private Schlëssel erfuerdert.
Ransomware Virus NET verschlësselt Dateien, gespäichert an Verzeechnes:
C: Fënsteren
C: Programm Dateien
C: Programmdateien (x86)
C:Users\AppData
C: inetpub
Hien och NET verschlësselt déi folgend Dateitypen:EXE, DLL, MSI, ISO, SYS, CAB.
Resumé a Conclusiounen
Och wann d'Ransomware selwer keng ongewéinlech Feature enthält, huet den Ugräifer kreativ Active Directory benotzt fir den Dropper ze verdeelen, an d'Malware selwer huet eis interessant, wann schlussendlech onkomplizéiert, Hindernisser während der Analyse presentéiert.
Mir mengen datt den Auteur vun der Malware ass:
- Schreift e Ransomware Virus mat agebauter Injektioun an de winlogon.exe Prozess, souwéi
Dateieverschlësselung an Entschlësselungsfunktionalitéit - Verkleed de béisaarteg Code mat ConfuserEx, konvertéiert d'Resultat mat Donut an huet zousätzlech den base64 Gzip Dropper verstoppt
- Erhéicht Privilegien am Affer Domain kritt a benotzt se fir ze kopéieren
verschlësselte Malware a geplangten Aarbechten an de SYSVOL Netzwierk Dossier vun Domain Controller - Run e PowerShell Skript op Domain Geräter fir Malware ze verbreeden an Attack Fortschrëtter a Logbicher am SYSVOL ze notéieren
Wann Dir Froen iwwer dës Variant vum Ransomware Virus hutt, oder all aner Forensik an Cybersecurity Incident Ënnersichunge vun eisen Teams, oder Ufro , wou mir ëmmer Froen an enger Q&A Sëtzung beäntweren.
Source: will.com