🥇 खंडणी घेणे हे राणीसारखे आहे: वरोनिस वेगाने पसरणाऱ्या ransomware ransomware “SaveTheQueen” ची चौकशी करते

रॅन्समवेअरचा एक नवीन स्ट्रेन फाईल्स कूटबद्ध करतो आणि त्यांना ".SaveTheQueen" एक्स्टेंशन जोडतो, सक्रिय निर्देशिका डोमेन कंट्रोलर्सवरील SYSVOL नेटवर्क फोल्डरद्वारे पसरतो.

आमच्या ग्राहकांना अलीकडेच या मालवेअरचा सामना करावा लागला. आम्ही आमचे संपूर्ण विश्लेषण, त्याचे परिणाम आणि निष्कर्ष खाली सादर करतो.

शोध

आमच्या ग्राहकांपैकी एकाने आमच्याशी संपर्क साधला जेव्हा त्यांना रॅन्समवेअरचा एक नवीन प्रकार आढळला जो त्यांच्या वातावरणातील नवीन एनक्रिप्टेड फाइल्समध्ये ".SaveTheQueen" विस्तार जोडत होता.

आमच्या तपासणीदरम्यान, किंवा त्याऐवजी संसर्गाचे स्त्रोत शोधण्याच्या टप्प्यावर, आम्हाला आढळले की संक्रमित पीडितांचे वितरण आणि ट्रॅकिंग वापरून केले गेले. नेटवर्क फोल्डर SYSVOL ग्राहकाच्या डोमेन कंट्रोलरवर.

SYSVOL हे प्रत्येक डोमेन कंट्रोलरसाठी की फोल्डर आहे जे डोमेनमधील संगणकांना ग्रुप पॉलिसी ऑब्जेक्ट्स (GPOs) आणि लॉगऑन आणि लॉगऑफ स्क्रिप्ट वितरित करण्यासाठी वापरले जाते. संस्थेच्या साइटवर हा डेटा समक्रमित करण्यासाठी या फोल्डरची सामग्री डोमेन नियंत्रकांदरम्यान प्रतिरूपित केली जाते. SYSVOL ला लिहिण्यासाठी उच्च डोमेन विशेषाधिकारांची आवश्यकता असते, तथापि, एकदा तडजोड केल्यावर, ही मालमत्ता आक्रमणकर्त्यांसाठी एक शक्तिशाली साधन बनते जे डोमेनवर दुर्भावनापूर्ण पेलोड जलद आणि कार्यक्षमतेने पसरवण्यासाठी वापरू शकतात.

वरोनिस ऑडिट साखळीने खालील गोष्टी लवकर ओळखण्यात मदत केली:

संक्रमित वापरकर्ता खात्याने SYSVOL मध्ये "तासाने" नावाची फाइल तयार केली
SYSVOL मध्ये अनेक लॉग फायली तयार केल्या गेल्या - प्रत्येकाला डोमेन उपकरणाच्या नावाने नाव दिले
बरेच वेगवेगळे IP पत्ते "तासाने" फाइलमध्ये प्रवेश करत होते

आम्ही असा निष्कर्ष काढला की नवीन उपकरणांवरील संक्रमण प्रक्रियेचा मागोवा घेण्यासाठी लॉग फाइल्स वापरल्या गेल्या आणि "तासाने" हे शेड्यूल केलेले काम होते जे पॉवरशेल स्क्रिप्ट - नमुने "v3" आणि "v4" वापरून नवीन उपकरणांवर दुर्भावनापूर्ण पेलोड कार्यान्वित करते.

आक्रमणकर्त्याने कदाचित SYSVOL वर फाइल्स लिहिण्यासाठी डोमेन प्रशासक विशेषाधिकार प्राप्त केले आणि वापरले. संक्रमित होस्टवर, आक्रमणकर्त्याने पॉवरशेल कोड चालवला ज्याने मालवेअर उघडण्यासाठी, डिक्रिप्ट करण्यासाठी आणि चालविण्यासाठी शेड्यूल जॉब तयार केला.

मालवेअर डिक्रिप्ट करत आहे

आम्ही नमुने उलगडण्यासाठी अनेक मार्गांनी प्रयत्न केले, कोणताही फायदा झाला नाही:

जेव्हा आम्ही भव्य "जादू" पद्धत वापरण्याचा निर्णय घेतला तेव्हा आम्ही सोडून देण्यास जवळजवळ तयार होतो
उपयुक्तता सायबरशेफ GCHQ द्वारे. मॅजिक वेगवेगळ्या एन्क्रिप्शन प्रकारांसाठी ब्रूट-फोर्सिंग पासवर्ड आणि एन्ट्रॉपी मोजून फाइलच्या एन्क्रिप्शनचा अंदाज लावण्याचा प्रयत्न करते.

अनुवादकाची टीप पहाविभेदक एन्ट्रॉपी и माहिती सिद्धांत मध्ये एंट्रोपी. या लेखात आणि टिप्पण्यांमध्ये तृतीय-पक्ष किंवा मालकीच्या सॉफ्टवेअरमध्ये वापरल्या जाणार्‍या पद्धतींच्या तपशीलांवर लेखकांच्या चर्चेचा समावेश नाही.

