Ransom හරියට රැජිනක් වගේ: Varonis වේගයෙන් පැතිරෙන “SaveTheQueen” ransomware ගැන විමර්ශනය කරයි

ransomware හි නව ප්‍රභේදයක් ගොනු සංකේතනය කර ඒවාට ".SaveTheQueen" දිගුවක් එක් කරයි, Active Directory වසම් පාලක මත SYSVOL ජාල ෆෝල්ඩරය හරහා පැතිරෙයි.

අපගේ පාරිභෝගිකයින්ට මෙම අනිෂ්ට මෘදුකාංගය මෑතකදී හමු විය. අපි අපගේ සම්පූර්ණ විශ්ලේෂණය, එහි ප්‍රතිඵල සහ නිගමන පහතින් ඉදිරිපත් කරමු.

සොයාගැනීම

අපගේ පාරිභෝගිකයින්ගෙන් එක් අයෙකු ඔවුන්ගේ පරිසරයේ ඇති නව සංකේතාත්මක ගොනු වෙත ".SaveTheQueen" දිගුව එක් කරන නව ransomware වර්ගයක් හමු වූ පසු අප හා සම්බන්ධ විය.

අපගේ විමර්ශනය අතරතුර, හෝ ඒ වෙනුවට ආසාදන ප්‍රභවයන් සෙවීමේ අදියරේදී, ආසාදිත වින්දිතයින් බෙදා හැරීම සහ ලුහුබැඳීම සිදු කර ඇති බව අපට පෙනී ගියේය. ජාල ෆෝල්ඩරය SYSVOL පාරිභෝගික වසම් පාලකය මත.

SYSVOL යනු සමූහ ප්‍රතිපත්ති වස්තු (GPOs) සහ ලොගින් සහ ලොග් ඕෆ් ස්ක්‍රිප්ට් වසම තුළ ඇති පරිගණක වෙත ලබා දීමට භාවිතා කරන එක් එක් වසම් පාලක සඳහා වන ප්‍රධාන ෆෝල්ඩරයකි. සංවිධානයේ අඩවි හරහා මෙම දත්ත සමමුහුර්ත කිරීමට මෙම ෆෝල්ඩරයේ අන්තර්ගතය වසම් පාලක අතර ප්‍රතිනිර්මාණය කෙරේ. SYSVOL වෙත ලිවීමට ඉහළ වසම් වරප්‍රසාද අවශ්‍ය වේ, කෙසේ වෙතත්, සම්මුතියකට ලක් වූ පසු, මෙම වත්කම වසමක් හරහා ඉක්මනින් සහ කාර්යක්ෂමව අනිෂ්ට ගෙවීම් පතුරුවා හැරීමට භාවිතා කළ හැකි ප්‍රහාරකයන් සඳහා ප්‍රබල මෙවලමක් බවට පත්වේ.

Varonis විගණන දාමය පහත සඳහන් දෑ ඉක්මනින් හඳුනා ගැනීමට උපකාරී විය:

• ආසාදිත පරිශීලක ගිණුම SYSVOL හි "hourly" නමින් ගොනුවක් සාදන ලදී
• බොහෝ ලොග් ගොනු SYSVOL තුළ නිර්මාණය කර ඇත - ඒ සෑම එකක්ම වසම් උපාංගයක නාමයෙන් නම් කර ඇත
• විවිධ IP ලිපින "පැයකට" ගොනුව වෙත ප්‍රවේශ විය

නව උපාංගවල ආසාදන ක්‍රියාවලිය හඹා යාමට ලොග් ගොනු භාවිතා කර ඇති බවත්, "පැයකට" යනු Powershell ස්ක්‍රිප්ට් එකක් - සාම්පල "v3" සහ "v4" භාවිතයෙන් නව උපාංග මත අනිෂ්ට ගෙවීම් ක්‍රියාත්මක කරන කාලසටහන්ගත කාර්යයක් බවත් අපි නිගමනය කළෙමු.

ප්‍රහාරකයා SYSVOL වෙත ගොනු ලිවීමට වසම් පරිපාලක වරප්‍රසාද ලබාගෙන භාවිතා කර ඇත. ආසාදිත ධාරක මත, ප්‍රහාරකයා අනිෂ්ට මෘදුකාංග විවෘත කිරීමට, විකේතනය කිරීමට සහ ධාවනය කිරීමට කාලසටහන් කාර්යයක් නිර්මාණය කළ PowerShell කේතය ධාවනය කළේය.

