Ny karazana ransomware vaovao dia manisy encryption ny rakitra ary manampy fanitarana ".SaveTheQueen" amin'izy ireo, miparitaka amin'ny lahatahiry tambajotra SYSVOL amin'ny mpitantana ny sehatra Active Directory.
Nifanena tamin'ity malware ity ny mpanjifanay vao haingana. Atolotray eto ambany ny famakafakana feno, ny valiny ary ny fehin-kevitray.
Detection
Nifandray taminay ny iray tamin'ireo mpanjifanay taorian'ny nahitan'izy ireo karazana ransomware vaovao izay manampy ny fanitarana ".SaveTheQueen" amin'ny rakitra vaovao voatahiry ao amin'ny tontolo iainany.
Nandritra ny fanadihadianay, na teo amin'ny dingan'ny fikarohana ireo loharanon'ny otrikaretina, dia hitanay fa ny fizarana sy ny fanaraha-maso ireo niharam-boina dia natao tamin'ny fampiasana lahatahiry tambajotra SYSVOL amin'ny fanaraha-maso ny sahan'ny mpanjifa.
SYSVOL dia lahatahiry manan-danja ho an'ny mpanara-maso ny sehatra tsirairay izay ampiasaina hanaterana ny Group Policy Objects (GPOs) sy ny logon ary logoff scripts amin'ny solosaina ao amin'ny sehatra. Ny atiny amin'ity lahatahiry ity dia adika eo amin'ireo mpitantana ny sehatra mba hampifanaraka ireo angona ireo amin'ny tranokalan'ny fikambanana. Ny fanoratana ao amin'ny SYSVOL dia mitaky tombontsoa lehibe amin'ny sehatra, na izany aza, rehefa mandefitra, ity fananana ity dia lasa fitaovana mahery vaika ho an'ny mpanafika izay afaka mampiasa azy io mba hanaparitahana haingana sy mahomby ny enta-mavesatra amin'ny sehatra iray.
Ny rojo fanamarinana Varonis dia nanampy haingana hamantatra ireto manaraka ireto:
- Namorona rakitra iray antsoina hoe "isan'ora" ao amin'ny SYSVOL ny kaonty mpampiasa voan'ny aretina
- Maro ny rakitra lozisialy noforonina tao amin'ny SYSVOL - samy nomena anarana amin'ny anaran'ny fitaovana sehatra iray
- Adiresy IP maro samihafa no niditra tao amin'ny rakitra "isan'ora".
Nanatsoaka hevitra izahay fa ny rakitra log dia nampiasaina hanaraha-maso ny fizotry ny otrikaretina amin'ny fitaovana vaovao, ary ny "isaky ny ora" dia asa voalahatra izay manatanteraka ny karama ratsy amin'ny fitaovana vaovao mampiasa script Powershell - santionany "v3" sy "v4".
Ny mpanafika dia azo inoana fa nahazo sy nampiasa ny tombontsoan'ny mpandrindra sehatra hanoratana rakitra amin'ny SYSVOL. Tamin'ireo mpampiantrano voan'ny aretina, ny mpanafika dia nandefa kaody PowerShell izay namorona asa fandaharam-potoana hanokafana, hamadika ary hampandehanana ny malware.
Decrypting ny malware
Nanandrana fomba maro hamaritana ny santionany izahay nefa tsy nahomby:
Efa saika nilavo lefona izahay rehefa nanapa-kevitra ny hanandrana ny fomba "Magic" an'ny mahafinaritra
Asa vaventy Vidin'ny GCHQ. Magic dia manandrana maminavina ny fanafenana rakitra amin'ny alàlan'ny tenimiafina manery ny karazana fanafenana samihafa sy ny fandrefesana ny entropy.
Fanamarihan'ny mpandika teny Jereo ny. и . Ity lahatsoratra sy fanehoan-kevitra ity dia tsy misy dinika avy amin'ny mpanoratra momba ny antsipirihan'ny fomba ampiasaina amin'ny rindrambaiko an'ny antoko fahatelo na an'ny tompony.
Nanapa-kevitra ny Magic fa nampiasaina ny packer GZip misy kaody base64, noho izany dia afaka nanala ny rakitra izahay ary nahita ny kaody tsindrona.
Mpidina: “Misy areti-mifindra any amin'ny faritra! Vaksina ankapobeny. Aretin'ny tongotra sy ny vava"
Ny dropper dia rakitra .NET mahazatra tsy misy fiarovana. Rehefa avy namaky ny source code miaraka amin'ny Tsapanay fa ny hany tanjona dia ny hampiditra shellcode ao amin'ny dingana winlogon.exe.
Shellcode na fahasarotana tsotra
Nampiasa ny fitaovana fanoratana Hexacorn izahay − mba "hamorona" ny shellcode ho rakitra azo tanterahana ho an'ny debugging sy fanadihadiana. Hitanay avy eo fa niasa tamin'ny milina 32 sy 64 bit izy io.
Mety ho sarotra ny manoratra shellcode tsotra amin'ny dikanteny amin'ny teny fivondronana teratany, fa ny fanoratana shellcode feno izay miasa amin'ireo karazana rafitra roa ireo dia mitaky fahaiza-manao ambony, ka nanomboka gaga tamin'ny fahaizan'ny mpanafika izahay.
Rehefa nozarainay ny shellcode natambatra mampiasa , tsikaritray fa nampitondra entana izy .NET dynamic library , toy ny clr.dll sy mscoreei.dll. Toa hafahafa taminay izany - matetika ny mpanafika dia manandrana manao ny shellcode ho kely araka izay azo atao amin'ny fiantsoana ny OS teratany fa tsy mampiditra azy ireo. Nahoana no misy olona mila mampiditra ny fampiasa Windows ao amin'ny shellcode fa tsy miantso azy mivantana amin'ny fangatahana?
