ရွေးနုတ်ဖိုးသည် ဘုရင်မနှင့်တူသည်- Varonis သည် လျင်မြန်စွာပျံ့နှံ့နေသော “SaveTheQueen” ransomware ကို စုံစမ်းစစ်ဆေးသည်

ransomware အမျိုးအစားအသစ်သည် ဖိုင်များကို ကုဒ်ဝှက်ပြီး ၎င်းတို့ထံ ".SaveTheQueen" အိတ်စတန်းရှင်းကို SYSVOL ကွန်ရက်ဖိုင်တွဲမှတစ်ဆင့် Active Directory domain controllers များပေါ်တွင် ဖြန့်ကြက်ထားသည်။

ကျွန်ုပ်တို့၏ဖောက်သည်များသည် ဤ malware ကို မကြာသေးမီက ကြုံတွေ့ခဲ့ရသည်။ ကျွန်ုပ်တို့၏ ခွဲခြမ်းစိတ်ဖြာချက်အပြည့်အစုံ၊ ၎င်း၏ရလဒ်များနှင့် ကောက်ချက်များအား အောက်တွင် တင်ပြထားပါသည်။

ထုတ်ဖေါ်ခြင်း

ကျွန်ုပ်တို့၏ဖောက်သည်တစ်ဦးသည် ၎င်းတို့၏ပတ်ဝန်းကျင်ရှိ ကုဒ်ဝှက်ထားသောဖိုင်အသစ်များသို့ ".SaveTheQueen" တိုးချဲ့မှုထည့်သွင်းထားသည့် ransomware အမျိုးအစားအသစ်တစ်ခုကို တွေ့ရှိပြီးနောက် ကျွန်ုပ်တို့ထံ ဆက်သွယ်ခဲ့သည်။

ကျွန်ုပ်တို့၏ စုံစမ်းစစ်ဆေးမှုအတွင်း သို့မဟုတ် ကူးစက်ခံရသည့်ရင်းမြစ်များကို ရှာဖွေသည့်အဆင့်တွင်၊ ရောဂါပိုးကူးစက်ခံရသူများကို ဖြန့်ဖြူးခြင်းနှင့် ခြေရာခံခြင်းများကို အသုံးပြု၍ လုပ်ဆောင်ခဲ့ကြောင်း တွေ့ရှိရပါသည်။ ကွန်ရက်ဖိုင်တွဲ SYSVOL ဖောက်သည်၏ဒိုမိန်းထိန်းချုပ်ကိရိယာပေါ်တွင်။

SYSVOL သည် ဒိုမိန်းအတွင်းရှိ ကွန်ပျူတာများထံ Group Policy Objects (GPOs) နှင့် Logon နှင့် Logoff Script များကို ပေးပို့ရန်အတွက် အသုံးပြုသော domain controller တစ်ခုစီအတွက် အဓိက ဖိုင်တွဲတစ်ခုဖြစ်သည်။ အဖွဲ့အစည်း၏ဆိုက်များတစ်လျှောက် ဤဒေတာကို တစ်ပြိုင်တည်းလုပ်ဆောင်ရန် ဤဖိုင်တွဲ၏အကြောင်းအရာများကို ဒိုမိန်းထိန်းချုပ်ကိရိယာများကြားတွင် ထပ်တူပြုထားသည်။ SYSVOL သို့စာရေးခြင်းသည် မြင့်မားသောဒိုမိန်းအခွင့်ထူးများလိုအပ်သော်လည်း၊ အပေးအယူခံရပြီးသည်နှင့်၊ ဤပိုင်ဆိုင်မှုသည် ဒိုမိန်းတစ်လျှောက် အန္တရာယ်ရှိသောပေးဆောင်မှုများအား လျင်မြန်ထိရောက်စွာပျံ့နှံ့စေရန် ၎င်းကိုအသုံးပြုနိုင်သည့် တိုက်ခိုက်သူများအတွက် အစွမ်းထက်သည့်ကိရိယာတစ်ခုဖြစ်လာသည်။

