O se ituaiga fou o ransomware e fa'ailoga faila ma fa'aopoopoina se fa'aopoopoga ".SaveTheQueen" ia i latou, e sosolo atu i le SYSVOL network folder i Active Directory domain controllers.
O matou tagata fa'atau na feagai ma lenei malware talu ai nei. Matou te tuʻuina atu a matou auʻiliʻiliga atoa, o ona taunuuga ma faʻaiuga i lalo.
Mauaina
O se tasi o matou tagata fa'atau na fa'afeso'ota'ia i matou ina ua latou fa'afeiloa'i i se fa'alavelave fou o ransomware o lo'o fa'aopoopoina le fa'aopoopoga ".SaveTheQueen" i faila fa'ailoga fou i lo latou si'osi'omaga.
I le taimi o la matou suʻesuʻega, poʻo le tulaga o le suʻesuʻeina o faʻapogai o faʻamaʻi, na matou iloa ai o le tufatufaina atu ma le siakiina o tagata afaina na faʻaaogaina feso'ota'iga faila SYSVOL i luga ole pule ole vaega ole tagata fa'atau.
O le SYSVOL ose faila autu mo ta'iala ta'itasi o lo'o fa'aogaina e tu'uina atu ai Fa'atonu Faiga Fa'avae (GPOs) ma fa'ailoga ma logoff i komepiuta i totonu o le vaega. O mea o lo'o i totonu o lenei faila o lo'o fa'atusalia i le va o pule'aga o le domain e fa'amaopoopo ai fa'amaumauga i luga o saite a le fa'alapotopotoga. O le tusitusi i le SYSVOL e manaʻomia ai faʻamanuiaga maualuga, peitaʻi, pe a faʻafefeteina, o lenei aseta e avea ma meafaigaluega malosi mo tagata osofaʻi e mafai ona faʻaogaina e vave ma lelei le faʻasalalauina o totogi leaga i luga o se vaega.
Na fesoasoani vave le filifili su'etusi a Varonis e iloa ai mea nei:
- O le fa'amatalaga fa'aoga na a'afia na faia se faila e ta'ua o le "itula" i le SYSVOL
- E tele faila ogalaau na faia ile SYSVOL - e ta'i igoa ta'itasi ile igoa ole masini fa'aoga
- O le tele o tuatusi IP eseese na maua le faila "itula".
Na matou faʻaiʻuga o faila ogalaau na faʻaaogaina e siaki ai le faʻamaʻi pipisi i masini fou, ma o le "itula" o se galuega faʻatulagaina na faʻataunuʻuina ai le uta leaga i luga o masini fou e faʻaaoga ai le Powershell script - faʻataʻitaʻiga "v3" ma le "v4".
E foliga mai na maua e le tagata osofaʻi ma faʻaogaina avanoa pule pule e tusi ai faila i SYSVOL. I luga o tagata faʻamaʻi pipisi, na faʻatautaia e le tagata osofaʻi le PowerShell code na fatuina ai se galuega faʻatulagaina e tatala, faʻamalo, ma faʻatautaia le malware.
Decrypting le malware
Na matou taumafai i le tele o auala e faʻamalamalamaina ai faʻataʻitaʻiga e leai se aoga:
Na toetoe a matou sauni e faʻavaivai ina ua matou filifili e faʻataʻitaʻi le "Magic" metotia o le ofoofogia
mea faigaluega e le GCHQ. E taumafai le Magic e mate le fa'ailoga o se faila e ala i upu fa'amalosi fa'amalosi mo ituaiga fa'ailoga eseese ma le fuaina o le entropy.
Fa'amatalaga a le faaliliu Vaai и . O lenei tusiga ma faʻamatalaga e le aofia ai talanoaga i le vaega a le au tusitala o auiliiliga o metotia o loʻo faʻaaogaina i le isi vaega poʻo le polokalama faʻapitoa.
Na faʻamoemoe le Magic na faʻaaogaina se base64 faʻapipiʻi GZip packer, o lea na mafai ai ona matou faʻamalo le faila ma maua ai le tui tui.
Dropper: “O loʻo i ai se faʻamaʻi i le eria! Tuiina lautele. Fa'ama'i vae ma le gutu"
O le dropper o se faila .NET masani e aunoa ma se puipuiga. Ina ua uma ona faitau le source code ma Na matou iloa o lona faʻamoemoega e tuʻuina le shellcode i le winlogon.exe process.
Shellcode poʻo faʻalavelave faigofie
Na matou fa'aogaina le meafaigaluega tusitusi Hexacorn − ina ia mafai ona "faʻapipiʻi" le shellcode i totonu o se faila faʻaogaina mo le faʻapipiʻiina ma le auiliiliga. Ona matou iloa ai lea na aoga i masini 32 ma 64 bit.
O le tusiaina e oo lava i le shellcode faigofie i se faaliliuga o le gagana faʻapotopotoga faʻapitoa e mafai ona faigata, ae o le tusiaina o shellcode atoatoa e galue i ituaiga uma o faiga e manaʻomia ai tomai faʻapitoa, o lea na amata ai ona matou maofa i le atamai o le osofaʻiga.
Ina ua matou faʻavasegaina le shellcode tuufaatasia e faʻaaoga ai , sa matou matauina o loo uta o ia .NET faletusi malosi , pei ole clr.dll ma mscoreei.dll. E foliga ese lenei mea ia i matou - e masani ona taumafai le au osofaʻi e fai le shellcode ia laʻititi e mafai e ala i le valaʻau o galuega masani a le OS nai lo le utaina. Aisea e manaʻomia ai e se tasi le faʻapipiʻiina o galuega a Windows i totonu o le shellcode nai lo le valaʻau saʻo pe a manaʻomia?