අනිෂ්ට මෘදුකාංග විකේතනය කිරීම

අපි සාම්පල විකේතනය කිරීමට ක්‍රම කිහිපයක් උත්සාහ කළද එය නිෂ්ඵල විය:

අතිවිශිෂ්ට "මැජික්" ක්රමය උත්සාහ කිරීමට අපි තීරණය කළ විට අපි අත්හැරීමට සූදානම්ව සිටියෙමු
උපයෝගිතා සයිබර් චෙෆ් GCHQ විසිනි. මැජික් විවිධ සංකේතාංකන වර්ග සඳහා තිරිසන් ලෙස බලහත්කාරයෙන් මුරපද සහ එන්ට්‍රොපිය මැනීම මගින් ගොනුවේ සංකේතනය අනුමාන කිරීමට උත්සාහ කරයි.

පරිවර්තකයාගේ සටහන බලන්නඅවකල එන්ට්රොපිය и තොරතුරු න්‍යායේ එන්ට්‍රොපි. මෙම ලිපිය සහ අදහස් තෙවන පාර්ශවීය හෝ හිමිකාර මෘදුකාංගවල භාවිතා කරන ක්‍රම පිළිබඳ විස්තර කතුවරුන්ගේ පාර්ශවයෙන් සාකච්ඡාවට සම්බන්ධ නොවේ.


මැජික් විසින් Base64 කේතනය කරන ලද GZip ඇසුරුමක් භාවිතා කර ඇති බව තීරණය කරන ලදී, එබැවින් අපට ගොනුව විසංයෝජනය කර ඉන්ජෙක්ෂන් කේතය සොයා ගැනීමට හැකි විය.

ඩ්‍රොපර්: “ප්‍රදේශයේ වසංගතයක් තිබේ! සාමාන්ය එන්නත්. පාද සහ මුඛ රෝග"

ඩ්‍රොපර් එක කිසිම ආරක්ෂාවක් නැති සාමාන්‍ය .NET ගොනුවක් විය. සමඟ මූලාශ්ර කේතය කියවීමෙන් පසු DNSpy Winlogon.exe ක්‍රියාවලියට shellcode එන්නත් කිරීම එහි එකම අරමුණ බව අපට වැටහුණි.

Shellcode හෝ සරල සංකූලතා

අපි Hexacorn කර්තෘ මෙවලම භාවිතා කළෙමු - shellcode2exe නිදොස්කරණය සහ විශ්ලේෂණය සඳහා ක්‍රියාත්මක කළ හැකි ගොනුවක් බවට shellcode "සම්පාදනය" කිරීම සඳහා. එය 32 සහ 64 බිට් යන්ත්‍ර දෙකෙහිම ක්‍රියා කරන බව අපි පසුව සොයා ගත්තෙමු.

ස්වදේශීය එකලස් භාෂා පරිවර්තනයකින් සරල shellcode ලිවීම පවා අපහසු විය හැකි නමුත් පද්ධති දෙකෙහිම ක්‍රියා කරන සම්පූර්ණ shellcode ලිවීමට ප්‍රභූ කුසලතා අවශ්‍ය වේ, එබැවින් අපි ප්‍රහාරකයාගේ නවීනත්වය ගැන පුදුම වීමට පටන් ගත්තෙමු.

අපි සම්පාදනය කරන ලද shellcode භාවිතා කර විග්‍රහ කළ විට x64dbg, ඔහු පටවන බව අපි දුටුවෙමු .NET ගතික පුස්තකාල clr.dll සහ mscoreei.dll වැනි. මෙය අපට අමුතු දෙයක් ලෙස පෙනුනි - සාමාන්‍යයෙන් ප්‍රහාරකයින් shellcode පූරණය කිරීම වෙනුවට ස්වදේශීය OS ශ්‍රිතයන් ඇමතීමෙන් හැකි තරම් කුඩා කිරීමට උත්සාහ කරයි. ඕනෑම කෙනෙකුට වින්ඩෝස් ක්‍රියාකාරීත්වය ඉල්ලුම මත කෙලින්ම ඇමතීම වෙනුවට shellcode තුළට කාවැද්දීමට අවශ්‍ය වන්නේ ඇයි?