Varonis စာရင်းစစ်ကွင်းဆက်သည် အောက်ပါတို့ကို အမြန်ဖော်ထုတ်ရန် ကူညီပေးခဲ့သည်-

• ကူးစက်ခံထားရသော အသုံးပြုသူအကောင့်သည် SYSVOL တွင် "နာရီတိုင်း" ဟုခေါ်သော ဖိုင်တစ်ခုကို ဖန်တီးခဲ့သည်။
• မှတ်တမ်းဖိုင်အများအပြားကို SYSVOL တွင် ဖန်တီးထားသည် - တစ်ခုစီကို ဒိုမိန်းစက်တစ်ခု၏အမည်ဖြင့် အမည်ပေးထားသည်။
• မတူညီသော IP လိပ်စာများစွာသည် "နာရီတိုင်း" ဖိုင်ကို ဝင်ရောက်ကြည့်ရှုနေကြသည်။

စက်အသစ်များတွင် ကူးစက်မှုဖြစ်စဉ်ကို ခြေရာခံရန် မှတ်တမ်းဖိုင်များကို အသုံးပြုခဲ့ကြောင်း၊ "နာရီစဉ်" သည် Powershell script ကို အသုံးပြု၍ စက်အသစ်များတွင် မလိုလားအပ်သော payload ကို လုပ်ဆောင်သည့် စီစဉ်ထားသည့်အလုပ်ဖြစ်သည် - နမူနာ "v3" နှင့် "v4" တို့ကို လုပ်ဆောင်ခဲ့သည်။

တိုက်ခိုက်သူသည် SYSVOL သို့ ဖိုင်များရေးရန် ဒိုမိန်းစီမံခန့်ခွဲသူအခွင့်ထူးများကို ရယူပြီး အသုံးပြုဖွယ်ရှိသည်။ ကူးစက်ခံထားရသော host များတွင်၊ တိုက်ခိုက်သူသည် malware ကိုဖွင့်ရန်၊ စာဝှက်ရန်နှင့် run ရန် အချိန်ဇယားအလုပ်တစ်ခုဖန်တီးသည့် PowerShell ကုဒ်ကို လုပ်ဆောင်ခဲ့သည်။

malware ကို ကုဒ်ဝှက်ခြင်း

နမူနာများကို ဖေါ်ပြရန် နည်းလမ်းများစွာကို ကျွန်ုပ်တို့ ကြိုးစားခဲ့သော်လည်း မရခဲ့ပါ။

ခမ်းနားထည်ဝါသော “Magic” နည်းလမ်းကို စမ်းသုံးရန် ဆုံးဖြတ်လိုက်သောအခါတွင် ကျွန်ုပ်တို့သည် စွန့်လွှတ်ရန် အသင့်ဖြစ်လုနီးပါး ဖြစ်နေပြီဖြစ်သည်။
utilities ဆိုက်ဘာစားဖိုမှူး GCHQ မှ Magic သည် မတူညီသော ကုဒ်ဝှက်ခြင်းအမျိုးအစားများအတွက် ရိုင်းစိုင်းသော စကားဝှက်များကို အတင်းအကျပ်ခိုင်းစေခြင်းဖြင့် ဖိုင်တစ်ခု၏ ကုဒ်ဝှက်ခြင်းကို ခန့်မှန်းရန် ကြိုးစားသည်။

ဘာသာပြန်သူ၏မှတ်ချက် ကြည့်ရှုပါ။ကွဲပြားသော အင်ထရိုပီ и သတင်းအချက်အလက်သီအိုရီတွင် Entropy. ဤဆောင်းပါးနှင့် မှတ်ချက်များသည် ပြင်ပကုမ္ပဏီ သို့မဟုတ် မူပိုင်ဆော့ဖ်ဝဲလ်တွင် အသုံးပြုသည့် နည်းလမ်းအသေးစိတ်အချက်အလက်များကို ရေးသားသူများဘက်မှ ဆွေးနွေးမှုမပါဝင်ပါ။


base64 encoded GZip packer ကိုအသုံးပြုကြောင်း Magic မှဆုံးဖြတ်ခဲ့သည်၊ ထို့ကြောင့်ကျွန်ုပ်တို့သည်ဖိုင်ကိုချုံ့ချဲ့ပြီးထိုးသွင်းကုဒ်ကိုရှာဖွေတွေ့ရှိနိုင်ခဲ့သည်။

Dropper- “အဲဒီဒေသမှာ ကပ်ရောဂါတစ်ခုရှိတယ်။ အထွေထွေ ကာကွယ်ဆေးများ။ ခြေထောက်နှင့် ပါးစပ်ရောဂါ"

dropper သည် မည်သည့်အကာအကွယ်မှမပါဘဲ ပုံမှန် .NET ဖိုင်ဖြစ်သည်။ source code ကိုဖတ်ပြီးနောက် DNSpy ၎င်း၏တစ်ခုတည်းသောရည်ရွယ်ချက်မှာ winlogon.exe လုပ်ငန်းစဉ်တွင် shellcode ကိုထိုးသွင်းရန်ဖြစ်သည်ကိုကျွန်ုပ်တို့နားလည်ခဲ့သည်။

