Nova različica izsiljevalske programske opreme šifrira datoteke in jim doda pripono ".SaveTheQueen", ki se širi po omrežni mapi SYSVOL na krmilnikih domen Active Directory.
Naše stranke so nedavno naletele na to zlonamerno programsko opremo. Spodaj predstavljamo celotno analizo, njene rezultate in zaključke.
Zaznavanje
Ena od naših strank nas je kontaktirala, potem ko je naletela na novo vrsto izsiljevalske programske opreme, ki je novim šifriranim datotekam v njihovem okolju dodajala pripono ».SaveTheQueen«.
Med preiskavo, oziroma v fazi iskanja virov okužbe, smo ugotovili, da je distribucija in sledenje okuženih žrtev potekalo z omrežna mapa SYSVOL na strankinem krmilniku domene.
SYSVOL je ključna mapa za vsak krmilnik domene, ki se uporablja za dostavo predmetov pravilnika skupine (GPO) ter skriptov za prijavo in odjavo v računalnike v domeni. Vsebina te mape se podvaja med krmilniki domene za sinhronizacijo teh podatkov na spletnih mestih organizacije. Pisanje v SYSVOL zahteva visoke domenske privilegije, vendar pa, ko je ogroženo, to sredstvo postane močno orodje za napadalce, ki ga lahko uporabijo za hitro in učinkovito širjenje zlonamernega tovora po domeni.
Revizijska veriga Varonis je pomagala hitro prepoznati naslednje:
- Okuženi uporabniški račun je v SYSVOL ustvaril datoteko z imenom "hourly".
- V SYSVOL je bilo ustvarjenih veliko dnevniških datotek - vsaka je poimenovana z imenom domenske naprave
- Veliko različnih naslovov IP je dostopalo do "urne" datoteke
Ugotovili smo, da so bile dnevniške datoteke uporabljene za sledenje procesu okužbe na novih napravah in da je bilo »urno« načrtovano opravilo, ki je izvajalo zlonamerno obremenitev na novih napravah s pomočjo skripta Powershell – vzorci »v3« in »v4«.
Napadalec je verjetno pridobil in uporabil skrbniške pravice domene za pisanje datotek v SYSVOL. Na okuženih gostiteljih je napadalec zagnal kodo PowerShell, ki je ustvarila opravilo urnika za odpiranje, dešifriranje in zagon zlonamerne programske opreme.
Dešifriranje zlonamerne programske opreme
Preizkusili smo več načinov za dešifriranje vzorcev, vendar neuspešno:
Skoraj smo že bili pripravljeni obupati, ko smo se odločili preizkusiti »Magično« metodo veličastnega
gospodarske javne službe avtor GCHQ. Magic poskuša uganiti šifriranje datoteke z nasilnim vsiljevanjem gesel za različne vrste šifriranja in merjenjem entropije.
Opomba prevajalca Glej и . Ta članek in komentarji ne vključujejo razprave s strani avtorjev o podrobnostih metod, uporabljenih v programski opremi tretjih oseb ali lastniški programski opremi
Magic je ugotovil, da je bil uporabljen paker GZip, kodiran base64, tako da smo lahko datoteko razpakirali in odkrili kodo za vstavljanje.
Dropper: »V okolici je epidemija! Splošna cepljenja. Slinavka in parkljevka"
Dropper je bila običajna datoteka .NET brez kakršne koli zaščite. Po branju izvorne kode z ugotovili smo, da je bil njegov edini namen vbrizgati ukazno kodo v proces winlogon.exe.
Shellcode ali preprosti zapleti
Uporabili smo avtorsko orodje Hexacorn − da bi "prevedli" lupinsko kodo v izvršljivo datoteko za odpravljanje napak in analizo. Nato smo odkrili, da deluje na 32-bitnih in 64-bitnih strojih.
Pisanje celo enostavne lupinske kode v prevodu maternega zbirnega jezika je lahko težavno, toda pisanje popolne lupinske kode, ki deluje na obeh vrstah sistemov, zahteva vrhunsko znanje, zato smo se začeli čuditi prefinjenosti napadalca.
Ko smo prevedeno ukazno kodo razčlenili z uporabo , smo opazili, da se je nalagal .NET dinamične knjižnice , kot sta clr.dll in mscoreei.dll. To se nam je zdelo nenavadno - običajno napadalci poskušajo narediti lupinsko kodo čim manjšo s klicanjem izvornih funkcij OS, namesto da bi jih naložili. Zakaj bi kdo moral vdelati funkcionalnost sistema Windows v lupinsko kodo, namesto da bi jo poklical neposredno na zahtevo?
