Een nieuwe soort ransomware versleutelt bestanden en voegt er een ".SaveTheQueen"-extensie aan toe, die zich verspreidt via de SYSVOL-netwerkmap op Active Directory-domeincontrollers.
Onze klanten zijn onlangs met deze malware geconfronteerd. Hieronder presenteren wij onze volledige analyse, de resultaten en conclusies.
opsporing
Een van onze klanten nam contact met ons op nadat ze een nieuwe soort ransomware tegenkwamen die de extensie ".SaveTheQueen" toevoegde aan nieuwe gecodeerde bestanden in hun omgeving.
Tijdens ons onderzoek, of beter gezegd in de fase van het zoeken naar besmettingsbronnen, kwamen we erachter dat het verspreiden en volgen van geïnfecteerde slachtoffers gebeurde met behulp van netwerkmap SYSVOL op de domeincontroller van de klant.
SYSVOL is een sleutelmap voor elke domeincontroller die wordt gebruikt om groepsbeleidsobjecten (GPO's) en aan- en afmeldingsscripts te leveren aan computers in het domein. De inhoud van deze map wordt gerepliceerd tussen domeincontrollers om deze gegevens tussen de sites van de organisatie te synchroniseren. Voor het schrijven naar SYSVOL zijn hoge domeinrechten vereist, maar zodra deze zijn aangetast, wordt dit middel een krachtig hulpmiddel voor aanvallers die het kunnen gebruiken om snel en efficiënt kwaadaardige ladingen over een domein te verspreiden.
De Varonis-auditketen hielp snel het volgende te identificeren:
- Het geïnfecteerde gebruikersaccount heeft in SYSVOL een bestand met de naam "hourly" gemaakt
- In SYSVOL zijn veel logbestanden gemaakt, elk met de naam van een domeinapparaat
- Veel verschillende IP-adressen hadden toegang tot het "uurlijkse" bestand
We concludeerden dat de logbestanden werden gebruikt om het infectieproces op nieuwe apparaten bij te houden, en dat 'uurlijks' een geplande taak was die een kwaadaardige lading op nieuwe apparaten uitvoerde met behulp van een Powershell-script - voorbeelden van 'v3' en 'v4'.
De aanvaller heeft waarschijnlijk domeinbeheerdersrechten verkregen en gebruikt om bestanden naar SYSVOL te schrijven. Op geïnfecteerde hosts voerde de aanvaller PowerShell-code uit die een geplande taak creëerde om de malware te openen, te decoderen en uit te voeren.
Het decoderen van de malware
We hebben verschillende manieren geprobeerd om monsters te ontcijferen, maar het mocht niet baten:
We waren bijna klaar om het op te geven toen we besloten om de “Magische” methode van het prachtige te proberen
Gereedschap door GCHQ. Magic probeert de versleuteling van een bestand te raden door wachtwoorden voor verschillende versleutelingstypen bruut te forceren en de entropie te meten.
Noot van de vertaler Zien и . Dit artikel en de commentaren impliceren geen discussie van de kant van de auteurs over de details van de methoden die worden gebruikt in software van derden of propriëtaire software.
Magic stelde vast dat er een base64-gecodeerde GZip-packer werd gebruikt, zodat we het bestand konden decomprimeren en de injectiecode konden ontdekken.
Dropper: “Er is een epidemie in het gebied! Algemene vaccinaties. Mond-en klauwzeer"
De dropper was een normaal .NET-bestand zonder enige bescherming. Na het lezen van de broncode met we realiseerden ons dat het enige doel ervan was om shellcode in het winlogon.exe-proces te injecteren.
Shellcode of eenvoudige complicaties
We gebruikten de Hexacorn-ontwerptool − om de shellcode te “compileren” in een uitvoerbaar bestand voor foutopsporing en analyse. We ontdekten toen dat het werkte op zowel 32- als 64-bits machines.
Het schrijven van zelfs eenvoudige shellcode in een native assembleertaalvertaling kan moeilijk zijn, maar het schrijven van volledige shellcode die op beide typen systemen werkt vereist elitevaardigheden, dus we begonnen ons te verbazen over de verfijning van de aanvaller.
Toen we de gecompileerde shellcode parseerden met behulp van , we merkten dat hij aan het laden was .NET dynamische bibliotheken , zoals clr.dll en mscoreei.dll. Dit leek ons vreemd - meestal proberen aanvallers de shellcode zo klein mogelijk te maken door native OS-functies aan te roepen in plaats van ze te laden. Waarom zou iemand Windows-functionaliteit in de shellcode moeten insluiten in plaats van deze direct op aanvraag aan te roepen?
