Uma nova variedade de ransomware criptografa arquivos e adiciona uma extensão “.SaveTheQueen” a eles, espalhando-se pela pasta de rede SYSVOL nos controladores de domínio do Active Directory.
Nossos clientes encontraram esse malware recentemente. Apresentamos abaixo nossa análise completa, seus resultados e conclusões.
Detecção
Um de nossos clientes nos contatou depois de encontrar uma nova variedade de ransomware que adicionava a extensão “.SaveTheQueen” a novos arquivos criptografados em seu ambiente.
Durante a nossa investigação, ou melhor, na fase de procura de fontes de infecção, constatamos que a distribuição e rastreio das vítimas infectadas era efectuada através de pasta de rede SYSVOL no controlador de domínio do cliente.
SYSVOL é uma pasta de chaves para cada controlador de domínio usada para entregar objetos de política de grupo (GPOs) e scripts de logon e logoff para computadores no domínio. O conteúdo desta pasta é replicado entre controladores de domínio para sincronizar esses dados entre os sites da organização. Gravar no SYSVOL requer altos privilégios de domínio; no entanto, uma vez comprometido, esse ativo se torna uma ferramenta poderosa para invasores que podem usá-lo para espalhar cargas maliciosas de maneira rápida e eficiente em um domínio.
A cadeia de auditoria da Varonis ajudou a identificar rapidamente o seguinte:
- A conta de usuário infectada criou um arquivo chamado “de hora em hora” no SYSVOL
- Muitos arquivos de log foram criados no SYSVOL - cada um nomeado com o nome de um dispositivo de domínio
- Muitos endereços IP diferentes estavam acessando o arquivo “por hora”
Concluímos que os arquivos de log foram usados para rastrear o processo de infecção em novos dispositivos, e que "de hora em hora" era um trabalho agendado que executava carga maliciosa em novos dispositivos usando um script Powershell - amostras "v3" e "v4".
O invasor provavelmente obteve e usou privilégios de administrador de domínio para gravar arquivos no SYSVOL. Nos hosts infectados, o invasor executou o código do PowerShell que criou um trabalho agendado para abrir, descriptografar e executar o malware.
Descriptografando o malware
Tentamos várias maneiras de decifrar amostras sem sucesso:
Estávamos quase prestes a desistir quando decidimos experimentar o método “Mágico” do magnífico
utilitários pelo GCHQ. O Magic tenta adivinhar a criptografia de um arquivo forçando senhas para diferentes tipos de criptografia e medindo a entropia.
Nota do tradutor Ver и . Este artigo e comentários não envolvem discussão por parte dos autores dos detalhes dos métodos usados em software proprietário ou de terceiros
O Magic determinou que um compactador GZip codificado em base64 foi usado, então pudemos descompactar o arquivo e descobrir o código de injeção.
Dropper: “Há uma epidemia na área! Vacinações gerais. Doença de pé e boca"
O conta-gotas era um arquivo .NET normal sem qualquer proteção. Depois de ler o código fonte com percebemos que seu único propósito era injetar shellcode no processo winlogon.exe.
Shellcode ou complicações simples
Usamos a ferramenta de autoria Hexacorn - para “compilar” o shellcode em um arquivo executável para depuração e análise. Descobrimos então que funcionava em máquinas de 32 e 64 bits.
Escrever até mesmo shellcode simples em uma tradução de linguagem assembly nativa pode ser difícil, mas escrever shellcode completo que funcione em ambos os tipos de sistemas requer habilidades de elite, então começamos a nos maravilhar com a sofisticação do invasor.
Quando analisamos o shellcode compilado usando , notamos que ele estava carregando Bibliotecas dinâmicas .NET , como clr.dll e mscoreei.dll. Isso nos pareceu estranho - geralmente os invasores tentam tornar o shellcode o menor possível chamando funções nativas do sistema operacional em vez de carregá-las. Por que alguém precisaria incorporar a funcionalidade do Windows no shellcode em vez de chamá-lo diretamente sob demanda?
