O nouă varietate de ransomware criptează fișierele și le adaugă o extensie „.SaveTheQueen”, răspândindu-se prin folderul de rețea SYSVOL de pe controlerele de domeniu Active Directory.
Clienții noștri au întâlnit acest malware recent. Vă prezentăm analiza noastră completă, rezultatele și concluziile acesteia mai jos.
Detectare
Unul dintre clienții noștri ne-a contactat după ce a întâlnit o nouă tulpină de ransomware care adăuga extensia „.SaveTheQueen” la noile fișiere criptate din mediul lor.
În timpul investigației noastre, sau mai degrabă în etapa căutării surselor de infecție, am aflat că distribuirea și urmărirea victimelor infectate s-a efectuat folosind folderul de rețea SYSVOL pe controlerul de domeniu al clientului.
SYSVOL este un folder cheie pentru fiecare controler de domeniu care este utilizat pentru a livra obiecte de politică de grup (GPO) și scripturi de conectare și deconectare către computerele din domeniu. Conținutul acestui folder este replicat între controlerele de domeniu pentru a sincroniza aceste date pe site-urile organizației. Scrierea în SYSVOL necesită privilegii mari de domeniu, totuși, odată compromis, acest activ devine un instrument puternic pentru atacatori care îl pot folosi pentru a răspândi rapid și eficient încărcături utile rău intenționate pe un domeniu.
Lanțul de audit Varonis a ajutat la identificarea rapidă a următoarelor:
- Contul de utilizator infectat a creat un fișier numit „oric pe oră” în SYSVOL
- Multe fișiere jurnal au fost create în SYSVOL - fiecare numit cu numele unui dispozitiv de domeniu
- Multe adrese IP diferite accesau fișierul „orar”.
Am ajuns la concluzia că fișierele jurnal au fost folosite pentru a urmări procesul de infecție pe dispozitive noi și că „la oră” a fost o sarcină programată care executa încărcătură utilă rău intenționată pe dispozitive noi, folosind un script Powershell - mostre „v3” și „v4”.
Atacatorul probabil a obținut și a folosit privilegii de administrator de domeniu pentru a scrie fișiere în SYSVOL. Pe gazdele infectate, atacatorul a rulat cod PowerShell care a creat un job de programare pentru a deschide, decripta și rula malware-ul.
Decriptarea malware-ului
Am încercat fără rezultat mai multe moduri de a descifra mostre:
Eram aproape gata să renunțăm când am decis să încercăm metoda „Magică” a magnificului
utilități de GCHQ. Magic încearcă să ghicească criptarea unui fișier prin forțarea brutală a parolelor pentru diferite tipuri de criptare și prin măsurarea entropiei.
Nota traducătorului Vedea и . Acest articol și comentariile nu implică discuții din partea autorilor asupra detaliilor metodelor utilizate fie în software-ul terț sau proprietar.
Magic a stabilit că a fost folosit un dispozitiv de ambalare GZip codificat în base64, așa că am putut decomprima fișierul și descoperi codul de injecție.
Dropper: „Este o epidemie în zonă! Vaccinări generale. febra aftoasă”
Dropper-ul era un fișier .NET obișnuit fără nicio protecție. După citirea codului sursă cu ne-am dat seama că singurul său scop era să injectăm shellcode în procesul winlogon.exe.
Shellcode sau complicații simple
Am folosit instrumentul de creație Hexacorn − pentru a „compila” codul shell într-un fișier executabil pentru depanare și analiză. Apoi am descoperit că a funcționat atât pe mașini pe 32, cât și pe 64 de biți.
Scrierea chiar și a unui cod shell simplu într-o traducere în limbaj de asamblare nativ poate fi dificilă, dar scrierea codului shell complet care funcționează pe ambele tipuri de sisteme necesită abilități de elită, așa că am început să ne minunăm de sofisticarea atacatorului.
Când am analizat codul shell compilat folosind , am observat că încărca Biblioteci dinamice .NET , cum ar fi clr.dll și mscoreei.dll. Acest lucru ni s-a părut ciudat - de obicei atacatorii încearcă să facă codul shell cât mai mic posibil apelând funcții native ale sistemului de operare în loc să le încarce. De ce ar trebui cineva să încorporeze funcționalitatea Windows în codul shell în loc să o apeleze direct la cerere?