मॅजिकने निर्धारित केले की बेस64 एन्कोड केलेला GZip पॅकर वापरला होता, म्हणून आम्ही फाइल डीकंप्रेस करू शकलो आणि इंजेक्शन कोड शोधू शकलो.

ड्रॉपर: “परिसरात एक महामारी आहे! सामान्य लसीकरण. पायाचे आणि तोंडाचे आजार"

ड्रॉपर कोणत्याही संरक्षणाशिवाय नियमित .NET फाइल होती. सह स्त्रोत कोड वाचल्यानंतर DNSpy आम्हाला कळले की winlogon.exe प्रक्रियेमध्ये शेलकोड इंजेक्ट करणे हा त्याचा एकमेव उद्देश होता.

शेलकोड किंवा साधी गुंतागुंत

आम्ही हेक्साकॉर्न ऑथरिंग टूल वापरले - shellcode2exe डीबगिंग आणि विश्लेषणासाठी एक्झिक्युटेबल फाइलमध्ये शेलकोड "कंपाइल" करण्यासाठी. त्यानंतर आम्हाला आढळले की ते 32 आणि 64 बिट मशीनवर काम करते.

स्थानिक असेंब्ली भाषेतील भाषांतरात अगदी साधा शेलकोड लिहिणेही अवघड असू शकते, परंतु दोन्ही प्रकारच्या सिस्टीमवर काम करणारा पूर्ण शेलकोड लिहिण्यासाठी अभिजात कौशल्ये आवश्यक आहेत, म्हणून आम्ही आक्रमणकर्त्याच्या अत्याधुनिकतेने आश्चर्यचकित होऊ लागलो.

जेव्हा आम्ही संकलित शेलकोड वापरून पार्स केले x64dbg, तो लोड होत असल्याचे आमच्या लक्षात आले .NET डायनॅमिक लायब्ररी , जसे की clr.dll आणि mscorei.dll. हे आम्हाला विचित्र वाटले - सहसा हल्लेखोर शेलकोड लोड करण्याऐवजी मूळ OS फंक्शन्सवर कॉल करून शक्य तितक्या लहान करण्याचा प्रयत्न करतात. कोणालाही मागणीनुसार थेट कॉल करण्याऐवजी शेलकोडमध्ये विंडोज कार्यक्षमता एम्बेड करण्याची आवश्यकता का आहे?

जसे असे झाले की, मालवेअरच्या लेखकाने हा जटिल शेलकोड अजिबात लिहिला नाही - या कार्यासाठी विशिष्ट सॉफ्टवेअरचा वापर शेलकोडमध्ये एक्झिक्यूटेबल फाइल्स आणि स्क्रिप्ट्सचे भाषांतर करण्यासाठी केला गेला.

आम्हाला एक साधन सापडले डोनट, जे आम्हाला वाटले की समान शेलकोड संकलित करू शकतो. GitHub वरून त्याचे वर्णन येथे आहे:

डोनट VBScript, JScript, EXE, DLL (.NET असेंब्लीसह) वरून x86 किंवा x64 शेलकोड व्युत्पन्न करते. हा शेलकोड अंमलात आणल्या जाणार्‍या कोणत्याही विंडोज प्रक्रियेत इंजेक्ट केला जाऊ शकतो
रँडम memoryक्सेस मेमरी.

आमच्या सिद्धांताची पुष्टी करण्यासाठी, आम्ही डोनट वापरून आमचा स्वतःचा कोड संकलित केला आणि त्याची नमुन्याशी तुलना केली - आणि... होय, आम्हाला वापरलेल्या टूलकिटचा दुसरा घटक सापडला. यानंतर, आम्ही मूळ .NET एक्झिक्युटेबल फाइल काढू आणि विश्लेषण करू शकलो.

कोड संरक्षण

ही फाइल वापरून अस्पष्ट केली गेली आहे ConfuserEx:

ConfuserEx हा इतर घडामोडींच्या कोडचे संरक्षण करण्यासाठी एक मुक्त स्रोत .NET प्रकल्प आहे. सॉफ्टवेअरचा हा वर्ग विकसकांना त्यांच्या कोडला कॅरेक्टर प्रतिस्थापन, कंट्रोल कमांड फ्लो मास्किंग आणि रेफरन्स मेथड लपविण्याच्या पद्धती वापरून रिव्हर्स इंजिनीअरिंगपासून संरक्षित करण्यास अनुमती देतो. मालवेअर लेखक शोध टाळण्यासाठी आणि उलट अभियांत्रिकी अधिक कठीण बनवण्यासाठी अस्पष्टकांचा वापर करतात.