Het bleek dat de auteur van de malware deze complexe shellcode helemaal niet had geschreven; software die specifiek voor deze taak was gebruikt, werd gebruikt om uitvoerbare bestanden en scripts in shellcode te vertalen.
We hebben een hulpmiddel gevonden , waarvan we dachten dat het een vergelijkbare shellcode zou kunnen compileren. Hier is de beschrijving van GitHub:
Donut genereert x86- of x64-shellcode van VBScript, JScript, EXE, DLL (inclusief .NET-assemblies). Deze shellcode kan in elk Windows-proces worden geïnjecteerd waarin het moet worden uitgevoerd
werkgeheugen.
Om onze theorie te bevestigen, hebben we onze eigen code samengesteld met behulp van Donut en deze vergeleken met het voorbeeld - en... ja, we ontdekten nog een onderdeel van de gebruikte toolkit. Hierna konden we het originele .NET-uitvoerbare bestand al uitpakken en analyseren.
Codebescherming
Dit bestand is onleesbaar gemaakt met behulp van :
ConfuserEx is een open source .NET-project voor het beschermen van de code van andere ontwikkelingen. Met deze softwareklasse kunnen ontwikkelaars hun code beschermen tegen reverse engineering met behulp van methoden zoals tekenvervanging, besturingsopdrachtstroommaskering en het verbergen van referentiemethoden. Malware-auteurs gebruiken obfuscators om detectie te omzeilen en reverse-engineering moeilijker te maken.
Door we hebben de code uitgepakt:
Resultaat - lading
De resulterende lading is een heel eenvoudig ransomware-virus. Geen mechanisme om de aanwezigheid in het systeem te garanderen, geen verbindingen met het commandocentrum - gewoon de goede oude asymmetrische codering om de gegevens van het slachtoffer onleesbaar te maken.
De hoofdfunctie selecteert de volgende regels als parameters:
- Bestandsextensie die moet worden gebruikt na versleuteling (SaveTheQueen)
- E-mail van de auteur om in het losgeldnotabestand te plaatsen
- Openbare sleutel die wordt gebruikt om bestanden te coderen
Het proces zelf ziet er als volgt uit:
- De malware onderzoekt lokale en verbonden schijven op het apparaat van het slachtoffer
- Zoekt naar bestanden om te coderen
- Probeert een proces te beëindigen dat een bestand gebruikt dat op het punt staat te worden gecodeerd
- Hernoemt het bestand naar "OriginalFileName.SaveTheQueenING" met behulp van de MoveFile-functie en codeert het
- Nadat het bestand is gecodeerd met de openbare sleutel van de auteur, hernoemt de malware het opnieuw, nu naar "Originele bestandsnaam.SaveTheQueen"
- Een bestand met een vraag om losgeld wordt naar dezelfde map geschreven
Gebaseerd op het gebruik van de native functie "CreateDecryptor", lijkt een van de functies van de malware als parameter een decoderingsmechanisme te bevatten waarvoor een privésleutel nodig is.
ransomware-virus VERsleutelt GEEN bestanden, opgeslagen in mappen:
C: ramen
C: Program Files
C: Program Files (x86)
C:Gebruikers\AppData
C:inetpub
Ook hij Codeert de volgende bestandstypen NIET:EXE, DLL, MSI, ISO, SYS, CAB.
Resultaten en conclusies
Hoewel de ransomware zelf geen ongebruikelijke kenmerken bevatte, maakte de aanvaller op creatieve wijze gebruik van Active Directory om de dropper te verspreiden, en de malware zelf stelde ons voor interessante, zij het uiteindelijk ongecompliceerde, obstakels tijdens de analyse.
We denken dat de auteur van de malware:
- Schreef een ransomware-virus met ingebouwde injectie in het winlogon.exe-proces, evenals
functionaliteit voor bestandscodering en decodering - De kwaadaardige code verborgen met ConfuserEx, het resultaat geconverteerd met Donut en bovendien de base64 Gzip-dropper verborgen
- Verkreeg verhoogde rechten in het domein van het slachtoffer en gebruikte deze om te kopiëren
gecodeerde malware en geplande taken naar de SYSVOL-netwerkmap van domeincontrollers - Voer een PowerShell-script uit op domeinapparaten om malware te verspreiden en de voortgang van aanvallen vast te leggen in logboeken in SYSVOL
Als u vragen heeft over deze variant van het ransomware-virus of over andere onderzoeken naar forensische en cyberveiligheidsincidenten die door onze teams worden uitgevoerd, of verzoek , waar we vragen altijd beantwoorden in een vraag- en antwoordsessie.
Bron: www.habr.com