En ny stamme av løsepengevare krypterer filer og legger til en ".SaveTheQueen"-utvidelse til dem, og spres gjennom SYSVOL-nettverksmappen på Active Directory-domenekontrollere.
Kundene våre har nylig oppdaget denne skadelige programvaren. Vi presenterer vår fullstendige analyse, dens resultater og konklusjoner nedenfor.
deteksjon
En av våre kunder kontaktet oss etter at de møtte en ny stamme av løsepengevare som la til utvidelsen ".SaveTheQueen" til nye krypterte filer i miljøet deres.
Under vår etterforskning, eller rettere sagt på stadiet med søk etter smittekilder, fant vi ut at distribusjon og sporing av infiserte ofre ble utført vha. nettverksmappe SYSVOL på kundens domenekontroller.
SYSVOL er en nøkkelmappe for hver domenekontroller som brukes til å levere gruppepolicyobjekter (GPOer) og påloggings- og avloggingsskript til datamaskiner i domenet. Innholdet i denne mappen er replikert mellom domenekontrollere for å synkronisere disse dataene på tvers av organisasjonens nettsteder. Å skrive til SYSVOL krever høye domeneprivilegier, men når den først er kompromittert, blir denne ressursen et kraftig verktøy for angripere som kan bruke den til å raskt og effektivt spre skadelige nyttelaster over et domene.
Varonis revisjonskjede hjalp raskt med å identifisere følgende:
- Den infiserte brukerkontoen opprettet en fil kalt "hourly" i SYSVOL
- Mange loggfiler ble opprettet i SYSVOL - hver navngitt med navnet på en domeneenhet
- Mange forskjellige IP-adresser fikk tilgang til "timelig"-filen
Vi konkluderte med at loggfilene ble brukt til å spore infeksjonsprosessen på nye enheter, og at "hver time" var en planlagt jobb som utførte ondsinnet nyttelast på nye enheter ved hjelp av et Powershell-skript - eksempler "v3" og "v4".
Angriperen har sannsynligvis oppnådd og brukt domeneadministratorrettigheter for å skrive filer til SYSVOL. På infiserte verter kjørte angriperen PowerShell-kode som opprettet en planleggingsjobb for å åpne, dekryptere og kjøre skadelig programvare.
Dekryptering av skadelig programvare
Vi prøvde flere måter å dechiffrere prøver til ingen nytte:
Vi var nesten klare til å gi opp da vi bestemte oss for å prøve "Magic"-metoden til det storslåtte
verktøy av GCHQ. Magic prøver å gjette en fils kryptering ved å bruke brute-forcing passord for forskjellige krypteringstyper og måle entropi.
Oversetterens notat Se и . Denne artikkelen og kommentarene involverer ikke diskusjon fra forfatternes side om detaljene i metoder som brukes i hverken tredjeparts eller proprietær programvare
Magic bestemte at en base64-kodet GZip-pakker ble brukt, så vi var i stand til å dekomprimere filen og oppdage injeksjonskoden.
Dropper: «Det er en epidemi i området! Generelle vaksinasjoner. Munn-og klovsyke"
Dropperen var en vanlig .NET-fil uten noen beskyttelse. Etter å ha lest kildekoden med vi innså at dens eneste formål var å injisere shellcode i winlogon.exe-prosessen.
Shellcode eller enkle komplikasjoner
Vi brukte forfatterverktøyet Hexacorn − for å "kompilere" skallkoden til en kjørbar fil for feilsøking og analyse. Vi oppdaget da at det fungerte på både 32 og 64 bit maskiner.
Å skrive til og med enkel shellcode i en oversettelse av et assembly-språk kan være vanskelig, men å skrive komplett shellcode som fungerer på begge typer systemer krever eliteferdigheter, så vi begynte å undre oss over angriperens sofistikerte.
Da vi analyserte den kompilerte skallkoden ved hjelp av , la vi merke til at han lastet .NET dynamiske biblioteker , for eksempel clr.dll og mscoreei.dll. Dette virket merkelig for oss - vanligvis prøver angripere å gjøre skallkoden så liten som mulig ved å kalle opp opprinnelige OS-funksjoner i stedet for å laste dem. Hvorfor skulle noen trenge å bygge inn Windows-funksjonalitet i skallkoden i stedet for å ringe den direkte på forespørsel?
