Razza ġdida ta 'ransomware tikkodifika fajls u żżid estensjoni ".SaveTheQueen" magħhom, li tinfirex permezz tal-folder tan-netwerk SYSVOL fuq il-kontrolluri tad-dominju ta' Active Directory.
Il-klijenti tagħna ltaqgħu ma' dan il-malware reċentement. Nippreżentaw l-analiżi sħiħa tagħna, ir-riżultati u l-konklużjonijiet tagħha hawn taħt.
Skoperta
Wieħed mill-klijenti tagħna kkuntattjana wara li ltaqgħu ma 'razza ġdida ta' ransomware li kien qed iżid l-estensjoni ".SaveTheQueen" għal fajls kriptati ġodda fl-ambjent tagħhom.
Matul l-investigazzjoni tagħna, jew aħjar fl-istadju tat-tfittxija għal sorsi ta’ infezzjoni, sibna li d-distribuzzjoni u t-traċċar ta’ vittmi infettati saru bl-użu folder tan-netwerk SYSVOL fuq il-kontrollur tad-dominju tal-klijent.
SYSVOL huwa folder ewlieni għal kull kontrollur tad-dominju li jintuża biex iwassal Oġġetti tal-Politika tal-Grupp (GPOs) u skripts ta' logon u logoff lill-kompjuters fid-dominju. Il-kontenut ta' dan il-folder huwa replikat bejn il-kontrolluri tad-dominju biex tiġi sinkronizzata din id-dejta madwar is-siti tal-organizzazzjoni. Il-kitba lil SYSVOL teħtieġ privileġġi ta' dominju għoljin, madankollu, ladarba jiġi kompromess, dan l-assi jsir għodda b'saħħitha għall-attakkanti li jistgħu jużawh biex ixerrdu payloads malizzjużi tul dominju malajr u b'mod effiċjenti.
Il-katina tal-awditjar Varonis għenet biex tidentifika malajr dan li ġej:
- Il-kont tal-utent infettat ħoloq fajl imsejjaħ "kull siegħa" f'SYSVOL
- Ħafna log files inħolqu f'SYSVOL - kull wieħed imsemmi bl-isem ta' apparat tad-dominju
- Ħafna indirizzi IP differenti kienu qed jaċċessaw il-fajl "kull siegħa".
Aħna kkonkludejna li l-log files intużaw biex jintraċċaw il-proċess ta 'infezzjoni fuq apparati ġodda, u li "kull siegħa" kien xogħol skedat li wettaq tagħbija malizzjuża fuq apparati ġodda bl-użu ta' script Powershell - kampjuni "v3" u "v4".
L-attakkant x'aktarx kiseb u uża privileġġi ta' amministratur tad-dominju biex jikteb fajls f'SYSVOL. Fuq hosts infettati, l-attakkant mexxa kodiċi PowerShell li ħoloq xogħol ta’ skeda biex jiftaħ, jiddeċifra, u jħaddem il-malware.
Decrypting tal-malware
Ippruvajna diversi modi biex niddeċifraw il-kampjuni għalxejn:
Konna kważi lesti li naqtgħu qalbna meta ddeċidejna li nippruvaw il-metodu "Magic" tal-magnífico
utilitajiet mill-GCHQ. Magic jipprova raden l-encryption ta 'fajl billi sforza passwords brute għal tipi differenti ta' encryption u jkejjel l-entropija.
Nota tat-traduttur Ara и . Dan l-artikolu u l-kummenti ma jinvolvux diskussjoni min-naħa tal-awturi tad-dettalji tal-metodi użati jew f'softwer ta' partijiet terzi jew proprjetarju
Magic iddeterminat li pakkjatur GZip kodifikat base64 intuża, għalhekk stajna niddekompressaw il-fajl u niskopru l-kodiċi tal-injezzjoni.
Dropper: “Hemm epidemija fiż-żona! Tilqim ġenerali. Mard ta’ l-ilsien u d-dwiefer”
Il-dropper kien fajl .NET regolari mingħajr ebda protezzjoni. Wara li taqra l-kodiċi tas-sors ma indunajna li l-uniku għan tagħha kien li tinjetta shellcode fil-proċess winlogon.exe.
Shellcode jew kumplikazzjonijiet sempliċi
Aħna użajna l-għodda tal-awtur Hexacorn - sabiex "jikkompila" l-shellcode f'fajl eżekutibbli għad-debugging u l-analiżi. Imbagħad skoprejna li ħadmet kemm fuq magni 32 kif ukoll 64 bit.
Il-kitba ta 'shellcode anki sempliċi fi traduzzjoni nattiva tal-lingwa assembly tista' tkun diffiċli, iżda l-kitba ta 'shellcode kompluta li taħdem fuq iż-żewġ tipi ta' sistemi teħtieġ ħiliet tal-elite, għalhekk bdejna nistagħġbu bis-sofistikazzjoni tal-attakkant.
Meta aħna parsed l-shellcode miġbura bl-użu , aħna ndunajna li kien qed jgħabbi Libreriji dinamiċi .NET , bħal clr.dll u mscoreei.dll. Dan deher stramb għalina - normalment l-attakkanti jippruvaw jagħmlu l-shellcode żgħir kemm jista 'jkun billi jsejħu funzjonijiet nativi tal-OS minflok jgħabbuhom. Għaliex xi ħadd ikollu bżonn idaħħal il-funzjonalità tal-Windows fil-shellcode minflok isejjaħlu direttament fuq talba?
