Nový kmeň ransomvéru šifruje súbory a pridáva k nim rozšírenie „.SaveTheQueen“, ktoré sa šíri cez sieťový priečinok SYSVOL na radičoch domény Active Directory.
Naši zákazníci sa s týmto škodlivým softvérom stretli nedávno. Nižšie uvádzame našu úplnú analýzu, jej výsledky a závery.
odhalenie
Jeden z našich zákazníkov nás kontaktoval po tom, čo sa stretol s novým kmeňom ransomvéru, ktorý pridával rozšírenie „.SaveTheQueen“ k novým šifrovaným súborom v ich prostredí.
Počas nášho vyšetrovania, respektíve v štádiu hľadania zdrojov nákazy sme zistili, že distribúcia a sledovanie infikovaných obetí prebiehalo pomocou sieťový priečinok SYSVOL na radiči domény zákazníka.
SYSVOL je kľúčový priečinok pre každý radič domény, ktorý sa používa na doručovanie objektov zásad skupiny (GPO) a prihlasovacích a odhlasovacích skriptov do počítačov v doméne. Obsah tohto priečinka sa replikuje medzi radičmi domény, aby sa tieto údaje synchronizovali na lokalitách organizácie. Zápis do SYSVOL vyžaduje vysoké privilégiá domény, avšak akonáhle je toto aktívum kompromitované, stáva sa výkonným nástrojom pre útočníkov, ktorí ho môžu použiť na rýchle a efektívne šírenie škodlivého obsahu v celej doméne.
Reťazec auditov Varonis pomohol rýchlo identifikovať nasledovné:
- Infikovaný používateľský účet vytvoril súbor s názvom „hodinový“ v SYSVOL
- Mnoho protokolových súborov bolo vytvorených v SYSVOL – každý pomenovaný názvom doménového zariadenia
- K „hodinovému“ súboru pristupovalo mnoho rôznych IP adries
Dospeli sme k záveru, že súbory denníka sa používali na sledovanie procesu infekcie na nových zariadeniach a že „hodinová“ bola naplánovaná úloha, ktorá spúšťala škodlivé užitočné zaťaženie na nových zariadeniach pomocou skriptu Powershell – vzorky „v3“ a „v4“.
Útočník pravdepodobne získal a použil oprávnenia správcu domény na zapisovanie súborov do SYSVOL. Na infikovaných hostiteľoch útočník spustil kód PowerShell, ktorý vytvoril plánovaciu úlohu na otvorenie, dešifrovanie a spustenie malvéru.
Dešifrovanie škodlivého softvéru
Vyskúšali sme niekoľko spôsobov, ako dešifrovať vzorky, ale bez úspechu:
Boli sme takmer pripravení vzdať sa, keď sme sa rozhodli vyskúšať metódu „Magic“ nádherného
komunálne služby od GCHQ. Magic sa pokúša uhádnuť šifrovanie súboru hrubým vynútením hesiel pre rôzne typy šifrovania a meraním entropie.
Poznámka prekladateľa Vidieť и . Tento článok a komentáre nezahŕňajú diskusiu zo strany autorov o podrobnostiach metód používaných v softvéri tretích strán alebo v proprietárnom softvéri
Magic zistil, že bol použitý balič GZip s kódovaním base64, takže sme boli schopní dekomprimovať súbor a objaviť injekčný kód.
Dropper: „V oblasti je epidémia! Všeobecné očkovania. slintačka a krívačka"
Dropper bol obyčajný súbor .NET bez akejkoľvek ochrany. Po prečítaní zdrojového kódu s uvedomili sme si, že jeho jediným účelom bolo vložiť shell kód do procesu winlogon.exe.
Shellcode alebo jednoduché komplikácie
Použili sme autorský nástroj Hexacorn − s cieľom „skompilovať“ shell kód do spustiteľného súboru na ladenie a analýzu. Potom sme zistili, že to funguje na 32 aj 64 bitových strojoch.
Napísať čo i len jednoduchý shell kód v preklade natívneho assembleru môže byť ťažké, ale napísanie úplného shell kódu, ktorý funguje na oboch typoch systémov, si vyžaduje elitné zručnosti, takže sme začali žasnúť nad sofistikovanosťou útočníka.
Keď sme analyzovali skompilovaný shell kód pomocou , všimli sme si, že nakladá Dynamické knižnice .NET , ako napríklad clr.dll a mscoreei.dll. Zdalo sa nám to zvláštne – útočníci sa zvyčajne snažia urobiť shell kód čo najmenší tak, že namiesto ich načítania volajú funkcie natívneho OS. Prečo by niekto potreboval vložiť funkčnosť systému Windows do kódu shell namiesto toho, aby ho volal priamo na požiadanie?