Shellcode သို့မဟုတ် ရိုးရှင်းရှုပ်ထွေးမှုများ

ကျွန်ုပ်တို့သည် Hexacorn စာရေးဆရာတူးလ်ကို အသုံးပြုခဲ့သည်။ shellcode2exe အမှားရှာပြင်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် shellcode ကို executable file တစ်ခုအဖြစ် “compile” ဆောင်ရွက်ရန်။ ထို့နောက် ၎င်းသည် 32 နှင့် 64 bit စက်များတွင် အလုပ်လုပ်ကြောင်း ကျွန်ုပ်တို့ ရှာဖွေတွေ့ရှိခဲ့သည်။

ရိုးရှင်းသော shellcode ကို မူရင်းစုဝေးဘာသာစကားတွင် ဘာသာပြန်ဆိုရာတွင်ပင် ရေးရန်ခက်ခဲသော်လည်း စနစ်နှစ်မျိုးလုံးတွင်အသုံးပြုနိုင်သော shellcode အပြည့်အစုံကိုရေးခြင်းသည် elite ကျွမ်းကျင်မှုများ လိုအပ်သောကြောင့် တိုက်ခိုက်သူ၏ ဆန်းပြားမှုကို အံ့ဩစပြုလာသည်။

စုစည်းထားသော shellcode ကိုအသုံးပြု၍ ခွဲခြမ်းစိပ်ဖြာသောအခါ x64dbgသူက တင်ပေးနေတာကို သတိထားမိတယ်။ .NET ဒိုင်းနမစ်စာကြည့်တိုက်များ clr.dll နှင့် mscoreei.dll ကဲ့သို့သော၊ ၎င်းသည် ကျွန်ုပ်တို့အတွက် ထူးဆန်းပုံရသည် - များသောအားဖြင့် တိုက်ခိုက်သူများသည် ၎င်းတို့ကို တင်မည့်အစား မူလ OS လုပ်ဆောင်ချက်များကို ခေါ်ခြင်းဖြင့် shellcode ကို တတ်နိုင်သမျှ သေးငယ်အောင် ပြုလုပ်ရန် ကြိုးစားကြသည်။ ဝယ်လိုအားအရ တိုက်ရိုက်မခေါ်ဆိုဘဲ Windows လုပ်ဆောင်ချက်ကို shellcode တွင် ထည့်သွင်းရန် အဘယ်ကြောင့် လိုအပ်သနည်း။

ထွက်ပေါ်လာသည့်အတိုင်း၊ malware ၏ရေးသားသူသည် ဤရှုပ်ထွေးသော shellcode ကိုလုံးဝမရေးပါ - ဤလုပ်ငန်းအတွက် သီးခြားဆော့ဖ်ဝဲကို executable files များနှင့် scripts များကို shellcode အဖြစ်သို့ဘာသာပြန်ဆိုရန်အသုံးပြုခဲ့သည်။

ကိရိယာတစ်ခုတွေ့တယ်။ ဒိုးနတ်အလားတူ shellcode တစ်ခုကို စုစည်းနိုင်မည်ဟု ကျွန်ုပ်တို့ထင်မြင်ပါသည်။ ဤသည်မှာ GitHub မှ ၎င်း၏ဖော်ပြချက်ဖြစ်သည်။

Donut သည် VBScript၊ JScript၊ EXE၊ DLL (.NET စည်းဝေးပွဲများအပါအဝင်) မှ x86 သို့မဟုတ် x64 shellcode ကိုထုတ်ပေးသည်။ ဤ shellcode သည် မည်သည့် Windows လုပ်ငန်းစဉ်တွင်မဆို ထည့်သွင်းနိုင်သည်။
ကျပန်း access ကိုမှတ်ဉာဏ်။

ကျွန်ုပ်တို့၏သီအိုရီကိုအတည်ပြုရန်၊ ကျွန်ုပ်တို့သည် Donut ကိုအသုံးပြု၍ ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ကုဒ်ကိုပြုစုပြီး ၎င်းကိုနမူနာနှင့်နှိုင်းယှဉ်ခဲ့သည် - နှင့်... ဟုတ်ကဲ့၊ အသုံးပြုသည့်ကိရိယာအစုံ၏အခြားအစိတ်အပိုင်းကိုရှာဖွေတွေ့ရှိခဲ့သည်။ အဲဒါပြီးရင်တော့ မူရင်း .NET executable file ကို ထုတ်ယူပြီး ခွဲခြမ်းစိတ်ဖြာနိုင်ပါပြီ။