După cum s-a dovedit, autorul malware-ului nu a scris deloc acest shellcode complex - software-ul specific acestei sarcini a fost folosit pentru a traduce fișierele executabile și scripturile în shellcode.
Am găsit un instrument , despre care credeam că ar putea compila un shellcode similar. Iată descrierea sa din GitHub:
Donut generează shellcode x86 sau x64 din VBScript, JScript, EXE, DLL (inclusiv ansambluri .NET). Acest shellcode poate fi injectat în orice proces Windows pentru a fi executat
memorie cu acces aleator.
Pentru a ne confirma teoria, am compilat propriul cod folosind Donut și l-am comparat cu eșantionul - și... da, am descoperit o altă componentă a setului de instrumente folosit. După aceasta, am putut deja să extragem și să analizăm fișierul executabil .NET original.
Protecție prin cod
Acest fișier a fost ascuns folosind :
ConfuserEx este un proiect .NET open source pentru protejarea codului altor dezvoltări. Această clasă de software permite dezvoltatorilor să-și protejeze codul de inginerie inversă folosind metode precum înlocuirea caracterelor, mascarea fluxului de comandă de control și ascunderea metodei de referință. Autorii de programe malware folosesc obfuscatori pentru a evita detectarea și pentru a face ingineria inversă mai dificilă.
Prin am despachetat codul:
Rezultat - sarcină utilă
Sarcina utilă rezultată este un virus ransomware foarte simplu. Niciun mecanism care să asigure prezența în sistem, nicio conexiune la centrul de comandă - doar o veche criptare asimetrică pentru a face datele victimei imposibil de citit.
Funcția principală selectează următoarele linii ca parametri:
- Extensie de fișier de utilizat după criptare (SaveTheQueen)
- E-mailul autorului de plasat în fișierul notei de răscumpărare
- Cheie publică folosită pentru a cripta fișierele
Procesul în sine arată astfel:
- Malware-ul examinează unitățile locale și conectate de pe dispozitivul victimei
- Caută fișiere de criptat
- Încearcă să încheie un proces care utilizează un fișier pe care urmează să îl cripteze
- Redenumește fișierul în „OriginalFileName.SaveTheQueenING” folosind funcția MoveFile și îl criptează
- După ce fișierul este criptat cu cheia publică a autorului, malware-ul îl redenumește din nou, acum la „Original FileName.SaveTheQueen”
- Un fișier cu o cerere de răscumpărare este scris în același folder
Pe baza utilizării funcției native „CreateDecryptor”, una dintre funcțiile malware-ului pare să conțină ca parametru un mecanism de decriptare care necesită o cheie privată.
virus ransomware NU criptează fișierele, stocat în directoare:
C: Windows
C: Fișiere de program
C: Fișiere de program (x86)
C:Utilizatori\AppData
C:inetpub
El, de asemenea NU criptează următoarele tipuri de fișiere:EXE, DLL, MSI, ISO, SYS, CAB.
Rezultate și concluzii
Deși ransomware-ul în sine nu conținea nicio caracteristică neobișnuită, atacatorul a folosit în mod creativ Active Directory pentru a distribui dropper-ul, iar malware-ul însuși ne-a prezentat obstacole interesante, chiar dacă în cele din urmă necomplicate, în timpul analizei.
Credem că autorul malware-ului este:
- Am scris un virus ransomware cu injecție încorporată în procesul winlogon.exe, precum și
funcționalitatea de criptare și decriptare a fișierelor - A deghizat codul rău intenționat folosind ConfuserEx, a convertit rezultatul folosind Donut și, în plus, a ascuns dropper-ul Gzip de bază64
- A obținut privilegii ridicate în domeniul victimei și le-a folosit pentru a copia
malware criptat și joburi programate în folderul de rețea SYSVOL al controlerelor de domeniu - Rulați un script PowerShell pe dispozitivele de domeniu pentru a răspândi programe malware și a înregistra progresul atacului în jurnalele din SYSVOL
Dacă aveți întrebări despre această variantă a virusului ransomware sau despre orice alte investigații criminalistice și incidente de securitate cibernetică efectuate de echipele noastre, sau cerere , unde răspundem întotdeauna la întrebări într-o sesiune de întrebări și răspunsuri.
Sursa: www.habr.com