Nova različica izsiljevalske programske opreme šifrira datoteke in jim doda pripono ".SaveTheQueen", ki se širi po omrežni mapi SYSVOL na krmilnikih domen Active Directory.
Naše stranke so nedavno naletele na to zlonamerno programsko opremo. Spodaj predstavljamo celotno analizo, njene rezultate in zaključke.
Zaznavanje
Ena od naših strank nas je kontaktirala, potem ko je naletela na novo vrsto izsiljevalske programske opreme, ki je novim šifriranim datotekam v njihovem okolju dodajala pripono ».SaveTheQueen«.
Med preiskavo, oziroma v fazi iskanja virov okužbe, smo ugotovili, da je distribucija in sledenje okuženih žrtev potekalo z omrežna mapa SYSVOL na strankinem krmilniku domene.
SYSVOL je ključna mapa za vsak krmilnik domene, ki se uporablja za dostavo predmetov pravilnika skupine (GPO) ter skriptov za prijavo in odjavo v računalnike v domeni. Vsebina te mape se podvaja med krmilniki domene za sinhronizacijo teh podatkov na spletnih mestih organizacije. Pisanje v SYSVOL zahteva visoke domenske privilegije, vendar pa, ko je ogroženo, to sredstvo postane močno orodje za napadalce, ki ga lahko uporabijo za hitro in učinkovito širjenje zlonamernega tovora po domeni.
Revizijska veriga Varonis je pomagala hitro prepoznati naslednje:
- Okuženi uporabniški račun je v SYSVOL ustvaril datoteko z imenom "hourly".
- V SYSVOL je bilo ustvarjenih veliko dnevniških datotek - vsaka je poimenovana z imenom domenske naprave
- Veliko različnih naslovov IP je dostopalo do "urne" datoteke
Ugotovili smo, da so bile dnevniške datoteke uporabljene za sledenje procesu okužbe na novih napravah in da je bilo »urno« načrtovano opravilo, ki je izvajalo zlonamerno obremenitev na novih napravah s pomočjo skripta Powershell – vzorci »v3« in »v4«.
Napadalec je verjetno pridobil in uporabil skrbniške pravice domene za pisanje datotek v SYSVOL. Na okuženih gostiteljih je napadalec zagnal kodo PowerShell, ki je ustvarila opravilo urnika za odpiranje, dešifriranje in zagon zlonamerne programske opreme.
Dešifriranje zlonamerne programske opreme
Preizkusili smo več načinov za dešifriranje vzorcev, vendar neuspešno:
Skoraj smo že bili pripravljeni obupati, ko smo se odločili preizkusiti »Magično« metodo veličastnega
gospodarske javne službe
Opomba prevajalca Glej
Magic je ugotovil, da je bil uporabljen paker GZip, kodiran base64, tako da smo lahko datoteko razpakirali in odkrili kodo za vstavljanje.
Dropper: »V okolici je epidemija! Splošna cepljenja. Slinavka in parkljevka"
Dropper je bila običajna datoteka .NET brez kakršne koli zaščite. Po branju izvorne kode z
Shellcode ali preprosti zapleti
Uporabili smo avtorsko orodje Hexacorn −
Pisanje celo enostavne lupinske kode v prevodu maternega zbirnega jezika je lahko težavno, toda pisanje popolne lupinske kode, ki deluje na obeh vrstah sistemov, zahteva vrhunsko znanje, zato smo se začeli čuditi prefinjenosti napadalca.
Ko smo prevedeno ukazno kodo razčlenili z uporabo
Kot se je izkazalo, avtor zlonamerne programske opreme sploh ni napisal te zapletene lupinske kode - programska oprema, specifična za to nalogo, je bila uporabljena za prevajanje izvršljivih datotek in skriptov v lupinsko kodo.
Našli smo orodje
Donut ustvari lupinsko kodo x86 ali x64 iz VBScript, JScript, EXE, DLL (vključno s sklopi .NET). To lupinsko kodo je mogoče vnesti v kateri koli proces Windows, da se v njem izvede
pomnilnik z naključnim dostopom.
