ransomware හි නව ප්රභේදයක් ගොනු සංකේතනය කර ඒවාට ".SaveTheQueen" දිගුවක් එක් කරයි, Active Directory වසම් පාලක මත SYSVOL ජාල ෆෝල්ඩරය හරහා පැතිරෙයි.
අපගේ පාරිභෝගිකයින්ට මෙම අනිෂ්ට මෘදුකාංගය මෑතකදී හමු විය. අපි අපගේ සම්පූර්ණ විශ්ලේෂණය, එහි ප්රතිඵල සහ නිගමන පහතින් ඉදිරිපත් කරමු.
සොයාගැනීම
අපගේ පාරිභෝගිකයින්ගෙන් එක් අයෙකු ඔවුන්ගේ පරිසරයේ ඇති නව සංකේතාත්මක ගොනු වෙත ".SaveTheQueen" දිගුව එක් කරන නව ransomware වර්ගයක් හමු වූ පසු අප හා සම්බන්ධ විය.
අපගේ විමර්ශනය අතරතුර, හෝ ඒ වෙනුවට ආසාදන ප්රභවයන් සෙවීමේ අදියරේදී, ආසාදිත වින්දිතයින් බෙදා හැරීම සහ ලුහුබැඳීම සිදු කර ඇති බව අපට පෙනී ගියේය. ජාල ෆෝල්ඩරය SYSVOL පාරිභෝගික වසම් පාලකය මත.
SYSVOL යනු සමූහ ප්රතිපත්ති වස්තු (GPOs) සහ ලොගින් සහ ලොග් ඕෆ් ස්ක්රිප්ට් වසම තුළ ඇති පරිගණක වෙත ලබා දීමට භාවිතා කරන එක් එක් වසම් පාලක සඳහා වන ප්රධාන ෆෝල්ඩරයකි. සංවිධානයේ අඩවි හරහා මෙම දත්ත සමමුහුර්ත කිරීමට මෙම ෆෝල්ඩරයේ අන්තර්ගතය වසම් පාලක අතර ප්රතිනිර්මාණය කෙරේ. SYSVOL වෙත ලිවීමට ඉහළ වසම් වරප්රසාද අවශ්ය වේ, කෙසේ වෙතත්, සම්මුතියකට ලක් වූ පසු, මෙම වත්කම වසමක් හරහා ඉක්මනින් සහ කාර්යක්ෂමව අනිෂ්ට ගෙවීම් පතුරුවා හැරීමට භාවිතා කළ හැකි ප්රහාරකයන් සඳහා ප්රබල මෙවලමක් බවට පත්වේ.
Varonis විගණන දාමය පහත සඳහන් දෑ ඉක්මනින් හඳුනා ගැනීමට උපකාරී විය:
- ආසාදිත පරිශීලක ගිණුම SYSVOL හි "hourly" නමින් ගොනුවක් සාදන ලදී
- බොහෝ ලොග් ගොනු SYSVOL තුළ නිර්මාණය කර ඇත - ඒ සෑම එකක්ම වසම් උපාංගයක නාමයෙන් නම් කර ඇත
- විවිධ IP ලිපින "පැයකට" ගොනුව වෙත ප්රවේශ විය
නව උපාංගවල ආසාදන ක්රියාවලිය හඹා යාමට ලොග් ගොනු භාවිතා කර ඇති බවත්, "පැයකට" යනු Powershell ස්ක්රිප්ට් එකක් - සාම්පල "v3" සහ "v4" භාවිතයෙන් නව උපාංග මත අනිෂ්ට ගෙවීම් ක්රියාත්මක කරන කාලසටහන්ගත කාර්යයක් බවත් අපි නිගමනය කළෙමු.
ප්රහාරකයා SYSVOL වෙත ගොනු ලිවීමට වසම් පරිපාලක වරප්රසාද ලබාගෙන භාවිතා කර ඇත. ආසාදිත ධාරක මත, ප්රහාරකයා අනිෂ්ට මෘදුකාංග විවෘත කිරීමට, විකේතනය කිරීමට සහ ධාවනය කිරීමට කාලසටහන් කාර්යයක් නිර්මාණය කළ PowerShell කේතය ධාවනය කළේය.
අනිෂ්ට මෘදුකාංග විකේතනය කිරීම
අපි සාම්පල විකේතනය කිරීමට ක්රම කිහිපයක් උත්සාහ කළද එය නිෂ්ඵල විය:
අතිවිශිෂ්ට "මැජික්" ක්රමය උත්සාහ කිරීමට අපි තීරණය කළ විට අපි අත්හැරීමට සූදානම්ව සිටියෙමු
උපයෝගිතා
පරිවර්තකයාගේ සටහන බලන්න
මැජික් විසින් Base64 කේතනය කරන ලද GZip ඇසුරුමක් භාවිතා කර ඇති බව තීරණය කරන ලදී, එබැවින් අපට ගොනුව විසංයෝජනය කර ඉන්ජෙක්ෂන් කේතය සොයා ගැනීමට හැකි විය.