Raha ny fantatra dia tsy nanoratra ity shellcode sarotra ity mihitsy ny mpanoratra ny malware - ny rindrambaiko manokana ho an'ity asa ity dia nampiasaina handikana ny rakitra sy ny script azo tanterahana amin'ny shellcode.
Nahita fitaovana izahay , izay noheverinay fa afaka manangona shellcode mitovy. Ity ny famaritana azy avy amin'ny GitHub:
Ny Donut dia miteraka x86 na x64 shellcode avy amin'ny VBScript, JScript, EXE, DLL (anisan'izany ny .NET assemblies). Ity shellcode ity dia azo ampidirina amin'ny dingana Windows rehetra hotanterahina
fahatsiarovana fidirana an-tsokosoko.
Mba hanamafisana ny petra-kevitray dia nanangona ny kaodinay manokana izahay tamin'ny alalan'ny Donut ary nampitaha izany tamin'ny santionany - ary... eny, nahita singa iray hafa amin'ny fitaovana ampiasaina izahay. Taorian'izany dia efa afaka naka sy namakafaka ny rakitra .NET executable tany am-boalohany izahay.
Fiarovana kaody
Nosamborina ity rakitra ity :
ConfuserEx dia tetikasa .NET loharano misokatra ho fiarovana ny fehezan-dalàna momba ny fivoarana hafa. Ity kilasin'ny rindrambaiko ity dia ahafahan'ny mpamorona miaro ny kaody avy amin'ny reverse engineering amin'ny alàlan'ny fomba toy ny fanoloana toetra, fanaraha-maso ny fikorianan'ny baiko, ary ny fomba fiafenana. Mampiasa obfuscators ny mpanoratra malware mba hialana amin'ny fisavana sy hanasarotra kokoa ny injeniera mivadika.
Misaotra navoakanay ny kaody:
Vokany - enta-mavesatra
Ny viriosy ransomware tena tsotra no vokatr'izany. Tsy misy mekanika hiantohana ny fisian'ny rafitra, tsy misy fifandraisana amin'ny foibe baiko - encryption asymmetrika tranainy tsara fotsiny mba hahatonga ny angon'ilay niharam-boina tsy ho voavaky.
Ny asa lehibe dia misafidy ireto andalana manaraka ireto ho paramètre:
- Fanitarana rakitra ampiasaina aorian'ny fanafenana (SaveTheQueen)
- Mailaka an'ny mpanoratra hapetraka ao anaty rakitra naoty vidim-panavotana
- Fanalahidy ho an'ny daholobe ampiasaina hanodinana rakitra
Toy izao ny fizotrany:
- Ny malware dia mandinika ny fiara eo an-toerana sy mifandray amin'ny fitaovan'ilay niharam-boina
- Mikaroka ny rakitra hafenina
- Miezaka manafoana dingana iray izay mampiasa rakitra iray izay saika hafeniny
- Manova anarana ny rakitra ho "OriginalFileName.SaveTheQueenING" amin'ny alàlan'ny fampiasa MoveFile ary encryption azy
- Rehefa voarakotra amin'ny fanalahidin'ny daholobe an'ny mpanoratra ilay rakitra, dia manonona azy indray ilay malware, izao ho "Original FileName.SaveTheQueen"
- Ny rakitra misy fangatahana vidim-panavotana dia voasoratra ao amin'ny lahatahiry iray ihany
Mifototra amin'ny fampiasana ny asa "CreateDecryptor" teratany, ny iray amin'ireo fiasan'ny malware dia toa misy masontsivana ny fomba fandravana izay mitaky fanalahidy manokana.
Ransomware virus TSY manao encryption ny rakitra, voatahiry ao anaty lahatahiry:
C: windows
C: Programme fisie
C: Program Files (x86)
C:Users\AppData
C:inetpub
Izy koa TSY miafina ireto karazana rakitra manaraka ireto:EXE, DLL, MSI, ISO, SYS, CAB.
Famintinana sy fehin-kevitra
Na dia tsy nahitana endri-javatra tsy mahazatra aza ny ransomware, dia nampiasa Active Directory ny mpanafika mba hizarana ilay dropper, ary ny malware mihitsy no nanolotra sakana mahaliana antsika, raha tsy sarotra amin'ny farany, mandritra ny famakafakana.
Mihevitra izahay fa ny mpanoratra ny malware dia:
- Nanoratra viriosy ransomware misy tsindrona naorina ao amin'ny dingana winlogon.exe, ary koa
fanafenana rakitra sy fiasa decryption - Nanova ny kaody ratsy mampiasa ConfuserEx, nanova ny valiny tamin'ny alalan'ny Donut ary nanafina ny base64 Gzip dropper.
- Nahazo tombontsoa ambony tao amin'ny faritry ny niharam-boina ary nampiasa azy ireny mba handika
malware encrypted sy asa voalahatra ao amin'ny lahatahirin'ny tambajotra SYSVOL an'ny mpitantana sehatra - Manaova script PowerShell amin'ny fitaovana sehatra hanaparitahana malware sy handrakitra ny fivoaran'ny fanafihana amin'ny logs ao amin'ny SYSVOL
Raha manana fanontaniana momba an'io karazana viriosy ransomware io ianao, na fanadihadiana momba ny trangan-javatra hafa momba ny forensika sy cybersecurity nataon'ny ekipanay, na fangatahana , izay mamaly fanontaniana foana amin'ny fivoriana Q&A.
Source: www.habr.com