Ako sa ukázalo, autor malvéru tento zložitý shell kód vôbec nenapísal – na preklad spustiteľných súborov a skriptov do shell kódu bol použitý softvér špecifický pre túto úlohu.
Našli sme nástroj , o ktorom sme si mysleli, že dokáže skompilovať podobný shell kód. Tu je jeho popis z GitHubu:
Donut generuje x86 alebo x64 shell kód z VBScript, JScript, EXE, DLL (vrátane .NET zostáv). Tento shell kód možno vložiť do akéhokoľvek procesu Windows, v ktorom sa má spustiť
RAM.
Aby sme potvrdili našu teóriu, zostavili sme vlastný kód pomocou Donutu a porovnali ho so vzorkou – a... áno, objavili sme ďalší komponent použitej sady nástrojov. Potom sme už boli schopní extrahovať a analyzovať pôvodný spustiteľný súbor .NET.
Ochrana kódom
Tento súbor bol obfuskovaný pomocou :
ConfuserEx je open source .NET projekt na ochranu kódu iného vývoja. Táto trieda softvéru umožňuje vývojárom chrániť svoj kód pred reverzným inžinierstvom pomocou metód, ako je nahradenie znakov, maskovanie toku riadiacich príkazov a skrytie referenčných metód. Autori malvéru používajú obfuskátory, aby sa vyhli detekcii a sťažili spätné inžinierstvo.
vďaka rozbalili sme kód:
Výsledok - užitočné zaťaženie
Výsledné užitočné zaťaženie je veľmi jednoduchý vírus ransomware. Žiadny mechanizmus na zabezpečenie prítomnosti v systéme, žiadne spojenia s veliteľským centrom – len staré dobré asymetrické šifrovanie, aby boli údaje obete nečitateľné.
Hlavná funkcia vyberie nasledujúce riadky ako parametre:
- Prípona súboru, ktorá sa má použiť po šifrovaní (SaveTheQueen)
- E-mail autora, ktorý sa má umiestniť do súboru s poznámkou o výkupnom
- Verejný kľúč používaný na šifrovanie súborov
Samotný proces vyzerá takto:
- Malvér skúma miestne a pripojené jednotky na zariadení obete
- Hľadá súbory na šifrovanie
- Pokúsi sa ukončiť proces, ktorý používa súbor, ktorý sa chystá zašifrovať
- Premenuje súbor na "OriginalFileName.SaveTheQueenING" pomocou funkcie MoveFile a zašifruje ho
- Po zašifrovaní súboru pomocou verejného kľúča autora ho malvér znova premenuje, teraz na „Original FileName.SaveTheQueen“
- Súbor s požiadavkou na výkupné sa zapíše do rovnakého priečinka
Na základe použitia natívnej funkcie „CreateDecryptor“ sa zdá, že jedna z funkcií malvéru obsahuje ako parameter dešifrovací mechanizmus, ktorý vyžaduje súkromný kľúč.
Ransomware vírus NEŠIFRUJE súbory, uložené v adresároch:
C: okná
C: Program Files
C: Program Files (x86)
C:Users\AppData
C:inetpub
On tiež NEŠIFRUJE nasledujúce typy súborov:EXE, DLL, MSI, ISO, SYS, CAB.
Výsledky a závery
Hoci samotný ransomvér neobsahoval žiadne nezvyčajné funkcie, útočník kreatívne využil Active Directory na distribúciu droppera a samotný malvér nám pri analýze predstavoval zaujímavé, aj keď v konečnom dôsledku nekomplikované prekážky.
Myslíme si, že autorom malvéru je:
- Napísal ransomware vírus so zabudovanou injekciou do procesu winlogon.exe, ako aj
funkcie šifrovania a dešifrovania súborov - Zamaskoval škodlivý kód pomocou ConfuserEx, konvertoval výsledok pomocou Donut a navyše skryl kvapkadlo base64 Gzip
- Získal zvýšené privilégiá v doméne obete a použil ich na kopírovanie
zašifrovaný malvér a plánované úlohy do sieťového priečinka SYSVOL radičov domény - Spustite skript PowerShell na doménových zariadeniach na šírenie malvéru a zaznamenávanie priebehu útoku do denníkov v SYSVOL
Ak máte otázky týkajúce sa tohto variantu vírusu ransomware alebo akéhokoľvek iného forenzného vyšetrovania a vyšetrovania incidentov kybernetickej bezpečnosti, ktoré vykonali naše tímy, alebo žiadosť , kde vždy odpovedáme na otázky v relácii otázok a odpovedí.
Zdroj: hab.com