පෙනෙන පරිදි, අනිෂ්ට මෘදුකාංගයේ කතුවරයා මෙම සංකීර්ණ ෂෙල් කේතය කිසිසේත් ලියා නැත - ක්‍රියාත්මක කළ හැකි ගොනු සහ ස්ක්‍රිප්ට් ෂෙල්කෝඩ් බවට පරිවර්තනය කිරීමට මෙම කාර්යයට විශේෂිත වූ මෘදුකාංගයක් භාවිතා කරන ලදී.

අපි මෙවලමක් සොයාගත්තා ඩෝනට්, අපි හිතුවා සමාන shellcode එකක් සම්පාදනය කරන්න පුළුවන් කියලා. GitHub වෙතින් එහි විස්තරය මෙන්න:

ඩෝනට් VBScript, JScript, EXE, DLL (.NET එකලස් කිරීම් ඇතුළුව) වෙතින් x86 හෝ x64 shellcode ජනනය කරයි. මෙම shellcode එක ක්‍රියාත්මක කිරීම සඳහා ඕනෑම Windows ක්‍රියාවලියකට එන්නත් කළ හැක
අහඹු ප්‍රවේශ මතකය.

අපගේ න්‍යාය තහවුරු කිරීම සඳහා, අපි ඩෝනට් භාවිතයෙන් අපගේම කේතයක් සම්පාදනය කර එය සාම්පලයට සංසන්දනය කළෙමු - සහ... ඔව්, අපි භාවිතා කළ මෙවලම් කට්ටලයේ තවත් අංගයක් සොයා ගත්තෙමු. මෙයින් පසු, අපට දැනටමත් මුල් .NET ක්‍රියාත්මක කළ හැකි ගොනුව උපුටා ගැනීමට සහ විශ්ලේෂණය කිරීමට හැකි විය.

කේත ආරක්ෂණය

මෙම ගොනුව භාවිතයෙන් අපැහැදිලි කර ඇත ConfuserEx:

ConfuserEx යනු වෙනත් සංවර්ධන කේතය ආරක්ෂා කිරීම සඳහා විවෘත මූලාශ්‍ර .NET ව්‍යාපෘතියකි. මෙම මෘදුකාංග පන්තිය සංවර්ධකයින්ට අක්ෂර ආදේශනය, පාලන විධාන ප්‍රවාහ ආවරණ සහ විමර්ශන ක්‍රම සැඟවීම වැනි ක්‍රම භාවිතා කරමින් ප්‍රතිලෝම ඉංජිනේරු විද්‍යාවෙන් ඔවුන්ගේ කේතය ආරක්ෂා කිරීමට ඉඩ සලසයි. අනිෂ්ට මෘදුකාංග කතුවරුන් හඳුනාගැනීමෙන් වැළකී සිටීමට සහ ප්‍රතිලෝම ඉංජිනේරුකරණය වඩාත් අපහසු කිරීමට අපැහැදිලි යන්ත්‍ර භාවිතා කරයි.

ස්තුතියි ElektroKill Unpacker අපි කේතය ඉවත් කළා:

ප්රතිඵලය - ගෙවීම

එහි ප්‍රතිඵලයක් ලෙස ලැබෙන Payload ඉතා සරල ransomware වෛරසයකි. පද්ධතියේ පැවැත්ම සහතික කිරීමට යාන්ත්‍රණයක් නැත, විධාන මධ්‍යස්ථානයට සම්බන්ධතා නොමැත - වින්දිතයාගේ දත්ත කියවිය නොහැකි බවට පත් කිරීම සඳහා හොඳ පැරණි අසමමිතික සංකේතනයකි.

ප්රධාන කාර්යය පරාමිති ලෙස පහත රේඛා තෝරා ගනී:

• සංකේතනය කිරීමෙන් පසු භාවිතා කිරීමට ගොනු දිගුව (SaveTheQueen)
• කප්පම් සටහන් ගොනුවේ තැබීමට කර්තෘගේ ඊමේල්
• ගොනු සංකේතනය කිරීමට භාවිතා කරන පොදු යතුර

ක්රියාවලියම මේ ආකාරයෙන් පෙනේ:

1. අනිෂ්ට මෘදුකාංග වින්දිතයාගේ උපාංගයේ දේශීය සහ සම්බන්ධිත ධාවකයන් පරීක්ෂා කරයි

   