Kif irriżulta, l-awtur tal-malware ma kiteb dan shellcode kumpless għal kollox - softwer speċifiku għal dan il-kompitu intuża biex jittraduċi fajls eżekutibbli u skripts fi shellcode.
Sibna għodda , li ħsibna li jista 'jiġbor shellcode simili. Hawnhekk hawn id-deskrizzjoni tiegħu minn GitHub:
Donut jiġġenera shellcode x86 jew x64 minn VBScript, JScript, EXE, DLL (inklużi assemblaġġi .NET). Dan l-shellcode jista 'jiġi injettat fi kwalunkwe proċess tal-Windows biex jiġi esegwit fih
RAM
Biex nikkonfermaw it-teorija tagħna, ikkumpilajna l-kodiċi tagħna stess bl-użu ta’ Donut u qabbilha mal-kampjun - u... iva, skoprejna komponent ieħor tal-għodda użata. Wara dan, konna diġà kapaċi estratt u janalizzaw il-fajl eżekutibbli .NET oriġinali.
Protezzjoni tal-kodiċi
Dan il-fajl ġie offuskat bl-użu :
ConfuserEx huwa sors miftuħ .NET proġett għall-protezzjoni tal-kodiċi ta 'żviluppi oħra. Din il-klassi ta 'softwer tippermetti lill-iżviluppaturi biex jipproteġu l-kodiċi tagħhom mill-inġinerija inversa bl-użu ta' metodi bħas-sostituzzjoni ta 'karattri, masking tal-fluss tal-kmand tal-kontroll, u ħabi ta' metodu ta 'referenza. Awturi tal-malware jużaw obfuscators biex jevadu l-iskoperta u biex jagħmlu l-inġinerija inversa aktar diffiċli.
Permezz ħsibna l-kodiċi:
Riżultat - tagħbija
It-tagħbija li tirriżulta hija virus ransomware sempliċi ħafna. L-ebda mekkaniżmu li jiżgura l-preżenza fis-sistema, l-ebda konnessjonijiet maċ-ċentru tal-kmand - biss kriptaġġ asimmetriku antik tajjeb biex id-dejta tal-vittma ma tkunx tista' tinqara.
Il-funzjoni ewlenija tagħżel il-linji li ġejjin bħala parametri:
- Estensjoni tal-fajl biex tuża wara l-kriptaġġ (SaveTheQueen)
- L-email tal-awtur biex titqiegħed fil-fajl tan-nota tal-fidwa
- Ċavetta pubblika użata biex tikkodifika fajls
Il-proċess innifsu jidher bħal dan:
- Il-malware jeżamina drives lokali u konnessi fuq it-tagħmir tal-vittma
- Tfittxijiet għal fajls għall-kriptaġġ
- Jipprova jtemm proċess li qed juża fajl li jkun se jikkriptaġġ
- Isemmi mill-ġdid il-fajl għal "OriginalFileName.SaveTheQueenING" billi tuża l-funzjoni MoveFile u tikkodifikah
- Wara li l-fajl jiġi kkodifikat biċ-ċavetta pubblika tal-awtur, il-malware jerġa' jsemmih mill-ġdid, issa għal "Original FileName.SaveTheQueen"
- Fajl b'talba għall-fidwa jinkiteb fl-istess folder
Ibbażat fuq l-użu tal-funzjoni nattiva "CreateDecryptor", waħda mill-funzjonijiet tal-malware tidher li fiha bħala parametru mekkaniżmu ta 'deċifrar li jeħtieġ ċavetta privata.
virus ransomware MA jikkriptaġġ fajls, maħżuna fid-direttorji:
C:twieqi
C: Fajls tal-Programm
C: Fajls tal-Programm (x86)
C:Utenti\AppData
C:inetpub
Hu wkoll MA JIKKOTAX it-tipi ta' fajls li ġejjin:EXE, DLL, MSI, ISO, SYS, CAB.
Riżultati u konklużjonijiet
Għalkemm ir-ransomware innifsu ma kienx fih karatteristiċi mhux tas-soltu, l-attakkant uża b'mod kreattiv l-Active Directory biex iqassam il-dropper, u l-malware innifsu ppreżentalna ostakli interessanti, jekk fl-aħħar mill-aħħar mhux ikkumplikati, waqt l-analiżi.
Aħna naħsbu li l-awtur tal-malware huwa:
- Kitbet virus ransomware b'injezzjoni integrata fil-proċess winlogon.exe, kif ukoll
il-funzjonalità ta' encryption u decryption tal-fajls - Moħbi l-kodiċi malizzjuż bl-użu ta’ ConfuserEx, ikkonverti r-riżultat bl-użu ta’ Donut u barra minn hekk ħeba l-dropper Gzip base64
- Ksibt privileġġi elevati fid-dominju tal-vittma u użahom biex tikkopja
malware encrypted u impjiegi skedati fil-folder tan-netwerk SYSVOL tal-kontrolluri tad-dominju - Mexxi script PowerShell fuq apparati tad-dominju biex ixerred malware u jirreġistra l-progress tal-attakk fiz-zkuk f'SYSVOL
Jekk għandek mistoqsijiet dwar dan il-varjant tal-virus ransomware, jew xi investigazzjonijiet oħra ta' inċidenti forensiċi u ċibersigurtà mwettqa mit-timijiet tagħna, jew talba , fejn dejjem inwieġbu l-mistoqsijiet f'sessjoni ta' Q&A.
Sors: www.habr.com