He momo hou o te ransomware e whakamuna ana i nga konae me te taapiri i te toronga ".SaveTheQueen" ki a raatau, ka horahia ma te kōpaki whatunga SYSVOL i runga i nga kaiwhakahaere rohe Active Directory.
I tutaki a taatau kaihoko ki tenei malware ina tata nei. Ka whakaatuhia e matou to maatau tātaritanga katoa, ona hua me nga whakatau i raro nei.
Rapu
I whakapā mai tetahi o a matou kaihoko ki a matou i muri i to ratou tupono ki tetahi momo ransomware hou e taapiri ana i te toronga ".SaveTheQueen" ki nga konae whakamunatia hou i to taiao.
I a maatau rangahau, i te waahi ranei o te rapu i nga puna o te mate, i kitea e matou ko te tohatoha me te aroturuki i nga patunga kua pangia i whakahaerehia ma te whakamahi kōpaki whatunga SYSVOL i runga i te kaiwhakahaere rohe o te kaihoko.
Ko te SYSVOL he kōpaki matua mo ia kaiwhakahaere rohe e whakamahia ana ki te kawe i nga Kaupapa Kaupapa Roopu (GPO) me nga tuhinga whakauru me te waitohu ki nga rorohiko o te rohe. Ko nga ihirangi o tenei kōpaki ka tukuna i waenga i nga kaiwhakahaere rohe hei tukutahi i enei raraunga puta noa i nga waahi o te whakahaere. Ko te tuhi ki a SYSVOL me whai mana nui ki te rohe, heoi, ka taupatupatuhia, ka noho tenei rawa hei taputapu kaha mo te hunga whakaeke ka taea te whakamahi kia tere me te tika te hora i nga utu utu kino puta noa i tetahi rohe.
Ko te mekameka arotake a Varonis i awhina tere ki te tautuhi i nga mea e whai ake nei:
- I hangaia e te kaute kaiwhakamahi kua pangia he konae e kiia nei "ia haora" i SYSVOL
- He maha nga konae rangitaki i hangaia ki SYSVOL - i whakaingoatia me te ingoa o tetahi taputapu rohe
- He maha nga wahitau IP rereke e uru ana ki te konae "haora".
I whakatauhia e matou ko nga konae raarangi i whakamahia ki te whai i te tukanga mate i runga i nga taputapu hou, a ko te "haora" he mahi kua whakaritea e mahi ana i nga utu kino ki runga i nga taputapu hou ma te whakamahi i te tuhinga Powershell - tauira "v3" me "v4".
Ko te tangata whakaeke i whiwhi me te whakamahi i nga mana whakahaere rohe ki te tuhi i nga konae ki SYSVOL. I runga i nga kaihautu kua pangia, ka whakahaerehia e te kaitukino te waehere PowerShell i hanga he mahinga mahi ki te whakatuwhera, ki te wetewete, ki te whakahaere i te kino.
Wetemuna i te malware
He maha nga huarahi i whakamatauria e matou ki te wetewete i nga tauira kaore i whai hua:
I tata matou ki te tuku i te wa i whakatau ai matou ki te whakamatau i te tikanga "Maama" o te ataahua
taputapu
Panui a te kaiwhakamaori Tirohia
I whakatauhia e Magic i whakamahia he packer GZip kua whakawaeherehia e te base64, no reira i taea e matou te whakakore i te konae me te kite i te waehere werohanga.
Whakataka: “He mate uruta kei tera takiwa! Nga werohanga whanui. Te mate waewae me te waha"
He kōnae .NET noa te maturuturunga iho kaore he parenga. I muri i te panui i te waehere puna me te
Shellcode, he poauautanga ngawari ranei
I whakamahia e matou te taputapu tuhi Hexacorn −
He uaua ki te tuhi i te shellcode ngawari i roto i te whakamaoritanga reo o te huihuinga taketake, engari ko te tuhi i te shellcode katoa e mahi ana i runga i nga momo punaha e rua, me whai pukenga rangatira, no reira i timata matou ki te miharo ki te mohiotanga o te tangata whakaeke.
I te wa i tohatohahia e matou te shellcode kua whakahiato ma te whakamahi
Ko te mea i puta, kaore te kaituhi o te malware i tuhi i tenei shellcode matatini - i whakamahia te rorohiko mo tenei mahi hei whakamaori i nga konae me nga tuhinga tuhi ki te shellcode.
I kitea e matou he taputapu
Ka hangaia e Donut te x86, x64 ranei te anga anga mai i VBScript, JScript, EXE, DLL (tae atu ki nga huihuinga .NET). Ka taea te werohia tenei shellcode ki tetahi tukanga Windows hei whakahaere
RAM.