ඩ්රොපර්: “ප්රදේශයේ වසංගතයක් තිබේ! සාමාන්ය එන්නත්. පාද සහ මුඛ රෝග"
ඩ්රොපර් එක කිසිම ආරක්ෂාවක් නැති සාමාන්ය .NET ගොනුවක් විය. සමඟ මූලාශ්ර කේතය කියවීමෙන් පසු
Shellcode හෝ සරල සංකූලතා
අපි Hexacorn කර්තෘ මෙවලම භාවිතා කළෙමු -
ස්වදේශීය එකලස් භාෂා පරිවර්තනයකින් සරල shellcode ලිවීම පවා අපහසු විය හැකි නමුත් පද්ධති දෙකෙහිම ක්රියා කරන සම්පූර්ණ shellcode ලිවීමට ප්රභූ කුසලතා අවශ්ය වේ, එබැවින් අපි ප්රහාරකයාගේ නවීනත්වය ගැන පුදුම වීමට පටන් ගත්තෙමු.
අපි සම්පාදනය කරන ලද shellcode භාවිතා කර විග්රහ කළ විට
පෙනෙන පරිදි, අනිෂ්ට මෘදුකාංගයේ කතුවරයා මෙම සංකීර්ණ ෂෙල් කේතය කිසිසේත් ලියා නැත - ක්රියාත්මක කළ හැකි ගොනු සහ ස්ක්රිප්ට් ෂෙල්කෝඩ් බවට පරිවර්තනය කිරීමට මෙම කාර්යයට විශේෂිත වූ මෘදුකාංගයක් භාවිතා කරන ලදී.
අපි මෙවලමක් සොයාගත්තා
ඩෝනට් VBScript, JScript, EXE, DLL (.NET එකලස් කිරීම් ඇතුළුව) වෙතින් x86 හෝ x64 shellcode ජනනය කරයි. මෙම shellcode එක ක්රියාත්මක කිරීම සඳහා ඕනෑම Windows ක්රියාවලියකට එන්නත් කළ හැක
අහඹු ප්රවේශ මතකය.
අපගේ න්යාය තහවුරු කිරීම සඳහා, අපි ඩෝනට් භාවිතයෙන් අපගේම කේතයක් සම්පාදනය කර එය සාම්පලයට සංසන්දනය කළෙමු - සහ... ඔව්, අපි භාවිතා කළ මෙවලම් කට්ටලයේ තවත් අංගයක් සොයා ගත්තෙමු. මෙයින් පසු, අපට දැනටමත් මුල් .NET ක්රියාත්මක කළ හැකි ගොනුව උපුටා ගැනීමට සහ විශ්ලේෂණය කිරීමට හැකි විය.
කේත ආරක්ෂණය
මෙම ගොනුව භාවිතයෙන් අපැහැදිලි කර ඇත
ConfuserEx යනු වෙනත් සංවර්ධන කේතය ආරක්ෂා කිරීම සඳහා විවෘත මූලාශ්ර .NET ව්යාපෘතියකි. මෙම මෘදුකාංග පන්තිය සංවර්ධකයින්ට අක්ෂර ආදේශනය, පාලන විධාන ප්රවාහ ආවරණ සහ විමර්ශන ක්රම සැඟවීම වැනි ක්රම භාවිතා කරමින් ප්රතිලෝම ඉංජිනේරු විද්යාවෙන් ඔවුන්ගේ කේතය ආරක්ෂා කිරීමට ඉඩ සලසයි. අනිෂ්ට මෘදුකාංග කතුවරුන් හඳුනාගැනීමෙන් වැළකී සිටීමට සහ ප්රතිලෝම ඉංජිනේරුකරණය වඩාත් අපහසු කිරීමට අපැහැදිලි යන්ත්ර භාවිතා කරයි.
ස්තුතියි
ප්රතිඵලය - ගෙවීම
එහි ප්රතිඵලයක් ලෙස ලැබෙන Payload ඉතා සරල ransomware වෛරසයකි. පද්ධතියේ පැවැත්ම සහතික කිරීමට යාන්ත්රණයක් නැත, විධාන මධ්යස්ථානයට සම්බන්ධතා නොමැත - වින්දිතයාගේ දත්ත කියවිය නොහැකි බවට පත් කිරීම සඳහා හොඳ පැරණි අසමමිතික සංකේතනයකි.