धन्यवाद इलेक्ट्रोकिल अनपॅकर आम्ही कोड अनपॅक केला:

परिणाम - पेलोड

परिणामी पेलोड हा एक अतिशय साधा रॅन्समवेअर व्हायरस आहे. सिस्टममध्ये उपस्थिती सुनिश्चित करण्यासाठी कोणतीही यंत्रणा नाही, कमांड सेंटरशी कोणतेही कनेक्शन नाही - पीडिताचा डेटा वाचण्यायोग्य बनवण्यासाठी फक्त चांगले जुने असममित एन्क्रिप्शन.

मुख्य फंक्शन खालील ओळी पॅरामीटर्स म्हणून निवडते:

एन्क्रिप्शन नंतर वापरण्यासाठी फाइल विस्तार (SaveTheQueen)
खंडणी नोट फाइलमध्ये ठेवण्यासाठी लेखकाचा ईमेल
फायली एनक्रिप्ट करण्यासाठी सार्वजनिक की वापरली जाते

प्रक्रिया स्वतः असे दिसते:

मालवेअर पीडिताच्या डिव्हाइसवरील स्थानिक आणि कनेक्ट केलेल्या ड्राइव्हचे परीक्षण करतो
एनक्रिप्ट करण्यासाठी फाइल्स शोधते
ती एन्क्रिप्ट करणार असलेली फाइल वापरत असलेली प्रक्रिया समाप्त करण्याचा प्रयत्न करते
MoveFile फंक्शन वापरून फाइलचे नाव "OriginalFileName.SaveTheQueenING" असे बदलते आणि ते कूटबद्ध करते
फाइल लेखकाच्या सार्वजनिक की सह कूटबद्ध केल्यानंतर, मालवेअर तिचे नाव बदलते, आता "मूळ फाइलनाव.SaveTheQueen" असे.
खंडणीची मागणी असलेली फाइल त्याच फोल्डरमध्ये लिहिली जाते

नेटिव्ह "CreateDecryptor" फंक्शनच्या वापरावर आधारित, मालवेअरच्या फंक्शनपैकी एक पॅरामीटर म्हणून डिक्रिप्शन मेकॅनिझम आहे ज्यासाठी खाजगी की आवश्यक आहे असे दिसते.

रॅन्समवेअर व्हायरस फाइल्स एनक्रिप्ट करत नाही, निर्देशिकांमध्ये संग्रहित:

C: खिडक्या
सी: प्रोग्राम फायली
C: प्रोग्राम फाइल्स (x86)
C: वापरकर्ते\AppData
C:inetpub

तो पण खालील फाइल प्रकार एनक्रिप्ट करत नाही:EXE, DLL, MSI, ISO, SYS, CAB.

परिणाम आणि निष्कर्ष

रॅन्समवेअरमध्ये स्वतःच कोणतीही असामान्य वैशिष्ट्ये नसली तरीही, आक्रमणकर्त्याने ड्रॉपर वितरित करण्यासाठी कल्पकतेने सक्रिय निर्देशिकेचा वापर केला आणि मालवेअरनेच आम्हाला स्वारस्यपूर्ण, शेवटी गुंतागुंतीचे नसल्यास, विश्लेषणादरम्यान अडथळे सादर केले.

आम्हाला वाटते की मालवेअरचा लेखक आहे:

winlogon.exe प्रक्रियेमध्ये अंगभूत इंजेक्शनसह रॅन्समवेअर व्हायरस लिहिला, तसेच
फाइल एन्क्रिप्शन आणि डिक्रिप्शन कार्यक्षमता
ConfuserEx वापरून दुर्भावनापूर्ण कोड शोधून काढला, डोनट वापरून परिणाम रूपांतरित केला आणि याव्यतिरिक्त base64 Gzip ड्रॉपर लपवला
पीडिताच्या डोमेनमध्ये उन्नत विशेषाधिकार प्राप्त केले आणि त्यांचा कॉपी करण्यासाठी वापर केला
डोमेन कंट्रोलर्सच्या SYSVOL नेटवर्क फोल्डरमध्ये एन्क्रिप्टेड मालवेअर आणि शेड्यूल केलेल्या नोकऱ्या
SYSVOL मधील लॉगमध्ये मालवेअर पसरवण्यासाठी आणि आक्रमण प्रगती रेकॉर्ड करण्यासाठी डोमेन डिव्हाइसेसवर PowerShell स्क्रिप्ट चालवा

रॅन्समवेअर व्हायरसच्या या प्रकाराबद्दल किंवा आमच्या टीमद्वारे केलेल्या इतर कोणत्याही फॉरेन्सिक आणि सायबरसुरक्षा घटना तपासण्याबद्दल तुम्हाला प्रश्न असल्यास, आमच्याशी संपर्क साधा किंवा विनंती हल्ल्यांना प्रतिसादाचे थेट प्रात्यक्षिक, जिथे आम्ही नेहमी प्रश्नोत्तर सत्रात प्रश्नांची उत्तरे देतो.

स्त्रोत: www.habr.com

रॅन्सम ही राणीसारखी आहे: वरोनिस वेगाने पसरणाऱ्या “SaveTheQueen” ransomware चा तपास करते

शोध