Som det viste seg, skrev ikke forfatteren av skadelig programvare denne komplekse skallkoden i det hele tatt - programvare spesifikk for denne oppgaven ble brukt til å oversette kjørbare filer og skript til skallkode.
Vi fant et verktøy , som vi trodde kunne kompilere en lignende skallkode. Her er beskrivelsen fra GitHub:
Donut genererer x86- eller x64-shellkode fra VBScript, JScript, EXE, DLL (inkludert .NET-samlinger). Denne skallkoden kan injiseres i en hvilken som helst Windows-prosess som skal kjøres i
tilfeldig tilgangsminne.
For å bekrefte teorien vår, kompilerte vi vår egen kode ved hjelp av Donut og sammenlignet den med prøven - og... ja, vi oppdaget en annen komponent i verktøysettet som ble brukt. Etter dette var vi allerede i stand til å trekke ut og analysere den originale .NET-kjørbare filen.
Kodebeskyttelse
Denne filen har blitt tilslørt ved hjelp av :
ConfuserEx er et åpen kildekode .NET-prosjekt for å beskytte koden til andre utviklinger. Denne klassen av programvare lar utviklere beskytte koden sin mot omvendt utvikling ved å bruke metoder som tegnerstatning, kontrollkommandoflytmaskering og skjul av referansemetoder. Skadevareforfattere bruker obfuscatorer for å unngå oppdagelse og gjøre omvendt utvikling vanskeligere.
takk vi pakket ut koden:
Resultat - nyttelast
Den resulterende nyttelasten er et veldig enkelt løsepengevirus. Ingen mekanisme for å sikre tilstedeværelse i systemet, ingen tilkoblinger til kommandosentralen - bare god gammel asymmetrisk kryptering for å gjøre offerets data uleselige.
Hovedfunksjonen velger følgende linjer som parametere:
- Filtype som skal brukes etter kryptering (SaveTheQueen)
- Forfatterens e-post som skal plasseres i løsepengenotatfilen
- Offentlig nøkkel som brukes til å kryptere filer
Selve prosessen ser slik ut:
- Skadevaren undersøker lokale og tilkoblede stasjoner på offerets enhet
- Søker etter filer som skal krypteres
- Prøver å avslutte en prosess som bruker en fil som den er i ferd med å kryptere
- Gi nytt navn til filen til "OriginalFileName.SaveTheQueenING" ved hjelp av MoveFile-funksjonen og krypterer den
- Etter at filen er kryptert med forfatterens offentlige nøkkel, gir skadelig programvare den nytt navn, nå til "Original FileName.SaveTheQueen"
- En fil med krav om løsepenger skrives til samme mappe
Basert på bruken av den opprinnelige "CreateDecryptor"-funksjonen, ser det ut til at en av funksjonene til skadevaren inneholder som parameter en dekrypteringsmekanisme som krever en privat nøkkel.
løsepengevirus Krypterer IKKE filer, lagret i kataloger:
C:vinduer
C: Programfiler
C: Programfiler (x86)
C:Brukere\AppData
C:inetpub
Han også Krypterer IKKE følgende filtyper:EXE, DLL, MSI, ISO, SYS, CAB.
Resultater og konklusjoner
Selv om løsepengevaren i seg selv ikke inneholdt noen uvanlige funksjoner, brukte angriperen Active Directory kreativt for å distribuere dropperen, og selve skadevaren ga oss interessante, men til slutt ukompliserte, hindringer under analyse.
Vi tror at forfatteren av skadelig programvare er:
- Skrev et løsepengevirus med innebygd injeksjon i winlogon.exe-prosessen, samt
filkryptering og dekrypteringsfunksjonalitet - Skjulte den ondsinnede koden ved hjelp av ConfuserEx, konverterte resultatet ved hjelp av Donut og gjemte i tillegg base64 Gzip dropper
- Oppnådde forhøyede privilegier i offerets domene og brukte dem til å kopiere
kryptert skadelig programvare og planlagte jobber til SYSVOL-nettverksmappen for domenekontrollere - Kjør et PowerShell-skript på domeneenheter for å spre skadelig programvare og registrere angrepsfremgang i logger i SYSVOL
Hvis du har spørsmål om denne varianten av løsepengeviruset, eller andre etterforskninger av etterforskning og cybersikkerhetshendelser utført av teamene våre, eller forespørsel , hvor vi alltid svarer på spørsmål i en Q&A-sesjon.
Kilde: www.habr.com