Kot se je izkazalo, avtor zlonamerne programske opreme sploh ni napisal te zapletene lupinske kode - programska oprema, specifična za to nalogo, je bila uporabljena za prevajanje izvršljivih datotek in skriptov v lupinsko kodo.
Našli smo orodje , za katerega smo mislili, da bi lahko sestavil podobno shellcode. Tu je njegov opis iz GitHuba:
Donut ustvari lupinsko kodo x86 ali x64 iz VBScript, JScript, EXE, DLL (vključno s sklopi .NET). To lupinsko kodo je mogoče vnesti v kateri koli proces Windows, da se v njem izvede
pomnilnik z naključnim dostopom.
Da bi potrdili našo teorijo, smo sestavili lastno kodo z uporabo Donut in jo primerjali z vzorcem – in ... da, odkrili smo še eno komponento uporabljenega orodja. Po tem smo lahko ekstrahirali in analizirali izvirno izvedljivo datoteko .NET.
Zaščita kode
Ta datoteka je bila zakrita z uporabo :
ConfuserEx je odprtokodni projekt .NET za zaščito kode drugega razvoja. Ta razred programske opreme omogoča razvijalcem, da zaščitijo svojo kodo pred obratnim inženiringom z uporabo metod, kot so zamenjava znakov, maskiranje toka nadzornega ukaza in skrivanje referenčne metode. Avtorji zlonamerne programske opreme uporabljajo obfuskatorje, da se izognejo odkrivanju in otežijo obratni inženiring.
S razpakirali smo kodo:
Rezultat - tovor
Nastali tovor je zelo preprost virus izsiljevalske programske opreme. Nobenega mehanizma, ki bi zagotovil prisotnost v sistemu, nobenih povezav z ukaznim centrom - samo dobro staro asimetrično šifriranje, ki naredi podatke žrtve neberljive.
Glavna funkcija izbere naslednje vrstice kot parametre:
- Pripona datoteke za uporabo po šifriranju (SaveTheQueen)
- E-poštni naslov avtorja, ki ga želite shraniti v datoteko z obvestilom o odkupnini
- Javni ključ, ki se uporablja za šifriranje datotek
Sam postopek izgleda takole:
- Zlonamerna programska oprema preiskuje lokalne in povezane pogone na žrtvini napravi
- Išče datoteke za šifriranje
- Poskuša prekiniti proces, ki uporablja datoteko, ki jo namerava šifrirati
- Preimenuje datoteko v "OriginalFileName.SaveTheQueenING" s funkcijo MoveFile in jo šifrira
- Ko je datoteka šifrirana z avtorjevim javnim ključem, jo zlonamerna programska oprema znova preimenuje, zdaj v "Original FileName.SaveTheQueen"
- V isto mapo se zapiše datoteka z zahtevo po odkupnini
Na podlagi uporabe izvorne funkcije "CreateDecryptor" se zdi, da ena od funkcij zlonamerne programske opreme kot parameter vsebuje mehanizem za dešifriranje, ki zahteva zasebni ključ.
izsiljevalski virus NE šifrira datotek, shranjeno v imenikih:
C: okna
C: Program Files
C: Programske datoteke (x86)
C:Uporabniki\AppData
C:inetpub
Tudi on NE šifrira naslednjih vrst datotek:EXE, DLL, MSI, ISO, SYS, CAB.
Rezultati in zaključki
Čeprav sama izsiljevalska programska oprema ni vsebovala nobenih neobičajnih funkcij, je napadalec ustvarjalno uporabil Active Directory za distribucijo kapalke, sama zlonamerna programska oprema pa nam je med analizo predstavljala zanimive, čeprav navsezadnje nezapletene ovire.
Menimo, da je avtor zlonamerne programske opreme:
- Napisal izsiljevalski virus z vgrajeno injekcijo v proces winlogon.exe, kot tudi
funkcijo šifriranja in dešifriranja datotek - Zlonamerno kodo je prikril s ConfuserEx, rezultat pretvoril z Donut in dodatno skril base64 Gzip dropper
- Pridobil povišane privilegije v domeni žrtve in jih uporabil za kopiranje
šifrirano zlonamerno programsko opremo in načrtovana opravila v omrežno mapo SYSVOL krmilnikov domene - Zaženite skript PowerShell na domenskih napravah za širjenje zlonamerne programske opreme in beleženje napredka napada v dnevnikih v SYSVOL
Če imate vprašanja o tej različici virusa izsiljevalske programske opreme ali drugih preiskavah forenzike in kibernetske varnosti, ki jih izvajajo naše ekipe, ali zahtevo , kjer vedno odgovarjamo na vprašanja v seji vprašanj in odgovorov.
Vir: www.habr.com