ප්රධාන කාර්යය පරාමිති ලෙස පහත රේඛා තෝරා ගනී:
- සංකේතනය කිරීමෙන් පසු භාවිතා කිරීමට ගොනු දිගුව (SaveTheQueen)
- කප්පම් සටහන් ගොනුවේ තැබීමට කර්තෘගේ ඊමේල්
- ගොනු සංකේතනය කිරීමට භාවිතා කරන පොදු යතුර
ක්රියාවලියම මේ ආකාරයෙන් පෙනේ:
- අනිෂ්ට මෘදුකාංග වින්දිතයාගේ උපාංගයේ දේශීය සහ සම්බන්ධිත ධාවකයන් පරීක්ෂා කරයි
- සංකේතනය කිරීමට ගොනු සොයයි
- එය සංකේතනය කිරීමට ආසන්න ගොනුවක් භාවිතා කරන ක්රියාවලියක් අවසන් කිරීමට උත්සාහ කරයි
- MoveFile ශ්රිතය භාවිතයෙන් ගොනුව "OriginalFileName.SaveTheQueenING" ලෙස නැවත නම් කර එය සංකේතනය කරයි
- ගොනුව කර්තෘගේ පොදු යතුර සමඟ සංකේතනය කළ පසු, අනිෂ්ට මෘදුකාංග එය නැවත නම් කරයි, දැන් "Original FileName.SaveTheQueen" වෙත
- කප්පම් ඉල්ලීමක් සහිත ගොනුවක් එකම ෆෝල්ඩරයට ලියා ඇත
දේශීය "CreateDecryptor" ශ්රිතයේ භාවිතය මත පදනම්ව, අනිෂ්ට මෘදුකාංගයේ එක් කාර්යයක පුද්ගලික යතුරක් අවශ්ය වන විකේතන යාන්ත්රණයක් පරාමිතියක් ලෙස අඩංගු වන බව පෙනේ.
Ransomware වෛරසය ගොනු සංකේතනය නොකරයි, නාමාවලි තුළ ගබඩා කර ඇත:
C: windows
C: වැඩසටහන් ගොනු
C:වැඩසටහන් ගොනු (x86)
C:පරිශීලකයින්\AppData
C:inetpub
ඔහුත් පහත ගොනු වර්ග සංකේතනය නොකරයි:EXE, DLL, MSI, ISO, SYS, CAB.
ප්රතිඵල සහ නිගමන
ransomware හි අසාමාන්ය විශේෂාංග කිසිවක් නොතිබුණද, ප්රහාරකයා විසින් dropper බෙදා හැරීම සඳහා Active Directory නිර්මාණශීලීව භාවිතා කළ අතර, අනිෂ්ට මෘදුකාංග විසින්ම අපට සිත්ගන්නාසුළු, අවසානයේදී සංකීර්ණ නොවූවත්, විශ්ලේෂණයේදී බාධා ඉදිරිපත් කළේය.
අපි හිතන්නේ අනිෂ්ට මෘදුකාංගයේ කතුවරයා:
- winlogon.exe ක්රියාවලියට ඇතුළු කරන ලද එන්නත් සහිත ransomware වෛරසයක් ලිවීය.
ගොනු සංකේතනය සහ විකේතනය කිරීමේ ක්රියාකාරිත්වය - ConfuserEx භාවිතයෙන් අනිෂ්ට කේතය වසන් කර, ඩෝනට් භාවිතයෙන් ප්රතිඵලය පරිවර්තනය කර ඊට අමතරව base64 Gzip dropper සඟවා තැබීය
- වින්දිතයාගේ වසම තුළ උසස් වරප්රසාද ලබාගෙන ඒවා පිටපත් කිරීමට භාවිතා කළේය
සංකේතාත්මක අනිෂ්ට මෘදුකාංග සහ කාලසටහන්ගත රැකියා වසම් පාලක වල SYSVOL ජාල ෆෝල්ඩරයට - අනිෂ්ට මෘදුකාංග පැතිරීමට සහ SYSVOL හි ලොග් වල ප්රහාර ප්රගතිය වාර්තා කිරීමට වසම් උපාංග මත PowerShell ස්ක්රිප්ට් එකක් ධාවනය කරන්න
ransomware වෛරසයේ මෙම ප්රභේදය හෝ අපගේ කණ්ඩායම් විසින් සිදු කරන ලද වෙනත් අධිකරණ වෛද්ය විද්යාව සහ සයිබර් ආරක්ෂණ සිද්ධි විමර්ශන පිළිබඳව ඔබට ප්රශ්න තිබේ නම්,
මූලාශ්රය: www.habr.com