ကုဒ်အကာအကွယ်

ဤဖိုင်ကို အသုံးပြု၍ ရှုပ်ထွေးနေပါသည်။ ConfuserEx:

ConfuserEx သည် အခြားသော တိုးတက်မှုများ၏ ကုဒ်များကို ကာကွယ်ရန်အတွက် open source .NET ပရောဂျက်တစ်ခုဖြစ်သည်။ ဤဆော့ဖ်ဝဲလ်အတန်းအစားသည် developer များအား ဇာတ်ကောင်အစားထိုးခြင်း၊ ထိန်းချုပ်ကွပ်ကဲမှုလမ်းကြောင်းဖုံးကွယ်ခြင်းနှင့် ကိုးကားမှုနည်းလမ်းဝှက်ခြင်းကဲ့သို့သော နည်းလမ်းများကို အသုံးပြု၍ ၎င်းတို့၏ကုဒ်ကို ပြောင်းပြန်အင်ဂျင်နီယာချုပ်မှ ကာကွယ်နိုင်စေပါသည်။ မဲလ်ဝဲရေးသားသူများသည် ထောက်လှမ်းမှုကို ရှောင်ရှားရန်နှင့် ပြောင်းပြန်အင်ဂျင်နီယာကို ပိုမိုခက်ခဲအောင်ပြုလုပ်ရန် obfuscators ကိုအသုံးပြုသည်။

ကြေးဇူးတငျစကား ElektroKill Unpacker ကုဒ်ကို ထုပ်ပိုးပြီး

ရလဒ် - ဝန်ဆောင်ခ

ရရှိလာသော payload သည် အလွန်ရိုးရှင်းသော ransomware ဗိုင်းရပ်စ်ဖြစ်သည်။ စနစ်တွင် ရှိနေကြောင်း သေချာစေရန် ယန္တရားမရှိ၊ အမိန့်ပေးဌာနသို့ ချိတ်ဆက်မှုများ မရှိပါ - သားကောင်၏ဒေတာကို ဖတ်မရနိုင်စေရန် အချိုးမညီသော ကုဒ်ဝှက်စနစ်ဟောင်းတစ်ခုသာဖြစ်သည်။

ပင်မလုပ်ဆောင်ချက်သည် အောက်ပါမျဉ်းများကို ကန့်သတ်ချက်များအဖြစ် ရွေးချယ်သည်။

• ကုဒ်သွင်းပြီးနောက် အသုံးပြုရန် ဖိုင်တိုးချဲ့မှု (SaveTheQueen)
• စာရေးသူ၏ အီးမေးလ်ကို ရွေးနုတ်ဖိုးမှတ်စု ဖိုင်တွင် ထည့်သွင်းရန်
• ဖိုင်များကို စာဝှက်ရန် အများသုံးကီး

လုပ်ငန်းစဉ်ကိုယ်တိုင်က ဤကဲ့သို့ ဖြစ်သည်-

1. Malware သည် သားကောင်၏စက်ပစ္စည်းပေါ်ရှိ စက်တွင်းနှင့် ချိတ်ဆက်ထားသော ဒရိုက်များကို စစ်ဆေးသည်။

   

2. စာဝှက်ရန် ဖိုင်များကို ရှာဖွေသည်။

   

3. ကုဒ်ဝှက်တော့မည့် ဖိုင်ကို အသုံးပြုနေသည့် လုပ်ငန်းစဉ်ကို ရပ်တန့်ရန် ကြိုးစားသည်။
4. MoveFile လုပ်ဆောင်ချက်ကို အသုံးပြု၍ ဖိုင်ကို "OriginalFileName.SaveTheQueenING" သို့ အမည်ပြောင်းပြီး ၎င်းကို စာဝှက်ပေးသည်
5. ဖိုင်ကို စာရေးသူ၏ အများသူငှာသော့ဖြင့် ကုဒ်ဝှက်ထားပြီးနောက်၊ malware သည် ၎င်းအား "မူရင်း FileName.SaveTheQueen" သို့ ထပ်မံအမည်ပြောင်းပါသည်။
6. ရွေးနုတ်ဖိုးတောင်းဆိုမှုပါရှိသော ဖိုင်ကို တူညီသောဖိုင်တွဲတွင် ရေးသားထားသည်။