Da bi potrdili našo teorijo, smo sestavili lastno kodo z uporabo Donut in jo primerjali z vzorcem – in ... da, odkrili smo še eno komponento uporabljenega orodja. Po tem smo lahko ekstrahirali in analizirali izvirno izvedljivo datoteko .NET.
Zaščita kode
Ta datoteka je bila zakrita z uporabo
ConfuserEx je odprtokodni projekt .NET za zaščito kode drugega razvoja. Ta razred programske opreme omogoča razvijalcem, da zaščitijo svojo kodo pred obratnim inženiringom z uporabo metod, kot so zamenjava znakov, maskiranje toka nadzornega ukaza in skrivanje referenčne metode. Avtorji zlonamerne programske opreme uporabljajo obfuskatorje, da se izognejo odkrivanju in otežijo obratni inženiring.
S
Rezultat - tovor
Nastali tovor je zelo preprost virus izsiljevalske programske opreme. Nobenega mehanizma, ki bi zagotovil prisotnost v sistemu, nobenih povezav z ukaznim centrom - samo dobro staro asimetrično šifriranje, ki naredi podatke žrtve neberljive.
Glavna funkcija izbere naslednje vrstice kot parametre:
- Pripona datoteke za uporabo po šifriranju (SaveTheQueen)
- E-poštni naslov avtorja, ki ga želite shraniti v datoteko z obvestilom o odkupnini
- Javni ključ, ki se uporablja za šifriranje datotek
Sam postopek izgleda takole:
- Zlonamerna programska oprema preiskuje lokalne in povezane pogone na žrtvini napravi
- Išče datoteke za šifriranje
- Poskuša prekiniti proces, ki uporablja datoteko, ki jo namerava šifrirati
- Preimenuje datoteko v "OriginalFileName.SaveTheQueenING" s funkcijo MoveFile in jo šifrira
- Ko je datoteka šifrirana z avtorjevim javnim ključem, jo zlonamerna programska oprema znova preimenuje, zdaj v "Original FileName.SaveTheQueen"
- V isto mapo se zapiše datoteka z zahtevo po odkupnini
Na podlagi uporabe izvorne funkcije "CreateDecryptor" se zdi, da ena od funkcij zlonamerne programske opreme kot parameter vsebuje mehanizem za dešifriranje, ki zahteva zasebni ključ.
izsiljevalski virus NE šifrira datotek, shranjeno v imenikih:
C: okna
C: Program Files
C: Programske datoteke (x86)
C:Uporabniki\AppData
C:inetpub
Tudi on NE šifrira naslednjih vrst datotek:EXE, DLL, MSI, ISO, SYS, CAB.
Rezultati in zaključki
Čeprav sama izsiljevalska programska oprema ni vsebovala nobenih neobičajnih funkcij, je napadalec ustvarjalno uporabil Active Directory za distribucijo kapalke, sama zlonamerna programska oprema pa nam je med analizo predstavljala zanimive, čeprav navsezadnje nezapletene ovire.
Menimo, da je avtor zlonamerne programske opreme:
- Napisal izsiljevalski virus z vgrajeno injekcijo v proces winlogon.exe, kot tudi
funkcijo šifriranja in dešifriranja datotek - Zlonamerno kodo je prikril s ConfuserEx, rezultat pretvoril z Donut in dodatno skril base64 Gzip dropper
- Pridobil povišane privilegije v domeni žrtve in jih uporabil za kopiranje
šifrirano zlonamerno programsko opremo in načrtovana opravila v omrežno mapo SYSVOL krmilnikov domene - Zaženite skript PowerShell na domenskih napravah za širjenje zlonamerne programske opreme in beleženje napredka napada v dnevnikih v SYSVOL
Če imate vprašanja o tej različici virusa izsiljevalske programske opreme ali drugih preiskavah forenzike in kibernetske varnosti, ki jih izvajajo naše ekipe,
Vir: www.habr.com