O le mea na tupu, e leʻi tusia e le tusitala o le malware lenei shellcode lavelave - polokalama faʻapitoa i lenei galuega na faʻaaogaina e faʻaliliu ai faila ma tusitusiga i le shellcode.
Na matou mauaina se meafaigaluega , lea na matou manatu e mafai ona tuufaatasia se shellcode tutusa. O lona faʻamatalaga mai GitHub:
O le Donut e gaosia le x86 poʻo le x64 shellcode mai le VBScript, JScript, EXE, DLL (e aofia ai .NET assemblies). O lenei shellcode e mafai ona tui i soʻo se faiga Windows e faʻatino i totonu
manatua avanoa avanoa.
Ina ia faʻamaonia la matou aʻoaʻoga, matou te tuufaatasia a matou lava code e faʻaaoga ai le Donut ma faʻatusatusa i le faʻataʻitaʻiga - ma ... ioe, matou maua se isi vaega o le meafaigaluega na faʻaaogaina. Ina ua mae'a lea, ua mafai ona matou su'eina ma au'ili'ili le ulua'i .NET executable file.
Puipuiga tulafono
O lenei faila ua fa'anenefu fa'aoga :
ConfuserEx o se punaoa tatala .NET poloketi mo le puipuia o le tulafono o isi atinaʻe. O lenei vasega o polokalama faakomepiuta e mafai ai e le au atiaʻe ona puipuia a latou tulafono mai le faʻaaogaina o metotia e pei o le suitulaga o uiga, pulea le faʻafefe o le tafe, ma le auala e natia ai. E fa'aogaina e le au tusitala Malware ni mea e fa'afefeteina e 'alo ese ai mai le su'esu'eina ma fa'afaigata atili ai le fa'ainisinia fa'aliliu.
Faʻafetai na matou tatalaina le code:
I'uga - uta uta
Ole fa'ai'uga o le uta o se virus ransomware faigofie tele. Leai se masini e faʻamautinoa ai le i ai i totonu o le polokalama, leai se fesoʻotaʻiga i le nofoaga autu o faʻatonuga - naʻo le faʻamalamalamaga lelei tuai e le mafai ai ona faitau faʻamatalaga a le tagata manua.
O le galuega autu e filifilia laina nei e fai ma fa'amau:
- Fa'aopoopo faila e fa'aoga pe a uma fa'ailoga (SaveTheQueen)
- Le imeli a le tusitala e tu'u i le ransom note faila
- Ki fa'alemalo e fa'aoga e fa'ailoga faila
O le faagasologa lava ia e pei o lenei:
- E suʻesuʻe e le malware taʻavale faʻapitonuʻu ma fesoʻotaʻi i luga o le masini a le tagata manua
- Su'e faila e fa'ailoga
- Taumafai e fa'amutaina se fa'agasologa o lo'o fa'aogaina se faila o le a fa'apipi'i
- Toe fa'aigoa le faila i le "OriginalFileName.SaveTheQueenING" e fa'aaoga ai le galuega MoveFile ma fa'aigoaina.
- A maeʻa ona faʻailogaina le faila i le ki lautele a le tusitala, toe faʻaigoaina e le malware, i le taimi nei i le "Original FileName.SaveTheQueen"
- O se faila o loʻo iai se manaʻoga tau tupe e tusia i le faila lava e tasi
Faʻavae i luga o le faʻaogaina o le faʻaogaina o le "CreateDecryptor" galuega, o se tasi o galuega a le malware e foliga mai o loʻo i ai o se parakalafa se masini faʻamalo e manaʻomia ai se ki patino.
Ransomware virus E LE fa'ailoga faila, teu i totonu o fa'amaumauga:
C: faamalama
C: Polokalama Faila
C: Polokalama Polokalama (x86)
C:Users\AppData
C:inetpub
O ia foi E LE fa'ailogaina ituaiga faila nei:EXE, DLL, MSI, ISO, SYS, CAB.
Iʻuga ma faʻaiuga
E ui lava o le ransomware lava ia e leʻi i ai ni mea e le masani ai, na faʻaaogaina e le tagata osofaʻi le Active Directory e tufatufa atu ai le dropper, ma o le malware lava ia na tuʻuina mai ia i matou ni mea manaia, pe a fai e le faʻalavelave, faʻalavelave i le taimi o suʻesuʻega.
Matou te manatu o le tusitala o le malware o:
- Na tusia se virus ransomware ma tui totonu i totonu o le winlogon.exe process, faapea foi
fa'ailoga faila ma galuega fa'a'ese'ese - Fa'asese le fa'ailoga leaga e fa'aaoga ai le ConfuserEx, fa'aliliu le taunu'uga e fa'aaoga ai le Donut ma fa'apena fo'i natia le base64 Gzip dropper
- Na maua avanoa maualuga i le vaega a le tagata manua ma faʻaaogaina e kopi
encrypted malware ma galuega fa'atulagaina i le SYSVOL feso'ota'iga faila o fa'atonu vaega - Fa'agasolo se fa'amatalaga PowerShell i luga o masini fa'apitonu'u e fa'asalalau ai mea leaga ma fa'amaumau osofa'iga aga'i i luma i ogalaau i SYSVOL
Afai ei ai ni au fesili e uiga i lenei fesuiaiga o le ransomware virus, poʻo soʻo se isi suʻesuʻega faʻalavelave faʻafuaseʻi ma cybersecurity na faia e a matou 'au, pe talosaga , lea matou te taliina ai fesili i taimi uma i se Q&A sauniga.
puna: www.habr.com