   

မူရင်း "CreateDecryptor" လုပ်ဆောင်ချက်ကို အသုံးပြုမှုအပေါ် အခြေခံ၍ Malware ၏ လုပ်ဆောင်ချက်များထဲမှ တစ်ခုသည် သီးသန့်သော့လိုအပ်သည့် ကုဒ်ဝှက်ခြင်း ယန္တရားတစ်ခုအဖြစ် ဘောင်တစ်ခုအဖြစ် ပါဝင်နေပုံပေါ်သည်။

ransomware ဗိုင်းရပ်စ် ဖိုင်များကို စာဝှက်မထားပါ။လမ်းညွှန်များတွင် သိမ်းဆည်းထားသည်-

C: windows
ကို C: Program ကိုဖိုင်များ
ကို C: Program Files (x86)
C:Users\AppData
C:inetpub

သူလည်းပဲ အောက်ပါဖိုင်အမျိုးအစားများကို စာဝှက်မထားပါEXE၊ DLL၊ MSI၊ ISO၊ SYS၊ CAB။

ရလဒ်များနှင့်နိဂုံးချုပ်

ransomware တွင် ထူးခြားသောအင်္ဂါရပ်များမပါဝင်သော်လည်း၊ တိုက်ခိုက်သူသည် dropper ဖြန့်ဝေရန်အတွက် Active Directory ကို ဖန်တီးထားပြီး malware ကိုယ်တိုင်က ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း ရှုပ်ထွေးမှုမရှိပါက စိတ်ဝင်စားဖွယ်ကောင်းသော အတားအဆီးများကို ပြသပေးပါသည်။

malware ၏ရေးသားသူမှာ-

1. winlogon.exe လုပ်ငန်းစဉ်တွင် ထည့်သွင်းထားသော ထိုးဆေးဖြင့် ransomware ဗိုင်းရပ်စ်ကို ရေးသားခဲ့သည်။
   ဖိုင်ကို စာဝှက်ခြင်းနှင့် စာဝှက်ခြင်း လုပ်ဆောင်နိုင်စွမ်း
2. ConfuserEx ကို အသုံးပြု၍ အန္တရာယ်ရှိသောကုဒ်ကို အသွင်ယူကာ ရလဒ်ကို Donut ဖြင့် ပြောင်းလဲကာ base64 Gzip dropper ကို ဝှက်ထားခဲ့သည်။
3. သားကောင်၏ ဒိုမိန်းတွင် မြင့်မားသောအခွင့်အရေးများကို ရယူခဲ့ပြီး ၎င်းတို့ကို ကူးယူရန် အသုံးပြုခဲ့သည်။
   ကုဒ်ဝှက်ထားသော malware နှင့် domain controllers များ၏ SYSVOL ကွန်ရက်ဖိုင်တွဲတွင် စီစဉ်ထားသော အလုပ်များ
4. SYSVOL ရှိ မှတ်တမ်းများတွင် malware ပျံ့နှံ့ပြီး တိုက်ခိုက်မှုတိုးတက်မှုကို မှတ်တမ်းတင်ရန်အတွက် PowerShell script ကို ဒိုမိန်းစက်ပစ္စည်းများတွင် လုပ်ဆောင်ပါ။

သင့်တွင် ဤ ransomware ဗိုင်းရပ်စ် အမျိုးအစားနှင့် ပတ်သက်၍ မေးခွန်းများ ရှိပါက သို့မဟုတ် ကျွန်ုပ်တို့၏ အဖွဲ့များမှ လုပ်ဆောင်သည့် အခြားသော မှုခင်းဆေးပညာနှင့် ဆိုက်ဘာလုံခြုံရေး ဖြစ်ရပ် စုံစမ်းစစ်ဆေးမှုများ၊ ကြှနျုပျတို့ကိုဆကျသှယျရနျ သို့မဟုတ် တောင်းဆိုပါ။ တိုက်ခိုက်မှုတွေကို တုံ့ပြန်တဲ့အနေနဲ့ တိုက်ရိုက်သရုပ်ပြတယ်။အမေးအဖြေကဏ္ဍတွင် ကျွန်ုပ်တို့ အမြဲတမ်းမေးခွန်းများကို ဖြေပေးသည့်နေရာ။

source: www.habr.com