2. සංකේතනය කිරීමට ගොනු සොයයි

   

3. එය සංකේතනය කිරීමට ආසන්න ගොනුවක් භාවිතා කරන ක්‍රියාවලියක් අවසන් කිරීමට උත්සාහ කරයි
4. MoveFile ශ්‍රිතය භාවිතයෙන් ගොනුව "OriginalFileName.SaveTheQueenING" ලෙස නැවත නම් කර එය සංකේතනය කරයි
5. ගොනුව කර්තෘගේ පොදු යතුර සමඟ සංකේතනය කළ පසු, අනිෂ්ට මෘදුකාංග එය නැවත නම් කරයි, දැන් "Original FileName.SaveTheQueen" වෙත
6. කප්පම් ඉල්ලීමක් සහිත ගොනුවක් එකම ෆෝල්ඩරයට ලියා ඇත

   

දේශීය "CreateDecryptor" ශ්‍රිතයේ භාවිතය මත පදනම්ව, අනිෂ්ට මෘදුකාංගයේ එක් කාර්යයක පුද්ගලික යතුරක් අවශ්‍ය වන විකේතන යාන්ත්‍රණයක් පරාමිතියක් ලෙස අඩංගු වන බව පෙනේ.

Ransomware වෛරසය ගොනු සංකේතනය නොකරයි, නාමාවලි තුළ ගබඩා කර ඇත:

C: windows
C: වැඩසටහන් ගොනු
C:වැඩසටහන් ගොනු (x86)
C:පරිශීලකයින්\AppData
C:inetpub

ඔහුත් පහත ගොනු වර්ග සංකේතනය නොකරයි:EXE, DLL, MSI, ISO, SYS, CAB.

ප්රතිඵල සහ නිගමන

ransomware හි අසාමාන්‍ය විශේෂාංග කිසිවක් නොතිබුණද, ප්‍රහාරකයා විසින් dropper බෙදා හැරීම සඳහා Active Directory නිර්මාණශීලීව භාවිතා කළ අතර, අනිෂ්ට මෘදුකාංග විසින්ම අපට සිත්ගන්නාසුළු, අවසානයේදී සංකීර්ණ නොවූවත්, විශ්ලේෂණයේදී බාධා ඉදිරිපත් කළේය.

අපි හිතන්නේ අනිෂ්ට මෘදුකාංගයේ කතුවරයා:

1. winlogon.exe ක්‍රියාවලියට ඇතුළු කරන ලද එන්නත් සහිත ransomware වෛරසයක් ලිවීය.
   ගොනු සංකේතනය සහ විකේතනය කිරීමේ ක්‍රියාකාරිත්වය
2. ConfuserEx භාවිතයෙන් අනිෂ්ට කේතය වසන් කර, ඩෝනට් භාවිතයෙන් ප්‍රතිඵලය පරිවර්තනය කර ඊට අමතරව base64 Gzip dropper සඟවා තැබීය
3. වින්දිතයාගේ වසම තුළ උසස් වරප්‍රසාද ලබාගෙන ඒවා පිටපත් කිරීමට භාවිතා කළේය
   සංකේතාත්මක අනිෂ්ට මෘදුකාංග සහ කාලසටහන්ගත රැකියා වසම් පාලක වල SYSVOL ජාල ෆෝල්ඩරයට
4. අනිෂ්ට මෘදුකාංග පැතිරීමට සහ SYSVOL හි ලොග් වල ප්‍රහාර ප්‍රගතිය වාර්තා කිරීමට වසම් උපාංග මත PowerShell ස්ක්‍රිප්ට් එකක් ධාවනය කරන්න

ransomware වෛරසයේ මෙම ප්‍රභේදය හෝ අපගේ කණ්ඩායම් විසින් සිදු කරන ලද වෙනත් අධිකරණ වෛද්‍ය විද්‍යාව සහ සයිබර් ආරක්ෂණ සිද්ධි විමර්ශන පිළිබඳව ඔබට ප්‍රශ්න තිබේ නම්, අප අමතන්න හෝ ඉල්ලීම ප්රහාරයන්ට ප්රතිචාර දැක්වීමේ සජීවී නිරූපණය, අපි සෑම විටම ප්‍රශ්න සහ පිළිතුරු සැසියකදී ප්‍රශ්නවලට පිළිතුරු සපයන තැන.

මූලාශ්රය: www.habr.com