Acontece que o autor do malware não escreveu esse shellcode complexo - um software específico para essa tarefa foi usado para traduzir arquivos executáveis e scripts em shellcode.
Encontramos uma ferramenta , que pensamos que poderia compilar um shellcode semelhante. Aqui está sua descrição no GitHub:
Donut gera shellcode x86 ou x64 a partir de VBScript, JScript, EXE, DLL (incluindo assemblies .NET). Este shellcode pode ser injetado em qualquer processo do Windows para ser executado em
RAM
Para confirmar nossa teoria, compilamos nosso próprio código usando Donut e o comparamos com o exemplo - e... sim, descobrimos outro componente do kit de ferramentas usado. Depois disso, já conseguimos extrair e analisar o arquivo executável .NET original.
Proteção de código
Este arquivo foi ofuscado usando :
ConfuserEx é um projeto .NET de código aberto para proteger o código de outros desenvolvimentos. Esta classe de software permite que os desenvolvedores protejam seu código contra engenharia reversa usando métodos como substituição de caracteres, mascaramento de fluxo de comando de controle e ocultação de método de referência. Os autores de malware usam ofuscadores para evitar a detecção e dificultar a engenharia reversa.
obrigado descompactamos o código:
Resultado - carga útil
A carga resultante é um vírus ransomware muito simples. Nenhum mecanismo para garantir a presença no sistema, nenhuma conexão com o centro de comando – apenas a boa e velha criptografia assimétrica para tornar os dados da vítima ilegíveis.
A função principal seleciona as seguintes linhas como parâmetros:
- Extensão de arquivo a ser usada após a criptografia (SaveTheQueen)
- E-mail do autor para colocar no arquivo da nota de resgate
- Chave pública usada para criptografar arquivos
O processo em si é assim:
- O malware examina unidades locais e conectadas no dispositivo da vítima
- Procura arquivos para criptografar
- Tenta encerrar um processo que está usando um arquivo que está prestes a criptografar
- Renomeia o arquivo para "OriginalFileName.SaveTheQueenING" usando a função MoveFile e o criptografa
- Depois que o arquivo é criptografado com a chave pública do autor, o malware o renomeia novamente, agora para “Original FileName.SaveTheQueen”
- Um arquivo com pedido de resgate é gravado na mesma pasta
Com base no uso da função nativa “CreateDecryptor”, uma das funções do malware parece conter como parâmetro um mecanismo de descriptografia que requer uma chave privada.
Vírus ransomware NÃO criptografa arquivos, armazenado nos diretórios:
C: janelas
C: Arquivos de Programas
C: Arquivos de programa (x86)
C:Usuários\AppData
C:inetpub
Também ele NÃO criptografa os seguintes tipos de arquivo:EXE, DLL, MSI, ISO, SYS, CAB.
Resultados e conclusões
Embora o ransomware em si não contivesse nenhum recurso incomum, o invasor usou criativamente o Active Directory para distribuir o conta-gotas, e o próprio malware nos apresentou obstáculos interessantes, embora descomplicados, durante a análise.
Achamos que o autor do malware é:
- Escreveu um vírus ransomware com injeção integrada no processo winlogon.exe, bem como
funcionalidade de criptografia e descriptografia de arquivos - Disfarçou o código malicioso usando ConfuserEx, converteu o resultado usando Donut e adicionalmente ocultou o conta-gotas Gzip base64
- Obteve privilégios elevados no domínio da vítima e os usou para copiar
malware criptografado e trabalhos agendados para a pasta de rede SYSVOL dos controladores de domínio - Execute um script do PowerShell em dispositivos de domínio para espalhar malware e registrar o progresso do ataque em logs no SYSVOL
Se você tiver dúvidas sobre esta variante do vírus ransomware ou sobre quaisquer outras investigações forenses e de incidentes de segurança cibernética realizadas por nossas equipes, ou solicitação , onde sempre respondemos perguntas em uma sessão de perguntas e respostas.
Fonte: habr.com