Hei whakapumau i to maatau ariā, i whakahiatohia e matou ta matou ake waehere ma te whakamahi i te Donut me te whakataurite ki te tauira - a ... ae, i kitea e matou tetahi atu waahanga o te kete taputapu i whakamahia. I muri i tenei, kua taea e matou te tango me te wetewete i te konae whakahaere .NET taketake.
Tiaki waehere
Kua whakapouritia tenei kōnae ma te whakamahi
Ko ConfuserEx he kaupapa .NET puna tuwhera mo te tiaki i te waehere o etahi atu whanaketanga. Ma tenei akomanga rorohiko ka taea e nga kaiwhakawhanake te tiaki i o raatau waehere mai i te miihini whakamuri ma te whakamahi i nga tikanga penei i te whakakapinga o te ahua, te hunanga rerenga whakahau, me te hunanga tikanga tohutoro. Ka whakamahia e nga kaituhi Malware nga whakamohiotanga ki te karo i te kitenga me te whakararu ake i te miihini whakamuri.
Mauruuru
Hua - utu utu
Ko te utu ka puta he huaketo ransomware tino ngawari. Karekau he tikanga hei whakarite i te noho ki roto i te punaha, karekau he hononga ki te pokapu whakahau - he pai noa te whakamunatanga hangarite tawhito kia kore ai e taea te panui nga raraunga a te tangata kua paopao.
Ko te mahi matua ka kowhiri i nga rarangi e whai ake nei hei tawhā:
- Ko te toronga kōnae hei whakamahi i muri i te whakamunatanga (SaveTheQueen)
- Ko te imeera a te Kaituhi hei tuu ki te konae utu utu
- Kī tūmatanui whakamahia hei whakamuna i ngā kōnae
Ko te ahua o te tukanga ake ko tenei:
- Ka tirotirohia e te malware nga puku o te rohe me te hono i runga i te taputapu o te patunga
- E rapu ana i nga konae hei whakamuna
- Ka ngana ki te whakamutu i tetahi tukanga e whakamahi ana i te konae ka tata ki te whakamuna
- Ka whakaingoa ano i te konae ki "OriginalFileName.SaveTheQueenING" ma te whakamahi i te mahi MoveFile me te whakamuna
- Whai muri i te whakamunatanga o te konae ki te taviri whanui a te kaituhi, ka whakaingoatia ano e te malware, inaianei ki "Original FileName.SaveTheQueen"
- Ko te konae he tono utu ka tuhia ki te kōpaki kotahi
I runga i te whakamahinga o te mahi "CreateDecryptor" taketake, ko tetahi o nga mahi a te malware te ahua kei roto hei tawhā he tikanga wetewete e hiahia ana ki te kii motuhake.
Ransomware huaketo KAUA e whakamuna i nga konae, kua rongoa i roto i nga whaiaronga:
C:matapihi
C: Kōnae Papatono
C:Kōnae Papatono (x86)
C: Kaiwhakamahi\AppData
C:inetpub
Ko ia hoki KAUA e whakamuna i nga momo konae e whai ake nei:EXE, DLL, MSI, ISO, SYS, CAB.
Nga hua me nga whakatau
Ahakoa karekau he ahuatanga rereke o te ransomware ake, i whakamahia auahatia e te kaitukino te Active Directory ki te tohatoha i te maturuturunga iho, a na te malware ano i whakaatu mai ki a matou nga mea whakamere, ki te kore e uaua, nga arai i te waa tātaritanga.
Ki ta matou whakaaro ko te kaituhi o te malware ko:
- I tuhia he huaketo ransomware me te werohanga whakauru ki roto i te tukanga winlogon.exe, me
whakamunatanga kōnae me te mahi wetemuna - I hunahia te waehere kino ma te whakamahi i te ConfuserEx, i hurihia te hua ma te whakamahi i te Donut me te huna ano i te turanga64 Gzip dropper
- I whiwhi mana teitei i roto i te rohe o te patunga ka whakamahia ki te kape
kino whakamuna me nga mahi kua whakaritea ki te kōpaki whatunga SYSVOL o nga kaiwhakahaere rohe - Whakahaerehia he tuhinga PowerShell i runga i nga taputapu rohe hei hora i te kino me te tuhi i te ahunga whakamua whakaeke i roto i nga raarangi i SYSVOL
Mena kei a koe nga patai mo tenei momo rereke o te huaketo ransomware, etahi atu tirotirohanga mo te maiki me te haumaru ipurangi i mahia e a matou roopu,
Source: will.com